有限域F2n上两类三项式的密码学性质

余仁杰; 夏永波

doi:10.20056/j.cnki.ZNMDZK.20250218

中南民族大学学报（自然科学版） ›› 2025, Vol. 44 ›› Issue (02) : 277 -282. DOI: 10.20056/j.cnki.ZNMDZK.20250218

数学与统计学科学

有限域 $F 2 n$ 上两类三项式的密码学性质

余仁杰 ,
夏永波

作者信息 +

Cryptographic properties of two classes of trinomials over finite field $F 2 n$

Renjie YU ,
Yongbo XIA

Author information +

文章历史 +

PDF (379K)

摘要

刻画了有限域 $F 2 n$ 上两类三项式的差分谱，第一类是 $f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1$ ，其中 $n = 2 m + 1$ ；第二类是 $g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1$ ，其中 $g c d (n, k) = 1$ . 对于第一类三项式采用的方法是通过计算 $f (x)$ 的Walsh谱，再根据差分谱和Walsh谱之间的关系来确定它的差分谱；对于第二类则是直接通过研究 $g x$ 的差分方程有确定解数的条件，从而计算出差分谱，此外根据二次型理论，还确定了它的Walsh谱.

Abstract

The differential spectra of two classes of trinomials over finite field $F 2 n$ are described. The first class is $f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1$ with $n = 2 m + 1$ ， and the second one is $g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1$ ， where $g c d (n, k) = 1 .$ For the first class， the differential spectrum is determined by calculating the Walsh spectrum of $f (x) .$ For the second one， the differential spectrum is calculated directly by determining the conditions for which the differential equation has specific number of solutions. Moreover， the Walsh spectrum of $g (x)$ is also determined based on the theory of quadratic forms.

关键词

有限域 / 差分均匀度 / 差分谱 / Walsh谱

Key words

finite field / differential uniformity / differential spectrum / Walsh spectrum

引用本文

引用格式 ▾

[Author(id=1273234544053609100, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, orderNo=0, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=null, emailSecond=null, emailThird=null, correspondingAuthor=0, authorType=1, ext={EN=AuthorExt(id=1273234544133300880, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, authorId=1273234544053609100, language=EN, stringName=Renjie YU, firstName=Renjie, middleName=null, lastName=YU, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=College of Mathematics and Statistics，South-Central Minzu University，Wuhan 430074，China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1273234544187826836, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, authorId=1273234544053609100, language=CN, stringName=余仁杰, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=中南民族大学数学与统计学学院，武汉 430074, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1273234543948751496, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, xref=null, ext=[AuthorCompanyExt(id=1273234543965528713, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, companyId=1273234543948751496, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=College of Mathematics and Statistics，South-Central Minzu University，Wuhan 430074，China), AuthorCompanyExt(id=1273234543982305930, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, companyId=1273234543948751496, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=中南民族大学数学与统计学学院，武汉 430074)])]), Author(id=1273234544238158488, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, orderNo=1, firstName=null, middleName=null, lastName=null, nameCn=null, orcid=null, stid=null, country=null, authorPic=null, dead=0, email=xia@mail.scuec.edu.cn, emailSecond=null, emailThird=null, correspondingAuthor=1, authorType=1, ext={EN=AuthorExt(id=1273234544301073051, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, authorId=1273234544238158488, language=EN, stringName=Yongbo XIA, firstName=Yongbo, middleName=null, lastName=XIA, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=College of Mathematics and Statistics，South-Central Minzu University，Wuhan 430074，China, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null), CN=AuthorExt(id=1273234544347210399, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, authorId=1273234544238158488, language=CN, stringName=夏永波, firstName=null, middleName=null, lastName=null, prefix=null, suffix=null, authorComment=null, nameInitials=null, affiliation=null, department=null, xref=null, address=中南民族大学数学与统计学学院，武汉 430074, bio=null, bioImg=null, bioContent=null, aboutCorrespAuthor=null)}, companyList=[AuthorCompany(id=1273234543948751496, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, xref=null, ext=[AuthorCompanyExt(id=1273234543965528713, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, companyId=1273234543948751496, language=EN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=College of Mathematics and Statistics，South-Central Minzu University，Wuhan 430074，China), AuthorCompanyExt(id=1273234543982305930, tenantId=1045748351789510663, journalId=1189533126771896327, articleId=1189605761367856038, companyId=1273234543948751496, language=CN, country=null, province=null, city=null, postcode=null, companyName=null, departmentName=null, remark=中南民族大学数学与统计学学院，武汉 430074)])])] 余仁杰,夏永波. 有限域

