（基础数学专业论文）分组密码设计中几个安全参量的分析.pdf

摘要 本文主要针对分组密码设计中几个安全参量进行了分析，主要包含 s p 型密码的分支数以及代数项数和代数次数等。 分支数是分组密码中进行差分和线性密码分析时一个很重要的参 量，第一章主要针对r i j n d a e l 的分支数进行了讨论。本文首先对应于 s p 型图表结构给出了r i j n d a e l 算法的详细描述，指出其中的行变换和 列变换作为扩散层可复合为一个线性可逆变换：若看成字节变换可等价 于右乘g f ( 2 8 ) 上的一个1 6 1 6 的矩阵，看成比特变换则等价于右乘 o r ( 2 ) 上的一个1 2 8 1 2 8 的矩阵；然后根据线性码与线性分支数和差分 分支数的联系，对r i j n d a e l 的线性和差分分支数同时达到最大给出了 详细补证。 第二章主要借鉴对r i j n d a e l 进行代数分析时写方程的方法，对f l y 算法进行了基本的代数分析。给出了g f ( 2 4 ) 上的一个明密对的关于密钥 方程的代数次数；同时给出了o f ( 2 ) 上的二次方程组的形式代数项数和 线性独立方程的个数：若给定一对明密文，i 拍( i 7 ) 得到卯( 2 ) 上的线 性独立方程的少数恕：r - 3 u ，项数为t = 8 8 i i - 4 3 2 t 并分析了两种方程之 间的联系与区别。 关键词：r i j n d a e l 算法；分支数；f l y 算法；形式代数项数；代数次数 a b s t r a c t i nt h i sp a p e r ，w em a i n l ya n a l y z es e v e r a ls e c u r ep a r a m e t e r si nt h ed e s i g no fb l o c k c i p h e r s , i n c l u d i n gb r a n c hn u m b e ro ft h es p - s t r u c t u r ec i p h e r , a l g e b r a i cd e g r e e sa n dt h e n u m b e ro ff o r m a la l g e b r a i ct e r m b r a n c hn u m b e ri sa ni m p o r t a n tp a r a m e t e ri nt h el i n e a ra n dd i f f e r e n t i a lc r y p t a n a l y s i so n b l o c kc i p h e r s ，i nt h ef i r s tc h a p t e r ，w em a i n l yd i s c u s st h eb r a n c hn u m b e ro fr i j n d a e l f i r s t l ya c c o r d i n gt os p g r a p h ，t h ea l g e b r a i cs t r u c t u r eo fr i j n d a e li sp r e s e n t e di nd e t a i l , s h i f t r o w sa n dm i x c o l u m n sa r em a d eo fal i n e a ra n dr e v e r s i b l et r a n s f o r m a t i o n ：a sab y t e t r a n s f o r m a t i o n ，i tc a nb er e g a r d e da sa 1 6 x 1 6 m e t r i ct r a n s f o r m a t i o no v e r g f ( 2 8 ) ，笛 w e l l 弱a1 2 8x1 2 8m e t r i ct r a n s f o r m a t i o no v e rg f ( 2 ) ；t h e no nt h ep r e m i s eo ft h e k n o w l e d g eo fl i n e a rc o d ea n db r a n c hn u m b e r , t h er e s u l to fa c h i e v i n gm a x i m a lb r a n c h n u m b e rf o rr i j n d a e li sp r o v e di nd e t a i l i nt h es e c o n dc h a p t e r ，b a