对称密码算法研究
屈龙江1,陈玺1,王磊2,孙兵3
1.国防科技大学文理学院数学系;2.上海交通大学;3.国防科技大学(上述作者同等贡献)
一 研究背景概述
1.低差分函数研究方面
密码函数包含布尔函数与向量函数(S-盒)两大类,是构成序列密码、分组密码和Hash函数等对称密码算法的重要组件,其密码学性质的好坏直接关系到密码算法的安全性[1,2]。密码算法对于各种已知攻击的抵抗性可以由它所使用密码函数的相应密码学指标来衡量。差分攻击是攻击迭代分组密码最有效的方法之一,其基本思想是通过分析明文对差值对密文对差值的影响来恢复某些密钥比特。一个密码函数抵抗差分攻击的安全性指标被称为差分均匀度,差分均匀度越小,其抵抗差分攻击的能力越强。密码算法中重要的低差分函数有完全非线性函数(Perfect Nonlinear Function,PN函数)、几乎完全非线性函数(Almost Perfect Nonlinear Function,APN函数)和差分均匀度为4的函数(4-Uniform Function,4差分函数)等。当有限域的特征为奇数时,PN函数、APN函数分别达到最优、次优的差分均匀度;而在偶特征的有限域上,差分均匀度必然为偶数,此时APN函数、4差分函数分别达到最优、次优的差分均匀度。由于绝大多数密码算法用的密码函数是定义在偶特征有限域上的,所以密码学研究中更关注APN函数和4差分函数。
为了抵抗差分攻击、线性攻击和插值攻击等分析方法,一个理想的S-盒应同时具有低差分均匀度、高非线性度和高代数次数等多种良好密码学性质。在SPN(SubstitutionPermutation-Network)结构分组密码S-盒的设计中,为了避免熵泄露,一般要求分组密码中使用的向量函数是置换的;而为了软硬件实现时具有较高的效率,又希望其定义在二元域的偶数维扩域上,因此相比一般的4差分函数,偶扩张上4差分置换的构造与分析近年来受到了更多研究和关注。
2.可证明安全研究方面
相对于公钥密码算法基于公认的数学难题,对称密码算法往往基于设计者的安全分析经验,通过混合多种常见操作,如模加、循环移位、异或等,强化整体算法的混乱和扩散性能,使其能够通过标准性能测试,同时专门评估对已知攻击方法的抵抗强度。例如,AES分组密码算法以及该算法设计者提出的宽轨迹策略。然而,这类设计方法和路线并不能为对称密码算法提供严格的安全保障。一方面,新型攻击方法不断涌现,攻击能力日益强化,某些新的攻击方法甚至可导致广泛应用的标准对称算法安全性瞬间崩塌,如MD5与SHA-1算法的突然破解;另一方面,标准性能测试关注输入和输出之间相关性、随机性等,即通用性测试,缺乏对各个算法特性的挖掘,有很大的局限性,仅提供基本的安全性能测试。
因此,为对称密码算法提供严格的、数学层面上的安全保障一直是密码学的热门研究方向。特别是随着数据挖掘、数据分析、数据应用等飞速发展,海量数据的安全隐私保护成为重要的科学研究方向和社会关键问题。对称密码算法在海量数据的安全隐私保护中发挥着重要的基础支撑作用,对其提供可证明安全研究也就愈发重要了。
目前,主流路线是归约证明方法。一般来说,对称密码算法分为两部分,即底层组件以及调用底层组建的模型。可归约证明指的是在理想化底层组件的假设前提下(即底层组件是完美安全的),通过数学方法证明整个模型构建是安全的。通过采用可归约证明,我们成功保障了密码算法的模型构建不存在结构上的安全缺陷。也就是说,整体算法的安全风险仅可能存在于其底层组件。从设计者角度看,这种途径有两方面的优势:一方面,分层思想带来了有效的分工,很大地减轻了设计者的工作量,并提升了整体算法的标准安全性保障;另一方面,底层组件结构简单和功能单一,对其进行特定的安全分析所需的工作量会大幅度减小,从而更好地保障了整体算法的安全强度。
综上,对称密码算法是密码学的基础算法,随着新型应用的不断涌现,安全需求也不断发生变化,这都需要我们持续致力于为对称密码算法打造更加可信赖的、更加强健的可证明安全理论基础。
3.对称密码分析方面
自20世纪70年代数据加密标准(DES算法)推出开始,对称密码设计与分析便“相伴相生”共同促进对称密码的快速发展,由此产生了两类最重要的密码分析方法,即差分密码分析和线性密码分析。20世纪末,美国推出了高级加密标准(AES)计划,由此产生了一系列设计新颖、安全强度高的分组密码算法。伴随着这些计划征集密码算法,对称密码分析也得到了长足进步。例如,针对分组密码的积分攻击与不可能差分攻击;针对流密码的相关攻击、猜测决定攻击等都得到了新的发展。