F 2 n

上两类三项式的密码学性质[J]. 中南民族大学学报（自然科学版）, 2025, 44(02): 277-282 DOI:10.20056/j.cnki.ZNMDZK.20250218

登录浏览全文

4963

注册一个新账户忘记密码

分组密码作为密码学中的一种对称加密体制，由于其具有速度快、易于标准化和便于软硬件实现等特点，一直受到广泛的关注和使用. S-盒是分组密码中唯一的非线性部分在分组密码算法中扮演着重要的角色，为了衡量S-盒抵抗差分攻击^［1］的能力，Nyberg于1993年在欧密会上提出了差分均匀度的概念^［2］. 一个密码函数的差分均匀度越低，它抵抗差分攻击的能力便越强. 与密码函数的差分均匀度相关联的另外一种重要性质是该函数的差分谱，它能够更精细地刻画密码函数的差分性质，为寻找差分攻击路径提供依据，此外差分谱也在编码理论、序列和组合设计中起着重要作用.

当前对具有低差分均匀度密码函数的研究中，主要的对象是幂函数以及形式较好的二项式或三项式，美国高级加密标准AES算法S-盒的设计采用的是有限域

F 28

上差分均匀度为4的逆函数

x - 1

，研究相关类型的函数有着重要的理论意义与现实价值.目前对该类型函数的研究，可以在文献［3-10］中找到相关的结论.

本文研究了两类三项式的差分谱和Walsh谱，其中第一类是由丁存生、屈龙江以及王强等构造的

F 2 n

上的置换三项式

f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1

，其中

m

是任意正整数，

n = 2 m + 1

^［4］；第二类是由查正邦在文献［11］中提出的

F 2 n

上的几乎低差分一致性函数

g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1

，其中

g c d (n, k) = 1

. 对于第一类三项式，本文首先计算了其Walsh谱，再根据Walsh谱与差分谱的关系，间接计算出了它的差分谱；对于第二类三项式，则是直接从差分方程出发，通过分析差分方程有特定解数的条件，计算出了它的差分谱. 此外，利用二次型理论，确定了第二类三项式的Walsh谱.

1 基本定义

设

F p n

表示元素个数为

p n

的有限域，其中

p

是素数，

n

是正整数，并设

F p n * = F p n \ 0

定义1^［2，12］令

f x

是从

F p n

到自身的映射，

∀ a, b ∈ F p n * × F p n

，定义差分方程

D a f (x) = f (x + a) - f (x) = b

. 设

δ f (a, b)

表示差分方程

D a f (x) = b

在

F p n

中解的个数，即：

δ f a, b = x ∈ F p n f x + a - f x = b, a, b ∈ F p n * × F p n

，

这里

| S |

表示集合

S

的基数.

f x

的差分均匀度定义为：

δ f = m a x δ f a, b a ∈ F p n *, b ∈ F p n

若

δ f = k

，则称

f x

为

k

差分一致性函数. 此外，若除了某一个

a

值外都有

δ f (a, b) ≤ 4

，则称函数

f (x)

为几乎低差分一致函数，此时大于

4

的

δ f (a, b)

值称为偏差（Deviation）.

当

f x

被用于构造分组密码的S-盒时，

f x

的差分均匀度越小，其抵抗差分攻击的能力越强. 当

δ f = 1

时，函数

f x

称为完全非线性（Perfect Nonlinear）函数，简称PN函数，此时

f x

抵抗差分攻击的能力最强. 当

δ f = 2

时，函数

f x

称为几乎完全非线性（Almost Perfect Nonlinear）函数，简称APN函数. 注意到当

p = 2

时，

δ f

的最小值是2，这是因为

∀ a ∈ F 2 n *

，有

f x + a + f x = f x + a + a + f x + a

，即差分方程

D a f (x) = b

的解总是成对出现，所以特征为2的有限域上不存在PN函数.

定义2^［2］设

f x

是从有限域

F p n

到自身的映射，若

δ f = k

，则定义多重集

ω 0, ω 1, . . ., ω k

为

f x

的差分谱，其中：

ω i = a ∈ F p n *, b ∈ F p n : δ f a, b = i, 0 ≤ i ≤ k .

根据差分谱的定义，可以得到如下等式成立：

∑ i = 0 k ω i = ∑ i = 0 k i ω i = p n (p n - 1)

令

T r 1 n (⋅)

表示从

F p n

到

F p

的迹函数，即

T r 1 n (x) = x + x p + x p 2 + ⋅ ⋅ ⋅ + x p n - 1

，下面给出Walsh变换的定义.