s i ca l g e b r a i cc r y p t a n a l y s i so nf l ya l g o r i t h mi sg i v e nb y w r i t i n ge q u a t i o n sa si na l g e b r a i cc r y p t a n a l y s i so nr i j n d a e l f o rap a i ro fk n o w np l a i n t e x t a n dc i p h e r t e x t ，a l g e b r a i cd e g r e e so fe q u a t i o n so nf i e l do f ( 2 ) a r ep r e s e n t e d ；a l s ot h e n u m b e ro ff o r m a la l g e b r a i ct e r ma n dl i n e a r l yi n d e p e n d e n te q u a t i o n sa b o u tq u a r d r a f i c e q u a t i o n so nf i e l dg f ( 2 ) a r ep r e s e n t e d ：t = 8 8 i 4 3 2a n d ，一11 i ，t h e nt h er e l a t i o n s h i pa n d d i f f e r e n c e so fs u c ht w ot y p e so fe q u a t i o n sa r cg i v e n k e yw o r d s ：r i j n d a e la l g o r i t h m ；b r a n c hn u m b e r ；f l ya l g o r i t h m ；f o r m a la l g e b r a i c t e r m ；a l g e b r a i cd e g r e e 学位论文独创性声明 学位论文独创性声明 本人声明，所呈交的学位论文系本人在导师指导下独立完成的研究成果。文中 依法引用他人成果，均已作出明确标注或得到许可。论文内容未包含法律意义上已 属于他人的任何形式的研究成果，也不包含本人已用于其他学位申请的论文或成果。 本人如违反上述声明，愿承担由此引发的一切责任和后果。 论文作者签名：方& 锖 日期：律石月1 5 f 日 学位论文知识产权权属声明 本人在导师指导下所完成的学位论文及相关的职务作品，知识产权归属学校。 学校享有以任何方式发表、复制、公开阅览、借阅、以及申请专利等权利。本人离 校后发表或使用学位论文或与该论文直接相关的学术论文或成果时，署名单位仍然 为青岛大学。 本学位论文属于： 保密口，在年解密后适用于本声明。 不保密留。 ( 请在以上方框内打“ ) 论文作者签名： 导师签名： 昌器漂多昌昌醐印妒易月厶日 引言 引言 在分组密码中，传统的最为有力的两个分析方法是差分密码分析和线性密码分 析，而分支数是进行差分和线性密码分析时的一个重要的参量，所以一种设计高扩 散性密码的方法是设计一个具有最大分支数的线性变换。2 0 0 0 年l o 月，美国国家 标准和技术研究所( n 1 s t ) 经过三轮侯选算法筛选，从众多的分组密码中选中 r i j n d a e l 算法作为新的数据加密标准一高级数据加密标准( a e s ) 。r i j n d a e l 密码是一 个迭代型分组密码，其分组长度和密钥长度都是可变的，分组长度和密钥长度可以 独立的指定为1 2 8 比特，1 9 2 比特或者2 5 6 比特。a f s 的密码分析是当前国际密码学 界比较关注的一个问题，在r i j n d a e l 算法中，最主要的设计指标就是具有强的抗差 分和线性分析能力。 文献 1 给出了分支数和线性码的相关理论，提出最大距离可分码和线性变换分 支数的关系，同时对r i j n d a e l 的结构给出了详细分析，并提出分支数达到最大，但 没有给出具体证明。本文首先对应于s p 型图表结构给出了r i j n d a e l 算法描述( 不 同于文献【1 ) ，指出其行变换和列变换作为扩散层可复合为一个线性可逆变换：看 成字节变换等价于右乘一个g f ( 2 8 ) 上的一个1 6 x1 6 的矩阵，看成比特变换则等价 于右乘一个g f ( 2 ) 上的一个1 2 8x1 2 8 的矩阵：然后在文献 1 理论基础上，对 r i j n d a e l 的线性和差分分支数同时达到最大给出了详细补证。 