首页> 中国专利> 分组密码抗线性攻击安全性的评估方法

分组密码抗线性攻击安全性的评估方法

页面导航

摘要
著录项
法律信息
说明书
相似文献

摘要

本发明公开了一种分组密码抗线性攻击安全性的评估方法，包括：将分组密码分成前后两个部分；先对第一部分建立第一混合整数线性规划模型，并求解以获得第一部分中的活跃S盒个数的下界，记为第一下界；再对整个所述分组密码建立第二混合整数线性规划模型，并求解以获得第二部分中的活跃S盒个数的下界，记为第二下界；之后、将第一下界与第二下界的和作为所述分组密码的活跃S盒个数的下界，并进一步确定所述分组密码的线性逼近表达式的最大偏差概率的上界。本发明的方法所获得的分组密码的抗线性攻击的安全性的高低的可靠性更高。

著录项

公开/公告号CN104158796A

专利类型发明专利
公开/公告日2014-11-19

原文格式PDF
申请/专利权人中国科学院信息工程研究所;
展开▼

申请/专利号CN201410331997.9
发明设计人胡磊;孙思维;乔珂欣;马小双;宋凌;王鹏;
展开▼

申请日2014-07-11
分类号H04L29/06(20060101);H04L9/08(20060101);H04L12/26(20060101);
代理机构11018 北京德琦知识产权代理有限公司;
代理人牛峥;王丽琴
地址 100195 北京市海淀区闵庄路丙87号
入库时间 2023-12-17 03:31:48

法律信息

法律状态公告日

法律状态信息

法律状态
2017-07-21

授权

授权
2014-12-17

实质审查的生效 IPC(主分类):H04L29/06 申请日:20140711

实质审查的生效
2014-11-19

公开

公开

说明书

技术领域

本发明涉及信息安全分组密码设计与分析领域，特别涉及一种通过获取分组密码中活跃S盒个数下界的以进行分组密码抗线性攻击安全性的评估方法。

背景技术

对称密码是一种加解密使用相同密钥的密码体制，对称密码利用密钥和加密算法将明文变为密文。运用相同的密钥和解密算法，可以从密文恢复出明文。其中，分组密码是一种广泛使用的对称密码，它在长度为m比特主密钥的控制下将输入的明文分组当作一个整体加密处理，输出一个等长(如果明文长度是n，则密文长度也为n)的密文分组，解密则是指将密文在同一密钥的控制下恢复出明文。其中，n为明文的分组长度，m为主密钥长度，m为正整数，n为正整数。

分组密码的设计通常遵循两个原则：安全性原则和实现原则。现代分组密码主要采用轮迭代设计，即把密码学性质较弱的函数迭代多次以满足这两个原则。根据算法采用结构的不同，现行主要结构可分为Feistel(一种密码结构)结构、SPN(替换置换网络)结构和Lai-Massey(一种密码结构)结构等。这些结构都由基本运算构成，包括XOR(异或)、比特置换、数据分叉、S盒替换等。

对一个轮函数迭代r次的分组密码来说，该分组密码共有r轮，其中r为正整数。一个分组长度为n比特的r轮分组密码，每轮需要使用一个n比特子密钥，每轮用到的子密钥是由该分组密码的主密钥通过一个确定的密钥扩展算法得到的。

分组长度为n的分组密码的轮函数结构通常包括三个操作，如图1所示。这三个操作分别为：

(1)轮密钥异或操作。将轮函数的n个输入比特(图1中箭头表示)与相应轮的子密钥进行异或操作，并输出n个输出比特。

(2)分组S盒操作。将操作(1)中的n个输出比特分成n/w₁组输出比特，其中 w₁为正整数，n被w₁整除，从而每组输出比特均为w₁比特；每组输出比特经过一个 S盒后得到新的输出比特，其中所述S盒的输入为w₁比特，输出为w₂比特。共有n/w₂个S盒分别处理经过步骤(1)的异或操作之后并分组的输出比特。

如图2所示，为一个S盒的输入输出示意图。一个输入为w₁比特，输出为w₂比特的S盒本质上是一个映射：

其中是有两个元素的有限域，简称二元域。通常S盒由一个表给出其映射规则，如表1中给出了一个4比特输入(w₁＝4)4比特输出(w₂＝4)S盒的映射规则。

表1：4比特输入4比特输出S盒的映射规则表

x 0000 0001 0010 0011 0100 0101 0110 0111 S(x) 1100 0101 0110 1011 1001 0000 1010 1101 x 1000 1001 1010 1011 1100 1101 1110 1111 S(x) 0011 1110 1111 1000 0100 0111 0001 0010

由表1可知：S(0000)＝1100、S(0001)＝0101、S(0010)＝0110、S(0011)＝1011、 S(0100)＝1001、S(0101)＝0000、S(0110)＝1010、S(0111)＝1101、S(1000)＝0011、 S(1001)＝1110、S(1010)＝1111、S(1011)＝1000、S(1100)＝0100、S(1101)＝0111、 S(1110)＝0001、S(1111)＝0010。

(3)、线性扩散层操作。将操作(2)中S盒输出的比特经过一个线性变换得到输出比特作为下一个轮函数的输入比特。图3所示为一个输入为8比特、输出为8比特，包含异或运算和置换的线性层。

图1中，操作(2)和操作(3)也分别称为非线性替换层和线性扩散层。

现代信息社会中微型计算设备的广泛使用，使得对轻量级分组密码的需求越来越迫切。如何设计电路面积小，功耗低并且安全的轻量级分组密码，已在密码学界和工业界引起了广泛兴趣。使用硬件实现成本极低的比特级置换线性扩散层来构造轮函数，是得到轻量级SPN分组密码的方法之一。如PRESENT(一种轻量级分组密码的名称) 其已成为国际标准的轻量级分组密码。比特级置换线性扩散层的作用是把所输入的比特的位置打乱，如在图1中，若所有S盒的输出比特长度总和为16比特，则可给出一个输入和输出长度都为16比特的比特级置换线性扩散层。

虽然以比特级置换作为线性扩散层构造的轮函数可以大大降低轮函数的硬件实现成本，但是，这种设计没有有效的抗线性攻击安全性自动化评估方法来确定轮函数需要迭代多少轮才能抵抗线性攻击。

线性攻击，也叫线性密码分析，它属于已知明文攻击方法，通过寻找明文和密文之间的一个“有效”的线性逼近表达式，将分组密码与随机置换区分开，并在此基础上进行密钥恢复攻击。

以下为线性攻击所涉及的若干定义。

定义1：内积

设a,b∈{0,1}ⁿ，其中a＝(a₁,a₂,…,a_n)、b＝(b₁,b₂,…b_n)，向量a与b的内积定义为

$a \cdot b = \oplus_{i = 1}^{n} a_{i} \cdot b_{i}$

其中a_i·b_i表示比特a_i和b_i的与运算，即二元域上的乘法运算。

定义2：线性掩码

设X＝(X₁,X₂,...,X_n)∈{0,1}ⁿ，则X的线性掩码定义为向量

ΓX＝(ΓX₁,ΓX₂,...,ΓX_n)∈{0,1}ⁿ

其中，ΓX和X的内积ΓX·X代表X的某些分量的线性组合，即

$ΓX \cdot X = \underset{i, Γ X_{i} = 1}{\oplus} X_{i}$

定义3：线性逼近表达式

设迭代分组密码的轮函数为F(x,k)，给定一对线性掩码(α,β)，则称 α·x⊕β·F(x,k)为F(x,k)的线性逼近表达式。同样，称α·x⊕β·E(x,k)为分组密码 E(x,k)的线性逼近表达式。

假设

$p (α, β) = \underset{X, K}{\Pr} {α \cdot X = β \cdot F (X, K)}$

则p表示线性逼近表达式α·x⊕β·F(x,k)＝0的概率。在线性攻击中，掩码(α,β)对应的线性逼近表达式的偏差为

ε_F(α,β)＝2p(α,β)-1

线性逼近表达式的偏差刻画了此轮函数与完全随机函数的区别。对于完全随机函数来说，任意给定掩码(α,β)，其中α≠0,β≠0，则偏差ε(α,β)＝0。对于轮函数F来说，ε_F(α,β)的绝对值越大，表明它与完全随机函数的区别越明显，进而线性攻击可以就此展开。

以下将不加区分地采用线性逼近表达式或线性掩码来刻画线性攻击。

定义4：线性壳

迭代分组密码的一条i轮线性壳是指一对掩码(β₀,β_i)，其中β₀是输入掩码，β_i是输出掩码。

定义5：线性特征

迭代型分组密码的一条i轮线性特征Ω＝(β₀,β₁,...,β_i)是指当输入掩码为β₀，在i轮加密的过程中，中间状态Y_j的掩码为β_j，其中1≤j≤i。

定义6：线性壳的线性概率

迭代分组密码的一条i轮线性壳(β₀,β_i)的线性概率LP(α,β)也可记为LP(α→β)，是指在输入X，轮密钥K₁,K₂,...,K_i取值独立且均匀分布的情形下，当输入掩码为β₀时，在经过i轮加密后，输出掩码为β_i的线性概率。

定义7：线性特征的线性概率

迭代分组密码的一条i轮线性特征Ω＝(β₀,β₁,...,β_i)所对应的线性概率LP(Ω)是指在输入X，轮密钥K₁,K₂,...,K_i取值独立且均匀分布的情形下，当输入掩码为β₀时，在加密过程中，中间状态Y_j的掩码取值为β_j的线性概率，其中1≤j≤i。

定义8：线性特征的级联

给定两条线性特征Ω¹＝(β₁,β₂,...,β_s),Ω²＝(γ₀,γ₁,...,γ_t)，若β_s＝γ₀，则称 Ω＝(β₀,β₁,...,β_s,γ₁,...,γ_t)为Ω¹和Ω²的级联，记为Ω＝Ω¹||Ω²，此时 LP(Ω)＝LP(Ω¹)×LP(Ω²)。

定义9：迭代线性特征

若一条i轮线性特征Ω＝(β₀,β₁,...,β_i-1,β_i)满足β₀＝β_i，则称Ω是一条i轮迭代线性特征。若Ω是迭代线性特征，则它自身可以级联，而且可以级联多次。