定义3^［13］设

f (x)

是从

F p n

到

F p n

的映射，

∀ a, b

∈ F p n × F p n

，

f (x)

在

a, b

处的Walsh变换定义为：

W f (a, b) = ∑ x ∈ F p n ω T r 1 n (a f (x) + b x)

，

其中

ω = e 2 π - 1 p

是

p

次单位根.

f (x)

的Walsh谱定义为如下多重集：

W f a, b : a ∈ F p n *, b ∈ F p n

注1 当

f (x)

是从

F 2 n

到

F 2

的布尔函数时，其Walsh变换定义为：

f^(x) = ∑ x ∈ F 2 n (- 1) f (x) + T r 1 n (λ x), λ ∈ F 2 n .

当

f (x) = x d

是有限域

F p n

上的幂函数，且

g c d (d, p n - 1) = 1

，那么

∀ a, b ∈ F p n * × F p n

，不妨设

c d = a

，则有：

W f (a, b) = ∑ x ∈ F p n ω T r 1 n (a x d + b x) y = c x ̲ ̲ ∑ y ∈ F p n ω T r 1 n ((y) d + b y c) = W f (1, b c)

由于

x d

是置换，则

c

和

a

是一一对应的. 故

f (x)

的Walsh谱值完全由

W f (1, b)

确定，其中

b

遍历

F p n

，所以可以定义这类幂函数的Walsh谱为如下多重集：

W f 1, b : b ∈ F p n

定义4^［14］设

p (x)

是从

F 2 n

到

F 2 n

的映射，且

p (x) = ∑ i, j a i j x 2 i + 2 j,

其中

a i j ∈ F 2 n

，

0 ≤ i < j ≤ n - 1

，则称

p (x)

是

F 2 n

上的二次函数.

∀ λ ∈ F 2 n *

，称

Q λ (x) = T r 1 n (λ p (x))

是

F 2 n

到

F 2

的二次型.

令

V (Q λ) = {x ∈ F 2 n | Q λ (x + z) + Q λ (x) + Q λ (z) = 0,

∀ z ∈ F 2 n}

，显然

V (Q λ)

是在

F 2 n

上的向量空间，不妨记

j = d i m F 2 (V (Q λ))

，则二次型

Q λ (x)

的秩为

R a n k (Q λ) = n - j

注2 根据

Q λ (x)

的定义，显然有如下等式成立：

(∑ x ∈ F 2 n (- 1) Q λ (x)) 2 = ∑ x ∈ F 2 n (- 1) Q λ (x) ⋅ ∑ z ∈ F 2 n (- 1) Q λ (x + z) + Q λ (x) + Q λ (z) = 2 n ∑ x ∈ V (Q λ) (- 1) Q λ (x) .

因为

Q λ (x)

是

V (Q λ)

上的线性函数，所以有：

∑ x ∈ F 2 n (- 1) Q λ (x) = ± 2 n - R a n k (Q λ) 2, 若对 于任 意的 x ∈ V (Q λ), 有 Q λ (x) = 0, 0, 其他,

故

Q λ (x)

的秩总是一个偶数

2 h

，且满足

2 ≤ 2 h ≤ n

2 预备知识

引理1^［3-4］设

m

是任意正整数，

n = 2 m + 1

，那么三项式

f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1

，

是

F 2 n

上的置换三项式，并且

f (x)

是4差分一致函数.

对于定义在有限域

F p n

上的幂函数

f x = x d

，其中

d

是任意正整数，文献［15］揭示了

f (x)

的Walsh谱和差分谱之间的关系. 实际上，对于一般的函数同样有类似的结果，文献［14］在计算Welch置换三项式的差分谱时，便给出了如下相关的结论.

引理2^［14］令

f (x)

是

F p n

到

F p n

的

k

差分一致函数，其中

p

是任意素数，

ω 1, ω 2, . . ., ω k

为其差分谱，

W f (a, b)

是

f (x)

在

a, b ∈ F p n × F p n

处的Walsh变换，则有如下等式成立：

∑ a, b ∈ F p n W f (a, b) 4 = p 4 n + p 2 n ∑ i = 0 k i 2 ω i

引理3^［16］令

q (x) = x 2 m + 1 + 1

是定义在有限域

F 2 n

上的一类幂函数，其中

n = 2 m + 1

，那么

q (x)

的Walsh变换

W q (1, b)

的取值分布如下：

W q (1, b) = 2 n + 1 2, 2 n - 2 + 2 n - 3 2 次, - 2 n + 1 2, 2 n - 2 - 2 n - 3 2 次, 0, 2 n - 1 次,

特别地，

∀ b ∈ F 2 n

，

W q (1, b) = 0

当且仅当

T r 1 n (b) = 0

引理4^［14］设正整数

n, t, l

满足

g c d (n, t) = 1

且

2 l ≤ n .