r i i n d a e l 算法是一种明显依托于数学理论的加密算法，依靠有限域有限环的 有关性质给予加解密，特别是为解密提出了良好的理论基础。目前讨论最多的就是 对r i i n d a e l 算法代数结构的分析，称为代数分析。其主要思想是建立关于密钥之间 的代数方程，然后用线性化手段来解方程获得初始密钥。c o u r t o i s 和p i e p r z y k 在2 0 0 2 年提出了x s l ( e x t e n d e ds p a r s el i n e a r i z a t i o n ) 分析方法，主要针对超定稀疏且 有特殊结构的密码，由于r i i n d a e l 算法本身所固有的代数性质使得可以用这样的代 数方程系统来描述算法，因此，如果能够找到有效的方法来解这样的方程系统就可 以破译a e s 。c o u r t o i s 和p i e p r z y k 指出，由于对r ii n d a e l 额外多变量方程的发现，使 得密码的安全性明显降低，x s l 分析方法不象传统的分析方法那样，并不随密码轮数 的增加呈指数增加，这是一个突破1 2 1 。 文献 3 给出了f l y 算法，由于f l y 算法唯一的非线性部分也是s 一盒，而且同 r i i n d a e l 一样也是含逆变换的仿射变换，所以本文借鉴了文献 2 中写方程的方法， 对硒算法建立o f ( e ) 上的二次方程组，给出了形式代数项数和线性独立方程的个 数，进行了基本的代数分析；同时建立了g f ( 2 4 ) 上的一个明密对的高次方程的代数 次数。共同之处都给出明密文条件下的关于密钥参数的代数方程。区别在于c f ( 2 4 ) 1 青岛大学硕士学位论文 上方程代数次数高，项数多，实际方程的表出上困难，但是信息不丢：g f ( 2 ) 上方 程代数次数低，方程项少，易表达，但变元量大，是信息不全的。 代数分析方法虽针对一些小密码的例子做出了实验结果，但对大一些的密码都 是理论上的结果，且实际的复杂度未知。这种方法尚在研究阶段 2 第一章r i j n d a e l 的分支数 第一章r i j n d a e l 的分支数 代换置换( 卯) 密码是分组密码的一种，其结构非常清晰，每一轮由混淆层 和扩散层组成。混淆层主要由一些并置的s 一盒组成，而扩散层由一个线性可逆变 换组成。这种结构的最大优点是能够从理论上给出最大差分特征概率和最佳线性逼 近的界，也就是说，密码对差分密码分析和线性密码分析是可证明安全的。 r 轮 对于上图所示的卵型分组密码，文献【4 】中指出， 扩散层p 的分支数越大，差 分( 线性) 密码分析所需的选择( 已知) 明文数越多。因此，p 的分支数可以作为p 一。 置换的一个设计准贝, j jt 4 1 。 由于高级加密标准r i j n d a e l 也是卯型密码，在r i j n d a e l 算法中，最主要的设计 指标就是具有强的抗差分和线性分析能力。文献 1 r p 提至= t jr i j n d a e l 的分支数达到最 大，但没给出具体证明，本章主要对其结论进行补证。下面首先对应于印型图表结 构，给出r i j n d a e l 算法的描述。 3 青岛大学硕士学位论文 1 1r q n a a e l 算法描述 1 9 9 7 年1 月，美国国家标准和技术研究所( 朋研。) 发布公告征集新的加密标 准，即肛s 。新的加密标准将取代旧的数据加密标准( d 醪) 和三重d 醪而成为 一个( 美国) 联邦信息处理标准( 用嚣) 。 经过两轮评估，在2 0 0 0 年1 0 月2 日，n i s t 正式宣布由比利时研究者d a e m e n 和r i j m e n 提出的r i j n d a e l 将被不加修改地作为a e s 。r i j n d a e l 是一个迭代型分组密 码，其分组长度和密钥长度都是可变的，分组长度和密钥长度可以独立的指定为1 2 8 比特，1 9 2 比特或者2 5 6 比特。轮数，依赖于密钥长度，如果密钥长度为1 2 8 比特， 则，, - 1 0 ：如果密钥长度为1 9 2 比特，则r 一1 2 ：如果密钥长度为2 5 6 比特，则 n r = 1 4 。 为简单起见，本文将限制密钥长度为1 2 8 比特，算法由1 0 轮循环组成，每一轮 循环都有一个循环密钥，它来自于初始密钥。这里有一个第0 轮循环密钥，称为初 始密钥。每一轮输入的是1 2 8 位，产生的输出也是1 2 8 位。下面对应于s p 型图表结 构，介绍r i j n d a e l 算法的结构。 1 1 1 初始密钥加 r i j n d a e l 的加密过程包括一个初始密钥加法：明文与初始密钥进行逐位比特异或 运算。 