二 主要科学问题
1.低差分函数研究方面
多种密码学指标折中最优密码函数的构造。对称密码算法设计中需要使用具有低差分均匀度、高非线性度和高代数次数等多种密码学指标折中最优的密码函数。目前,已有的构造主要是逆函数及其修改。如何给出更多创新直接构造,从而为对称密码非线性组件设计提供更多选择,是密码函数研究中的核心问题。
大APN问题(Big APN Problem)。由于软硬件设计的需要,寻找偶扩张上的APN置换是密码学研究中的重要问题。即“当n≥8为偶数时,是否存在
上的APN置换?”该问题被称为“大APN问题”,是目前密码函数领域中最著名的公开问题。
等价与分类是密码函数研究中的重要问题。CCZ等价和EA等价是两种最主要的等价性。低差分函数的已有构造集中于幂函数和二次函数,其等价与分类问题的解决目前看来仍遥遥无期,即使是二次函数的等价与分类依然很难。要解决该问题,一方面是研究Walsh谱、差分谱等已知CCZ等价不变量,得到新的理论结果,给出快速算法;另一方面是挖掘新的CCZ等价不变量,提升CCZ等价性判断效率。
2.可证明安全研究方面
可证明安全依赖于数学证明工具,集中于概率论、组合数学、密码学的交叉。密码学家已开发了一系列证明工具,包括Game-playing、H-coefficient、doubling等。这些工作提供了模型化、标准化的安全证明流程。同时作为指导,密码学家根据这些构架,在选择各个底层组件时遵守相互独立不相干性,从而保障了整体构架的可证明安全性。然而,这带来了整体构架上的大量冗余。典型的例子是密钥长度往往大幅度超过实际应用情况。众所周知,在实际安全中,密钥的交换、保存和使用等都具有挑战性,一直是安全的薄弱环节。如何进一步改进,精细化证明工具,去除冗余,成为核心技术问题之一。
理论模型和实际算法存在着差距。可证明安全是在完美安全的底层组件基础上构建的。然而,理论研究已经证明了完美安全的底层组件是不可能实现的。因此,一个关键研究问题是,完美底层组件的哪些性质是必需的、哪些性质是冗余的。
3.对称密码分析方面
在密码分析方面,目前无论是分组密码还是流密码领域,国际标准算法的使用都很广泛,如分组密码领域的AES算法、Camellia算法,流密码领域的Grain算法、Trivium算法等。因此,对这些标准算法的安全性研究是该领域的重要科学问题。一是研究对一类算法通用的密码分析方法。这类方法通常对算法的具体参数选取不太敏感,不太会对密码标准构成安全威胁,但可以对算法的设计给出一般性准则。二是针对具体算法的特性研究某一算法的安全性。这类方法需要细致研究算法的各个组件,包括非线性函数及线性变换等。由于密码标准受到全球广泛关注,一般没有很明显的安全缺陷;另外,衡量算法安全性的重要指标是该算法抵抗已知攻击的能力,设计者会针对已知攻击给出相应的设计,因此该领域最重要的研究是针对具体算法提出某一具体的攻击,在实际分析中很难发现这样的攻击方法。
三 国际研究现状
1.低差分函数研究方面
2005年以前,低差分函数的研究主要集中在有限域上的幂函数,包括两类PN幂函数(Demobowski-Ostrom幂函数[3]、Coulter-Mattews函数[4])和6类APN幂函数(Gold函数[5,6]、Kasami函数[7]、Welch函数[8]、Niho函数[9]、逆函数[10]和Dobbertin函数[11])。Dobbertin猜测“APN幂函数只有这6类”[11],2011年,Hernando和McGuire证明了使xd在无穷多个域上为APN函数的指数只有Gold指数和Welch指数[12],但整个Dobbertin猜测仍未解决。2006年以后,人们陆续发现了一些多项式形式的二次PN函数和二次APN函数。目前,已知的多项式PN函数有Ding-Yuan多项式[13]、Zha-Kyureghyan-Wang多项式[14]、两类Budaghyan-Helleseth多项式[15]以及Bierbrauer多项式[16]等。2006年,Dillon[17]在
