密码学与bent函数性质

收稿日期:2001 12 30作者简介:邱显杰(1975 ),男,湖南桂阳人,湘潭大学信息工程学院计算机科学系计算机软件与理论专业硕士研究生,研 究方向:编码与密码,网络安全。

文章编号:1006 2475(2002)06 0015 03Bent 函数应用的一些研究邱显杰(湘潭大学信息工程学院计算机科学系,湖南湘潭 411105)摘要:平衡性、非线性、扩散性是具有高度密码特性的布尔函数要满足的最重要的三个性质,本文给出了用Bent 函数来构造满足高次扩散准则的,具有较高非线性度的平衡布尔函数的一些方法。

关键词:布尔函数;Bent 函数;平衡函数;非线性度;扩散准则中图分类号:TN918 1 文献标识码:AThe Result on the Application of Bent FunctionsQIU Xian jie(Departmen t of Computer Science,Xiangtan University,Xiangtan 411105,China)Abstract:Balancedness,nonlineari ty and propagation are three of the most essential characters that Boolean functi ons with high cryp to graphic speciality have to obey.In the last chapter,some methods of using Bent functions to construct balanced Boolean functi ons satisfy ing the highly propagation characteristics wi th highly nonlinearity have been put forward.Keyw ords:Boolean function;Bent functions;balanced function;nonlinearity;propagati on criterion0 引 言Bent 函数是由Rothaus 于1976年提出的一类特殊的布尔函数[1]。

布尔函数的密码学性质及其相互关系摘要：本文的主要工作是对布尔函数的密码学性质进行简单的介绍以及整理，并将近期密码函数安全性领域里面的主要结论进行归纳和比较，通过各种性质及之间相互关系找出一种构造具有“优秀”密码学性质的函数的方法。