利用线性分析将分组密码与随机置换区分开，主要是利用随机置换线性逼近表达式的如下性质：

命题1

对{0,1}ⁿ上的随机置换任意给定掩码α和β，α≠0，β≠0，则LP(α,β)＝0，即偏差ε(α,β)＝0。

若找到了一条r-1轮线性逼近表达式(α,β)，其线性概率LP(α,β)≠0，即偏差 ε(α,β)≠0，则利用该线性逼近表达式可以将r-1轮的加密算法与随机置换区分开，利用该区分器(称为线性区分器)就可以对分组密码进行密钥恢复攻击。涉及多轮的线性逼近表达式可以通过涉及轮数相对较少的线性特征的级联获得。

考虑从到上的线性映射L(用矩阵A来表示)，假设y＝Ax，若输出掩码为β，则β·y＝(A^T·β)·x。故此时，输入掩码α＝A^T·β。可见，对于线性映射，掩码传播无概率可言，它是确定性的，给定输出掩码β，则输入掩码必为α＝A^T·β。例如，异或操作两个输入比特的线性掩码和输出比特的线性掩码相等，即

z[1]＝z[2]＝z[3]

其中，z[1]、z[2]为所述异或操作的两个输入比特的线性掩码，z[3]为所述异或操作的输出比特的线性掩码。

对迭代型分组密码算法进行线性攻击的关键，在于观察到由S盒导出的线性逼近表达式的偏差特性。

定义10：S盒的线性逼近表

设m,从到的非线性映射(也称为S盒)记为给定则定义

N_S(α,β)＝#IN_S(α,β)

构造2^m×2ⁿ的表格如下：以α为行指标遍历β为列指标遍历行列交错处的项取值N_S(α,β)-2^m-1。α为S盒的输入掩码，β为S盒的输出掩码，三元数组 (α,β,N_S(α,β)-2^m-1)按上述方式构成的表称为S盒的线性逼近表。表中数值为正，说明 β·S(x)⊕α·x＝０的可能性大一些；为负，说明β·S(x)⊕α·x＝１的可能性大一些。例如与表2中的S盒的映射关系相对应的线性逼近表表3。

表2：S盒映射关系表

x 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 S(x) 4 15 3 8 13 10 12 0 11 5 7 14 2 6 1 9

表3：与表2对应的S盒的线性逼近表

研究S盒的线性逼近性质，就是研究非线性函数β·S(x)在多大程度上可以用线性函数α·x来逼近，如果逼近程度好，就说明由该输入掩码和输出掩码对S盒进行刻画时，所对应选择的输入比特和输出比特具有一定的相关性，这种相关性可以将S盒和随机意义下的函数区分开。

定义

$P_{S} = (α \to β) = \frac{N_{S} (α, β)}{2^{m}}$

给定随机(满足均匀分布)给定输入x，则α·x＝β·S(x)将以概率P_S＝(α→β)成立，即输入线性掩码α依概率传播到输出线性掩码β。如果

$P_{S} = (α \to β) \neq \frac{1}{2}$

则称线性逼近表达式α·x＝β·S(x)有偏差，此时对线性攻击有效。

高概率的线性逼近表达式(α,β)使得线性攻击更加有效，而高概率的线性逼近表达式依赖于线性特征所涉及的线性活跃S盒的个数。

定义11：线性活跃S盒

将输出掩码非零的S盒称为线性活跃S盒。

线性掩码以一定概率传播只发生在活跃S盒处，而在线性层的传播是确定性的，因此根据密码方案的线性特征所涉及的最少活跃S盒个数及S盒的线性逼近表达式的最大偏差可以给出线性逼近表达式的概率的上界，当此上界足够小时，可以说明密码方案抗线性攻击的安全性够高，被评估的分组密码很安全。

发明内容

有鉴于此，本发明提供一种分组密码抗线性攻击安全性的评估方法，以获得所述分组密码的线性逼近表达式的最大偏差概率的上界。

本申请的技术方案是这样实现的：

一种分组密码抗线性攻击安全性的评估方法，包括：

步骤1、将分组密码分成两个部分，其中第一部分为所述分组密码的至少前1轮，第二部分为所述分组密码中除第一部分以外的其它所有轮；

步骤2、对所述分组密码的第一部分中的每一个运算的输入和输出比特分别引入一个线性掩码变量；

步骤3、对所述分组密码的第一部分中的每一个S盒引入线性活跃变量；

步骤4、针对所述分组密码的第一部分中的每一个线性掩码变量和每一个线性活跃变量赋予一限制集，并以最小化所述分组密码的第一部分中的所有S盒的线性活跃变量之和为第一目标函数，建立第一混合整数线性规划模型；

步骤5、求解所述第一混合整数线性规划模型，以获得所述分组密码的第一部分中的活跃S盒个数的下界，记为第一下界；

步骤6、对整个所述分组密码每一个运算的输入和输出比特分别引入一个线性掩码变量；

步骤7、对整个所述分组密码的每一个S盒引入线性活跃变量；

步骤8、针对整个所述分组密码的每一个线性掩码变量和每一个线性活跃变量赋予所述限制集，并增加所述分组密码第一部分中出现的所有线性活跃变量之和大于等于第一下界的限制，以最小化所述分组密码的第二部分中的所有S盒的线性活跃变量之和为第二目标函数，建立第二混合整数线性规划模型；

步骤9、求解所述第二混合整数线性规划模型，以获得所述分组密码的第二部分中的活跃S盒个数的下界，记为第二下界；

步骤10、将所述第一下界与第二下界的和作为所述分组密码的活跃S盒个数的下界，并利用所述分组密码的活跃S盒个数的下界确定所述分组密码的线性逼近表达式的最大偏差概率的上界。

进一步，所述分组密码的分组长度为B比特，所述分组密码共有R轮，每一轮中具有T个S盒，所述分组密码中共有G个S盒，每个S盒具有P个输入比特和P个输出比特；

其中，G＝T×R，P＝B/T，B、R、T、G、P均为正整数，且B能够被T整除；

所述第一部分为所述分组密码中的第1轮至第N轮，所述第二部分为所述分组密码中的第N+1轮至第R轮，其中，1≤N<R。

进一步，所述分组密码中，任意一个S盒的任意一个输入比特位置所引入的线性掩码变量表示为x[r,t,p]，任意一个S盒的任意一个输出比特位置所引入的线性掩码变量表示为y[r,t,p]，每个x[r,t,p]变量以及每个y[r,t,p]变量只取0和1其中的一个值；

若x[r,t,p]＝1，则表示该x[r,t,p]所代表的S盒的输入比特位置的线性掩码变量为1；

若x[r,t,p]＝0，则表示该x[r,t,p]所代表的S盒的输入比特位置的线性掩码变量为0；

若y[r,t,p]＝1，则表示该x[r,t,p]所代表的S盒的输出比特位置的线性掩码变量为1；

若y[r,t,p]＝0，则表示该x[r,t,p]所代表的S盒的输出比特位置的线性掩码变量为0；

其中，r的取值范围为从1到R的整数，t的取值范围为从1到T的整数，p的取值范围为从1到P的整数。

进一步，所述分组密码中，任意一个S盒所引入的活跃变量表示为A[r,t]，每个 A[r,t]变量只取0和1其中的一个值；

若A[r,t]＝1，则表示该A[r,t]所代表的S盒为活跃S盒；

若A[r,t]＝0，则表示该A[r,t]所代表的S盒为不活跃S盒；

其中，r的取值范围为从1到R的整数，t的取值范围为从1到T的整数。

进一步，所述限制集包括：

限制一：

保证当A[r,t]变量所代表的S盒为活跃S盒时，该S盒的输出线性掩码变量中，至少有一个输入比特变量的值为1，即：

x[r,t,1]+…+x[r,t,P]-A[r,t]≥0

限制二：

保证当A[r,t]变量所表示的S盒的输出线性掩码变量中有一个非零比特时，该S 盒必须是活跃S盒，即：

x[r,t,p]-A[r,t]≤0

限制三：

非零输入线性掩码变量一定导致非零输出线性掩码变量，且非零输出线性掩码变量一定导致非零输入线性掩码变量，即：

Py[r,t,1]+…+Py[r,t,P]-x[r,t,1]-…-x[r,t,P]≥0

且

Px[r,t,1]+…+Px[r,t,P]-y[r,t,1]-…-y[r,t,P]≥0

限制四：

保证当A[r,t]变量所代表的S盒活跃时，输入线性掩码变量和输出线性掩码变量中至少有B比特非零，即：

x[r,t,1]+…+x[r,t,P]+y[r,t,1]+…+y[r,t,P]≥B×d

其中，d≥x[r,t,1]、…、d≥x[r,t,P]、d≥y[r,t,1]、…、d≥y[r,t,P]，B为A[r,t]变量所代表的S盒的极大分支数；

限制五：

将所述S盒的凸闭包作为限制，所述S盒的凸闭包为该S盒的所有非零概率的线性特征所对应的点集的凸闭包的H-表示；

限制六：

所述分组密码的每一轮中，轮密钥异或操作的输入线性掩码变量和输出线性掩码变量限制为：

所述轮密钥异或操作的两个输入线性掩码变量和输出线性掩码变量相等，即：

z[1]＝z[2]＝z[3]

其中，z[1]、z[2]分别为所述轮密钥异或操作的两个输入比特的线性掩码变量，z[3] 为所述轮密钥异或操作的输出比特的线性掩码变量；

限制七：

三叉结构中的一个分支的线性掩码变量等于另外两个分支的线性掩码变量的异或值，即

z[4]＝z[5]⊕z[6]

其中，z[4]为所述三叉结构的任意一个分支比特的线性掩码变量，z[5]为所述三叉结构中除了z[4]所属分支比特以外两个分支比特中的任意一个分支比特的线性掩码变量，z[6]为所述三叉结构中除了z[4]和z[5]所属分支比特以外的分支比特的线性掩码变量；