上发现了很多不等价于幂函数的多项式APN函数。学者从这些例子出发,陆续构造了一些多项式形式的二次APN函数无限类。2009年,Budaghyan等[18]从x3出发,构造了一类形式非常简单的在任何上都存在的APN函数无限类。Edel和Pott等[19]提出了交换构造技术,通过变换已有APN函数的坐标函数来构造新的APN函数。2011年,Carlet[20]利用向量Bent函数构造APN函数,得到的构造涵盖了以往的许多构造。2009年,Dillon[21]通过分解一个APN函数所对应的线性码,找到了上的一个APN置换。但整个“大APN问题”目前仍是公开的。
2011年以前,偶扩张上的4差分置换无限类只有Gold函数[5]、Kasami函数[22,23]、逆函数[10]、Bracken-Leander函数[24]和Bracken-Tan-Tan[25]函数5类基础构造。2011年,Carlet[26]提出了一种利用奇扩张上APN置换来构造偶扩张上4差分置换的方法。2013年,屈龙江等[27,28]使用交换构造法研究了逆函数,构造了偶扩张上大量CCZ不等价的具有最优代数次数的4差分置换族。2014年,Carlet和唐灯等[29]利用
上的逆函数是APN函数这一特性,构造了
上一大类新的4差分置换,这类函数具有最优代数次数以及较高的非线性度。2016年,Perrin[30]等用逆向工程分析Dillon等构造的APN置换,提出了“蝴蝶结构”,并构造了非线性度达到已知最优的4差分置换无限类。
近年来,人们证明了在很多情况下CCZ等价和EA等价是一致的:2008年Kyureghyan和Pott对于平面函数的结果[31];2009年Budaghyan和Carlet对于布尔函数的结果[32];2011年Budaghyan和Carlet关于向量Bent函数的结果[33];2012年Yoshiara证明了Edel的猜想,即两个二次APN函数CCZ等价当且仅当它们EA等价[34];2016年Yoshiara[35]证明了n为偶数时,如果有两个高原APN函数且其中一个为幂函数,则它们CCZ等价当且仅当它们EA等价;2018年Dempwolf[36]完全解决了有限域上幂函数的CCZ等价性问题。
2.可证明安全研究方面
对称密码算法细分类包括加密算法、认证算法、流密码、伪随机函数、伪随机数生成器等,其最根本的构造主要是Feistel结构和Key-Alternating Cipher结构。这两个基础构造的可证明安全一直以来是对称密码算法的基础研究。
Paratin等关于Feistel的一系列研究成果。Paratin从20世纪90年代以来,系统地分析了Feistel Cipher,发表了一系列创新性成果,并于2017年将这些成果收录编纂成书,即《Feistel Ciphers-Security Proofs and Cryptanalysis》。其中,代表性的成果包括:H-Coefficeint证明方法,相对于Game-Playing证明工具,H-Coefficient采用基于事件的方法,通过严格精密的事件定义,有效地绕过了中间条件概率分布状态的干扰,从而提升了安全证明的精确性;证明了Feistel Cipher精确的安全边界,即4轮及以上的Feistel可达到生日界安全、6轮及以上的Feistel可超越生日界;证明了经典伪随机函数SUM-PRP可达到最优安全边界。
Steinberger等关于Key-Alternating Cipher结构的一系列研究成果如下:在EUROCRYPT 2012会议上发表的“Key-Alternating Ciphers in a Provable Setting: Encryption Using a Small Number of Public Permutations”;在CRYPTO 2013会议上发表的“On the Indifferentiability of Key-Alternating Ciphers”;在EUROCRYPT 2014会议上发表的“Tighter Security Bounds for Key-Alternating”;在CRYPTO 2014会议上发表的“Minimizing the Two-Round Even-Mansour Cipher”;在EUROCRYPT 2016会议上发表的“Indifferentiability of Confusion-Diffusion Networks”。