本文第一部分为基本概念，主要内容是布尔函数的基本知识以及文章中将会用到的相关符号和语言。

这一部分还简单介绍了布尔函数的两个基本性质：均衡性、代数次数。

这两个性质对函数的安全性具有十分重要的意义。

第二部分介绍了布尔函数的相关免疫性以及弹性的有关内容，末尾简单地介绍了几种构造具有特定相关免疫阶的布尔函数的方法。

第三部分介绍了布尔函数的非线性度以及具有最高非线性度的Bent 函数的相关内容。

这一部分最后还给出了两个完善Bent 函数以使其均衡的方法。

第四部分简单地介绍了布尔函数差分均匀度和PN 函数的相关内容，并且给出了一个PN 函数的等价定义。

第五部分简单介绍了布尔函数的代数免疫度的概念。

第六部分给出了许多重要的结论，这些结论揭示了各种密码函数性质之间的内在联系. 这一部分主要以总结归纳为主，适当加入笔者对结论的一些观点.第一部分：基本概念定义1.1 设2F 是二元有限域，n 为正整数，称映射n F F f 22:→为布尔函数. 若记全体n 维布尔函数的集合为n B . 使得n F x 2∈且1)(=x f 的x 的个数称为函数f 的Hamming 重量，记为)(f W H . 如果一个n 维布尔函数f 满足12)(-=n H f W ，则称这个函数是均衡的. 设n B g f ∈,,f 和g 的Hamming 距离定义为{})()(),(2x g x f F x g f d n ≠∈= 其中，A 表示集合A 中元素的个数. 容易发现:)(),(g f W g f d H -=. n 维布尔函数的代数正规型： n nn nn x x x n a x x n n a x x a x x a x n a x a x a a x x x f y ⋯⋯+⋯+-+⋯++++⋯+++=⋯=-21131212121),,2,1(),1()3,1()2,1()()2()1()0(),,,(为了方便书写，记)(N P 表示N 的幂集，其中{}n N ,,2,1⋯=，则 I N P I n x I a x x x f ∑∈=⋯)(21)(),,,(其中，),,()(21k i i i a I a ⋯=，),2,1(k j I i j ⋯=∈，∏∈=I i i I x x .这种表示方法称为布尔函数的小项表示.]1[在n 维布尔函数的代数正规型中，系数不为0的项的最高次数称为该函数的代数次数，记为)deg(f . 特殊地，① 代数次数为1的布尔函数称为仿射函数.② 常数项为0的仿射函数称为线性函数.③ 含有高于1次的项的布尔函数称为非线性函数.易证：仿射函数都是均衡的.从布尔函数的代数正规型中可以发现：代数次数越低的布尔函数越容易被确定，这是因为我们可以将)(I a 看成未知数，代数次数越低的函数未知数越少，那么我们就可以用越少的真值对将其确定出来. 因此，代数次数越低的布尔函数越不适合用作密码函数.在上面的介绍中，有两个性质对于一个布尔函数能否“胜任”密码函数来说有着十分重要的意义：均衡性、代数次数：均衡性：序列密码体制产生的密钥流是否具有高的安全强度，取决于它们是否具有良好的伪随机性. 均衡性就是序列伪随机性的一个重要指标. 一条序列称为均衡的是指该序列中不同元素出现的次数至多只相差一个.代数次数：密码体制中所使用的布尔函数通常具有高的代数次数，低代数次数的密码体制容易遭到Berlekamp-Massey 算法攻击、插值攻击、代数攻击以及高阶差分攻击.]1[以上为第一部分的主要内容，即布尔函数的基本内容. 从第二部分开始，我们将对布尔函数的多种密码性质进行整理、归纳和总结，并将近期密码学界的相关结论呈现出来.第二部分：布尔函数的相关免疫性这一部分主要介绍了布尔函数相关免疫性的内容，包括相关免疫的定义以及它的一些等价刻画、布尔函数的Walsh 变换与其相关免疫性的关系、如何构造具有特定阶的相关免疫函数及其记数. 下面先给出相关免疫性的定义：定义2.1 设有布尔函数nF F f 22:→. 如果①n 维随机变量),,,(21n x x x ⋯在n F 2上均匀分布；②对下标集{}n ,,2,1⋯中任意t 个下标{}t j j j ,,,21⋯，随机变量),,,(21n x x x y ⋯=与t 个随机变量相互独立,即对于任意的m m F a a a 221),,,(∈⋯及2F a ∈)(),,,|(2121a f P a x a x a x a f P t j j j t ===⋯===就称f 为t 阶相关免疫布尔函数. 如果f 是t 阶相关免疫布尔函数但不是1+t 阶相关免疫函数，则称函数f 的相关免疫阶为t .下面的结论是n 维布尔函数相关免疫性的等价刻画：定理2.1 以下四个叙述等价：①n 维布尔函数f 是t 阶相关免疫函数.②对任意的t s ≤，令),,,(21n x x x ⋯的任意s 个分量取任意定值，s n -维布尔函数f 是s t -阶相关免疫函数.③对任意的),,,(21n c c c c ⋯=，t c W H ≤)(，随机变量),,,(21n x x x y ⋯=与变量x n x c x c x c x c +⋯++=⋅2211相互独立.④]2[对任意的),,,(21n c c c c ⋯=，t c W H ≤)(, 函数x c y ⋅+是平衡函数.以上对于相关免疫性的描述对于理解布这个性质的本质还具有一定的困难. 布尔函数的Walsh 变换对于理解其本质有着至关重要的作用：定义 2.2 设)(x f 是一个n 维布尔函数. 取n n F w w w w 221) , ,,(∈⋯=，令x n x w x w x w x w +⋯++=⋅2211. 