明文1 2 8 个输入位分成1 6 个字节，每个字节8 位，记为： ，雌8 ，b ，鸭- o ，肘钳， 将它们组成一个4 4 的矩阵 同样，1 2 8 位密钥也分成1 6 个字节：k o 。，k 。，七3 o ，七o ，l ，k ，写成一个4 4 的矩阵。具体变换为： 4 缈咖缈彻 2 2 2 2雕肌膨以 j a - i加加缈加 彬舢缈聊 第一章r i j n d a e l 的分支数 m o , o ，气。 脚蛐 m 3 o m o t 研1 1 m z l 历3 i l 眠2 ，鸭2 m 2 , 2 。2 - 3 胁l 3 用玷 m 3 , 3 o a o ，o a t , o a 2 , o 口3 o 口0 j 口u 口 口弘 a e , 2 q 2 a 2 , 2 a 3 2 a o , 3 口” 口3 3 1 1 2 字节代替变换( 混淆层) 字节代替变换是一个8 8 的非线性可逆变换，提zr i j n d a e l 密码中唯一的非线性 变换，它应用一个仿射变换将状态中的每个字节1 1 映射到另一状态中相同位置的 每一个字节： 6 ：f 一s ( ) a ll 01 0 o 00 1o 1l 11 11 11 ll 11 o1 00 0 0 1o 11 10 l1 11 l1 l1 o1 oo 0o 一1 0 ( 1 ) a o 1 表示在有限域钟2 8 ) 上对取乘法逆； ( 2 ) 、眄”表示在有限域舒( 2 ) 上作仿射变换； ( 3 ) 嘞一”0 0 ”时，嘞。”0 0 ”，一竹6 3 ”。 此变换也可通过直接查s 一盒的代换表将矩阵中的每个字节转换为另一个字节： s 0 0 。o ) s ( 口l o ) s ( 口z o ) s ( a 3 o ) s ( a 吡) s ( a u ) s 扣) s ( a n ) s ( a o 2 ) s ( 口l ：) s ( a 2 2 ) s ( 口啦) s ( a o ，3 s ( a l ，3 s ( 口” s ( a 3 3 1 1 3 扩散层 r j n d a e 中的扩散层由两部分组成：状态矩阵的移动行变换和状态矩阵的混合 列变换。 ( 1 ) 行变换是指矩阵的4 行分别按偏移量0 ，1 ，2 和3 循环左移： 5 伽伽助胁伽伽助坳胁所助协伽伽伽伽 0 1 1 0 0 0 1 1 0 o 0 1 1 1 1 1 0 0 1 1 l 1 1 o 跏咖助咖 2 2 2 2凯缸玩纵 跏缸助跏 伽咖坳咖 青岛大学硕士学位论文 c o - l 钆 c 甜 c 3 l l c o 。2 c l 2 c 2 2 c 3 2 c o j c l 3 c 鼬 c 3 3 a ) 若按字节变换，行移位等价于右乘一个1 6 1 6 的矩阵： 10 0 00 0 0 0 0 0 00 0 0 00 、 010 0 0 0 0 0 0 0 00 0 00 0 0 010 0 0 0 0 0 0 00 0 0 00 o 0 010 0 0 0 0 0 0 0 0 000 0 0 0oo 0 01o o 0 0 0 0 0 0 0 0 0010 0 0 000 0 0 0 0 0 o 0 0 o o1o0 0 0 0 0 0 0 0 0 0 0 000010 0 00 0 0 00 0 0o000 0 0 0 0 010 0 0 0 0 00000 0 0 0 0 0 0100 0 0 o o 00ooo01o o 0 0 0 0 0 0 0 000 0 0 0010 0 0 0 0 0 0 0 000 0 00 000 0010 0 0 0 0 0 0 0 00 0000 0 010 o 0 0 o o 0 oo 0 o 00 0 0 01 0 0 000 0 0 0 0 00 010 00 ”若按比特变换，行移位容易表示为右乘一个1 2 8 1 2 8 矩阵的变换。 ( 2 ) r i j n d a e l 的列混合变换中，将矩阵每一列的4 个字节看作舒( 2 8 ) 上次数 小于4 的多项式，并在模一+ 1 下与一个给定的多项式m ( 工) 相乘。多项式m ( x ) 由下 式给出： m ( x ) 二0 3 矿0 1 工2 + 0 1 x + 0 2 设c o ) ，d b ) 是两个系数分别为q 和哦的变量多项式( o a i o ) ，这 样只有k 一0 满足，所以只有x 2 ) ，= z ；对于第二种情况，+ 2 f + 1 2 _ 伽 o ) ，2 ，+ 2 i 是奇数，从而k ，f 中有一个为0 ，设z 一0 ，岔+ 2 2 一，2 ( 矿_ 1 + 1 ) 3 1 m2 l ，2 i 。