这些成果进一步加强了概率论、组合数学、密码学的交叉,提供了新的工具,强化了可证明方法的能量,取得了一系列突破。典型的成果包括:极大地简化了H-Coefficient方法,更易于其他研究者使用,这体现在近年来大部分的证明成果均采用了这种方法;通过引入更多的概率分布统计方法,如Hellinger Distance等,证明了新的统计规律,指数级别刷新了若干经典构造的可证明安全边界。
3.对称密码分析方面
最近几年国际密码分析研究领域主要是对现行标准算法进行更为细致的安全性分析,比较重要的进展包括:SHA1算法的首个实际碰撞;对AES算法的中间相遇攻击,该攻击是目前对AES算法攻击的最好结果;受国内学者孙兵的研究启发,对低轮AES算法的区分攻击取得了很大进展,区分器的复杂度得到了极大降低;对Keccak算法的研究,包括设计理念、抗碰撞攻击和抗原像攻击等。
四 国内研究现状
1.低差分函数研究方面
我国学者在低差分函数研究方面取得了许多重要进展。丁存生等[13]和查正邦等[14]分别构造了一类二次PN函数。周悦等[37]构造了一大类具有两个参数的二次PN函数和一类二次APN函数。翁国标和曾祥勇[38]证明了二次多项式为PN函数当且仅当其像集中的每一个非零元均有两个原像,即为2到1的映射。余玉银等[39]和翁国标等[40]分别给出了二次APN函数新的刻画,均在
和
上发现了大量新的二次APN函数,前者是使用齐二次函数对应矩阵坐标变换的方法,后者是基于他们提出的APN代数概念。
PN函数仅在奇特征有限域上存在。2013年,周悦[41]引入了偶特征上伪平面函数的定义,给出了分别对应有限域和Kantor半域的两类伪平面函数,随后和SCHMIDT[42]研究了单项式伪平面函数。胡思煌等[43]构造了3类二项式伪平面函数。屈龙江[44]将一大类二次函数为伪平面函数的判定问题转化为一个对应含参Dickson行列式是否非零的判定问题。该方法构造了5类新的多项式伪平面函数,并将所有已知函数都统一归纳到一个大类中。
在偶扩张上4差分置换研究方面,屈龙江等[27,28]使用交换构造法研究了逆函数,先后提出了优先函数、优先布尔函数等概念,以其为工具构造了偶扩张上大量CCZ不等价的具有最优代数次数的4差分置换族,并在理论上证明了上4差分置换的个数是随变元个数增长而呈指数增长的,这极大地扩展了该类函数。李永强[45]、查正邦[46,47]、彭杰[48-50]、唐灯[51]等学者也研究了逆函数的交换构造法或者通过不同的方法对上的逆函数进行修改,得到了一些新的4差分置换,这些4差分置换普遍具有最优代数次数和较高的非线性度。李永强等[52]从奇扩张上Gold函数出发,成功地构造了几类偶扩张上具有已知最优非线性度的4差分置换。唐灯与Carlet[29]利用上的逆函数是APN函数这一特性,构造了F22k上一大类新的4差分置换,这类函数具有最优代数次数以及较高的非线性度。付仕辉等[53,54]深入研究了“蝴蝶结构”,并通过该结构构造了更多4差分置换无限类。陈玺等[55]提出投影差分谱的概念,证明了文献[29]中的所有4差分置换与逆函数是CCZ不等价的。
2.可证明安全研究方面
清华大学John Steinberger教授研究组在该领域非常活跃,近年来在密码学顶级会议CRYPTO、EUROCRYPT、ASIACRYPT等发表了一系列创新性成果。代表性成果包括Double-Block-cipher-based Hash function、Key-Alternating Cipher等可证明安全证明。核心思想是开展组合数学和密码学中的交叉研究,以密码学为导向,抽离出底层核心关键数学问题,通过建模和数学推演,Steinberger等证明了几个新的数学定理。这些定理应用于对称密码算法的设计、分析和可证明安全时,取得了实质上的突破,解决了若干长久遗留的公开难题,极大地推动了这些领域的发展。
此外,我国其他研究组也屡有此领域的成果发表于密码学三大顶级会议。按时间顺序介绍近年来我国研究人员发表的成果。