称)(w S f 为)(x f 的循环Walsh 变换. 其中，∑+-=xwx x f f w S )()1()(定理2.2 设n 维布尔函数f . 若n t ≤≤1，则f 是t 阶相关免疫函数的充要条件是对于所有n F w 2∈且t w W H ≤≤)(1，0)(=w S f .上面的定理刻画了t 阶相关免疫函数的谱特征，对理解相关免疫性的实质有着非常大的帮助. 下面介绍具有均衡性的相关免疫函数——弹性函数：定义2.3]1[ 设n 维布尔函数f ，若函数f 既是一个t 阶相关免疫函数又是均衡函数，则称f 是一个t 阶弹性函数.注意到布尔函数f 是均衡的当且仅当0)0(=f S ，于是定理 2.3]1[ 布尔函数f 是一个t 阶弹性函数的充要条件是对于所有的n F w 2∈且t w W H ≤≤)(0，均有0)(=w S f .在密码学研究中，密码函数的均衡性是密码函数的最基本的性质，所以一下讨论都将围绕弹性函数展开.下面将简单地介绍一下弹性函数的构造. 由于一阶弹性函数的构造方法比较复杂，而且方法种类繁多，这里将省略介绍之. 参考文献[1]中有比较详细的关于一阶弹性函数的构造方法. 这里介绍一下如何通过已知的弹性函数构造新的弹性函数. 定理2.4 设f 是n 维t 阶弹性函数，则))1,,1,1(),,,((),,,(),,,,(2121121121n n n n n n x x x f x x x f x x x x f x x x x h +⋯+++⋯+⋯=⋯++是1+n 维1+t 阶弹性函数.定理2.5 设f 是n 维t 阶弹性函数，g 是m 维s 阶弹性函数，则),,,(),,,(),,,,(212121m n n n n m n n x x x g x x x f x x x x h ++++⋯+⋯=⋯是m n +维1++s t 阶弹性函数.定理 2.6]3[ 若函数)(),(),(321x f x f x f 均是n 维t 阶弹性函数，则函数)()()()(321x f x f x f x g ++=也是t 阶弹性函数的充要条件是)()()()()()()(323121x f x f x f x f x f x f x h ++=是t 阶弹性函数.这一部分最后将给出几个关于循环Wlash 变换的结论，循环Wlash 变换的定义已经由定义2.2给出.定义2.4设)(x f 是一个n 维布尔函数. 称)(w F 为)(x f 的线性Walsh 变换. 其中，∑⋅-=xx w x f w F )1)(()(x w ⋅的定义如上. 称)(x f 为)(w F 的线性Walsh 反变换，容易验证，∑⋅-=w x w f n w S x f )1)((21)(线性Walsh 变换与循环Wlash 变换之间存在着如下关系：⎩⎨⎧=-≠-=0),(220),(2)(w w F w w F w S n f 由此可知两种Walsh 变换可以相互唯一确定，所以以后不加说明的话布尔函数的Walsh 变换指的就是循环Walsh 变换.容易验证布尔函数)(x f 的循环Walsh 变换有如下性质：定理2.7 若)(w S f 为)(x f 的循环Walsh 变换，即∑+-=xwx x f f w S )()1()(，那么， ①)(x f 称为)(w S f 的循环Walsh 逆变换，且∑⋅-=w x w f n w S x f )1)((21)(.②能量守恒公式：n w fw S 222))((=∑. ③卷积公式：对于任意的0≠a ，0)()(=+∑a w S w S f w f .第三部分：布尔函数的非线性度布尔函数的非线性度从形象上说指的是布尔函数与仿射函数之间的“距离”. 为了抵抗线性密码攻击，密码体制中所使用的布尔函数应该离所有的仿射函数的“距离”尽可能大. 所以布尔函数f 的非线性度定义为f 和所有仿射函数的最小Hamming 距离.定义 3.1 设)(x f 是一个n 维布尔函数，称如下的f N 为)(x f 的非线性度，),(min l f d N nL l f ∈= 其中n L 表示所有n 维仿射函数的集合.定理3.1 设)(x f 是一个n 维布尔函数，则)(max 2121w S N f wn f -=- 其中，)(w S f 是)(x f 的循环Walsh 变换.这个定理给出了布尔函数非线性度的计算方法，下面的定理给出一个布尔函数的非线性度紧的上界.定理3.2 设)(x f 是一个n 维布尔函数，则它的非线性度满足12122---≤n n f N 定理3.2中的上界是可达的. 定义 3.2设)(x f 是一个n 维布尔函数，如果)(x f 的非线性度达到12122---=n n f N ，那么称)(x f 为Bent 函数定理3.3 设)(x f 是一个n 维布尔函数，则)(x f 是Bent 函数当且仅当对任意的nF a 2∈，)(a S f 的取值只能是22n±. 容易发现，Bent 函数的维数n 必定为偶数. 定义3.2和定理3.3都可以作为Bent 的定义，其本质是相同的. Bent 函数是非线性度最高的布尔函数，下面给出一些关于Bent 函数的结论.定理3.4 （存在性）设m n 2=为任意正偶数，令m m m m x x x x x x x f 22211)(+⋯++=++则)(x f 是一个n 元Bent 函数.定理3.5 设)(x f 是n 维Bent 函数，A 是2F 上的n n ⨯阶可逆方阵，n F b 2∈，令)()(b xA f x g +=，则g 也是n 维Bent 函数.