王念平，郭祉成

（信息工程大學(xué)，河南 鄭州 450001）

1 引言

隨著分組密碼研究的不斷深入，一些學(xué)者為了提高分組密碼算法的安全性，提出了動(dòng)態(tài)分組密碼算法[1-10]，這就為分組密碼算法的設(shè)計(jì)提供了一條新的思路。“動(dòng)態(tài)”是指分組密碼算法的某些組件（例如S 盒、擴(kuò)散層或輪函數(shù)等）有多種選擇，或者說(shuō)這些密碼組件是動(dòng)態(tài)可變的。但必須指出，這些動(dòng)態(tài)分組密碼算法的抗攻擊能力很大程度上取決于所采用的分組密碼結(jié)構(gòu)的抗攻擊能力，因此，對(duì)動(dòng)態(tài)分組密碼結(jié)構(gòu)（即某些密碼組件動(dòng)態(tài)可變的分組密碼結(jié)構(gòu)）的研究具有重要的意義。

另一方面，差分密碼分析[11]是攻擊分組密碼最有效的方法之一，對(duì)分組密碼抵抗差分密碼分析的能力進(jìn)行評(píng)估一直都是密碼學(xué)研究的熱點(diǎn)。如果分組密碼的最大差分特征概率足夠小，就可以認(rèn)為該分組密碼能夠抵抗差分密碼分析。在評(píng)估分組密碼抵抗差分密碼分析的能力時(shí)，研究方法通常是給出多輪差分特征中活動(dòng)輪函數(shù)或活動(dòng)S 盒個(gè)數(shù)的下界，進(jìn)而給出最大差分特征概率的上界。

一般來(lái)說(shuō)，將分組密碼結(jié)構(gòu)的某些組件（例如S 盒、擴(kuò)散層或輪函數(shù)等）動(dòng)態(tài)化，就可以構(gòu)成動(dòng)態(tài)分組密碼結(jié)構(gòu)，但如果這些組件設(shè)計(jì)不當(dāng)，就有可能導(dǎo)致動(dòng)態(tài)分組密碼結(jié)構(gòu)中的某些密碼結(jié)構(gòu)抗攻擊能力較弱。這樣，密碼分析者就有可能針對(duì)這一較弱的結(jié)構(gòu)進(jìn)行攻擊，從而帶來(lái)意想不到的后果。因此，在設(shè)計(jì)動(dòng)態(tài)分組密碼結(jié)構(gòu)時(shí)，一定要盡量保證動(dòng)態(tài)密碼結(jié)構(gòu)中的任一結(jié)構(gòu)具有相同或相近的抗攻擊能力，避免出現(xiàn)某一結(jié)構(gòu)抗攻擊能力較弱的情況。

基于上述的想法，本文根據(jù)差分傳遞規(guī)律，提出一種動(dòng)態(tài)密碼結(jié)構(gòu)，并對(duì)其抵抗差分密碼分析的能力進(jìn)行了詳細(xì)的評(píng)估，給出了多輪差分特征中活動(dòng)輪函數(shù)個(gè)數(shù)的下界。該動(dòng)態(tài)密碼結(jié)構(gòu)的特點(diǎn)是第6t(?t≥ 1)輪中的擴(kuò)散層可以從{0,1}4上的多個(gè)線性雙射（對(duì)應(yīng)于4 階0-1 可逆矩陣）中任意選取，即6t(?t≥ 1)輪中的擴(kuò)散層是動(dòng)態(tài)可變的。這里所說(shuō)的“擴(kuò)散層”是指整體結(jié)構(gòu)中的擴(kuò)散層，而不是輪函數(shù)中的擴(kuò)散層。需要強(qiáng)調(diào)的是，本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)中的擴(kuò)散層并不是隨意選取的，也并非涵蓋所有的4 階0-1 可逆矩陣，而是根據(jù)差分傳遞規(guī)律設(shè)計(jì)的。擴(kuò)散層的設(shè)計(jì)是本文的創(chuàng)新之處，給出多輪差分特征中活動(dòng)輪函數(shù)個(gè)數(shù)的下界是本文首要解決的問(wèn)題。