2012年,张立廷等在ASIACRYPT 2012会议上发表“3kf9: Enhancing 3GPP-MAC Beyond the Birthday Bound”,提出了强化实际应用于全球移动互联网的3GPP-MAC安全性的方案。核心技术是有效整合EMAC和3GPP-MAC,并行运算,在有限的效率损失前提下,指数级别提升了安全强度。当时,该研究成果达到了最好的安全强度和效率的平衡。另外,该构造需要3个独立的密钥,这也引发了后续的一系列研究工作,即在保障安全效率优势的同时,降低密钥的个数。
2015年,郭淳等在ASIACRYPT 2015会议上发表“A Synthetic Indifferentiability Analysis of Interleaved Doubled-Key Even-Mansour Ciphers”,提出了在减少Even-Mansour算法模型密钥的前提下,保持可证明安全。他们明确指出在仅有两个密钥的前提下,只需15轮迭代即可达到可证明安全。这是首次为密钥长度是分组长度两倍的分组密码设计(如AES-256)的可证明安全,很大地拉近了理论和实际应用的距离。另外,该成果的轮数、安全边界均未达到最优,这引发了后期的跟进研究工作。
2016年,王磊等在ASIACRYPT 2016会议上发表“How to Build Fully Secure Tweakable Blockciphers from Classical Blockciphers”,提出了32个最优安全的可调分组密码算法。他们通过系统性地分析基于分组密码的通用模型,分析淘汰不安全的算法,并对剩余的算法进行了可证明安全评估,最终遴选出32个算法。这是首次达到最优可证明的可调分组密码模型。另外,该证明的前提是底层组件为完美的分组密码。这引发了后续的研究工作,即如何弱化证明的前提条件,保持最优可证明安全。
3.对称密码分析方面
(1)Hash函数分析领域
我国已经由早期的“跟跑者”逐步发展至“并跑者”,部分领域是“领跑者”。比如,王小云院士对系列Hash函数的碰撞攻击结果处于世界领先地位,对MD5等Hash函数的碰撞攻击直接导致美国发起了SHA3计划以征集新的Hash函数标准。在Keccak算法的安全性分析方面,中国科学院信息工程研究所刘美成博士、宋凌博士和乔柯欣博士等在Keccak算法研究中取得了多项重要成果,陆续赢得了Keccak设计团队给出的低轮原像攻击和碰撞攻击挑战。
(2)流密码领域
中国科学院软件研究所张斌研究员对一系列算法的攻击取得了很好的攻击结果,如对蓝牙通信标准的攻击、对Grain系列的攻击等,这些结果都处于领先地位;中国科学院信息工程研究所刘美成博士提出的数值映射方法对计算流密码代数次数起到了极大的推动作用,对Trivium算法的攻击也起到了极大的促进作用。
(3)分组密码领域
清华大学王小云院士团队在立方攻击方面做出了很好的工作,对若干密码算法给出了最优攻击,山东大学王美琴教授和中国科学院信息工程研究所孙思维博士等在密码分析自动化方面做出了杰出的工作,这为密码分析提供了新的思路,借助于这些自动化工具,一些密码算法针对差分、线性、积分等密码攻击的安全性分析结果已经做到了极致,国防科学技术大学孙兵博士在结构密码分析方面,指出在现有分析模型下对AES算法的安全性分析很难取得突破性进展,同时该团队还给出了自AES算法提出近20年来的首个五轮区分攻击。
总体而言,在密码设计方面,我国仍需加强自主可控密码算法的设计以及在应用领域推广使用我国自主设计的密码算法。在密码分析方面,我国研究学者最近几年取得了很好的结果,在近5年密码学三大顶级会议CRYPTO、EUROCRYPT和ASIACRYPT上持续发表了多篇高水平学术论文,很多密码算法的最优攻击结果均由我国学者给出,但与国外相比,我们只是在点上取得了突破,尚未形成以点带面的局面。
五 未来研究建议
1.低差分函数研究方面
近年来,国内外学者在有限域上低差分函数研究方面已经取得了许多重要成果,但仍有很多重要问题亟需深入研究。首先,尽管人们在偶扩张上已经构造了大量的4差分置换,但像逆函数那样多种密码学指标折中最优的构造还较匮乏。已知构造要么是从逆函数出发,要么与Gold函数联系紧密,能否通过其他方法进行构造是非常重要的问题。再者,“大APN问题”,即一般偶扩张上是否存在APN置换的问题,还远没有解决。另外,已有PN函数和APN函数构造都集中在幂函数和二次函数,如何构造一个(CCZ等价意义下)非二次的多项式PN函数和APN函数是低差分函数研究中非常重要的问题。最后,还包括:已知的PN幂函数和APN幂函数列表是否完全;二次PN函数和APN函数的CCZ等价类个数是否随变元个数增长而呈指数增长;如何高效判别低差分函数的等价性并对其进行分类等。所有这些问题都值得我们继续深入研究。