1 + 1 2 一， 由上k 一1 - 0 ，k 一1 ，所以只有一y - x 再f h 性质2 2 3 ，交换x , y 得到y 2 工ty 和 y 4 x ay 3 ，这样x y - 1 , x 2 y 一五y z x y ，x 4 y - ，y 工一y 3 就给出了一个s 一盒逆变换的 全部二次方程，再没有其它这样的方程。 很容易得出更一般的情况： 定理2 2 2 【2 l 若s 一盒是一个含g f ( 2 ) 上逆变换的仿射变换，则它会给出黏一1 个 凹( 2 ) 上的概率为l 的双仿射方程，另外一个概率为1 一吉的二次方程 第二章f l y 算法基本代数分析 证明设s = 厂。g ，x 为输入，y ，g 为相应的输出。记z = s ( x ) 。，c 9 0 ) ) = f ( y ) 。 由于s 一盒是一个s 比特的置换，溉0 ，x y - 1 依次给出了s 个s 维变量的双线性方 程，从而s 个双仿射方程由性质2 2 4 很容易得出，若不考虑矾，乙乃项， x yt1 z 2 y 一毛y - y 给出所有双仿射二次方程，由此定理得证。 由于f r y 算法的s 一盒与r i j n d a e l 类似，所以可以借鉴其方法写方程，只是f l y 算 法没有密钥扩展。由定理2 2 2 ，每个s 一盒也能写出o f ( 2 ) 上的一些二次方程，又 由于f r y 算法中的每拍加密过程可看作含逆变换的仿射变换，因此整个加密过程就 可以写为g f ( 2 ) 上的一些二次方程。 推论2 2 2f l y 算法的s 一盒是g f ( 2 4 ) 上含逆变换的仿射变换，它给出1 1 个o f ( 2 ) ， 上概率为1 的二次方程，还有一个概率为_ = 1 d 的附加方程。且在保证项数不变的前提 l o 下，再无其它线性独立的方程。 以下列出两算法s 一盒逆变换的所有线性独立方程： 设工一池，x z ， ，而) ，y o ，3 ，y 2 ，y l ，y o ) ，由逆变换工0 , x y 一1 易得出下列方程： f z 扩3 + 工o + 工i + 五) ，2 + x o y 3 - 0 l 挑+ x 3 y 2 + 砒+ x 2 y o + 工l + x o y 2 0 l 工杪2 + 劬+ 砒+ 工2 y 2 + y 3 + x l y o + x o y l 一0 l 毛咒+ x 2 y 2 + x a y 3 + x o y o - 1 由x 2 y - 石得出下列二次方程： 砖蚝+ x a y o + 而咒+ 毛乃+ x a y x + x t y l + 秽2 + 焉- 0 石抄2 + x a y ，+ 硼+ r a y o + x 2 y l + x o y 2 + z 2 + x 2 一o x a y 3 + 黾y 3 + x 3 y l + ：r a y 2 + z 2 y 3 + x 2 y 1 + 工o + x o y i + 毛。0 毛咒+ 弓夕2 + 五y 2 + 屯乃+ 而+ x 2 y , + x o 0 由y z x = y 得出下列二次方程： 青岛大学硕士学位论文 f 训3 + x o y 3 + x r 3 y o + x 3 y 2 + x l y 3 + x t y i + x 2 y 2 + 乃一o l 屯) ，3 + x 3 y i + x o y 3 + x o y t + x t y 2 + x 2 y o + x 2 y 2 + j ，2 ，0 l z 3 + 工3 ) ，l + x r y 3 + x 2 y l + 弓y 2 + x t y 2 + h ) ，2 + 而) ，o + y tt 0 i 墨乃+ x 2 y 3 + 屯m + x 3 y 2 + x o y o + x o y 2 + y oa o 由上第i + 1 拍加密过程可由一个g 冒( 2 ) 上的二次方程来描述： i x , + 0 五。口2 + 1 墨+ lo 五+ 2o 墨+ ，o k ) - , 1 ( i ，0 ，1 2 3 ) 这样将每一拍写成一个g f ( 2 ) 上的类似于x y 一1 的方程，将上面给出的方程作 简单的仿射变换即可得出各拍加密的o f ( 2 ) 上的全部二次方程。且在保证项数不变 的前提下，再无其它线性独立的方程。 由上，根据f l y 加密算法，第f + 1 拍o e ( 2 4 ) 上的方程 ( 五“+ 五+ 口2 + 1 ) + 。+ 五+ 2 + 五+ 3 + k ) - 1g = o ，1 2 3 ) 会给出o f ( 2 ) j 2 1 1 个概率 为1 的二次方程。 本文中形式代数项数，是指项的系数不定，与明密文有关；线性独立方程的个 数指的是将每一项看成一个新的变元，转化为线性方程组中的独立方程个数。 