限制八：

所述分组密码的输入差分不全为0。

进一步，对于所述限制七，在所述第一混合整数线性规划问题和第二混合整数线性规划问题中，采用如下的不等式组刻画表达式z[4]＝z[5]⊕z[6]：

z[4]＝z[5]+z[6]-2d

0≤d≤1

其中，d为虚拟变量，d、z[4]、z[5]、z[6]为0-1变量。

进一步，所述步骤4中的第一目标函数为：

$Σ_{r = 1}^{N} Σ_{t = 1}^{T} A [r, t] .$

进一步，步骤8中，所述分组密码第一部分中出现的所有线性活跃变量之和大于等于第一下界的限制为：

$Σ_{r = 1}^{N} Σ_{t = 1}^{T} A [r, t] \geq k_{1}$

其中，k₁为所述第一下界，即所述分组密码的第一部分中的活跃S盒个数的下界。

进一步，所述步骤8中的第二目标函数为：

$Σ_{r = N + 1}^{R} Σ_{t = 1}^{T} A [r, t] .$

进一步，所述步骤10中，所述分组密码的线性逼近表达式的最大偏差概率的上界通过下式获得：

$p = {p_{s}}^{k_{1} + k_{2}}$

其中，p为所述分组密码的线性逼近表达式的最大偏差概率的上界，p_s为所述分组密码中S盒的线性逼近表达式的最大偏差概率，k₁为所述第一下界，k₂为所述第二下界。

从上述方案可以看出，本发明的分组密码抗线性攻击安全性的评估方法，由于其中分别采用了两套限制集和混合整数线性规划问题，进而可获得分组密码的两个活跃 S盒个数下界最优值，再根据该两个活跃S盒个数下界最优值而最终确定分组密码的线性逼近表达式的最大偏差概率的上界，进而所确定出的分组密码的抗线性攻击的安全性的高低。与仅采用一套限制集和混合整数线性规划问题确定的分组密码的抗线性攻击的安全性的方法相比，本发明的方法所获得的分组密码的抗线性攻击的安全性的高低的可靠性更高。

附图说明

图1为分组密码的轮函数结构图；

图2为S盒的输入输出示意图；

图3为一个输入和输出长度都为8比特的置换线性扩散层的示意图；

图4为本发明的分组密码抗线性攻击安全性的评估方法的流程示意图；

图5为二维点集的凸闭包实施例示意图；

图6为三叉结构示意图；

图7为本发明所采用的三轮密码结构的分组密码实施例示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实施例，对本发明作进一步详细说明。

如图4所示，本发明的分组密码抗线性攻击安全性的评估方法，包括：

步骤1、将分组密码分成两个部分，其中第一部分为所述分组密码的至少前1 轮，第二部分为所述分组密码中除第一部分以外的其它所有轮；

步骤2、对所述分组密码的第一部分中的每一个运算的输入和输出比特分别引入一个线性掩码变量；

步骤3、对所述分组密码的第一部分中的每一个S盒引入线性活跃变量；

步骤5、求解所述第一混合整数线性规划模型，以获得所述分组密码的第一部分中的活跃S盒个数的下界，记为第一下界；

步骤6、对整个所述分组密码每一个运算的输入和输出比特分别引入一个线性掩码变量；

步骤7、对整个所述分组密码的每一个S盒引入线性活跃变量；

步骤9、求解所述第二混合整数线性规划模型，以获得所述分组密码的第二部分中的活跃S盒个数的下界，记为第二下界；

本发明中，分组密码的基本构造如下。

所述分组密码的分组长度为B比特，分组密码共有R轮，每一轮中具有T个 S盒，分组密码中共有G个S盒，每个S盒具有P个输入比特和P个输出比特；其中，G＝T×R，P＝B/T，B、R、T、G、P均为正整数，且B能够被T整除。

本发明的分组密码抗线性攻击安全性的评估方法中，所述分组密码的第一部分为所述分组密码中的第1轮至第N轮，所述第二部分为所述分组密码中的第N+1 轮至第R轮，其中，1≤N<R。

所述分组密码中，任意一个S盒的任意一个输入比特位置所引入的线性掩码变量表示为x[r,t,p]，任意一个S盒的任意一个输出比特位置所引入的线性掩码变量表示为y[r,t,p]，每个x[r,t,p]变量以及每个y[r,t,p]变量只取0和1其中的一个值；

若x[r,t,p]＝1，则表示该x[r,t,p]所代表的S盒的输入比特位置的线性掩码变量为1；

若x[r,t,p]＝0，则表示该x[r,t,p]所代表的S盒的输入比特位置的线性掩码变量为0；

若y[r,t,p]＝1，则表示该x[r,t,p]所代表的S盒的输出比特位置的线性掩码变量为1；

若y[r,t,p]＝0，则表示该x[r,t,p]所代表的S盒的输出比特位置的线性掩码变量为0；

其中，r的取值范围为从1到R的整数，t的取值范围为从1到T的整数，p 的取值范围为从1到P的整数。

所述分组密码中，任意一个S盒所引入的活跃变量表示为A[r,t]，每个A[r,t] 变量只取0和1其中的一个值；

若A[r,t]＝1，则表示该A[r,t]所代表的S盒为活跃S盒；

若A[r,t]＝0，则表示该A[r,t]所代表的S盒为不活跃S盒；

其中，r的取值范围为从1到R的整数，t的取值范围为从1到T的整数。

本发明的分组密码抗线性攻击安全性的评估方法中所使用的限制集包括如下限制一至限制八：

限制一：

保证当A[r,t]变量所代表的S盒为活跃S盒时，该S盒的输出线性掩码变量中，至少有一个输入比特变量的值为1，即：

x[r,t,1]+…+x[r,t,P]-A[r,t]≥0

限制二：

保证当A[r,t]变量所表示的S盒的输出线性掩码变量中有一个非零比特时，该 S盒必须是活跃S盒，即：

x[r,t,p]-A[r,t]≤0

限制三：

非零输入线性掩码变量一定导致非零输出线性掩码变量，且非零输出线性掩码变量一定导致非零输入线性掩码变量，即：

Py[r,t,1]+…+Py[r,t,P]-x[r,t,1]-…-x[r,t,P]≥0

且

Px[r,t,1]+…+Px[r,t,P]-y[r,t,1]-…-y[r,t,P]≥0

限制四：

保证当A[r,t]变量所代表的S盒活跃时，输入线性掩码变量和输出线性掩码变量中至少有B比特非零，即：

x[r,t,1]+…+x[r,t,P]+y[r,t,1]+…+y[r,t,P]≥B×d

其中，d≥x[r,t,1]、…、d≥x[r,t,P]、d≥y[r,t,1]、…、d≥y[r,t,P]，B为A[r,t] 变量所代表的S盒的极大分支数；

限制五：

将所述S盒的凸闭包作为限制，所述S盒的凸闭包为该S盒的所有非零概率的线性特征所对应的点集的凸闭包的H-表示。其原理为：

根据A[r,t]变量所代表的S盒的线性逼近表，将每个非零位置对应的输入、输出掩码表示为一个2P维的向量，其中每个分量表示掩码的一个比特。例如将传播形式为0×9＝1001→0×7＝1110的掩码表示为(1,0,0,1,1,1,1,0)。则所有有偏差的线性逼近表达式组成了上的有限个离散的点。将包含上的有限个离散点构成的集合Q的最小凸集，称为Q的凸闭包。上的凸闭包可以由有限个线性等式和不等式的解集来刻画。这组不等式和等式称为凸闭包的H-表示。计算有限点集的凸闭包的H-表示是计算机几何学中的一个应用广泛的基本算法。

S盒的凸闭包可以通过调用SAGE计算机代数系统中封装好的函数自动生成。该组约束形式如下：

$(\begin{matrix} λ_{0,1} x [r, t, 1] + . . . + λ_{0, P} x [r, t, P] + λ_{0, P + 1} y [r, t, 1] + . . . + λ_{0,2 P} y [r, t, P] + λ_{0,2 P + 1} \geq 0 \\ . . . \\ γ_{0,1} x [r, t, 1] + . . . + γ_{0, P} x [r, t, P] + γ_{0, P + 1} y [r, t, 1] + . . . + γ_{0,2 P} y [r, t, P] + γ_{0,2 P + 1} = 0 \\ . . . \end{matrix})$

其中，λ_i,j为上述不等式中各项的系数，γ_i,j为上述等式中各项的系数，λ_i,j和γ_i,j取实数，i为自然数(包括0和正整数)，j为从1到2P+1的整数。凸闭包的获取为已有技术，其中各项系数均可通过现有技术获得，此处不再赘述。

以二维平面上的点为例，点集：

{(-2,5),(2,0),(7,2),(9,8),(3,10),(1,4),(2,2),(0,3),(4,7),(4,6),(5,5),(5,4),(3,4),(2,8),(8, 8),(7,7),(7,4),(8,5)}

的凸闭包的H-表示为

$(\begin{matrix} x + 0.8 y - 2 \geq 0 \\ - x + 2.5 y + 2 \geq 0 \\ - 3 x + y + 19 \geq 0 \\ - \frac{1}{3} x - y + 11 \geq 0 \\ x - y + 7 \geq 0 \end{matrix})$

如图5所示，五边形区域即为散点集的凸闭包。

限制六(轮密钥异或操作的相关限制)：

所述分组密码的每一轮中，轮密钥异或操作的输入线性掩码变量和输出线性掩码变量限制为：

所述轮密钥异或操作的两个输入线性掩码变量和输出线性掩码变量相等，即：

z[1]＝z[2]＝z[3]

其中，z[1]、z[2]分别为所述轮密钥异或操作的两个输入比特的线性掩码变量， z[3]为所述轮密钥异或操作的输出比特的线性掩码变量。

限制七(三叉结构的相关限制)：

当一个值被用于两处运算时，会出现一种三叉结构，即一个值用于两处运算的结构为三叉结构，如图6所示为所述三叉结构的示意图。对于这种三叉结构，任意一个分支的线性掩码变量等于另外两个分支的线性掩码变量的异或值，即

z[4]＝z[5]⊕z[6]

其中，z[4]为所述三叉结构的任意一个分支比特的线性掩码变量，z[5]为所述三叉结构中除了z[4]所属分支比特以外两个分支比特中的任意一个分支比特的线性掩码变量，z[6]为所述三叉结构中除了z[4]和z[5]所属分支比特以外的分支比特的线性掩码变量。