2.可证明安全研究方面
组合数学、概率轮、密码学的交叉研究,打造新型、改进的数学证明工具,有力地去除冗余,致力于安全强度最优化、设计简单化、效率高速化等全方面的提升。突破已有的框架,即可规约证明,开拓思路,致力于将对称密码算法基于困难数学问题,如LPN等,带有颠覆性的研究方向。关注前瞻课题,提前布局,占领高地。近年来,量子计算机飞速发展,对称密码算法运行于量子计算环境下可证明安全研究我国目前仍处于空白阶段。国外已有若干研究团队正在尝试开展相应的研究。
3.对称密码分析方面
AES算法是使用最为广泛的密码算法,该算法由比利时密码学家设计并由美国标准化。因此我国急需研制安全强度高、自主可控的密码算法以保障网络空间的安全。安全密码算法的研制需要强大的密码分析能力作为支撑,因此在密码分析方面仍需下狠功夫。密码算法的安全性分析属于基础研究中的基础,短期很难取得高水平研究成果,因此国内从事这项研究的人员相对较少,这制约了该方向的发展。
参考文献:
[1] CARLET C. Boolean functions for cryptography and error correcting codes[J]. Boolean Models and Meth ods in Mathematics, Computer Science, and Engineering, 2010(2): 257-397.
[2] CARLET C. Vectorial Boolean functions for cryptography[J]. Boolean Models and Methods in Mathematics,Computer Science, and Engineering, 2010(134): 398-469.
[3] DEMBOWSKI P, OSTROM T G. Planes of ordern with collineation groups of ordern 2[J]. Mathematische Zeitschrift, 1968, 103(3): 239-258.
[4] COULTER R S, MATTHEWS R W. Planar functions and planes of Lenz-Barlotti class II[J]. Designs,Codes and Cryptography, 1997, 10(2): 167-184.
[5] GOLD R. Maximal recursive sequences with 3-valued recursive cross-correlation functions[J]. IEEE Trans.Inf. Theory, 1988, 14(1): 154-156.
[6] NYBERG K. Differentially uniform mappings for cryptography[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1993: 55-64.
[7] KASAMI T. The weight enumerators for several classes of subcodes of the 2nd order binary Reed-Muller codes[J]. Information and Control, 1971, 18(4): 369-394.
[8] DOBBERTIN H. Almost perfect nonlinear power functions on GF(2n): the Welch case[J]. IEEE Transactions on Information Theory, 1999, 45(4): 1271-1275.