令

Q (x) = ∑ i = 1 l T r 1 n (c i x 2 t i + 1)

，其中

c i ∈ F 2 n

且至少存在一个

c i

非零

(1 ≤ i ≤ l)

，则

Q (x)

的秩

2 h

满足

n - 2 l ≤ 2 h ≤ n

引理5^［17］设

Q (x)

是

F 2 n

到

F 2

的秩为

2 h

的二次型，则它的Walsh变换有如下分布：

Q^(λ) = ± 2 n - h, 2 2 h - 1 ± 2 h - 1, 0, 2 n - 2 2 h .

3 主要结果及证明

定理1 设

f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1

是有限域

F 2 n

上的置换三项式，其中

n = 2 m + 1

，那么

f (x)

的Walsh谱由表1给出.

证明设

(a, b) ∈ F 2 n * × F 2 n

，根据Walsh变换的定义，有：

W f (a, b) = ∑ x ∈ F 2 n (- 1) T r 1 n (a f (x) + b x) = ∑ x ∈ F 2 n (- 1) T r 1 n (a x 2 m + 1 - 1 + a x 2 - 2 m + 1 + (a + b) x) = ∑ x ∈ F 2 n (- 1) T r 1 n ((a 2 m + a) x 2 m + 1 - 1 + (a + b) x)

令

q x = x 2 m + 1 + 1

，由于

g c d (2 m + 1 + 1, 2 n - 1) = 1

，不妨设

x = y 2 m + 1 + 1

，则：

W f (a, b) = ∑ y 2 m + 1 + 1 ∈ F 2 n (- 1) T r 1 n ((a 2 m + a) y + (a + b) y 2 m + 1 + 1) = ∑ y ∈ F 2 n (- 1) T r 1 n ((a 2 m + a) y + (a + b) y 2 m + 1 + 1) = W q (a + b, a 2 m + a) .

再令

a + b = c

，则

W q (a + b, a 2 m + a) = W q (c, (b + c) 2 m + (b + c))

，其中

b

遍历

F 2 n

. 给定

b

，因为

a ≠ 0

，所以

c ≠ b

. 注意到当

c = b

，有：

W q (c, (b + c) 2 m + (b + c)) = W q (c, 0) = ∑ x ∈ F 2 n (- 1) T r 1 n (c x 2 m + 1 + 1) = 2 n, c = 0, 0, c ≠ 0 .

(1)

为了方便计算，下面先确定当

(b, c)

遍历

F 2 n × F 2 n

时，

W q (c, (b + c) 2 m + (b + c))

的取值分布情况.

当

c = 0

时，

W q (c, (b + c) 2 m + (b + c)) = ∑ x ∈ F 2 n (- 1) T r 1 n ((b 2 m + b) x)

，所以：

W q (0, b 2 m + b) = 2 n, b ∈ F 2, 0, b ∉ F 2 .

当

c ≠ 0

时，由于

q (x)

是

F 2 n

上的置换，设

c = d 2 m + 1 + 1

，这里

d ∈ F 2 n *

，且

d

与

c

是一一对应的关系，所以有：

W q (c, (b + c) 2 m + (b + c)) = ∑ x ∈ F 2 n (- 1) T r 1 n ((d x) 2 m + 1 + 1 + (b + c) 2 m + b + c d (d x)) = ∑ d x ∈ F 2 n (- 1) T r 1 n ((d x) 2 m + 1 + 1 + (b + c) 2 m + b + c d (d x)) = ∑ d x ∈ F 2 n (- 1) T r 1 n ((d x) 2 m + 1 + 1 + (d 2 m + d 2 m + 1 + b 2 m + b d) (d x)) = W q (1, d 2 m + d 2 m + 1 + b 2 m + b d) .