下面分别对各拍方程进行分析： ( 1 ) l - 7 拍分析 易分析，1 4 拍时只有线性方程，只有密钥比特作为变量。每个g f ( 2 4 ) 上的线 性方程只给出4 个o f ( 2 ) 上的线性独立方程 5 7 拍时既有线性方程也有二次方程。 5 拍时，墨，墨，五，墨为已知明文，五，x 。z ，五为已知密文，x 未知， k ，墨，如，墨，k 为所求密钥。 ( 五+ x 0 + 口2 + 1 墨+ z 2 + 墨+ ) a 1 ( 彳5 + x l + 口2 + i x x 2 + x 3 + x 4 + k ) = 1 ( 叉- 6 + 叉_ + 口2 + 1 x x 3 + x + j ，5 + 孟，2 ) = l ( x 7 + j ，+ c t 2 + 1 ) ( x 4 + 叉r 5 + x 6 + j ，3 ) = 1 ( 五+ + 口2 + 1 x 也+ x 6 + x 7 + ) = 1 先考虑线性方程，中间三个g f ( 2 4 ) 上的线性方程给出1 2 个卯( 2 ) 上的线性独 立方程。若给定一对明密文，所有线性独立方程个数：，一1 1 x 2 + 1 2 3 4 ，项数： 2 4 第二章f l y 算法基本代数分析 f 一5 6o 同理6 拍时，r - 5 2 ，t - 1 1 2 ；7 拍时， r 一7 0 ，t 一1 8 4 。 ( 2 ) 8 拍以上分析 8 拍以上不再有线性方程，有下面定理： 定理2 2 3 给定一对明密文，j 拍( f28 ) 给出g f ( 2 ) 上的线性独立方程的个数 ，一1 1 i ，项数t 一8 8 i 一4 3 2 。 证明i 拍( f 8 ) 时只有二次方程，可以得到g f ( 2 ) 上的i 个二次方程，由于每 个方程都含有不同的密钥变量，且每个密钥变量都是独立的，所以 个方程线性独立。 每个g f ( 2 4 ) 上的方程给出0 f ( 2 ) 上的1 1 个线性独立方程，从而i 拍( i 8 ) 给出g f ( 2 ) 上的线性独立方程的个数r - 1 1 i 。 易知i 拍有4 i 个密钥变量，砸_ 4 ) 个中间变量( 密钥变量之外的变量) ，1 个方 程中一次项的个数为4 ( f + f 一4 ) = & 一1 6 ，只含中间变量的二次项的个数为4 8 - 2 8 8 ， 含密钥变量的二次项的个数为3 2 i 一1 2 8 ，所以所有项的个数为：8 8 一4 3 2 。 2 3 结论 本章建立两种不同形式的方程对f l y 算法作了基本代数分析。共同之处都给出明 密文条件下的关于密钥参数的代数方程。区别在于o f ( 2 4 ) 上方程代数次数高，项数 多，实际方程的表出上困难，但是信息不丢；g f ( 2 ) 上方程代数次数低，方程项少， 易表达，但变元量大，是信息不全的。 结论 结论 本文主要对分组密码设计中几个安全参量进行了分析，从而对分组密码的设计 有了更加清楚的认识。 分支数是对分组密码进行线性和差分分析时的重要参量。第一章首先根据铲型 图表结构对r i j n d a e l 算法进行了具体描述，指出行变换与列变换可复合为一个可逆 线性变换，即铲型密码的扩散层；然后主要对印型分组密码一r i j n d a e l 的分支数结 果进行了详细补证。 代数分析是分组密码的一种新的分析方法，本文第二章建立两种不同形式的方 程对f l y 算法作了基本代数分析，涉及到的安全参量包含：代数项数，代数次数及 线性独立方程的个数。虽然两种方程都给出明密文条件下的关于密钥参数的代数方 程，但各有利弊。 代数分析方法虽针对一些小密码的例子做出了实验结果，但对大一些的密码都 是理论上的结果，且实际的复杂度未知，解有限域上的非线性方程仍是一个难题。 参考文献 参考文献 lj o a nd a e m e n ，v i n c e n tri j m e n 。谷大武徐胜波译高级加密标准( a e s ) 算法一r i j n d a e l 的设计清华大学出版社 2n c o u r t o i sa n dj p i e p r z y l 【 c r y p t a n a l y s i so fb l o c kc i p h e r sw i t ho v e r d e f i n e ds y s t e m s o fe q u a t i o n s a d v a n c e si nc r y p t o l o g ya s i a c r y p t2 0 0 2 。b e r l i n ：s p r i n g e r - v e r l a g ， 2 0 0 2 ：2 6 7 2 8 7 3 吕述望，范修斌，周玉洁序列密码的设计与分析 m 北京：北京中软电子出版社，2 0