[9] DOBBERTIN H. Almost perfect nonlinear power functions on GF(2n): the Niho case[J]. Information and Computation, 1999, 151(1-2): 57-72.
[10] BETH T, DING C S. On almost perfect nonlinear permutations[C]//Workshop on the Theory and Application of of Cryptographic Techniques. 1993: 65-76.
[11] DOBBERTIN H. Almost perfect nonlinear power functions on GF(2n): a new case for n divisible by 5[C]//Finite Fields and Applications. 2001: 113-121.
[12] HERNANDO F, MCGUIRE G. Proof of a conjecture on the sequence of exceptional numbers, classifying cyclic codes and APN functions[J]. Journal of Algebra, 2011, 343(1): 78-92.
[13] DING C S, YUAN J. A family of skew Hadamard difference sets[J]. Journal of Combinatorial Theory, 2006,113(7): 1526-1535.
[14] ZHA Z B, KYUREGHYAN G M, WANG X L. Perfect nonlinear binomials and their semifields[J]. Finite Fields and Their Applications, 2009, 15(2): 125-133.
[15] BUDAGHYAN L, HELLESETH T. New Perfect Nonlinear Multinomials over 
for Any Odd Prime p[C]//International Conference on Sequences and Their Applications. 2008: 403-414.
[16] BIERBRAUER J. New semifields, PN and APN functions[J]. Designs, Codes and Cryptography, 2010,54(3): 189-200.
[17] DILLON J. Polynomials over finite fields and applications[C]//Banff International Research Station. 2006.
[18] BUDAGHYAN L, CARLET C, LEANDER G. Constructing new APN functions from known ones[J]. Finite Fields and Their Applications, 2009, 15(2): 150-159.
[19] EDEL Y, POTT A. A new almost perfect nonlinear function which is not quadratic[J]. Math. of Comm,2009, 3(1): 59-81.
[20] CARLET C. Relating three nonlinearity parameters of vectorial functions and building APN functions from bent functions[J]. Designs, Codes and Cryptography, 2011, 59(1-3): 89-109.
[21] DILLON J F. APN polynomials: an update[C]//International Conference on Finite fields and applications-Fq9. 2009.
[22] KASAMI T. The weight enumerators for several classes of subcodes of the 2nd order binary Reed-Muller codes[J]. Information and Control, 1971,18(4): 369-394.
[23] HERTEL D. A note on the kasami power function[J]. IACR Cryptology ePrint Archive. 2005: 436.
[24] BRACKEN C, LEANDER G. A highly nonlinear differentially 4 uniform power mapping that permutes fields of even degree[J]. Finite Fields and Their Applications, 2010, 16(4): 231-242.
[25] BRACKEN C, TAN C H, TAN Y. Binomial differentially 4 uniform permutations with high nonlinearity[J].Finite Fields and Their Applications, 2012, 18(3): 537-546.
[26] CARLET C. On known and new differentially uniform functions[C]//Australasian Conference on Information Security and Privacy. 2011: 1-15.
[27] QU L J, XIONG H, LI C. A negative answer to Bracken-Tan-Tan's problem on differentially 4-uniform permutations over [J]. Finite Fields and Their Applications, 2013(24): 55-65.
[28] QU L J, TAN Y, LI C, et al. More constructions of differentially 4-uniform permutations on [J]. Designs,Codes and Cryptography, 2016, 78(2): 391-408.
[29] CARLET C, TANG D, TANG X H, et al. New construction of differentially 4-uniform bijections[C]// International Conference on Information Security and Cryptology. 2013: 22-38.
[30] PERRIN L, UDOVENKO A, BIRYUKOV A. Cryptanalysis of a theorem: decomposing the only known solution to the big APN problem[C]//Annual Cryptology Conference. 2016: 93-122.
[31] KYUREGHYAN G M, POTT A. Some theorems on planar mappings[C]//International Workshop on the Arithmetic of Finite Fields. 2008: 117-122.
[32] BUDAGHYAN L, CARLET C. CCZ-equivalence and Boolean functions[C]//IACR Cryptology ePrint Archive. 2009: 63.