定理3.6 设)(x f 是任意一个n 维布尔函数数，则),,(),,,,,,,(21112121n n n n n x x x f y x y x y y y x x x g ⋯++⋯+=⋯⋯是n 2维Bent 函数.虽然Bent 函数拥有最高的非线性度，但是Bent 函数却没有作为密码函数最基本的性质——均衡性. 下面简单地给出两个构造方式，可以通过对Bent 函数进行改造，使其具有均衡性.定理3.7 高非线性度均衡布尔函数构造方法构造方法1. 取定k 2个n 2维Bent 函数a g ，其中k a 2∈. 其中的12-k 个函数满足n n a y x y x y x g +⋯+=11),(另外12-k 个函数形状为n n a y x y x y x g +⋯+=11),(定义n k 2+维布尔函数),(),,(y x g z y x f z =，则11222-+-+-≥n k n k f N 且f 均衡.构造方法2. 设有n 2维Bent 函数n n y x y x y x f +⋯+=11),(，定义n 2维布尔函数),(y x h 如下：⎩⎨⎧=+⋯++≠=0,0),,(),(21x y y y x y x f y x h n 则112222----≥n n n h N ，且h 均衡.第四部分：布尔函数的差分均匀度以及完全非线性函数差分分布的均匀性是密码函数的一个重要的安全性指标，差分密码分析方法的成功正是通过布尔函数差分分布的不均匀性实现的. 函数的差分均匀性越好，那么函数抵抗差分攻击的能力就越强. 用来刻画布尔函数查分分布均匀性的指标是差分均匀度.定义4.1]1[ 设f 是从有限群A 到有限群B 的函数，令{}b x f a x f A x Bb A a f ==+∈=∈∈≠)()(|max max 0δ 则称f δ为函数f 的差分均匀度.定理4.1 设f 是从有限群A 到有限群B 的函数，则A B Af ≤≤δ由之前的谈论知差分均匀度越小，布尔函数的安全性就越高. 定理4.1给出了差分均匀度的一个下界，由此引出完全非线性函数的概念：定义4.2]1[ 设f 是从有限群A 到有限群B 的函数，且B A ≥，如果B Af =δ，则称f 为完全非线性函数，简称PN 函数.为了给出一个完全非线性函数的等价定义，首先引入一个概念——平衡函数： 定义4.3]1[ 设f 是从有限群A 到有限群B 的函数，f 称为平衡函数是指，对于任意的B b ∈，集合{}b x f A x b f =∈=-)(|)(1中所含的元素个数相等. 也即如群A 的阶是A ，群B 的阶是B ，则B A b f=-)(1. 下面给出PN 函数的等价刻画：定理 4.2]1[ 设f 是从有限群A 到有限群B 的函数，M B n A ==,且n m |.那么f 是PN 函数当且仅当对任意的非零A a ∈，函数)()()(x f a x f x f a =+=∆为平衡函数.这个定理反映了PN 函数的本质特征，即它的差分分布的均匀性已经达到最优，对于差分均匀度和完全非线性函数的介绍也就到此为止.第五部分：布尔函数的代数免疫度布尔函数的代数免疫度是对一个布尔函数抵抗代数攻击能力的衡量标准，也是密码函数安全性的一个重要指标. 代数免疫度低的布尔函数容易遭到代数攻击，代数攻击所利用的理论依据与差分攻击和线性攻击等攻击手段不一样. 前者是利用密码算法的内部代数结构实施攻击，而后者则是利用密码算法的统计性质实施攻击. 然而，对布尔函数f 实施代数攻击能否成功的关键在于是否存在一个低次的函数g ，使得0=fg .定义5.1]4[ 设n 维布尔函数f ，称满足0=fg 的布尔函数g 为布尔函数f 的零化子. 对任意的n 维布尔函数f ，记其零化子的集合为)(f Ann定义5.2 设n 维布尔函数f ，使得0=fg 或0)1(=+g f 成立的非零布尔函数g 的最小代数次数称为f 的代数免疫度，记为)(f AI . 即{})1()(0|deg min )(+⋃∈≠=f Ann f Ann g g f AI下面的定理给出了代数免疫度的上界.定理5.1]5[设f 是n 维布尔函数，则f 的代数免疫度满足：⎭⎬⎫⎩⎨⎧⎥⎦⎤⎢⎣⎡≤f n f AI deg ,2min )( 定义5.3 若一个n 维布尔函数的代数免疫度达到⎥⎦⎤⎢⎣⎡2n ，则称该函数具有最优代数免疫度.有关代数免疫度的结论，更多的是与其他密码性质放在一起讨论的. 如具有固定代数免疫度是函数的非线性度具有一个紧的下界，代数免疫度确定是函数的相关免疫阶和弹性阶的取值规律，代数免疫度与函数的重量也有密切的关系. 如此多的性质和结论将在第六部分给出.第六部分：布尔函数密码性质之间的相互关系构造一个具有好的密码学性质的密码函数是密码学研究者们梦寐以求的事情，然而大量的结果表明这些密码学性质之间存在着相互制约的关系.一种性质好了另一种性质就会受到制约而变差. 正是因为如此，构造一个性质“兼顾”的布尔函数也成了比较困难的事. 这一部分将给出各性质之间相互的关系，以便从中找到一种构造“优质”密码函数的方法.密码函数的安全性指标在第一、二、三、四、五部分中均已介绍，指的是布尔函数的均衡性、代数次数、相关免疫性和弹性、非线性度、差分均匀度以及代数免疫度.1. 相关免疫性与其他性质的关系定理6.1]6[ 设n 维布尔函数f ，若f 是)11(-≤≤n m m 阶相关免疫函数，则m n f -≤deg ；若f 是)11(-≤≤n m m 阶弹性函数，则1deg --≤m n f . 这个定理说明了布尔函数的相关免疫性和弹性与函数的代数次数相互制约. 