目前，與動(dòng)態(tài)分組密碼結(jié)構(gòu)有關(guān)的研究主要有以下2 個(gè)方面。1) 對(duì)動(dòng)態(tài)分組密碼的設(shè)計(jì)思想和設(shè)計(jì)方法進(jìn)行研究和探討[1-3,12-19]。文獻(xiàn)[1]設(shè)計(jì)了一種嵌套復(fù)用S 盒的動(dòng)態(tài)密碼算法，為不同用戶提供不同的分組密碼算法。文獻(xiàn)[2]通過(guò)變換對(duì)稱(chēng)密碼算法中的編制要素，實(shí)現(xiàn)動(dòng)態(tài)對(duì)稱(chēng)密碼算法。文獻(xiàn)[3]提出“對(duì)稱(chēng)密碼算法簇模型”，從混亂層和擴(kuò)散層2 個(gè)方面研究分組密碼的動(dòng)態(tài)組件設(shè)計(jì)問(wèn)題，并基于AES、Camellia、SMS4 算法給出了具體的密碼算法簇，進(jìn)而討論了相應(yīng)的硬件實(shí)現(xiàn)性能。文獻(xiàn)[12-16]對(duì)幾類(lèi)動(dòng)態(tài)分組密碼結(jié)構(gòu)的設(shè)計(jì)方法以及抵抗差分或線性密碼分析的能力進(jìn)行了分析。文獻(xiàn)[17-19]通過(guò)選取不同的擴(kuò)散矩陣，提升了密碼算法中活動(dòng)輪函數(shù)個(gè)數(shù)的下界，提高了密碼算法抵抗差分或者線性密碼分析能力。2) 針對(duì)具體的分組密碼算法，將某些密碼組件動(dòng)態(tài)化，形成動(dòng)態(tài)分組密碼算法[4-10]。文獻(xiàn)[4-6]基于SMS4 算法，利用時(shí)間戳動(dòng)態(tài)改變算法中的固定參數(shù)，從而實(shí)現(xiàn)密碼算法的動(dòng)態(tài)化。文獻(xiàn)[7,9-10]利用密鑰控制動(dòng)態(tài)可變的S 盒，能夠使密碼算法動(dòng)態(tài)可變。文獻(xiàn)[8]基于Feistel 結(jié)構(gòu)，設(shè)計(jì)了結(jié)合密鑰相關(guān)的動(dòng)態(tài)S 盒和P 盒，提出了一種動(dòng)態(tài)分組密碼算法。除了文獻(xiàn)[12-16]中的相應(yīng)結(jié)果外，大多工作都是針對(duì)具體的密碼算法中的組件（如S 盒、P 盒、某個(gè)參數(shù)等）進(jìn)行研究的，針對(duì)動(dòng)態(tài)分組密碼結(jié)構(gòu)本身的研究并不多。本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)與以上所述的這些研究都有所不同，因此本文的研究具有重要的意義。此外，動(dòng)態(tài)分組密碼結(jié)構(gòu)的安全性研究對(duì)動(dòng)態(tài)分組密碼設(shè)計(jì)與分析具有重要的指導(dǎo)意義，可以根據(jù)本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)設(shè)計(jì)出相應(yīng)的動(dòng)態(tài)分組密碼算法。本文對(duì)該動(dòng)態(tài)密碼結(jié)構(gòu)進(jìn)行抵抗差分密碼分析，其分析結(jié)果可以保證基于該結(jié)構(gòu)設(shè)計(jì)的動(dòng)態(tài)分組密碼算法抵抗差分密碼分析的安全性，并為動(dòng)態(tài)分組密碼算法設(shè)計(jì)提供了一定的依據(jù)。

2 預(yù)備知識(shí)

CLEFIA 密碼結(jié)構(gòu)如圖1 所示，它有4 個(gè)輸入分支(x0,x1,x2,x3)和4 個(gè)輸出分支(y0,y1,y2,y3)，每一輪中有2 個(gè)輪函數(shù)f0和f1，線性變換采用循環(huán)左移變換，其中k=(k0,k1)表示輪密鑰，⊕表示異或運(yùn)算。

圖1 CLEFIA 密碼結(jié)構(gòu)

CLEFIA 變形密碼結(jié)構(gòu)如圖2 所示，其主要特點(diǎn)是線性變換P（即擴(kuò)散層）可以從形如的4階0,1 可逆矩陣中任意選取，其中λi,μi∈{0,1}，0≤i≤ 4。顯然，對(duì)任意給定的i,0≤i≤ 4，λi和μi都有2 種選取方法（即0 或1），故線性變換P共有 25×2=26種選取方法。