根据引理3，

W q (1, d 2 m + d 2 m + 1 + b 2 m + b d)

的可能取值为

0, ± 2 n + 1 2

，并且

W q (1, d 2 m + d 2 m + 1 + b 2 m + b d) = 0

当且仅当

T r 1 n (d 2 m + d 2 m + 1 + b 2 m + b d) = 0

，即

T r 1 n (b 2 m + b d) = 0

. 由于

g c d (m, n) = 1

，那么

b 2 m + b = 0

当且仅当

b ∈ F 2

. 当

b ∈ F 2

时，显然

∀ d ∈ F 2 n *

，

T r 1 n (b 2 m + b d) = 0

，那么此时使

T r 1 n (b 2 m + b d) = 0

的元素

(b, d)

的个数是

2 (2 n - 1)

；当

b ∉ F 2

，即

b 2 m + b ≠ 0

时，由于迹函数是均匀分布的，则对于每一个给定的

b

，当

d

取遍

F 2 n *

，使

T r 1 n (b 2 m + b d) = 0

的元素

d

的个数是

2 n - 1 - 1

，故此时使

T r 1 n (b 2 m + b d) = 0

的元素

(b, d)

的个数是

(2 n - 1 - 1)

(2 n - 2)

；所以当

(b, d)

遍历

F 2 n * × F 2 n

时，使

W q (1, d 2 m +

d 2 m + 1 + b 2 m + b d) = 0

的

(b, d)

的个数是

(2 n - 1 - 1) (2 n -

2) + 2 (2 n - 1) = 2 2 n - 1

由于

d

与

c

是一一对应的关系，从以上讨论可知：当

(b, c)

遍历

F 2 n × F 2 n

时，使

W q (c, (b + c) 2 m + (b + c)) = 0

的

(b, c)

对的个数为

2 2 n - 1 + (2 n - 2)

，使

W q (c, (b + c) 2 m + (b + c)) = 2 n

的

(b, c)

对的个数为2.

再注意到当

c = b

时，由公式（1）可知，

W q (c, 0) = 2 n

当且仅当

c = 0

，以及

W q (c, 0) = 0

当且仅当

c ≠ 0

. 所以

∀ b, c ∈ F 2 n, c ≠ b

，使

W q (c, (b + c) 2 m + (b + c)) = 0

的

(b, c)

对的个数为

2 2 n - 1 + (2 n - 2) - (2 n - 1) = 2 2 n - 1 - 1

，使

W q (c, (b + c) 2 m + (b + c)) = 2 n

的

(b, c)

对个数为1，即

∀ a, b ∈ F 2 n, a ≠ 0

，使

W f (a, b) = 0

的

(a, b)

对的个数为

2 2 n - 1 - 1

，使

W f (a, b) = 2 n

的

(a, b)

对的个数为1. 下面不妨设使

W f (a, b) = 2 n + 1 2

的

(a, b)

对的个数为

λ 1

，使

W f (a, b) =

- 2 n + 1 2

的

(a, b)

对的个数为

λ 2

. 因为

a ∈ F 2 n *, b ∈ F 2 n

，所以有：

λ 1 + λ 2 + 1 + 2 2 n - 1 - 1 = 2 2 n - 2 n .

(2)

另一方面，根据Walsh变换的定义：

∑ a ∈ F 2 n * ∑ b ∈ F 2 n W f (a, b) = ∑ a ∈ F 2 n * ∑ b ∈ F 2 n ∑ x ∈ F 2 n (- 1) T r 1 n (a f (x) + b x) = ∑ x ∈ F 2 n ∑ a ∈ F 2 n * (- 1) T r 1 n (a f (x)) ⋅ ∑ b ∈ F 2 n (- 1) T r 1 n (b x) = 2 n ∑ a ∈ F 2 n * (- 1) T r 1 n (a f (0)) = 2 2 n - 2 n .

又因为

∑ a ∈ F 2 n * ∑ b ∈ F 2 n W f (a, b) = 2 n + 2 n + 1 2 λ 1 - 2 n + 1 2 λ 2

. 所以：

2 n + 2 n + 1 2 λ 1 - 2 n + 1 2 λ 2 = 2 2 n - 2 n

(3)

联立方程

(2)

，

(3)

便可解得

λ 1, λ 2

，即：

λ 1 = 2 2 n - 2 - 2 n - 1 + 2 2 n - n + 3 2 - 2 n - 1 2

，

λ 2 = 2 2 n - 2 - 2 n - 1 - 2 2 n - n + 3 2 + 2 n - 1 2

定理2 设

f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1

是有限域

F 2 n

上的三项式，其中

n = 2 m + 1

，那么

f (x)

的差分谱为：

{ω 0 = 5 ⋅ 2 2 n - 3 - 3 ⋅ 2 n - 2, ω 1 = 0, ω 2 = 2 2 n - 2, ω 3 = 0, ω 4 = 2 2 n - 3 - 2 n - 2} .