定理6.2]7[ 给定n 维布尔函数f ，若f 是m 阶相关免疫函数，1-≤n m ，则m n f N 221-≤-若f 是m 阶弹性函数，2-≤n m ，则1122+--≤m n f N这个定理揭示了布尔函数相关免疫性和弹性与非线性度的相互制约关系. 定理中的非线性度的上限被称作Sarkar 限.2. 非线性度与其他性质的关系由第三部分我们知道Bent 函数具有最高的非线性度，下面的定理说明了Bent 函数的一些其他密码学性质.定义6.1 设f 是一个n 维布尔函数，其自相关函数定义为∑∈++-=n F x x f a x f f a C 2)()()1()(自相关函数刻画了布尔函数)(x f 的自相关性，这个概念可以与序列的自相关性类比理解.定理6.3 设f 是一个n 维布尔函数，则)(x f 是Bent 函数当且仅当⎩⎨⎧≠==0,00,2)(a a a C n f 这个定理表明Bent 函数是具有最有自相关性的布尔函数.定理6.4 设f 是一个n 维布尔函数，4≥n ，若f 是Bent 函数，则它的代数次数不超过2n . 这个定理表明了函数的非线性度与函数的代数次数之间存在着相互制约的关系.定理6.5 设n 维布尔函数f ，其非线性度f N 与其相关免疫阶t 有如下的关系：12121≤-+∑=t i i nn n fC N有这个定理知道布尔函数的非线性度与相关免疫阶呈负相关.3. 代数免疫度与其他性质的关系第五部分定理5.1给出了布尔函数的代数免疫度与代数次数的关系：设f 是n 维布尔函数，则f 的代数免疫度满足：⎭⎬⎫⎩⎨⎧⎥⎦⎤⎢⎣⎡≤f n f AI deg ,2min )( 定理6.6]3[ 设n 维布尔函数f ，f 的代数免疫度d f AI >)(，则∑∑+-==≤≤)1(00)(d n i i n H d i i n C f W C特别地，⎥⎦⎤⎢⎣⎡>2)(n f AI 意味着 （1）当n 为奇数时，f 必为平衡函数；（2）当n 为奇数时，∑∑=-=≤≤20120)(n i i n H n i i n C f W C 这个定理没有揭示代数免疫度与其他性质的关系，它是联系代数免疫度和函数Hamming 重量的重要事实.定理6.7]8[ 设n 维布尔函数f ，d f AI =)(，则∑∑-=---=--=-≥20111122d i i n d n d i i n n f C C N 定理6.8]8[ 对于任意的正整数n 和⎥⎦⎤⎢⎣⎡≤2n d ，定理6.7中的界是紧的. 这两个定理告诉我们函数的代数免疫度和函数的非线性度存在着相互制约的关系，但是这种制约关系是可以被估计的，并且这个界可以达到.定理6.9 设f 为n 维m 阶相关免疫函数，则m n f AI -≤)(；若f 还是均衡的，即f 是m 阶弹性函数，则1)(--≤m n f AI这个定理是定理6.1的直接推论. 联合定理6.5，可以马上得到一个新的结果： 定理6.10 设f 为n 维布尔函数，d f AI =)(，若f 是m 阶相关免疫函数，则- 11 - 1212120112≤-+∑∑-==--d i m i i nn i n n C C若f 是m 阶弹性函数，则121212012≤-+∑∑-==--d i m o i i nn i n n C C这两个定理都说明了布尔函数的代数免疫度与相关免疫性之间的关系，可以发现这两者之间也存在着负相关性.可以发现布尔函数的各项密码学性质均存在着相互的制约关系，如何构造一个性质中庸、抗攻击性强的布尔函数依然是现今比较流行的话题.参考文献[1] 李超,屈龙江，周悦. 密码函数的安全性指标分析 [M]. 第一版. 科学出版社，2011.[2] 冯国登. 频谱理论及其在密码学中的应用 [M]. 科学出版社，2000.[3] Carlet C. On bent and highly nonlinear balanced/resilient functions and their algebraic immunities[C]. AAECC 16,LNCS 3857. Springer-Verlag, 2006:1-28[4] 张玉丽，蔡庆军. 一类布尔函数的代数免疫度研究[J]. 计算机工程，2009，第35卷第7期：164-165[5] Courtois N, Meier W. Algebraic attacks on stream ciphers with linear feedback[C]. EUROCRYPT 2003,LNCS 2656. Springer-Verlag, 2003: 345-359[6] Siegenthaler T. Correlation immunity of nonlinear combining functions for cryptographic applications[J]. IEEE Transactions on Information Theory,1984,30(5):776-780[7] Sarkar P, Maitra S. Nonlinearity bounds and constructions of resilient Boolean functions[C].CRYPTO 2000, LNCS 1880. Springer-Verlag,2000:515-532[8] Lobanov M. Tight bound between nonlinearity and algebraic immunity[EB]./2005/441.。