由圖2 可知，CLEFIA 變形密碼結(jié)構(gòu)的輸入與輸出的關(guān)系式為

圖2 CLEFIA 變形密碼結(jié)構(gòu)

6t+m(t≥0,0≤m≤ 5)輪基于CLEFIA 變形密碼結(jié)構(gòu)的動(dòng)態(tài)密碼結(jié)構(gòu)（以下簡(jiǎn)稱(chēng)動(dòng)態(tài)密碼結(jié)構(gòu)）如圖3 所示，它由t個(gè)“單元”Gi（1 ≤i≤t）和m輪CLEFIA 密碼結(jié)構(gòu)組成。其中任一“單元”Gi（即第6i-5 輪～第6i輪，1≤i≤t，如圖4 所示）由6 輪密碼結(jié)構(gòu)構(gòu)成：前5 輪是如圖1 所示的CLEFIA 密碼結(jié)構(gòu)，第6 輪是如圖2 所示的CLEFIA變形密碼結(jié)構(gòu)。也就是說(shuō)，6t+m輪動(dòng)態(tài)密碼結(jié)構(gòu)中，第6 輪、第12 輪、…、第6t輪是如圖2 所示的CLEFIA 變形密碼結(jié)構(gòu)，其他輪都是如圖1 所示的CLEFIA 密碼結(jié)構(gòu)。需要強(qiáng)調(diào)的是，第6 輪、第12輪、…、第6t輪中的線性變換可以相同，也可以不同，換句話說(shuō)，第6 輪、第12 輪、…、第6t輪中的線性變換是獨(dú)立選取的，故6t+m（t0,0≤m≤5）輪動(dòng)態(tài)密碼結(jié)構(gòu)共包含(25×2)t=26t種密碼結(jié)構(gòu)。

圖3 基于CLEFIA 變形密碼結(jié)構(gòu)的動(dòng)態(tài)密碼結(jié)構(gòu)

圖4 “單元”Gi

定義1[20]設(shè)(X,+)和(Y,+)都是有限交換群，f:X→Y，α∈X，β∈Y，令

則稱(chēng)pf(α→β)為f在輸入差為α條件下，輸出差為β的差分概率。此外，也稱(chēng)α→β為f的一個(gè)差分對(duì)應(yīng)，并稱(chēng)pf(α→β)為該差分對(duì)應(yīng)的概率。其中“+”表示群(X,+)中的運(yùn)算，和#{·} 都表示集合的元素個(gè)數(shù)。

定義2[20]設(shè) (X,+)是有限交換群，，則 稱(chēng)的一個(gè)起點(diǎn)為α1，終點(diǎn)為αn1+的差分傳遞鏈。

定義3[21]設(shè)α→β是輪函數(shù)（包括f0和f1）的一個(gè)差分對(duì)應(yīng)，若α≠0，則稱(chēng)該輪函數(shù)是活動(dòng)的，或稱(chēng)該輪函數(shù)是活動(dòng)輪函數(shù)。

引理1[16]對(duì)于圖1 所示的CLEFIA 密碼結(jié)構(gòu)，設(shè)輪函數(shù)都是雙射，則r（r≥ 0）輪差分特征至少有個(gè)活動(dòng)輪函數(shù)。其中，rmod6表示r除以6 的最小非負(fù)余數(shù)，表示不小于x的最小整數(shù)。

3 CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)抵抗差分密碼分析

首先，給出所有非0 輸入差分經(jīng)一輪CLEFIA密碼結(jié)構(gòu)（如圖1 所示）迭代后的差分對(duì)應(yīng)。

以輸入差分為(0,0,1,1)=3 時(shí)的情形為例。此時(shí)，第3 分支與第4 分支輸入差分不為0，CLEFIA密碼結(jié)構(gòu)的一輪差分對(duì)應(yīng)為

其中，箭頭上方括號(hào)中的1 表示輪函數(shù)f1的輸入差分塊為非0 差分塊，即活動(dòng)輪函數(shù)的個(gè)數(shù)為1。以下都用表示輸入差分α經(jīng)過(guò)u(u≥1) 輪迭代后輸出差分為β，且活動(dòng)輪函數(shù)的個(gè)數(shù)為v。