证明由引理1可知

f (x)

是

F 2 n

上的4差分一致性函数，即当

i ∉ {0, 2, 4}

时，

ω i = 0

，再根据差分谱的两个基本等式以及引理2便能够得到如下方程组：

ω 0 + ω 2 + ω 4 = 2 2 n - 1 - 2 n, 2 ω 2 + 4 ω 4 = 2 2 n - 1 - 2 n, 2 2 n (4 ω 2 + 16 ω 4) = 2 4 n + (2 n + 1 2) 4 (2 2 n - 2 - 2 n),

解得：

ω 0 = 5 ⋅ 2 2 n - 3 - 3 ⋅ 2 n - 2, ω 2 = 2 2 n - 2, ω 4 = 2 2 n - 3 - 2 n - 2

定理3 设

g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1

是有限域

F 2 n

上的三项式，其中

g c d (n, k) = 1

，那么

g (x)

的差分谱为：

ω 0 = 3 ⋅ 2 2 n - 2 - 3 ⋅ 2 n - 1 - 1, ω 4 = 2 2 n - 2 - 2 n - 1, ω 2 n = 1

；当

i ∉ {0, 4, 2 n}

时，

ω i = 0

证明

∀ a, b ∈ F 2 n

且

a ≠ 0

，

g (x)

的差分方程为：

(a 2 k + a) x 2 2 k + (a 2 2 k + a) x 2 k + (a 2 2 k + a 2 k) x = b + g (a) .

(4)

当

a = 1

时，方程

(4)

左边恒为0，所以当

b + g (a) = 0

即

b = g (1) = 1

时，

∀ x ∈ F 2 n

，方程

(4)

恒成立，故此时差分方程解的个数为

2 n

；若

b + g (1) ≠ 0

即

b ≠ 1

，则方程

(4)

无解.

当

a ≠ 1

时，注意到方程

(4)

左边是一个线性化多项式，所以只需考虑齐次方程：

(a 2 k + a) x 2 2 k + (a 2 2 k + a) x 2 k + (a 2 2 k + a 2 k) x = 0

解的个数即可. 令

x = y a

，那么便有：

a 2 2 k (a 2 k + a) y 2 2 k + a 2 k (a 2 2 k + a) y 2 k + a (a 2 2 k + a 2 k) y = 0,

即：

(a 2 2 k - 1 + a 2 2 k - 2 k) y 2 2 k + (a 2 2 k - 1 + 1) y 2 k + (a 2 2 k - 2 k + 1) y = 0 .

(5)

下面不妨设

t = y 2 k + y

，带入方程并化简得：

a 2 2 k - 2 k (a 2 k - 1 + 1) t 2 k + (a 2 k - 1 + 1) 2 k t = 0 .

(6)

因为

g c d (n, k) = 1

，所以

g c d (2 k - 1, 2 n - 1) = 1

，又因为

a ≠ 1

所以

a 2 k - 1 + 1 ≠ 0

，故方程

(6)

有两个解：

t 1 = 0, t 2 = 1 + a 2 k - 1 a 2 k

. 对于给定的

t

，方程

y 2 k + y = t

要么有两个解要么无解.注意到当

t 1 = 0

方程

y 2 k + y = t 1

有两个解：

y = 0

和

y = 1

；当

t 2 = 1 + a 2 k - 1 a 2 k

时，方程

y 2 k + y = t 2

也有两个解：

1 a

和

1 a + 1

，故方程

(5)

有4个解，从而当

a ≠ 1

时差分方程

(4)

可能的解数为

4

或

0

综上所述，

∀ a, b ∈ F 2 n

且

a ≠ 0

，差分方程

(4)

可能的解数为

0, 4, 2 n .

所以当

i ∉ {0, 4, 2 n}

时，

ω i = 0

.从上述分析还可知：当且仅当

a = 1

且

b = 1

时，差分方程

(4)

有

2 n

个解，所以

ω 2 n = 1

. 结合差分谱的两个基本等式从而得到如下方程组：

ω 0 + ω 4 + 1 = 2 n (2 n - 1), 4 ω 4 + 2 n = 2 n (2 n - 1),

解得：

ω 0 = 3 ⋅ 2 2 n - 2 - 2 n - 1 - 1

，

ω 4 = 2 2 n - 2 - 2 n - 1

，即得

g (x)

的差分谱.

定理4 设

g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1

是有限域

F 2 n

上的三项式，其中

g c d (n, k) = 1

，

n ≥ 6

，那么

g (x)

的Walsh谱由表2（

n

是奇数）和表3（

n

是偶数）给出.