实际操作中，在第一混合整数线性规划问题和第二混合整数线性规划问题中，采用如下的不等式组刻画表达式z[4]＝z[5]⊕z[6]：

z[4]＝z[5]+z[6]-2d

0≤d≤1

其中，d为虚拟变量，d、z[4]、z[5]、z[6]为0-1变量。

限制八：

所述分组密码的输入差分不全为0。

本发明中，在步骤4中，第一目标函数为：

$Σ_{r = 1}^{N} Σ_{t = 1}^{T} A [r, t]$

步骤5中，求解第一混合整数线性规划模型，就是在限制级的限制下，求解所述第一目标函数，以获得第一部分中的活跃S盒个数的下界，即

$k_{1} = Σ_{r = 1}^{N} Σ_{t = 1}^{T} A [r, t]$

其中，k₁为所述第一下界，即所述分组密码的第一部分中的活跃S盒个数的下界。

分组密码中前N轮的活跃S盒个数的下界，即分组密码的第一部分中的活跃 S盒个数的下界(第一下界)的获得，是为了随后针对整个所述分组密码建立第二混合整数线性规划模型时引入新的限制。即在步骤8中，在建立第二混合整数线性规划模型时，除了所赋予的上述限制集以外，还额外增加一条限制，即所述分组密码第一部分中出现的所有线性活跃变量之和大于等于第一下界，即

$Σ_{r = 1}^{N} Σ_{t = 1}^{T} A [r, t] \geq k_{1}$

步骤8中的第二目标函数为：

$Σ_{r = N + 1}^{R} Σ_{t = 1}^{T} A [r, t]$

求解该第二目标函数后，获得的获得分组密码的第二部分中的活跃S盒个数的下界(即分组密码第N+1轮至第R轮的活跃S盒个数的下界)，记为第二下界，用k₂表示。

步骤10中，将第一下界与第二下界的和作为所述分组密码的活跃S盒个数的下界，用k表示所述分组密码的活跃S盒个数的下界，则

k＝k₁+k₂

在所述分组密码的线性活跃S盒相互独立的假设下，所述分组密码的总的线性逼近表达式的偏差概率即为每个线性活跃S盒的线性逼近表达式的偏差概率之积。在求所述分组密码的线性逼近表达式的最大偏差概率的上界时，每个线性活跃S盒的线性逼近表达式的偏差概率都取其最大值。则用所述分组密码的活跃S 盒个数的下界确定所述分组密码的线性逼近表达式的最大偏差概率的上界，采用如下公式进行确定：

p＝p_s^k

将k＝k₁+k₂带入上述公式即

$p = {p_{s}}^{k_{1} + k_{2}}$

其中，p即为所述分组密码的线性逼近表达式的最大偏差概率的上界，p_s为所述分组密码中S盒的线性逼近表达式的最大偏差概率。

以图7所示的三轮的密码结构为例，说明本发明的分组密码抗线性攻击安全性的评估方法。图7所示的分组密码中，分组长度为8比特，即B＝8，每一轮中首先进行轮密钥异或操作，然后每4比特一组分别进入S盒，最后从S盒输出的8 比特经过包含异或运算和置换的线性层(图7中虚线框)得到本轮的输出；图7 所示的分组密码共有3轮，即R＝3。标记S盒的活跃变量为A[r,t]，其中r＝1,2,3、 t＝1,2。输入的线性掩码变量为x[r,t,p]，输出线性掩码变量为y[r,t,p]，其中p＝1,2,3,4。所采用的S盒为表2中所使用的S盒。即

表2：S盒映射关系表

x 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 S(x) 4 15 3 8 13 10 12 0 11 5 7 14 2 6 1 9

对图7所示的三轮的密码结构，采用本发明的分组密码抗线性攻击安全性的评估方法，包括以下步骤。

步骤a1、将图7的三轮的密码结构分成两个部分。

作为具体实施例，本步骤a1中，第一部分为该三轮的分组密码的前2轮，第二部分为该三轮分组密码中的第3轮。

步骤a2、对该三轮分组密码的第一部分(即前2轮)中的每一个运算的输入和输出比特分别引入一个线性掩码变量。即

x[1,1,1]、x[1,1,2]、x[1,1,3]、x[1,1,4]、y[1,1,1]、y[1,1,2]、y[1,1,3]、y[1,1,4]

x[1,2,1]、x[1,2,2]、x[1,2,3]、x[1,2,4]、y[1,2,1]、y[1,2,2]、y[1,2,3]、y[1,2,4]

x[2,1,1]、x[2,1,2]、x[2,1,3]、x[2,1,4]、y[2,1,1]、y[2,1,2]、y[2,1,3]、y[2,1,4]

x[2,2,1]、x[2,2,2]、x[2,2,3]、x[2,2,4]、y[2,2,1]、y[2,2,2]、y[2,2,3]、y[2,2,4]

其中，每个x[r,t,p]变量以及每个y[r,t,p]变量只取0和1其中的一个值。

步骤a3、对该三轮分组密码的第一部分(前2轮)中的每一个S盒引入线性活跃变量，即A[1,1]、A[1,2]、A[2,1]、A[2,2]。

步骤a4、针对该三轮分组密码的第一部分(前2轮)中的每一个线性掩码变量和每一个线性活跃变量赋予一限制集，并以最小化所述分组密码的第一部分中的所有S盒的线性活跃变量之和为第一目标函数，建立第一混合整数线性规划模型。

其中，限制级包括如下限制：

限制一：

第1轮中

x[1,1,1]+x[1,1,2]+x[1,1,3]+x[1,1,4]-A[1,1]≥0

x[1,2,1]+x[1,2,2]+x[1,2,3]+x[1,2,4]-A[1,2]≥0

第2轮中

x[2,1,1]+x[2,1,2]+x[2,1,3]+x[2,1,4]-A[2,1]≥0

x[2,2,1]+x[2,2,2]+x[2,2,3]+x[2,2,4]-A[2,2]≥0

限制二：

第1轮中

x[1,1,1]-A[1,1]≤0、x[1,1,2]-A[1,1]≤0、x[1,1,3]-A[1,1]≤0、x[1,1,4]-A[1,1]≤0

x[1,2,1]-A[1,2]≤0、x[1,2,2]-A[1,2]≤0、x[1,2,3]-A[1,2]≤0、x[1,2,4]-A[1,2]≤0

第2轮中

x[2,1,1]-A[2,1]≤0、x[2,1,2]-A[2,1]≤0、x[2,1,3]-A[2,1]≤0、x[2,1,4]-A[2,1]≤0

x[2,2,1]-A[2,2]≤0、x[2,2,2]-A[2,2]≤0、x[2,2,3]-A[2,2]≤0、x[2,2,4]-A[2,2]≤0

限制三：

第1轮中

4y[1,1,1]+4y[1,1,2]+4y[1,1,3]+4y[1,1,4]-x[1,1,1]-x[1,1,2]-x[1,1,3]-x[1,1,4]≥0

4x[1,1,1]+4x[1,1,2]+4x[1,1,3]+4x[1,1,4]-y[1,1,1]-y[1,1,2]-y[1,1,3]-y[1,1,4]≥0

4y[1,2,1]+4y[1,2,2]+4y[1,2,3]+4y[1,2,4]-x[1,2,1]-x[1,2,2]-x[1,2,3]-x[1,2,4]≥0

4x[1,2,1]+4x[1,2,2]+4x[1,2,3]+4x[1,2,4]-y[1,2,1]-y[1,2,2]-y[1,2,3]-y[1,2,4]≥0

第2轮中

4y[2,1,1]+4y[2,1,2]+4y[2,1,3]+4y[2,1,4]-x[2,1,1]-x[2,1,2]-x[2,1,3]-x[2,1,4]≥0

4x[2,1,1]+4x[2,1,2]+4x[2,1,3]+4x[2,1,4]-y[2,1,1]-y[2,1,2]-y[2,1,3]-y[2,1,4]≥0

4y[2,2,1]+4y[2,2,2]+4y[2,2,3]+4y[2,2,4]-x[2,2,1]-x[2,2,2]-x[2,2,3]-x[2,2,4]≥0

4x[2,2,1]+4x[2,2,2]+4x[2,2,3]+4x[2,2,4]-y[2,2,1]-y[2,2,2]-y[2,2,3]-y[2,2,4]≥0

限制四：

第1轮中

x[1,1,1]+x[1,1,2]+x[1,1,3]+x[1,1,4]+y[1,1,1]+y[1,1,2]+y[1,1,3]+y[1,1,4]≥2d0

其中，A[1,1]变量所代表的S盒的极大分支数为2。

x[1,2,1]+x[1,2,2]+x[1,2,3]+x[1,2,4]+y[1,2,1]+y[1,2,2]+y[1,2,3]+y[1,2,4]≥2d1

其中，A[1,2]变量所代表的S盒的极大分支数为2。

其中，对于A[1,1]变量所代表的S盒来说：

d0≥x[1,1,1]、d0≥x[1,1,2]、d0≥x[1,1,3]、d0≥x[1,1,4]

d0≥y[1,1,1]、d0≥y[1,1,2]、d0≥y[1,1,3]、d0≥y[1,1,4]

对于A[1,2]变量所代表的S盒来说：

d1≥x[1,2,1]、d1≥x[1,2,2]、d1≥x[1,2,3]、d1≥x[1,2,4]

d1≥y[1,2,1]、d1≥y[1,2,2]、d1≥y[1,2,3]、d1≥y[1,2,4]

第2轮中

x[2,1,1]+x[2,1,2]+x[2,1,3]+x[2,1,4]+y[2,1,1]+y[2,1,2]+y[2,1,3]+y[2,1,4]≥2d6

其中，A[2,1]变量所代表的S盒的极大分支数为2。

x[2,2,1]+x[2,2,2]+x[2,2,3]+x[2,2,4]+y[2,2,1]+y[2,2,2]+y[2,2,3]+y[2,2,4]≥2d7

其中，A[2,2]变量所代表的S盒的极大分支数为2。

其中，对于A[2,1]变量所代表的S盒来说：

d6≥x[2,1,1]、d6≥x[2,1,2]、d6≥x[2,1,3]、d6≥x[2,1,4]

d6≥y[2,1,1]、d6≥y[2,1,2]、d6≥y[2,1,3]、d6≥y[2,1,4]