上述差分對(duì)應(yīng)的計(jì)算過(guò)程如下：在輪函數(shù)f0和f1都為雙射的條件下，當(dāng)輸入差分為3=(0,0,1,1)時(shí)，輪函數(shù)f0的輸出差分塊為0 差分塊，輪函數(shù)f1的輸出差分塊為非0 差分塊，故由“0⊕0=0”和“1⊕1=0或1”知，經(jīng)過(guò)輪函數(shù)f0和f1以及異或運(yùn)算作用后，其輸出結(jié)果為(0,0,1,0)或(0,0,1,1)，再經(jīng)過(guò)循環(huán)左移變換，其輸出結(jié)果為(0,1,0,0) 或(0,1,1,0)，即4 或6。

類(lèi)似地，所有非0 輸入差分經(jīng)一輪CLEFIA 密碼結(jié)構(gòu)迭代后的差分對(duì)應(yīng)為

其次，給出所有非0 輸入差分經(jīng)一輪CLEFIA變形密碼結(jié)構(gòu)（如圖2 所示）迭代后的差分對(duì)應(yīng)。

當(dāng)線性變換P∈P1時(shí)，以輸入差分為(0,0,1,1)=3時(shí)的情形為例。此時(shí)，第3 分支與第4分支輸入差分不為0，CLEFIA 變形密碼結(jié)構(gòu)的一輪差分對(duì)應(yīng)為

其中，λi∈{0,1},2≤i≤ 4，且運(yùn)算⊕滿足規(guī)則“0⊕0=0”“0⊕1=1”“1⊕0=1”“1⊕1=0或1”。當(dāng)λi遍歷 0,1 時(shí)，(1,λ2,λ3,1⊕λ4)的取值為(1,0,0,1⊕0)=(1,0,0,1)，(1,0,0,1⊕1)=(1,0,0,0)或(1,0,0,1)，(1,0,1,1⊕0)=(1,0,1,1)，(1,0,1,1⊕1)=(1,0,1,0) 或 (1,0,1,1)，(1,1,0,1⊕0)=(1,1,0,1)，(1,1,0,1⊕1)=(1,1,0,0)或(1,1,0,1)，(1,1,1,1⊕0)=(1,1,1,1)，(1,1,1,1⊕1)=(1,1,1,0)或 (1,1,1,1)，即(1,λ2,λ3,1⊕λ4)的取值∈{8,9,10,11,12,13,14,15}，故上述的一輪差分對(duì)應(yīng)可簡(jiǎn)記為

其中，箭頭上方括號(hào)中的1 表示輪函數(shù)f1的輸入差分塊為非0 差分塊，即活動(dòng)輪函數(shù)的個(gè)數(shù)為1。

當(dāng)線性變換P∈P2時(shí)，仍以輸入差分為(0,0,1,1)=3 時(shí)的情形為例。同樣可以給出輸入差分3 經(jīng)一輪CLEFIA 變形密碼結(jié)構(gòu)迭代后的差分對(duì)應(yīng)為

利用上述的P∈P1和P∈P2時(shí)的差分對(duì)應(yīng)，進(jìn)一步可以給出當(dāng)線性變換P∈P1∪P2時(shí)，輸入差分3 經(jīng)一輪CLEFIA 變形密碼結(jié)構(gòu)迭代后的差分對(duì)應(yīng)為

類(lèi)似地，所有非0 輸入差分經(jīng)一輪CLEFIA 變形密碼結(jié)構(gòu)迭代后的差分對(duì)應(yīng)為

利用上述的一輪CLEFIA 密碼結(jié)構(gòu)的差分對(duì)應(yīng)和一輪CLEFIA 變形密碼結(jié)構(gòu)的差分對(duì)應(yīng)，可以進(jìn)一步給出所有非0 輸入差分經(jīng)6 輪動(dòng)態(tài)密碼結(jié)構(gòu)（如圖3 和圖4 所示）迭代后的差分對(duì)應(yīng)為

由上面的討論，可得以下引理。

引理2對(duì)于圖3 所示的動(dòng)態(tài)密碼結(jié)構(gòu)，若輪函數(shù)都是雙射，則有以下結(jié)論成立。

1) 6 輪差分特征中活動(dòng)輪函數(shù)的個(gè)數(shù) ≥6。

2) 活動(dòng)輪函數(shù)為6 的6 輪差分特征只可能為

引理3對(duì)于圖3 所示的動(dòng)態(tài)密碼結(jié)構(gòu)，在輪函數(shù)都是雙射的條件下，19 輪差分特征中活動(dòng)輪函數(shù)的個(gè)數(shù) ≥19，即對(duì)于