证明

∀ a, b ∈ F 2 n

，根据Walsh变换的定义，有：

W g (a, b) = ∑ x ∈ F 2 n (- 1) T r 1 n (a g (x) + b x) = ∑ x ∈ F 2 n (- 1) T r 1 n (a (x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1) + b x) = ∑ x ∈ F 2 n (- 1) T r 1 n ((a 2 n - k + a) x 2 k + 1 + a x 2 2 k + 1) + b x) .

注意到当

a = 0

时，显然有：

W g (a, b) = 2 n, b = 0, 0, b ≠ 0 .

当

a ≠ 0

时，不妨记

Q a (x) = T r 1 n ((a 2 n - k + a) x 2 k + 1

+ a x 2 2 k + 1)

，则

Q a (x)

是

F 2 n

上的二次型. 由引理4可得

n - 4 ≤ R a n k (Q a (x)) ≤ n

. 由于

R a n k (Q a (x))

是一个偶数，所以当

n

是奇数时，

R a n k (Q a (x))

的可能取值为

n - 3

和

n - 1

；当

n

是偶数时，

R a n k (Q a (x))

的可能取值为

n - 4

，

n - 2

和

n

另一方面，根据

V (Q a)

的定义，

∀ y ∈ F 2 n

，计算

Q a (x + y) + Q a (x) + Q a (y) = T r 1 n ((a 2 k + a) (x + y) 2 2 k + 2 k + a (x + y) 2 2 k + 1 + (a 2 k + a) x 2 2 k + 2 k + a x 2 2 k + 1 + (a 2 k + a) y 2 2 k + 2 k + a y 2 2 k + 1) = T r 1 n ((a 2 k x 2 k + a x 2 k + a 2 2 k x 2 3 k + a 2 k x 2 3 k + a 2 2 k x 2 4 k + a x) y 2 2 k) = T r 1 n ((a 2 k (x 2 k + x 2 3 k) + a (x 2 k + x) + a 2 2 k (x 2 3 k + x 2 4 k)) y 2 2 k) .

对于给定

a ≠ 0

，根据上式知：当

x ∈ F 2

时，

∀ y ∈ F 2 n

，总有

Q a (x + y) + Q a (x) + Q a (y) = 0

，所以

F 2 ⊆ V (Q a)

，即

d i m F 2 (V (Q a)) ≥ 1

，故

R a n k (Q λ) ≤ n - 1

. 因此当

n

是偶数时

R a n k (Q a (x))

的可能取值为

n - 4

和

n - 2

下面以

n

是奇数为例，来计算

g (x)

的Walsh谱，

n

是偶数时类似可得.

设

a ∈ F 2 n *

，使

R a n k (Q a (x)) = n - 3

的元素

a

的个数为

n 1

，使

R a n k (Q a (x)) = n - 1

的个数为

n 2

，由引理5可知此时

g (x)

的Walsh谱为：

W g (a, b) = 0, n 1 (2 n - 2 n - 1) + n 2 (2 n - 2 n - 3), ± 2 n + 1 2, n 2 (2 n - 2 ± 2 n - 3 2), ± 2 n + 3 2, n 1 (2 n - 4 ± 2 n - 5 2) .

再根据引理2以及

g (x)

的差分谱，便能够得到关于

n 1, n 2

的方程，即：

2 n - 3 (2 n + 3 2) 4 n 1 + 2 n - 1 (2 n + 1 2) 4 n 2 + 2 4 n = 2 4 n + 2 2 n (16 (2 2 n - 2 - 2 n - 1) + 2 2 n)

又因为

n 1 + n 2 = 2 n - 1

，联立这两个方程解得：

n 1 = 2 n - 1 - 1, n 2 = 2 n - 1

，从而确定了

n

为奇数时

g (x)

的Walsh谱.

下面给出利用软件Magma计算差分谱和Walsh谱所得到的具体结果.

例1 当

m = 3

时，

f x = x + x 15 + x 113

，利用软件Magma可以得到此时

f x

的差分谱为：

ω 0 = 10144, ω 2 = 4096, ω 4 = 2016

，Walsh谱为：

W f (a, b) = 128, 1 次, 16, 4536 次, - 16, 3528 次, 0, 8191 次 .

例2 当

k = 3

，

n = 5

时，

g x = x 72 + x 65 + x 9

，由软件Magma可以得到此时

g x

的差分谱为：

ω 0 = 12223, ω 4 = 4032, ω 128 = 1

，Walsh谱为：

W g (a, b) = 32, 630 次, - 32, 378 次, 16, 2304 次, - 16, 1792 次, 0, 11152 次 .

