在过去的几十年间,信息技术得到了空前发展,信息安全问题也逐渐得到了全世界的重视。作为信息安全的基石,密码学被应用到了更多的领域。密码算法分为对称密码算法和非对称密码算法。而对称密码算法又可根据其不同用途分为分组密码、流密码、哈希算法和认证加密算法等。对称密码算法以其加密速度快、便于软硬件实现等优点,被广泛应用于数据加密、消息认证等领域。本文主要围绕飞去来器攻击和矩形攻击,分析了几个可调分组密码和轻量级密码的安全性。在研究过程中,我们提出了新的相关密钥飞去来器攻击和矩形攻击模型,并将矩形攻击模型应用到重要算法SKINNY和GIFT中。此外,我们改进了现有的用于搜索Deoxys-BC相关密钥矩形区分器的MILP模型,基于该模型获得了更好的区分器,并将其应用到了 Deoxys-BC相关密钥飞去来器攻击和矩形攻击中。可调分组密码SKINNY的安全性分析“可调分组密码”的概念最早由Moses Liskov等人提出,目的是使得设计的算法同时保证使用时的实现效率和加密的可变性。与传统分组密码算法相比,除了以明文和密钥作为输入外,还需要一个被称为调柄(tweak)的输入。SKINNY算法族由Christof Beierle等人于2016年在CRYPTO会议上提出,目的是在硬件和软件性能方面与美国国家安全局(NSA)设计的SIMON算法竞争。SKINNY算法采用TWEAKEY框架,因此将调柄和主密钥的级联称为可调密钥。SKINNY算法族根据分组长度和可调密钥长度的不同共分为6个版本,记作SKINNY-n-t,其中n为分组长度,可取64或128,t为可调密钥长度,分为t=n,t=2n 和t=3n。SKINNY算法发布以来,受到了很多密码学家的关注。在AFRICACRYPT 2017会议上,Tolba等人给出了 18轮、20轮和22轮的SKINNY-n-n,SKINNY-n-2n和SKINNY-n-3n在单密钥情形下的不可能差分分析。在ToSC 2017会议上,Liu等人在相关密钥设定下,将获得的不可能差分区分器和矩形区分器,分别应用到 19 轮、23 轮和27 轮的SKINNY-n-n,SKINNY-n-2n 和SKINNY-n-3n的密钥恢复中。在ASIACRYPT 2018会议上,Shi等人利用Demirci-Selcuk中间相遇攻击分析了22轮SKINNY-128-384。在ToSC 2019会议上,Song等人重新计算了在ToSC 2017会议上提出的部分相关密钥矩形区分器的概率。本文中我们提出了新的相关密钥矩形攻击模型,并将其应用到SKINNY-128-384算法上,成功将27轮SKINNY-128-384相关密钥矩形攻击地的时间复杂度降低237,且首次给出了28轮SKINNY-128-384的相关密钥矩形攻击,时间复杂度为2315.25。轻量级密码GIFT的安全性分析普适计算的发展推进了轻量级密码算法研究领域的迅速发展,出现了很多轻量级密码算法,如PRESENT、PHOTON等。为了庆祝PRESENT算法诞生10周年,Banik等人于CHES 2017会议上提出GIFT分组密码算法,是PRESENT算法的升级版,GIFT算法根据分组长度不同分为GIFT-64和GIFT-128两个版本。在IWSEC 2018会议上,Sasaki将中间相遇攻击应用到GIFT-64,给出了一个15轮的攻击。在CT-RSA 2019会议上,Zhu等人利用混合整数线性规划(MILP)技术搜索了GIFT算法的差分路线,并分析了 19轮GIFT-64和22轮GIFT-128的安全性。在ACISP 2019会议上,Liu和Sasaki结合飞去来器连接表技术,给出了23轮GIFT-64的相关密钥攻击。此外,Chen等人通过MILP技术搜索差分路线,并给出一个23轮GIFT-64相关密钥矩形攻击。本文中,我们主要研究了GIFT算法在相关密钥矩形攻击方面的安全性。基于Chen等人提出的19轮GIFT-64相关密钥矩形区分器,分别向前和向后扩展3轮和2轮,并结合我们所提出的新型相关密钥矩形攻击模型,首次给出了对24轮GIFT-64的相关密钥矩形攻击,时间复杂度为292.81。CAESAR竞赛获胜算法Deoxys内部算法Deoxys-BC的安全性分析认证加密(AE)是一种能够提供保密性、完整性和认证性的加密算法。为了获得安全性更强的认证加密算法,CAESAR竞赛于2014年启动。经过来自全世界的密码学家和工程师的四轮筛选,最终6个认证加密算法获胜。Deoxys算法族由Jeremy Jean等人设计,共包含Deoxys-Ⅰ和Deoxys-Ⅱ两个版本,并且两个版本均采用可调分组密码算法Deoxys-BC作为其内部主算法,Deoxys-BC的设计也是采用TWEAKEY框架,且根据可调密钥长度分为Deoxys-BC-256 和Deoxys-BC-384 两个版本。在ToSC 2017会议上,Cid等人指出,可调密钥差分拥有自由度,密钥扩展算法和列混合与添加轮可调密钥操作消耗自由度,并提出了一个新型的相关密钥MILP模型,给出了9轮和10轮Deoxys-BC-256、12轮和13轮Deoxys-BC-384的相关密钥矩形攻击。之后,基于Cid提出的相关密钥飞去来器区分器,Sasaki给出了一种对Deoxys-BC-256和Deoxys-BC-384改进的相关密钥飞去来器攻击。在2018年EUR.OCRYPT会议上,Cid等人提出飞去来器连接表(BCT)技术,重新计算了 10轮Deoxys-BC-384的相关密钥飞去来器区分器的概率。在ToSC 2019会议上,Wang和Song均结合BCT技术,提出了一个可以应用到多轮飞去来器转换的一般化框架,且Wang介绍了一个名为飞去来器差分表(BDT)的技术。本文中,我们通过添加更多的约束条件,改进了Cid提出的搜索相关密钥区分器的MILP模型,所获得的相关密钥矩形区分器扩展若干轮后,所获得的活跃字节数较之前有所降低。利用新的区分器,我们降低了之前的10轮Deoxys-BC-256和13轮Deoxys-BC-384分析复杂度,并首次给出了11轮Deoxys-BC-256和14轮Deoxys-BC-384相关密钥矩形攻击,时间复杂度分别为2249.9 和 2282.7。