对于A[2,2]变量所代表的S盒来说：

d7≥x[2,2,1]、d7≥x[2,2,2]、d7≥x[2,2,3]、d7≥x[2,2,4]

d7≥y[2,2,1]、d7≥y[2,2,2]、d7≥y[2,2,3]、d7≥y[2,2,4]

限制五：

将S盒的凸闭包作为限制，所述S盒的凸闭包为该S盒的所有非零概率的线性特征所对应的点集的凸闭包的H-表示，即

第一轮中：

对于A[1,1]变量所代表的S盒来说：

+2x[1,1,1]-1x[1,1,2]-1x[1,1,3]-1x[1,1,4]+2y[1,1,5]-1y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-3

-1x[1,1,1]+2x[1,1,2]+1x[1,1,3]-1x[1,1,4]-1y[1,1,5]+1y[1,1,6]+2y[1,1,7]-1y[1,1,8]≥-2

+2x[1,1,1]-1x[1,1,2]-1x[1,1,3]+2x[1,1,4]-0y[1,1,5]+1y[1,1,6]+2y[1,1,7]+2y[1,1,8]≥-0

-1x[1,1,1]+1x[1,1,2]-1x[1,1,3]+2x[1,1,4]-2y[1,1,5]-2y[1,1,6]-1y[1,1,7]+2y[1,1,8]≥-5

-0x[1,1,1]-0x[1,1,2]-1x[1,1,3]-1x[1,1,4]+1y[1,1,5]+1y[1,1,6]-1y[1,1,7]-1y[1,1,8]≥-3

-1x[1,1,1]-1x[1,1,2]-1x[1,1,3]-0x[1,1,4]-1y[1,1,5]-0y[1,1,6]-1y[1,1,7]-1y[1,1,8]≥-5

-1x[1,1,1]-1x[1,1,2]+1x[1,1,3]-1x[1,1,4]-0y[1,1,5]-1y[1,1,6]-0y[1,1,7]-1y[1,1,8]≥-4

+1x[1,1,1]-0x[1,1,2]+1x[1,1,3]-0x[1,1,4]-1y[1,1,5]-1y[1,1,6]+1y[1,1,7]-1y[1,1,8]≥-2

-1x[1,1,1]-1x[1,1,2]+1x[1,1,3]+1x[1,1,4]+1y[1,1,5]+1y[1,1,6]-0y[1,1,7]-0y[1,1,8]≥-1

+1x[1,1,1]+2x[1,1,2]+2x[1,1,3]+1x[1,1,4]+1y[1,1,5]-2y[1,1,6]+1y[1,1,7]+1y[1,1,8]≥-0

+2x[1,1,1]+1x[1,1,2]+2x[1,1,3]+1x[1,1,4]-1y[1,1,5]+1y[1,1,6]-1y[1,1,7]-1y[1,1,8]≥-1

-1x[1,1,1]-1x[1,1,2]-1x[1,1,3]-1x[1,1,4]+1y[1,1,5]+1y[1,1,6]+2y[1,1,7]+2y[1,1,8]≥-2

+1x[1,1,1]+2x[1,1,2]+1x[1,1,3]+2x[1,1,4]+1y[1,1,5]-1y[1,1,6]-1y[1,1,7]-1y[1,1,8]≥-1

-0x[1,1,1]+1x[1,1,2]-1x[1,1,3]-1x[1,1,4]-1y[1,1,5]+1y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-3

-1x[1,1,1]+1x[1,1,2]-1x[1,1,3]-1x[1,1,4]-0y[1,1,5]+1y[1,1,6]-0y[1,1,7]-1y[1,1,8]≥-3

-1x[1,1,1]-0x[1,1,2]-1x[1,1,3]+1x[1,1,4]+1y[1,1,5]-1y[1,1,6]+1y[1,1,7]-1y[1,1,8]≥-3

+1x[1,1,1]+1x[1,1,2]-1x[1,1,3]-1x[1,1,4]-1y[1,1,5]-1y[1,1,6]+1y[1,1,7]+1y[1,1,8]≥-3

-1x[1,1,1]-1x[1,1,2]+1x[1,1,3]+1x[1,1,4]-1y[1,1,5]-1y[1,1,6]+1y[1,1,7]+1y[1,1,8]≥-3

+1x[1,1,1]+1x[1,1,2]-1x[1,1,3]-1x[1,1,4]+1y[1,1,5]-1y[1,1,6]+1y[1,1,7]-1y[1,1,8]≥-3

+2x[1,1,1]+1x[1,1,2]+2x[1,1,3]+2x[1,1,4]-0y[1,1,5]-1y[1,1,6]+1y[1,1,7]-1y[1,1,8]≥-0

-1x[1,1,1]-1x[1,1,2]-0x[1,1,3]-0x[1,1,4]-1y[1,1,5]-1y[1,1,6]-1y[1,1,7]-1y[1,1,8]≥-5

+1x[1,1,1]+1x[1,1,2]-1x[1,1,3]+1x[1,1,4]+1y[1,1,5]+1y[1,1,6]+1y[1,1,7]-0y[1,1,8]≥-0

+1x[1,1,1]-1x[1,1,2]-0x[1,1,3]-0x[1,1,4]+1y[1,1,5]-1y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-2

+1x[1,1,1]-1x[1,1,2]+1x[1,1,3]-1x[1,1,4]-1y[1,1,5]+1y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-3

-1x[1,1,1]+1x[1,1,2]+1x[1,1,3]-1x[1,1,4]-1y[1,1,5]-0y[1,1,6]+1y[1,1,7]-0y[1,1,8]≥-2

+1x[1,1,1]-1x[1,1,2]-1x[1,1,3]+1x[1,1,4]-0y[1,1,5]-1y[1,1,6]-0y[1,1,7]+1y[1,1,8]≥-2

+3x[1,1,1]+3x[1,1,2]+2x[1,1,3]+3x[1,1,4]-1y[1,1,5]-1y[1,1,6]-1y[1,1,7]-0y[1,1,8]≥-0

-1x[1,1,1]-1x[1,1,2]+1x[1,1,3]-0x[1,1,4]+1y[1,1,5]+1y[1,1,6]-0y[1,1,7]+1y[1,1,8]≥-1

-1x[1,1,1]-1x[1,1,2]-1x[1,1,3]+1x[1,1,4]-1y[1,1,5]-0y[1,1,6]-1y[1,1,7]-0y[1,1,8]≥-4

+1x[1,1,1]+1x[1,1,2]+1x[1,1,3]-0x[1,1,4]+1y[1,1,5]+1y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-0

-1x[1,1,1]+1x[1,1,2]-1x[1,1,3]+1x[1,1,4]+1y[1,1,5]+1y[1,1,6]-0y[1,1,7]+1y[1,1,8]≥-1

+1x[1,1,1]+2x[1,1,2]+2x[1,1,3]+2x[1,1,4]-1y[1,1,5]-0y[1,1,6]-1y[1,1,7]+1y[1,1,8]≥-0

+1x[1,1,1]-1x[1,1,2]-0x[1,1,3]-1x[1,1,4]+1y[1,1,5]-1y[1,1,6]-1y[1,1,7]-0y[1,1,8]≥-3

-1x[1,1,1]+1x[1,1,2]-0x[1,1,3]-0x[1,1,4]-1y[1,1,5]+1y[1,1,6]+1y[1,1,7]-1y[1,1,8]≥-2

+1x[1,1,1]-1x[1,1,2]+1x[1,1,3]-1x[1,1,4]+2y[1,1,5]+2y[1,1,6]+2y[1,1,7]+1y[1,1,8]≥-0

对变量A[1,2]所代表的S盒来说：

+2x[1,2,1]-1x[1,2,2]-1x[1,2,3]-1x[1,2,4]+2y[1,2,5]-1y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-3

-1x[1,2,1]+2x[1,2,2]+1x[1,2,3]-1x[1,2,4]-1y[1,2,5]+1y[1,2,6]+2y[1,2,7]-1y[1,2,8]≥-2

+2x[1,2,1]-1x[1,2,2]-1x[1,2,3]+2x[1,2,4]-0y[1,2,5]+1y[1,2,6]+2y[1,2,7]+2y[1,2,8]≥-0

-1x[1,2,1]+1x[1,2,2]-1x[1,2,3]+2x[1,2,4]-2y[1,2,5]-2y[1,2,6]-1y[1,2,7]+2y[1,2,8]≥-5

-0x[1,2,1]-0x[1,2,2]-1x[1,2,3]-1x[1,2,4]+1y[1,2,5]+1y[1,2,6]-1y[1,2,7]-1y[1,2,8]≥-3

-1x[1,2,1]-1x[1,2,2]-1x[1,2,3]-0x[1,2,4]-1y[1,2,5]-0y[1,2,6]-1y[1,2,7]-1y[1,2,8]≥-5

-1x[1,2,1]-1x[1,2,2]+1x[1,2,3]-1x[1,2,4]-0y[1,2,5]-1y[1,2,6]-0y[1,2,7]-1y[1,2,8]≥-4

+1x[1,2,1]-0x[1,2,2]+1x[1,2,3]-0x[1,2,4]-1y[1,2,5]-1y[1,2,6]+1y[1,2,7]-1y[1,2,8]≥-2

-1x[1,2,1]-1x[1,2,2]+1x[1,2,3]+1x[1,2,4]+1y[1,2,5]+1y[1,2,6]-0y[1,2,7]-0y[1,2,8]≥-1

+1x[1,2,1]+2x[1,2,2]+2x[1,2,3]+1x[1,2,4]+1y[1,2,5]-2y[1,2,6]+1y[1,2,7]+1y[1,2,8]≥-0

+2x[1,2,1]+1x[1,2,2]+2x[1,2,3]+1x[1,2,4]-1y[1,2,5]+1y[1,2,6]-1y[1,2,7]-1y[1,2,8]≥-1

-1x[1,2,1]-1x[1,2,2]-1x[1,2,3]-1x[1,2,4]+1y[1,2,5]+1y[1,2,6]+2y[1,2,7]+2y[1,2,8]≥-2