4 结论

本文研究了在有限域

F 2 n

上两类不同三项式的差分谱和Walsh谱. 第一类是置换三项式

f (x) = x + x 2 m + 1 - 1 + x 2 n - 2 m + 1 + 1

，其中

n = 2 m + 1

；第二类是几乎低差分一致性函数

g (x) = x 2 2 k + 2 k + x 2 2 k + 1 + x 2 k + 1

，其中

g c d (n, k) = 1

. 值得注意的是对于定义在特征为2的有限域上的函数，若它们的差分均匀度为4，那么可以考虑使用引理2中Walsh谱与差分谱之间的关系来计算差分谱. 目前国内外对差分谱的研究主要集中在幂函数和几类具有低差分均匀度的置换多项式上，采用的方法大多数都是从差分方程的定义出发，来分析方程的解出现的条件及个数. 感兴趣的读者可以尝试将本文中所使用的方法应用到目前未能解决的问题中，或许能够得到一些新的结果.

参考文献

原文顺序 | 出版日期 | 本文引用

[1]	BIHAM E， SHAMIR A. Differential cryptanalysis of DES-like cryptosystems［J］. Journal of Cryptology， 1991， 4（1）： 3-72.

[2]	NYBERG K. Differentially uniform mappings for cryptography［C］//EUROCRYPT. Workshop on the Theory and Application of Cryptographic Techniques. Lofthus： Springer， 1993， 55-64.

[3]	ZHU X， ZENG X， CHEN Y. Some binomial and trinomial differentially 4-uniform permutation polynomials［J］. International Journal of Foundations of Computer Science， 2015， 26（4）： 487-497.

[4]	DING C， QU L， WANG Q， et al. Permutation trinomials over finite fields with even characteristic［J］. SIAM Journal on Discrete Mathematics， 2015， 29（1）： 79-92.

[5]	BRACKEN C， LEANDER G. A highly nonlinear differentially 4 uniform power mapping that permutes fields of even degree［J］. Finite Fields and Their Applications， 2010， 16（4）： 231-242.

[6]	BRACKEN C， TAN C H， TAN Y. Binomial differentially 4 uniform permutations with high nonlinearity［J］. Finite Fields and Their Applications， 2012， 18（3）： 537-546.

[7]	LI Y， WANG M. Constructing differentially 4-uniform permutations over GF（22m） from quadratic APN permutations over GF（22m+1）［J］. Designs， Codes and Cryptography， 2014， 72（2）： 249-264.

[8]	TAN Y， QU L， TAN C H， et al. New families of differentially 4-uniform permutations over $｛\mathbb F｝_｛2^｛2k｝｝ $［M］//Lecture Notes in Computer Science. Berlin， Springer 2012.

[9]	TANG D， CARLET C， TANG X. Differentially 4-uniform bijections by permuting the inverse function［J］. Designs， Codes and Cryptography， 2015， 77（1）： 117-141.

[10]	ZHA Z， HU L， SUN S. Constructing new differentially 4-uniform permutations from the inverse function［J］. Finite Fields and Their Applications， 2014， 25： 64-78.

[11]	查正邦. 低差分一致性函数的研究［D］. 长沙：湖南大学， 2008.

[12]	FELKE P. Computing the uniformity of power mappings： A systematic approach with multi-variate method over fnite fields of odd characteristic［D］. Bochum： University of Bochum， 2005.

[13]	CHARPIN P， PENG J. New links between nonlinearity and differential uniformity［J］. Finite Fields and Their Applications， 2019， 56： 188-208.

[14]	WANG Y B， KADIR W， LI C L， et al. On cryptographic properties of the Welch permutation and a related conjecture［C］//Sequences and Their Applications. Saint Petersburg： Springer， 2020： 1-13.

[15]	HELLESETH T， RONG C， SANDBERG D. New families of almost perfect nonlinear power mappings［J］. IEEE Transactions on Information Theory， 1999， 45（2）： 475-485.

[16]	GOLD R. Maximal recursive sequences with 3-valued recursive cross-correlation functions （Corresp.）［J］. IEEE Transactions on Information Theory， 1968， 14（1）： 154-156.

[17]	HELLESETH T， KUMAR P V. Sequences with low correlation［A］. PLESS V S， HUFFMAN W C. Handbook of Coding Theory. Amsterdam： Elsevier Science， 1998：1765-1853．