高阶差分攻击是差分分析的高阶推广,同时是积分攻击的一种特例。因其简单的攻击流程以及强大的攻击能力,在分组密码分析领域得以广泛使用。1994年来学嘉首次在密码分析学中提出高阶差分的概念,详细阐述了布尔函数高阶导数的基本性质,并成功将差分攻击的思想延伸到高阶差分攻击,从而有效利用多个差分对的密码性质。1997年,R.Knudsen和T.Jakobsen第一个在具体的分组密码分析中用到高阶差分思想,并在2⁴²时间复杂度下使用2⁹个明文恢复6轮KN密码的最后一轮密钥。自此,高阶差分攻击广泛应用在分组密码分析学中。随后几年时间,涌现了Square攻击、Saturation攻击和Multiset攻击。2002年,R.Knudsen总结这些攻击的核心思想,提出了积分攻击,进一步发展了高阶差分思想。2007年,密码学家M.Vielhaber针对流密码Trivium提出了代数初始向量差分攻击。随后一年的美密会上,I.Dinur和A.Shamir对Trivium做了进一步分析,提出Cube攻击。2015年,日本学者Y.Todo形式化了积分特征,提出分割性质这一概念,可以更有效地找出优化积分区分器。从本质上看,以上密码分析方法都是利用了高阶差分的思想,高阶差分攻击是在任意子空间上进行求和,而积分攻击、AIDA攻击和积分攻击则是在特定子空间上求和,通过对子空间选取的限制,从而找出更优的攻击方程组,加速在线攻击阶段恢复密钥。在高阶差分思想发展的过程中,有许许多多问题正等待我们去解决。我们首先从布尔函数的密码学性质入手,随后结合具体的密码算法,研究了高阶差分攻击及其相关问题,得到如下的成果:1.我们对布尔函数的高阶导数进行了研究,并得到一些有意思的性质:i-DP在F₂ⁿ对于异或运算是闭包;当布尔函数f有一个i-DP,则在一个非2-DP点处的差分后,原有的i-DP在此差分函数得以保留。此外,我们还提导出n变元d次的非线性布尔函数,至多有2^n-d-1个2-DP。通过构造相关高阶差分区分器,并计算各自区分器下的敌手优势,我们知道n个分量布尔函数均含有相同（n-1）次项的密码和含有低次布尔函数的密码都不是IND-CPA安全。这也为密码轮函数的设计提供了一些有意义的设计准则:为抵抗高阶差分攻击,分组密码设计时,其所有的布尔函数次数尽可能都含有不同的最高次（n-1）项,同时尽量避免低次数布尔函数的出现。2.我们重访了之前关于CAST-128结构类的高阶差分攻击,利用轮函数次数较低这一特性,使用高阶差分性质得到关于密钥的方程组并求解,即可得到相应的密钥。在这种攻击方法中,除了关于密钥的单项式外,存在大量冗余的多项式,大量攻击时间耗费在这里。基于此,我们分别对其进行了普通插值攻击和优化插值攻击。在普通插值攻击中,通过求解攻击方程组,得到相应的多项式系数,显然其并没有得到关于密钥的任何信息。通过变量转换的方法,将关于明文的高次多项式转换为关于密钥的多项式,从而在不明显增加数据复杂度的情况下,将其原有2^37.7的攻击复杂度降为2^31.4比特运算,并成功恢复密钥。同理,可对16轮的CAST-128结构类进行攻击,恢复出最后一轮密钥,需要2³¹选择明文,2^44.2次比特运算。3.我们针对低次Feistel分组密码,做了进一步的研究。在相关文献中提出的定理限制性较强,且最后所攻击的密码PURE也是恰好符合这些限制,从而取得较好的攻击效果。随着现代密码学中的不断发展,密码学者在设计密码时考虑得更为周全,从而很难满足轮函数所表示的有限域多项式的次数为奇数,次高项系数为0等这些条件。我们结合CAST-128结构类及其变体,进行了具体分析,使用Largrange插值思想求得次高项系数,再对其进行插值-高次积分攻击,对比攻击效果可以得出基于Feistel结构的分组密码设计时轮函数的次数并不是越高越好,要综合各种因素,在满足S盒的设计准则的同时,结合软硬件实现等因素,给出一个适当值,同时此值最好为偶数。