[33] BUDAGHYAN L, CARLET C. CCZ-equivalence of bent vectorial functions and related constructions[J].Designs, Codes and Cryptography, 2011,59(1-3): 69-87.
[34] YOSHIARA S. Equivalences of quadratic APN functions[J]. Journal of Algebraic Combinatorics, 2012, 35,(3): 461-475.
[35] YOSHIARA S. Equivalences among plateaued APN functions[J]. Designs, Codes and Cryptography, 2017,85(2): 205-217.
[36] DEMPWOLFF U. CCZ equivalence of power functions[J]. Designs, Codes and Cryptography, 2018, 86(3):665-692.
[37] ZHOU Y, POTT A. A new family of semifields with 2 parameters[C]//Advances in Mathematics 234 (2013):43-60.
[38] WENG G B, ZENG X Y. Further results on planar do functions and commutative semifields[J]. Designs,Codes and Cryptography, 2012, 63(3): 413-423.
[39] YU Y Y, WANG M S, LI Y Q. A matrix approach for constructing quadratic APN functions[J]. Designs,codes and cryptography, 2014, 73(2): 587-600.
[40] WENG G B, TAN Y, GONG G. On quadratic almost perfect nonlinear functions and their related algebraic object[C]//Workshop on Coding and Cryptography(WCC). 2013.
[41] ZHOU Y. Relative difference sets and their representations[J]. Journal of Combinatorial Designs, 2013,21(12): 563-584.
[42] SCHMIDT K U, ZHOU Y. Planar functions over fields of characteristic two[J]. Journal of Algebraic Combinatorics, 2014,40(2): 503-526.
[43] HU S H, LI S X, ZHANG T, et al. New pseudo-planar binomials in characteristic two and related schemes[J]. Designs, Codes and Cryptography, 2015, 76(2): 345-360.
[44] QU L J. A new approach to constructing quadratic pseudo-planar functions over [J]. IEEE Transactions on Information Theory, 2016, 62(11): 6644-6658.
[45] LI Y Q, WANG M S, YU Y Y. Constructing differentially 4-uniform permutations over GF(22k) from the inverse function revisited[C]//IACR Cryptology ePrint Archive. 2013: 731.
[46] ZHA Z B, HU L, SUN S W. Constructing new differentially 4-uniform permutations from the inverse function[J]. Finite Fields and Their Applications, 2014(25): 64-78.
[47] ZHA Z B, HU L, SUN S W, et al. Further results on differentially 4-uniform permutations over 
[J]. Science China Mathematics, 2015, 58(7): 1577-1588.
[48] PENG J, TAN C H. New explicit constructions of differentially 4-uniform permutations via special partitions of F22k[J]. Finite Fields and Their Applications, 2016(40): 73-89.
[49] PENG J, TAN C H. New differentially 4-uniform permutations by modifying the inverse function on subfields[J]. Cryptography and Communications, 2017, 9(3): 363-378.
[50] PENG J, TAN C H, WANG Q C. A new family of differentially 4-uniform permutations over for odd k[J]. Science China Mathematics, 2016, 59(6): 1221-1234.
[51] TANG D, CARLET C, TANG X H. Differentially 4-uniform bijections by permuting the inverse function[J].Designs, Codes and Cryptography, 2015, 77(1): 117-141.
[52] LI Y Q, WANG M S. Constructing differentially 4-uniform permutations over GF(22m) from quadratic APN permutations over GF(22m+1)[J]. Designs, Codes and Cryptography, 2014,72(2): 249-264.
[53] FU S H, FENG X T. Further results of the cryptographic properties on the butterfly structures[J]. arXiv preprint arXiv:1607.08455, 2016.
[54] FU S H, FENG X T, WU B F. Differentially 4-uniform permutations with the best known nonlinearity from butterflies[C]//IACR Transactions on Symmetric Cryptology. 2017: 228-249.
[55] CHEN X, QU L J, LI C, et al. A new method to investigate the CCZ-equivalence between functions with low differential uniformity[C]//Finite Fields and Their Applications. 2016: 165-186.