用特征矩阵的方法构造bent函数Bent函数是一类在密码学和编码理论中广泛应用的布尔函数，其具有最大的非线性度和最小的自相关度。

在构造Bent函数的过程中，特征矩阵是一种常用的方法。

特征矩阵是一个n×n的矩阵，其中n是Bent函数的阶数。

特征矩阵的每个元素都是一个复数，其值为Bent函数在对应输入上的值。

特征矩阵的构造方法如下：1. 将Bent函数的输入按照二进制表示，得到n个二进制位。

2. 构造一个n×n的矩阵，其中第i行第j列的元素为(-1)^(i·j)。

3. 将Bent函数在所有输入上的值按照二进制表示，得到一个长度为n的01序列。

4. 将上述01序列转化为一个长度为n的复数序列，其中0对应1，1对应-1。

5. 将上述复数序列与特征矩阵相乘，得到一个长度为n的复数序列。

6. 将上述复数序列转化为一个长度为n的01序列，其中正实数对应0，负实数对应1。

7. 将上述01序列转化为Bent函数在所有输入上的值。

通过特征矩阵的方法，可以构造出许多Bent函数。

例如，对于阶数为8的Bent函数，其特征矩阵为：1 1 1 1 1 1 1 11 i -1 -i 1 -i -1 i1 -1 -1 1 1 -1 -1 11 -i 1 i 1 i -1 -i1 1 1 1 -1 -1 -1 -11 -i -1 i -1 i 1 -i1 -1 1 -1 -1 1 -1 11 i 1 -i -1 -i 1 i其中i为虚数单位。

通过特征矩阵的方法，可以构造出许多其他阶数的Bent函数。

特征矩阵是一种常用的构造Bent函数的方法，其优点是简单易行，且可以构造出许多不同阶数的Bent函数。

在密码学和编码理论中，Bent函数具有重要的应用价值，因此特征矩阵的方法对于实际应用具有重要的意义。

密码学中的布尔函数摘要：本文介绍布尔函数中的bent函数及其的密码性质。

关键词：布尔函数；bent函数；线性；密码；相关度中图分类号：g712 文献标识码：a 文章编号：1002-7661（2012）22-368-01布尔函数（单输出和多输出）在密码算法的设计与分析中占有极其重要的地位.人们对布尔函数的平衡性、对称性、高非线性、相关免疫性、扩散性等进行了深入研究，特别是对抵抗相关攻击的相关免疫函数类、抗线性分析的bent函数类进行了系统的研究，取得了丰富的成果。

本文介绍布尔函数中的bent函数。

抗线性分析是密码系统必须具备的安全性能，所以非线性性是布尔函数最重要的密码学性质之一。

由rothaus 提出的bent函数是一类重要的密码函数，具有最高非线性度，由于其在密码、编码理论、序列以及设计理论中的重要应用，引起了密码学界的极大关注，取得了一系列的研究成果。