證明由引理2 的1)可知，6 輪差分特征中活動(dòng)輪函數(shù)的個(gè)數(shù) ≥ 6，故vi≥6（1≤i≤3）。

最后，將本文結(jié)果與文獻(xiàn)[14]中的動(dòng)態(tài)密碼結(jié)構(gòu)的相應(yīng)結(jié)果進(jìn)行比較，如表1 所示。

表1 本文結(jié)果與文獻(xiàn)[14]中相應(yīng)結(jié)果的比較

由表1 可知，對(duì)于本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)，當(dāng)?shù)啍?shù)l=6t(t≥ 1)或l=6t+1(t≥ 3)時(shí)，l(l≥ 1)輪差分特征至少有l(wèi)個(gè)活動(dòng)輪函數(shù)，當(dāng)?shù)啍?shù)l取其他值時(shí)，l(l≥ 1)輪差分特征至少有l(wèi)-1個(gè)活動(dòng)輪函數(shù)。與文獻(xiàn)[14]中的I 型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)相比，6t+1(t≥ 3)輪差分特征的活動(dòng)輪函數(shù)個(gè)數(shù)的下界增加了1。與文獻(xiàn)[14]中的Ⅱ型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)相比，本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)在迭代輪數(shù)相同的情況下具有相同的活動(dòng)輪函數(shù)個(gè)數(shù)的下界。另外還可以看出，在迭代輪數(shù)相同的情況下，本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)所包含的密碼結(jié)構(gòu)個(gè)數(shù)比I 型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)的相應(yīng)結(jié)果略少（即，顯然l=6t(t≥ 1)時(shí)二者相等），比Ⅱ型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)的相應(yīng)結(jié)果要多（即）。這里，表示不大于x的最大整數(shù)，表示不小于x的最小整數(shù)。

本文的研究結(jié)果對(duì)分組密碼算法的設(shè)計(jì)與分析具有重要的指導(dǎo)意義。根據(jù)定理2 可知，如果知道輪函數(shù)的最大差分概率Pmax，就能估計(jì)出任意輪最大差分特征概率的上界。當(dāng)采用本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)設(shè)計(jì)分組密碼算法時(shí)，其抵抗差分密碼分析的能力就有了依據(jù)。例如，一個(gè)輸入規(guī)模為128 bit的分組密碼算法采用圖3 所示的動(dòng)態(tài)密碼結(jié)構(gòu)，且輪函數(shù)f0和f1（如圖1 和圖2 所示）都采用SDS結(jié)構(gòu)（代替-擴(kuò)散-代替結(jié)構(gòu)）[22]。其中，SDS 結(jié)構(gòu)中的S 變換是4 個(gè)AES[23]S 盒的并置，D 變換是4階MDS 矩陣（顯然其差分分支數(shù)[23]為5）。因S 盒的最大差分概率為2-6[23]，故輪函數(shù)的差分概率≤(2-6)4=2-24[22]，從而l(?l≥ 1)輪最大差分特征概率≤2-24×N(l)。例如，l=6時(shí)，6 輪最大差分特征概率≤2-24×6=2-144。

4 實(shí)驗(yàn)分析

本文通過(guò)Python 編程對(duì)CLEFIA動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界進(jìn)行驗(yàn)證（實(shí)驗(yàn)環(huán)境為Windows 10，I7-5500U 2.4 GHz，8 GB RAM），并將結(jié)果與I 型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)和Ⅱ型類(lèi)CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界進(jìn)行比較。表2 給出了不同迭代輪數(shù)3 種密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)下界的對(duì)比。

表2 3 種密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)下界的對(duì)比

在實(shí)驗(yàn)分析中，將活動(dòng)輪函數(shù)個(gè)數(shù)的下界的求解問(wèn)題轉(zhuǎn)換為混合整數(shù)線性規(guī)劃（MILP,mixed integer linear programming）[24]問(wèn)題，利用Gurobi軟件求解MILP 問(wèn)題得到活動(dòng)輪函數(shù)個(gè)數(shù)的下界。但是在實(shí)際差分密碼分析中，真實(shí)差分特征的活動(dòng)輪函數(shù)個(gè)數(shù)往往大于MILP 方法得到的理論估計(jì)，所以實(shí)際的下界大于或等于估計(jì)的下界。