+1x[1,2,1]+2x[1,2,2]+1x[1,2,3]+2x[1,2,4]+1y[1,2,5]-1y[1,2,6]-1y[1,2,7]-1y[1,2,8]≥-1

-0x[1,2,1]+1x[1,2,2]-1x[1,2,3]-1x[1,2,4]-1y[1,2,5]+1y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-3

-1x[1,2,1]+1x[1,2,2]-1x[1,2,3]-1x[1,2,4]-0y[1,2,5]+1y[1,2,6]-0y[1,2,7]-1y[1,2,8]≥-3

-1x[1,2,1]-0x[1,2,2]-1x[1,2,3]+1x[1,2,4]+1y[1,2,5]-1y[1,2,6]+1y[1,2,7]-1y[1,2,8]≥-3

+1x[1,2,1]+1x[1,2,2]-1x[1,2,3]-1x[1,2,4]-1y[1,2,5]-1y[1,2,6]+1y[1,2,7]+1y[1,2,8]≥-3

-1x[1,2,1]-1x[1,2,2]+1x[1,2,3]+1x[1,2,4]-1y[1,2,5]-1y[1,2,6]+1y[1,2,7]+1y[1,2,8]≥-3

+1x[1,2,1]+1x[1,2,2]-1x[1,2,3]-1x[1,2,4]+1y[1,2,5]-1y[1,2,6]+1y[1,2,7]-1y[1,2,8]≥-3

+2x[1,2,1]+1x[1,2,2]+2x[1,2,3]+2x[1,2,4]-0y[1,2,5]-1y[1,2,6]+1y[1,2,7]-1y[1,2,8]≥-0

-1x[1,2,1]-1x[1,2,2]-0x[1,2,3]-0x[1,2,4]-1y[1,2,5]-1y[1,2,6]-1y[1,2,7]-1y[1,2,8]≥-5

+1x[1,2,1]+1x[1,2,2]-1x[1,2,3]+1x[1,2,4]+1y[1,2,5]+1y[1,2,6]+1y[1,2,7]-0y[1,2,8]≥-0

+1x[1,2,1]-1x[1,2,2]-0x[1,2,3]-0x[1,2,4]+1y[1,2,5]-1y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-2

+1x[1,2,1]-1x[1,2,2]+1x[1,2,3]-1x[1,2,4]-1y[1,2,5]+1y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-3

-1x[1,2,1]+1x[1,2,2]+1x[1,2,3]-1x[1,2,4]-1y[1,2,5]-0y[1,2,6]+1y[1,2,7]-0y[1,2,8]≥-2

+1x[1,2,1]-1x[1,2,2]-1x[1,2,3]+1x[1,2,4]-0y[1,2,5]-1y[1,2,6]-0y[1,2,7]+1y[1,2,8]≥-2

+3x[1,2,1]+3x[1,2,2]+2x[1,2,3]+3x[1,2,4]-1y[1,2,5]-1y[1,2,6]-1y[1,2,7]-0y[1,2,8]≥-0

-1x[1,2,1]-1x[1,2,2]+1x[1,2,3]-0x[1,2,4]+1y[1,2,5]+1y[1,2,6]-0y[1,2,7]+1y[1,2,8]≥-1

-1x[1,2,1]-1x[1,2,2]-1x[1,2,3]+1x[1,2,4]-1y[1,2,5]-0y[1,2,6]-1y[1,2,7]-0y[1,2,8]≥-4

+1x[1,2,1]+1x[1,2,2]+1x[1,2,3]-0x[1,2,4]+1y[1,2,5]+1y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-0

-1x[1,2,1]+1x[1,2,2]-1x[1,2,3]+1x[1,2,4]+1y[1,2,5]+1y[1,2,6]-0y[1,2,7]+1y[1,2,8]≥-1

+1x[1,2,1]+2x[1,2,2]+2x[1,2,3]+2x[1,2,4]-1y[1,2,5]-0y[1,2,6]-1y[1,2,7]+1y[1,2,8]≥-0

+1x[1,2,1]-1x[1,2,2]-0x[1,2,3]-1x[1,2,4]+1y[1,2,5]-1y[1,2,6]-1y[1,2,7]-0y[1,2,8]≥-3

-1x[1,2,1]+1x[1,2,2]-0x[1,2,3]-0x[1,2,4]-1y[1,2,5]+1y[1,2,6]+1y[1,2,7]-1y[1,2,8]≥-2

+1x[1,2,1]-1x[1,2,2]+1x[1,2,3]-1x[1,2,4]+2y[1,2,5]+2y[1,2,6]+2y[1,2,7]+1y[1,2,8]≥-0

第二轮中：

对变量A[2,1]所代表的S盒来说：

+2x[2,1,1]-1x[2,1,2]-1x[2,1,3]-1x[2,1,4]+2y[2,1,5]-1y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-3

-1x[2,1,1]+2x[2,1,2]+1x[2,1,3]-1x[2,1,4]-1y[2,1,5]+1y[2,1,6]+2y[2,1,7]-1y[2,1,8]≥-2

+2x[2,1,1]-1x[2,1,2]-1x[2,1,3]+2x[2,1,4]-0y[2,1,5]+1y[2,1,6]+2y[2,1,7]+2y[2,1,8]≥-0

-1x[2,1,1]+1x[2,1,2]-1x[2,1,3]+2x[2,1,4]-2y[2,1,5]-2y[2,1,6]-1y[2,1,7]+2y[2,1,8]≥-5

-0x[2,1,1]-0x[2,1,2]-1x[2,1,3]-1x[2,1,4]+1y[2,1,5]+1y[2,1,6]-1y[2,1,7]-1y[2,1,8]≥-3

-1x[2,1,1]-1x[2,1,2]-1x[2,1,3]-0x[2,1,4]-1y[2,1,5]-0y[2,1,6]-1y[2,1,7]-1y[2,1,8]≥-5

-1x[2,1,1]-1x[2,1,2]+1x[2,1,3]-1x[2,1,4]-0y[2,1,5]-1y[2,1,6]-0y[2,1,7]-1y[2,1,8]≥-4

+1x[2,1,1]-0x[2,1,2]+1x[2,1,3]-0x[2,1,4]-1y[2,1,5]-1y[2,1,6]+1y[2,1,7]-1y[2,1,8]≥-2

-1x[2,1,1]-1x[2,1,2]+1x[2,1,3]+1x[2,1,4]+1y[2,1,5]+1y[2,1,6]-0y[2,1,7]-0y[2,1,8]≥-1

+1x[2,1,1]+2x[2,1,2]+2x[2,1,3]+1x[2,1,4]+1y[2,1,5]-2y[2,1,6]+1y[2,1,7]+1y[2,1,8]≥-0

+2x[2,1,1]+1x[2,1,2]+2x[2,1,3]+1x[2,1,4]-1y[2,1,5]+1y[2,1,6]-1y[2,1,7]-1y[2,1,8]≥-1

-1x[2,1,1]-1x[2,1,2]-1x[2,1,3]-1x[2,1,4]+1y[2,1,5]+1y[2,1,6]+2y[2,1,7]+2y[2,1,8]≥-2

+1x[2,1,1]+2x[2,1,2]+1x[2,1,3]+2x[2,1,4]+1y[2,1,5]-1y[2,1,6]-1y[2,1,7]-1y[2,1,8]≥-1

-0x[2,1,1]+1x[2,1,2]-1x[2,1,3]-1x[2,1,4]-1y[2,1,5]+1y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-3

-1x[2,1,1]+1x[2,1,2]-1x[2,1,3]-1x[2,1,4]-0y[2,1,5]+1y[2,1,6]-0y[2,1,7]-1y[2,1,8]≥-3

-1x[2,1,1]-0x[2,1,2]-1x[2,1,3]+1x[2,1,4]+1y[2,1,5]-1y[2,1,6]+1y[2,1,7]-1y[2,1,8]≥-3

+1x[2,1,1]+1x[2,1,2]-1x[2,1,3]-1x[2,1,4]-1y[2,1,5]-1y[2,1,6]+1y[2,1,7]+1y[2,1,8]≥-3

-1x[2,1,1]-1x[2,1,2]+1x[2,1,3]+1x[2,1,4]-1y[2,1,5]-1y[2,1,6]+1y[2,1,7]+1y[2,1,8]≥-3

+1x[2,1,1]+1x[2,1,2]-1x[2,1,3]-1x[2,1,4]+1y[2,1,5]-1y[2,1,6]+1y[2,1,7]-1y[2,1,8]≥-3

+2x[2,1,1]+1x[2,1,2]+2x[2,1,3]+2x[2,1,4]-0y[2,1,5]-1y[2,1,6]+1y[2,1,7]-1y[2,1,8]≥-0

-1x[2,1,1]-1x[2,1,2]-0x[2,1,3]-0x[2,1,4]-1y[2,1,5]-1y[2,1,6]-1y[2,1,7]-1y[2,1,8]≥-5

+1x[2,1,1]+1x[2,1,2]-1x[2,1,3]+1x[2,1,4]+1y[2,1,5]+1y[2,1,6]+1y[2,1,7]-0y[2,1,8]≥-0

+1x[2,1,1]-1x[2,1,2]-0x[2,1,3]-0x[2,1,4]+1y[2,1,5]-1y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-2

+1x[2,1,1]-1x[2,1,2]+1x[2,1,3]-1x[2,1,4]-1y[2,1,5]+1y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-3

-1x[2,1,1]+1x[2,1,2]+1x[2,1,3]-1x[2,1,4]-1y[2,1,5]-0y[2,1,6]+1y[2,1,7]-0y[2,1,8]≥-2

+1x[2,1,1]-1x[2,1,2]-1x[2,1,3]+1x[2,1,4]-0y[2,1,5]-1y[2,1,6]-0y[2,1,7]+1y[2,1,8]≥-2

+3x[2,1,1]+3x[2,1,2]+2x[2,1,3]+3x[2,1,4]-1y[2,1,5]-1y[2,1,6]-1y[2,1,7]-0y[2,1,8]≥-0

