几个国际标准分组密码算法的安全性分析分组密码是加解密双方用同一密钥进行加密和解密运算的密码算法,是保障数据机密性与完整性的重要技术。分组密码的安全性分析有利于发现算法中存在的不足,以确保算法在实际应用中的安全,并指导新的算法设计。上世纪末,随着美国AES计划[1]、欧洲NESSIE计划[2]和日本CRYPTREC计划[3]的相继实施,对相应标准密码算法的安全性分析被国际密码学者广泛关注,极大地推动了分组密码分析与设计工作的发展。本文主要对三个国际标准分组密码算法AES、Camellia和CLEFIA的安全性进行分析,提出一些有意义的密码学性质,并与国际上最前沿的分析结果相比得到最优的结果。1、分组密码AES的安全性分析分组密码Rijndael是由两位比利时密码学者Daemen和Rijmen于1997年设计,并于2000年10月被美国国家标准和技术研究所(NIST)公布为高级加密标准AES(AdvancedEncryptionStandard)。之后,AES被CRYPTREC工程和NESSIE工程推荐,并由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。AES的分组长度为128比特,采用SPN结构,密钥长度有128比特、192比特和256比特三个版本,本文分别用AES-128、AES-192与AES-256表示。AES的中间相遇攻击是由Demirci和Selcuk于2008年FSE会议上提出[7],他们利用4轮AES区分器给出了7轮AES-192和8轮AES-256的分析结果。在2010年亚密会上,Dunkelman,Keller和Shamir提出了差分列举技术思想和Multiset技术,有效的减少了Demirci和Selquk攻击的存储和时间复杂度。同时,利用数据/时间/存储折衷技术给出了7轮AES-128的中间相遇分析结果。在2013年欧密会上,Derbez,Fouque和Jean利用Hash函数分析中的反弹(Rebound)技术,极大减少了Dunkelman等人攻击的时间和存储复杂度。并构造了5轮AES-256区分器,给出了9轮AES-256的分析结果。本文主要考虑单密钥模式下,对AES-192/256的中间相遇攻击。我们提出了一种改进中间相遇攻击的新方法——基于密钥的中间状态过滤,并利用此方法构造了5轮AES-192区分器,结合数据/时间/存储折衷完成了对9轮AES-192的中间相遇攻击。我们的攻击延续了Dunkelman等人所提出的差分列举的思想,但不同的是,我们利用中间状态的密钥关系,用有序数列代替Multiset来获取更多的信息量,以减少攻击的复杂度。这是除Biclique方法之外[10],首次对9轮AES-192的分析结果。同时,我们利用攻击中预计算与在线阶段的密钥关系,将整个攻击分割为一系列的子攻击,每个子攻击都是相互独立的。当所有的子攻击工作于串行模式的时候,相应的存储空间可以重复使用。利用此方法,我们降低了整个攻击的存储复杂度。对于9轮AES-256,与2013年欧密会的结果[9]相比,存储复杂度降低了232,但数据复杂度和时间复杂度不受影响。2、分组密码Camellia的安全性分析分组密码算法Camellia由日本NTT和三菱公司于2000年设计,其分组长度为128比特,密钥长度有128比特、192比特和256比特三个版本。Camellia被CRYPTREC工程推荐为日本的e-government算法,也是NESSIE工程最终选取的算法之一,并且由国际标准化组织(ISO)选定为国际标准ISO/IEC18033-3。本文研究了Camellia算法的不可能差分分析和中间相遇攻击。首先,我们给出了带FL/FL-1层Camellia算法的7轮不可能差分特征。利用该不可能差分特征,我们分析了不带白化密钥的10轮Camellia-128,以及带白化密钥的10轮Camellia-192和11轮Camellia-256算法。同时,我们给出了在3/4弱密钥空间里,带FL/FL-1层的7轮不可能差分特征。之后利用该特征给出了弱密钥条件下、10/11/12轮Camellia-128/192/256的不可能差分分析。在此基础上,我们提出了复合攻击的思想：即利用每次失败的攻击来推出2比特的密钥条件,经过a次攻击,推出2×a比特密钥信息。从而,将弱密钥条件下的攻击转化为对全密钥空间的攻击。除此之外,我们还给出了中间14轮Camellia-256和12轮Camellia-192的分析结果。其次,结合2010年亚密会上Dunkelman等人所提出的差分列举思想和Mulitset技术,我们给出了7轮Camellia-192的中间相遇性质。并以此构造了12轮Camellia-192的中间相遇攻击,复杂度比当前最优结果快大