给出了bent函数的定义如下：定义1 如果元布尔函数的所有谱值都等于，称为bent函数。

另外，bent函数还有一些等价定义：定理1 设是元布尔函数，那么下面说法是等价的。

为bent函数。

对每一个都有，其中：是的第行。

其中：为矩阵；为的序列：为的序列，；；为集合中元素的个数；；为的非线性度。

一直以来对bent函数的构造都是研究者所关心的问题。

构造方法可分为两种，一种是间接构造，即用已有的函数来构造新的bent 函数；另一种就是直接构造。

至今所知道的直接构造主要有两类：一种是m（）类，另一类是ps（）类。

下面再介绍两个定理：定理2 （）：令，则是元bent函数，其中是上的任意置换，而是上任意的布尔函数。

若将的子空间e的指示函数定义为，而ps类bent函数就是将由所有或个的“不交的”维子空间的指示函数的模2和所组成的函数的集合，其中，“不交的”意味着任意两个这样的子空间只交于0元素，且它们的维数都是p，所以任意两个这样的子空间的直和是。

在参考文献中给出了的一种划分，从而得到了一种构造这类函数的方法，并且给出了对应bent函数的代数范式。

－3－第29卷总第69期西北民族大学学报（自然科学版）V ol.29,No.12008年3月Journal ofNorthwest University for Nationalities(Natural Science)March,2008B ent函数与线性函数关系中导出的密码学性质丁艳伟(西北民族大学,甘肃兰州730030)[摘要]以导数(偏导数)和e-导数做工具,讨论密码系统中具有最高非线性度的B ent 函数结构性质、重量结构与线性函数的关系.利用线性函数可从Bent 函数中得到H 布尔函数，使B ent 函数在密码系统中有了更进一步的使用价值.它也提供了Bent 函数重量关系的一些规律性变化，我们可以利用这些性质来探讨相关免疫性变化、非线性度变化等问题并得到构造B ent 函数的新方法.[关键词]B ent 函数;线性函数;e-导数;重量结构;非线性度[中图分类号]O123.2[文献标识码]A[文章编号]1009-2102(2008)01-0013-07Bent 函数是由Rothaus 在研究密码系统的安全性时，于1976年引入的.Bent 函数具有许多重要特性，如满足n 次扩散准则，它的非线性度最高，11222nn fN =,为完全非线性函数，因而关于它的研究领域不断扩大.由于Bent 函数在密码系统的安全性领域有重要的应用价值，因而在密码系统的安全性领域对它的研究一直很活跃，也是世界研究密码系统安全性的一个热点.研究Bent 函数，不仅能得出Bent 函数的一些新的价值，还能够得出构造Bent 函数的新方法.下面讨论这一问题.布尔函数的导数的定义是我们所熟知的.e-导数的定义我们在另文中已给出，但它们都是新的内容.为了文章的易读，本文中将对所需的一些最基本的定义，并将一些定理作为引理在文章开始处引入.e-导数的定义为：1111()(...,,1,,...)(...,,0,,...)i i i i ief x f x x f x x ex ++=,(1,2,...,)i n =.(1)引理1()f x 是H 布尔函数，当且仅当1()()2n idf x W dx =,(1,2,...,)i n =.(2)在利用导数（偏导数）和e-导数来讨论Bent 函数的性质时，要利用线性函数1()n n a i i f x x ==∑.有了以上准备，就可讨论Bent 函数的性质.定理1布尔函数()f x 为Bent 函数，当且仅当11()()2(,...,)r n i i f x W x x =,1(1),(1)r r n i i n ≤≤≤≤≤.证明1()(,...,)r i i f x x x =11(...,,...,,...)(...,1,...,1,...)r r i i i i f x x f x x +++()()f x f x α=++,其中[收稿日期]2007-10-20[作者简介]丁艳伟(1980—),男（回族）,河南南阳人.1－－1(0...0,1,0...,0,1,0...0),(),1r r W i i i n αα==≤≤≤，故知结论成立.对线性函数1()n na i i f x x ==∑，它的偏导数显然有如下性质定理：定理2对线性函数1()n na i i f x x ==∑有性质1()(,...,)n r a i i f x x x =1,0,r r ≤≤≤1r 当i 为奇数（1i i n ）(4)当i 为偶数这个定理是显然的，不再写出证明.同样，将()n a f x 换成x ω，定理显然成立，只是需要考虑其中某i x 与x ω是否无关.由定理1和定理2，可得出如下推论.推论1布尔函数()f x 是Bent 函数，当且仅当()f x x ω+是Bent 函数.证明由定理2，显然有111(())()(,...,)(,...,)(,...,)r r r i i i i i i f x x f x x x x x x x x ωω+=+11()(,...,)r i i f x orx x =+（4）故由定理1知,当且仅当()f x 为Bent 函数时1111()2(),(,...,)(())()2()(,...,)(,...,)r r r n i i n i i i i f x W x x f x x W f x x x W x x ω+==（）,,（5）故结论成立.我们知道：若()f x 是n 元Bent 函数，则112(())22nn W f x =±，但反过来不一定成立.由此可知，Bent 函数的重量是确定的，但Bent 函数除了和它的重量有紧密关系外，还和它本身的结构有关.下面利用导数和e-导数及线性函数1()n na i i f x x ==∑可以揭示布尔函数结构情况的性质，来讨论Bent 函数和它的重量结构的关系.定理3()f x 为Bent 函数，对任意线性函数x ω:1)若112(())22nn W f x =+，则2(())2n W xf x ω=,当且仅当112(())22nn W f x x ω+=+.(6)而122(())22nn W xf x ω=+，当且仅当112(())22nn W f x x ω+=.(7)2)若112(())22nn W f x =，则2(())2n W xf x ω=,当且仅当112(())22nn W f x x ω+=.(8)而122(())22nn W xf x ω=,当且仅当112(())22nn W f x x ω+=+.(9)14－5－这个定理只要按重量展开计算就可以证明.这个定理除了告诉我们Bent 函数()f x 与相应的Bent函数()f x x ω+之间的重量关系外，还引起以下问题：()xf x ω显然不一定是H 布尔函数，但当2(())2n W xf x ω=时，()xf x ω是否为H 布尔函数？如果对任意2(())2n W xf x ω=的()xf x ω可能不全是H 布尔函数，但是否也有H 布尔函数？哪些特殊的线性函数能使()xf x ω为H 布尔函数？下面在讨论这些问题前，先举例说明定理3引出的问题.例141324()1f x x x x x x =+++是Bent 函数，且n=4,112(())22nn W f x =+，取13()f x x =，则1123341324(())(1)22nn W fx x W x x x x x x +=++++=+仍然是Bent 函数，23(())2n W x f x =,但333413234()x f x x x x x x x x x =+++不是H 布尔函数.取41()n a i i f x x ==∑，则112(()())22n nn a W f x f x +=+,112(()())22n nn a W f x f x =，而()()n a f x f x 不是H 布尔函数.112(()1())22n nn a W f x f x ++=,1234131434123124(1())()1n a f x f x x x x x x x x x x x x x x x x x +=+++++++++134234x x x x x x ++2((1())())2n n a W f x f x +=,且(1())()n a f x f x +是H 布尔函数.例224121324()1f x x x x x x x x x =+++++是Bent 函数，n=4,112(()22nn W f x =，取13()f x x =，则1234121324()()1f x f x x x x x x x x x x +=++++++也是Bent 函数，1121(()())22nn W f x f x +=+,1223(())22n n W x f x =,自然3()x fx 不可能是H 布尔函数.取41()n a i i f x x ==∑，则112(()())22n n n a W f x f x +=，2(()())2n na W f x f x =且()()n a f x f x 是H 布尔函数.从上面的例1、例2中，验证了我们的推测.下面需要做出一般性的证明.进一步分析例1和例2，可以看到()n a f x 和1()n a f x +是两个使Bent 函数与这两个函数的积有可能为H 布尔函数的线性函数，这两个线性函数使Bent 函数有进一步的密码学应用意义.同时，这两个线性函数与Bent 函数还具有重量上的相互关系.因此，在讨论上面的推测前，我们先讨论这种重量上的相互关系.定理4()f x 是Bent 函数.1)若112(())22nn W f x =+，则2(()())2n n a W f x f x =，当且仅当122((1())())22n n n a W f x f x +=+.（10）2)若112(())22nn W f x =，则2(()())2n n a W f x f x =，当且仅当122((1())())22n nn a W f x f x +=.