-1x[2,1,1]-1x[2,1,2]+1x[2,1,3]-0x[2,1,4]+1y[2,1,5]+1y[2,1,6]-0y[2,1,7]+1y[2,1,8]≥-1

-1x[2,1,1]-1x[2,1,2]-1x[2,1,3]+1x[2,1,4]-1y[2,1,5]-0y[2,1,6]-1y[2,1,7]-0y[2,1,8]≥-4

+1x[2,1,1]+1x[2,1,2]+1x[2,1,3]-0x[2,1,4]+1y[2,1,5]+1y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-0

-1x[2,1,1]+1x[2,1,2]-1x[2,1,3]+1x[2,1,4]+1y[2,1,5]+1y[2,1,6]-0y[2,1,7]+1y[2,1,8]≥-1

+1x[2,1,1]+2x[2,1,2]+2x[2,1,3]+2x[2,1,4]-1y[2,1,5]-0y[2,1,6]-1y[2,1,7]+1y[2,1,8]≥-0

+1x[2,1,1]-1x[2,1,2]-0x[2,1,3]-1x[2,1,4]+1y[2,1,5]-1y[2,1,6]-1y[2,1,7]-0y[2,1,8]≥-3

-1x[2,1,1]+1x[2,1,2]-0x[2,1,3]-0x[2,1,4]-1y[2,1,5]+1y[2,1,6]+1y[2,1,7]-1y[2,1,8]≥-2

+1x[2,1,1]-1x[2,1,2]+1x[2,1,3]-1x[2,1,4]+2y[2,1,5]+2y[2,1,6]+2y[2,1,7]+1y[2,1,8]≥-0

对变量A[2,2]所代表的S盒来说：

+2x[2,2,1]-1x[2,2,2]-1x[2,2,3]-1x[2,2,4]+2y[2,2,5]-1y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-3

-1x[2,2,1]+2x[2,2,2]+1x[2,2,3]-1x[2,2,4]-1y[2,2,5]+1y[2,2,6]+2y[2,2,7]-1y[2,2,8]≥-2

+2x[2,2,1]-1x[2,2,2]-1x[2,2,3]+2x[2,2,4]-0y[2,2,5]+1y[2,2,6]+2y[2,2,7]+2y[2,2,8]≥-0

-1x[2,2,1]+1x[2,2,2]-1x[2,2,3]+2x[2,2,4]-2y[2,2,5]-2y[2,2,6]-1y[2,2,7]+2y[2,2,8]≥-5

-0x[2,2,1]-0x[2,2,2]-1x[2,2,3]-1x[2,2,4]+1y[2,2,5]+1y[2,2,6]-1y[2,2,7]-1y[2,2,8]≥-3

-1x[2,2,1]-1x[2,2,2]-1x[2,2,3]-0x[2,2,4]-1y[2,2,5]-0y[2,2,6]-1y[2,2,7]-1y[2,2,8]≥-5

-1x[2,2,1]-1x[2,2,2]+1x[2,2,3]-1x[2,2,4]-0y[2,2,5]-1y[2,2,6]-0y[2,2,7]-1y[2,2,8]≥-4

+1x[2,2,1]-0x[2,2,2]+1x[2,2,3]-0x[2,2,4]-1y[2,2,5]-1y[2,2,6]+1y[2,2,7]-1y[2,2,8]≥-2

-1x[2,2,1]-1x[2,2,2]+1x[2,2,3]+1x[2,2,4]+1y[2,2,5]+1y[2,2,6]-0y[2,2,7]-0y[2,2,8]≥-1

+1x[2,2,1]+2x[2,2,2]+2x[2,2,3]+1x[2,2,4]+1y[2,2,5]-2y[2,2,6]+1y[2,2,7]+1y[2,2,8]≥-0

+2x[2,2,1]+1x[2,2,2]+2x[2,2,3]+1x[2,2,4]-1y[2,2,5]+1y[2,2,6]-1y[2,2,7]-1y[2,2,8]≥-1

-1x[2,2,1]-1x[2,2,2]-1x[2,2,3]-1x[2,2,4]+1y[2,2,5]+1y[2,2,6]+2y[2,2,7]+2y[2,2,8]≥-2

+1x[2,2,1]+2x[2,2,2]+1x[2,2,3]+2x[2,2,4]+1y[2,2,5]-1y[2,2,6]-1y[2,2,7]-1y[2,2,8]≥-1

-0x[2,2,1]+1x[2,2,2]-1x[2,2,3]-1x[2,2,4]-1y[2,2,5]+1y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-3

-1x[2,2,1]+1x[2,2,2]-1x[2,2,3]-1x[2,2,4]-0y[2,2,5]+1y[2,2,6]-0y[2,2,7]-1y[2,2,8]≥-3

-1x[2,2,1]-0x[2,2,2]-1x[2,2,3]+1x[2,2,4]+1y[2,2,5]-1y[2,2,6]+1y[2,2,7]-1y[2,2,8]≥-3

+1x[2,2,1]+1x[2,2,2]-1x[2,2,3]-1x[2,2,4]-1y[2,2,5]-1y[2,2,6]+1y[2,2,7]+1y[2,2,8]≥-3

-1x[2,2,1]-1x[2,2,2]+1x[2,2,3]+1x[2,2,4]-1y[2,2,5]-1y[2,2,6]+1y[2,2,7]+1y[2,2,8]≥-3

+1x[2,2,1]+1x[2,2,2]-1x[2,2,3]-1x[2,2,4]+1y[2,2,5]-1y[2,2,6]+1y[2,2,7]-1y[2,2,8]≥-3

+2x[2,2,1]+1x[2,2,2]+2x[2,2,3]+2x[2,2,4]-0y[2,2,5]-1y[2,2,6]+1y[2,2,7]-1y[2,2,8]≥-0

-1x[2,2,1]-1x[2,2,2]-0x[2,2,3]-0x[2,2,4]-1y[2,2,5]-1y[2,2,6]-1y[2,2,7]-1y[2,2,8]≥-5

+1x[2,2,1]+1x[2,2,2]-1x[2,2,3]+1x[2,2,4]+1y[2,2,5]+1y[2,2,6]+1y[2,2,7]-0y[2,2,8]≥-0

+1x[2,2,1]-1x[2,2,2]-0x[2,2,3]-0x[2,2,4]+1y[2,2,5]-1y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-2

+1x[2,2,1]-1x[2,2,2]+1x[2,2,3]-1x[2,2,4]-1y[2,2,5]+1y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-3

-1x[2,2,1]+1x[2,2,2]+1x[2,2,3]-1x[2,2,4]-1y[2,2,5]-0y[2,2,6]+1y[2,2,7]-0y[2,2,8]≥-2

+1x[2,2,1]-1x[2,2,2]-1x[2,2,3]+1x[2,2,4]-0y[2,2,5]-1y[2,2,6]-0y[2,2,7]+1y[2,2,8]≥-2

+3x[2,2,1]+3x[2,2,2]+2x[2,2,3]+3x[2,2,4]-1y[2,2,5]-1y[2,2,6]-1y[2,2,7]-0y[2,2,8]≥-0

-1x[2,2,1]-1x[2,2,2]+1x[2,2,3]-0x[2,2,4]+1y[2,2,5]+1y[2,2,6]-0y[2,2,7]+1y[2,2,8]≥-1

-1x[2,2,1]-1x[2,2,2]-1x[2,2,3]+1x[2,2,4]-1y[2,2,5]-0y[2,2,6]-1y[2,2,7]-0y[2,2,8]≥-4

+1x[2,2,1]+1x[2,2,2]+1x[2,2,3]-0x[2,2,4]+1y[2,2,5]+1y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-0

-1x[2,2,1]+1x[2,2,2]-1x[2,2,3]+1x[2,2,4]+1y[2,2,5]+1y[2,2,6]-0y[2,2,7]+1y[2,2,8]≥-1

+1x[2,2,1]+2x[2,2,2]+2x[2,2,3]+2x[2,2,4]-1y[2,2,5]-0y[2,2,6]-1y[2,2,7]+1y[2,2,8]≥-0

+1x[2,2,1]-1x[2,2,2]-0x[2,2,3]-1x[2,2,4]+1y[2,2,5]-1y[2,2,6]-1y[2,2,7]-0y[2,2,8]≥-3

-1x[2,2,1]+1x[2,2,2]-0x[2,2,3]-0x[2,2,4]-1y[2,2,5]+1y[2,2,6]+1y[2,2,7]-1y[2,2,8]≥-2

+1x[2,2,1]-1x[2,2,2]+1x[2,2,3]-1x[2,2,4]+2y[2,2,5]+2y[2,2,6]+2y[2,2,7]+1y[2,2,8]≥-0

限制六和限制七：

第一轮中

x[2,1,1]-y[1,1,1]＝0、-y[1,1,1]+y[1,2,1]+x[2,1,3]-2d2＝0

x[2,1,2]-y[1,1,2]＝0、-y[1,1,2]+y[1,2,2]+x[2,1,4]-2d3＝0

x[2,2,3]-y[1,2,3]＝0、-y[1,2,3]+y[1,1,3]+x[2,2,1]-2d4＝0

x[2,2,4]-y[1,2,4]＝0、-y[1,2,4]+y[1,1,4]+x[2,2,2]-2d5＝0

第二轮中

x[3,1,1]-y[2,1,1]＝0、-y[2,1,1]+y[2,2,1]+x[3,1,3]-2d8＝0

x[3,1,2]-y[2,1,2]＝0、-y[2,1,2]+y[2,2,2]+x[3,1,4]-2d9＝0

x[3,2,3]-y[2,2,3]＝0、-y[2,2,3]+y[2,1,3]+x[3,2,1]-2d10＝0

x[3,2,4]-y[2,2,4]＝0、-y[2,2,4]+y[2,1,4]+x[3,2,2]-2d11＝0

限制八：

x[1,1,1]+x[1,1,2]+x[1,1,3]+x[1,1,4]+x[1,2,1]+x[1,2,2]+x[1,2,3]+x[1,2,4]≥1

以最小化该三轮分组密码的第一部分(前2轮)中的所有S盒的线性活跃变量之和为第一目标函数，其中的第一目标函数为：

A[1,1]+A[1,2]+A[2,1]+A[2,2]