對(duì)l(l≥1) 輪CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界進(jìn)行求解，基本過(guò)程概括如下。

步驟1對(duì)于l輪CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)，其線性變換P的選擇有種，并存儲(chǔ)P的所有可能的組合。

步驟 2任意選擇一種P的組合，當(dāng)輪數(shù)imod6 ≠0(1≤i≤l)，對(duì)于CLEFIA 密碼結(jié)構(gòu)進(jìn)行建模；當(dāng)輪數(shù)imod6=0(1≤i≤l)，對(duì)于選定P的CLEFIA 變形密碼結(jié)構(gòu)進(jìn)行建模，利用MILP 求解活動(dòng)輪函數(shù)的個(gè)數(shù)并記錄。

步驟3重復(fù)步驟2，直至遍歷所有P的組合。

步驟4輸出CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界。

具體建模過(guò)程如下。對(duì)于密碼結(jié)構(gòu)中的異或操作，設(shè)其輸入差分為(xin0,xin1)，輸出差分為xout，引入輔助變量d，則上述變量的取值范圍均為{0,1}，可以得到

以第i(1≤i≤l,imod6 ≠0)輪CLEFIA 密碼結(jié)構(gòu)的建模為例，設(shè)輸入差分為(x4i-4,x4i-3,x4i-2,x4i-1)，輸出差分為(x4i,x4i+1,x4i+2,x4i+3)，dj,dj+1為引入的輔助變量，可以構(gòu)建

以第i(i=6t,t≥ 1)輪CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)的建模為例，當(dāng)線性變換時(shí)，設(shè)輸入差分為(x4i-4,x4i-3,x4i-2,x4i-1)，輸出差分為(x4i,x4i+1,x4i+2,x4i+3)，dj,dj+1,dj+2為引入的輔助變量，可以構(gòu)建

對(duì)于每一輪的輸入差分(x4i,x4i+1,x4i+2,x4i+3)，活動(dòng)輪函數(shù)的個(gè)數(shù)取決于輸入差分的第一分支和第三分支，即f0和f1的輸入差分，因此活動(dòng)輪函數(shù)個(gè)數(shù)下界的求解可表示為。利用Gurobi 軟件對(duì)該MILP 問(wèn)題進(jìn)行求解即可得到CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界。

通過(guò)實(shí)驗(yàn)分析可得1～20 輪CLEFIA 動(dòng)態(tài)密碼結(jié)構(gòu)差分特征活動(dòng)輪函數(shù)個(gè)數(shù)的下界，并且實(shí)驗(yàn)結(jié)果與推導(dǎo)結(jié)果相同。

5 結(jié)束語(yǔ)

本文提出了一種動(dòng)態(tài)密碼結(jié)構(gòu)，該動(dòng)態(tài)密碼結(jié)構(gòu)的特點(diǎn)是第6t(?t≥ 1)輪中的擴(kuò)散層可以從{0,1}4上的多個(gè)線性雙射（對(duì)應(yīng)于4 階0-1 可逆矩陣）中任意選取，即6t(?t≥ 1)輪中的擴(kuò)散層是動(dòng)態(tài)可變的，因此該動(dòng)態(tài)密碼結(jié)構(gòu)包含多個(gè)分組密碼結(jié)構(gòu)。本文通過(guò)對(duì)6 輪差分特征的傳遞規(guī)律的分析，在輪函數(shù)都是雙射的條件下，證明了l(l≥ 1)輪差分特征中活動(dòng)輪函數(shù)個(gè)數(shù)的下界為N(l)，從而若設(shè)輪函數(shù)的最大差分概率為Pmax，則l輪動(dòng)態(tài)密碼結(jié)構(gòu)的最大差分特征概率≤[pmax]N(l)。對(duì)于本文提出的動(dòng)態(tài)密碼結(jié)構(gòu)，還有一些問(wèn)題需要進(jìn)一步研究，例如，該動(dòng)態(tài)密碼結(jié)構(gòu)抵抗不可能差分分析、零相關(guān)線性分析以及積分分析等分析方法的能力如何？同時(shí)，能否找到更合適的線性變換，使相同輪數(shù)的差分特征具有更多的活動(dòng)輪函數(shù)，也值得進(jìn)一步研究。