（11）证明1）112(())22nn W f x =+，（12）于是由定理3知：112(()())22n n n a W f x f x +=+，当且仅当2(()())2n n a W f x f x =，而1－6－(()1())(1)(()())n n a a W f x f x W W f x f x ++=+（13）于是112(()1())22n nn a W f x f x ++=当且仅当112(()())22n nn a W f x f x +=+，又1((1())())2[()(1())(()1())]n n n a a a W f x f x W f x W f x W f x f x +=++++,（14）故122((1())())22n nn a W f x f x +=+，当且仅当112(()1())22n nn a W f x f x ++=；故122((1())())22n nn a W f x f x +=+，当且仅当2(()())2n n a W f x f x =；于是2(()())2n n a W f x f x =，当且仅当122((1())())22n nn a W f x f x +=+.2）112(())22n n W f x =,于是由定理3知：112(()())22n nn a W f x f x +=，当且仅当2(()())2n n a W f x f x =而(()1())(1)(()())n n a a W f x f x W W f x f x ++=+,（15）于是112(()1())22n nn a W f x f x ++=+，当且仅当112(()())22n nn a W fx f x +=；又1((1())())2[(()(1())(()1())]n n n a a a W f x f x W f x W f x W f x f x +=++++,（16）故122((1())())22n nn a W f x f x +=，当且仅当112(()1())22n nn a W f x f x ++=；故122((1())())22n nn a W f x f x +=，当且仅当2(()())2n n a W f x f x =，于是2(()())2n n a W f x f x =，当且仅当122((1())())22n nn a W f x f x +=,证毕.推论1()f x 是Bent 函数1)若112(())22nn W f x =+，则2((1())())2n na W f x f x +=，当且仅当122(()())22n nn a W f x f x =+.（17）2)若112(())22nn W f x =，则2((1())())2n na W f x f x +=，当且仅当122(()())22n nn a W f x f x =.（18）显然，推论与定理4是对偶的结果.不再证明.例334133424()1f x x x x x x x x x =+++++是Bent 函数，且n=4,112(())22n n W f x =+,于是有2((1())())2n n a W f x f x +=,122(()())22n n n a W f x f x =+.例424132324()1f x x x x x x x x x =+++++是Bent 函数，且n=4，112(())22n n W f x =,于是有2(()())2n n a W f x f x =,122((1())())22n n n a W f x f x +=.下面来讨论()()n a f x f x ,(1())()n a f x f x +是否为H 布尔函数的问题.定理5()f x 是Bent 函数1－－1)若112(())22nn W f x =+，则122()22n n ief x ex =+,(1,...,)i n =.(19)2)若112(())22nn W f x =，则122()22nnief x ex =,(1,...,)i n =.(20)证明由定理[1]()()()()i i df x ef x f x f x dx ex =+且1()()(())()()2i i df x ef x W f x W W dx ex =+,有()1()()(())()2i ief x df x W W f x W ex dx =.(21)由于()f x 是Bent 函数，故一定有1()()2n idf x W dx =,(1,...,)i n =.(22)于是，将式(23)及条件1)或2)代入，便可得出结论.定理5给出了Bent 函数的一个必要条件.它说明，一个函数()f x 虽然有112(())22n n W f x =+的关系，但如果不具备定理5的条件，则肯定不是Bent 函数.可见，定理5对判定一个函数是否为Bent 函数是很有用的.有了定理5以后，讨论H 布尔函数的问题就很容易了.下面来看定理6.定理6设()f x 是Bent 函数1)若112(())22nn W f x =+，则()()n a f x f x 是H 布尔函数，当且仅当112(()1())22n nn a W f x f x ++=.(23)2)若112(())22nn W f x =，则()()n a f x f x 是H 布尔函数，当且仅当112(()1())22n nn a W f x f x ++=+.(24)证明1）由定理3，定理4知，当112(()1())22n nn a W f x f x ++=时,有122((1())())22n nn a W f x f x +=+.(25)于是，由1()n a f x +的结构知，有12(1())()22n na n id f x f x dx +=+.(26)故对式子()()(1())()()()()()()2()n n a a iiiidf x f x d f x f x df x ef x W W W W dx dx dx ex +=+，(27)其中1()()2n i df x W dx =,又由定理5有122()()22n n ief x W ex =+，故由式(27)有1()()()2n a n idf x f x W dx =，(1,...,)i n =.（28）故知()()n a f x f x 为H 布尔函数.17－－2)同样，当112(()1())22n nn a W f x f x ++=+时，有122((1())())22n nn a W f x f x +=.（29）于是，由1()n a f x +的结构知，12(1())()()22n na n id f x f x W dx +=.（30）又由定理5知，122()()22n n ief x W ex =，故对式子()()(1())()()()()()()2()n n a a i i i idf x f x d f x f x df x ef x W W W W dx dx dx ex +=+，（31）其中1()()2n idf x W dx =，故由式(32）有1()()()2n a n idf x f x W dx =，(1,...,)i n =.（32）因此()()n a f x f x 是H 布尔函数，证毕.由定理可知，通过线性函数()n a f x 和1()n a f x +，可将Bent 函数()f x 与线性函数()n a f x 和1()n a f x +的积，生成H 布尔函数，这时Bent 函数在密码系统中的作用是有良好意义的.因为它可以得出相关免疫的性质.推论设()f x 是Bent 函数.1）若112(())22n n W f x =+，则(1())()n a f x f x +是H 布尔函数，当且仅当112(()())22n nn a W f x f x +=.（33）2）若112(())22n n W f x =，则(1())()n a f x f x +是H 布尔函数，当且仅当112(()())22n n n a W f x f x +=+.（34）显然，推论的结果和定理6的结果是对偶的，自然可以和定理6一样作出同样的证明，这里就不再证明.下面举例来验证定理6的正确性.例534132434()1f x x x x x x x x x =+++++是Bent 函数，n=4,112(())22n n W f x =+,又112(()())22n n n a W f x f x +=,1234142334123124(1())()1n a f x f x x x x x x x x x x x x x x x x x +=+++++++++,经验证1(1())()()2n a n id f x f x W dx +=,(1,2,3,4)i =.故(1())()n a f x f x +是H 布尔函数.例6124132324()1f x x x x x x x x x x =++++++是Bent 函数，n=4,112(())22n n W f x =,18－－有112(()1())22n nn a W f x f x ++=+,1312142334124134()()n a f x f x x x x x x x x x x x x x x x x x =+++++++.经验证,1()()()2n a n idf x f x W dx =,(1,2,3,4)i =,故()()n a f x f x 是H 布尔函数.从上面的讨论可知，线性函数()n a f x 和1()n a f x +虽然本身并不具备良好的密码学性质，但利用线性函数却可从Bent 函数中得到H 布尔函数，使Bent 函数在密码系统中有了更进一步的使用价值.它也提供了Bent 函数重量关系的一些规律性变化，使得我们可以进一步探讨这些性质在密码系统中是否还有可利用的内容.比如，可以在这一基础上探讨相关免疫性变化的情况，非线性度变化的情况等问题.这里不再讨论.从上面的讨论中，也可以看到布尔函数的导数和e-导数在布尔函数的密码学性质讨论中的出色作用.它们是布尔函数的密码学研究中的重要工具.参考文献：[1]Zha ng Zhijie ,Wang Zhuo,Ma S ha oxian.The Structural Characteristics of the Boolean Function with Several Properties of Indicators in Cryptographic System,Advances in systems science and pplications,Vol 2,2007.[2]王卓.布尔代数与自动机[M ].兰州:甘肃科学技术出版社,2006.[3]温巧艳,钮心忻,杨义先.现代密码学中的布尔代数.现代密码学中的布尔函数[M ].北京:科学出版社,2000.19。