步骤a5、求解所述第一混合整数线性规划模型，以获得该三轮分组密码的第一部分(即前2轮)中的活跃S盒个数的下界，记为第一下界。

其中所获得的第一下界为k₁＝2

步骤a6、对该三轮分组密码每一个运算的输入和输出比特分别引入一个线性掩码变量。即

x[1,1,1]、x[1,1,2]、x[1,1,3]、x[1,1,4]、y[1,1,1]、y[1,1,2]、y[1,1,3]、y[1,1,4]

x[1,2,1]、x[1,2,2]、x[1,2,3]、x[1,2,4]、y[1,2,1]、y[1,2,2]、y[1,2,3]、y[1,2,4]

x[2,1,1]、x[2,1,2]、x[2,1,3]、x[2,1,4]、y[2,1,1]、y[2,1,2]、y[2,1,3]、y[2,1,4]

x[2,2,1]、x[2,2,2]、x[2,2,3]、x[2,2,4]、y[2,2,1]、y[2,2,2]、y[2,2,3]、y[2,2,4]

x[3,1,1]、x[3,1,2]、x[3,1,3]、x[3,1,4]、y[3,1,1]、y[3,1,2]、y[3,1,3]、y[3,1,4]

x[3,2,1]、x[3,2,2]、x[3,2,3]、x[3,2,4]、y[3,2,1]、y[3,2,2]、y[3,2,3]、y[3,2,4]

其中，每个x[r,t,p]变量以及每个y[r,t,p]变量只取0和1其中的一个值。

步骤a7、对整个该三轮分组密码的每一个S盒引入线性活跃变量。即

A[1,1]、A[1,2]、A[2,1]、A[2,2]、A[3,1]、A[3,2]

步骤a8、针对整个该三轮分组密码的每一个线性掩码变量和每一个线性活跃变量赋予所述限制集，并增加该三轮分组密码第一部分中出现的所有线性活跃变量之和大于等于第一下界的限制，以最小化该三轮分组密码的第二部分中的所有S 盒的线性活跃变量之和为第二目标函数，建立第二混合整数线性规划模型。

其中，限制级包括如下限制：

限制一：

第1轮中

x[1,1,1]+x[1,1,2]+x[1,1,3]+x[1,1,4]-A[1,1]≥0

x[1,2,1]+x[1,2,2]+x[1,2,3]+x[1,2,4]-A[1,2]≥0

第2轮中

x[2,1,1]+x[2,1,2]+x[2,1,3]+x[2,1,4]-A[2,1]≥0

x[2,2,1]+x[2,2,2]+x[2,2,3]+x[2,2,4]-A[2,2]≥0

第3轮中

x[3,1,1]+x[3,1,2]+x[3,1,3]+x[3,1,4]-A[3,1]≥0

x[3,2,1]+x[3,2,2]+x[3,2,3]+x[3,2,4]-A[3,2]≥0

限制二：

第1轮中

x[1,1,1]-A[1,1]≤0、x[1,1,2]-A[1,1]≤0、x[1,1,3]-A[1,1]≤0、x[1,1,4]-A[1,1]≤0

x[1,2,1]-A[1,2]≤0、x[1,2,2]-A[1,2]≤0、x[1,2,3]-A[1,2]≤0、x[1,2,4]-A[1,2]≤0

第2轮中

x[2,1,1]-A[2,1]≤0、x[2,1,2]-A[2,1]≤0、x[2,1,3]-A[2,1]≤0、x[2,1,4]-A[2,1]≤0

x[2,2,1]-A[2,2]≤0、x[2,2,2]-A[2,2]≤0、x[2,2,3]-A[2,2]≤0、x[2,2,4]-A[2,2]≤0

第3轮中

x[3,1,1]-A[3,1]≤0、x[3,1,2]-A[3,1]≤0、x[3,1,3]-A[3,1]≤0、x[3,1,4]-A[3,1]≤0

x[3,2,1]-A[3,2]≤0、x[3,2,2]-A[3,2]≤0、x[3,2,3]-A[3,2]≤0、x[3,2,4]-A[3,2]≤0

限制三：

第1轮中

4y[1,1,1]+4y[1,1,2]+4y[1,1,3]+4y[1,1,4]-x[1,1,1]-x[1,1,2]-x[1,1,3]-x[1,1,4]≥0

4x[1,1,1]+4x[1,1,2]+4x[1,1,3]+4x[1,1,4]-y[1,1,1]-y[1,1,2]-y[1,1,3]-y[1,1,4]≥0

4y[1,2,1]+4y[1,2,2]+4y[1,2,3]+4y[1,2,4]-x[1,2,1]-x[1,2,2]-x[1,2,3]-x[1,2,4]≥0

4x[1,2,1]+4x[1,2,2]+4x[1,2,3]+4x[1,2,4]-y[1,2,1]-y[1,2,2]-y[1,2,3]-y[1,2,4]≥0

第2轮中

4y[2,1,1]+4y[2,1,2]+4y[2,1,3]+4y[2,1,4]-x[2,1,1]-x[2,1,2]-x[2,1,3]-x[2,1,4]≥0

4x[2,1,1]+4x[2,1,2]+4x[2,1,3]+4x[2,1,4]-y[2,1,1]-y[2,1,2]-y[2,1,3]-y[2,1,4]≥0

4y[2,2,1]+4y[2,2,2]+4y[2,2,3]+4y[2,2,4]-x[2,2,1]-x[2,2,2]-x[2,2,3]-x[2,2,4]≥0

4x[2,2,1]+4x[2,2,2]+4x[2,2,3]+4x[2,2,4]-y[2,2,1]-y[2,2,2]-y[2,2,3]-y[2,2,4]≥0

第3轮中

4y[3,1,1]+4y[3,1,2]+4y[3,1,3]+4y[3,1,4]-x[3,1,1]-x[3,1,2]-x[3,1,3]-x[3,1,4]≥0

4x[3,1,1]+4x[3,1,2]+4x[3,1,3]+4x[3,1,4]-y[3,1,1]-y[3,1,2]-y[3,1,3]-y[3,1,4]≥0

4y[3,2,1]+4y[3,2,2]+4y[3,2,3]+4y[3,2,4]-x[3,2,1]-x[3,2,2]-x[3,2,3]-x[3,2,4]≥0

4x[3,2,1]+4x[3,2,2]+4x[3,2,3]+4x[3,2,4]-y[3,2,1]-y[3,2,2]-y[3,2,3]-y[3,2,4]≥0

限制四：

第1轮中

x[1,1,1]+x[1,1,2]+x[1,1,3]+x[1,1,4]+y[1,1,1]+y[1,1,2]+y[1,1,3]+y[1,1,4]≥2d0

其中，A[1,1]变量所代表的S盒的极大分支数为2

x[1,2,1]+x[1,2,2]+x[1,2,3]+x[1,2,4]+y[1,2,1]+y[1,2,2]+y[1,2,3]+y[1,2,4]≥2d1

其中，A[1,2]变量所代表的S盒的极大分支数为2

其中，对于A[1,1]变量所代表的S盒来说：

d0≥x[1,1,1]、d0≥x[1,1,2]、d0≥x[1,1,3]、d0≥x[1,1,4]

d0≥y[1,1,1]、d0≥y[1,1,2]、d0≥y[1,1,3]、d0≥y[1,1,4]

对于A[1,2]变量所代表的S盒来说：

d1≥x[1,2,1]、d1≥x[1,2,2]、d1≥x[1,2,3]、d1≥x[1,2,4]

d1≥y[1,2,1]、d1≥y[1,2,2]、d1≥y[1,2,3]、d1≥y[1,2,4]

第2轮中

x[2,1,1]+x[2,1,2]+x[2,1,3]+x[2,1,4]+y[2,1,1]+y[2,1,2]+y[2,1,3]+y[2,1,4]≥2d6

其中，A[2,1]变量所代表的S盒的极大分支数为2。

x[2,2,1]+x[2,2,2]+x[2,2,3]+x[2,2,4]+y[2,2,1]+y[2,2,2]+y[2,2,3]+y[2,2,4]≥2d7

其中，A[2,2]变量所代表的S盒的极大分支数为2。

其中，对于A[2,1]变量所代表的S盒来说：

d6≥x[2,1,1]、d6≥x[2,1,2]、d6≥x[2,1,3]、d6≥x[2,1,4]

d6≥y[2,1,1]、d6≥y[2,1,2]、d6≥y[2,1,3]、d6≥y[2,1,4]

对于A[2,2]变量所代表的S盒来说：

d7≥x[2,2,1]、d7≥x[2,2,2]、d7≥x[2,2,3]、d7≥x[2,2,4]

d7≥y[2,2,1]、d7≥y[2,2,2]、d7≥y[2,2,3]、d7≥y[2,2,4]

第3轮中

x[3,1,1]+x[3,1,2]+x[3,1,3]+x[3,1,4]+y[3,1,1]+y[3,1,2]+y[3,1,3]+y[3,1,4]≥2d12

其中，A[3,1]变量所代表的S盒的极大分支数为2。

x[3,2,1]+x[3,2,2]+x[3,2,3]+x[3,2,4]+y[3,2,1]+y[3,2,2]+y[3,2,3]+y[3,2,4]≥2d13

其中，A[3,2]变量所代表的S盒的极大分支数为2。

其中，对于A[3,1]变量所代表的S盒来说：

d12≥x[3,1,1]、d12≥x[3,1,2]、d12≥x[3,1,3]、d12≥x[3,1,4]

d12≥y[3,1,1]、d12≥y[3,1,2]、d12≥y[3,1,3]、d12≥y[3,1,4]

对于A[3,2]变量所代表的S盒来说：

d13≥x[3,2,1]、d13≥x[3,2,2]、d13≥x[3,2,3]、d13≥x[3,2,4]

d13≥y[3,2,1]、d13≥y[3,2,2]、d13≥y[3,2,3]、d13≥y[3,2,4]

限制五：

将S盒的凸闭包作为限制，所述S盒的凸闭包为该S盒的所有非零概率的线性特征所对应的点集的凸闭包的H-表示，即

第一轮中：

对变量A[1,1]所代表的S盒来说：