目前使用最广泛的加密体制是基于1977年被美国标准局（National Bureau of Standards，现在的美国标准技术局，NIST）作为第46号联邦信息处理标准而采用的数据加密标准DES[46]。在DES中，数据以64比特分组进行加密，密钥长度为56比特，加密算法通过一系列的步骤把64比特的输入变换成64比特的输出，解密过程中使用同样的步骤和同样的密钥。DES是LUCIFER（一种Feistel结构的分组算法，它的分组长度为64比特，密钥长度为128比特）的改进版本，它抗击密码分析的能力更强。在1999年，NIST发行了新版本FIPS PUB 46-3，其中指出DES只能用于遗留系统的使用，主要使用三重DES（即使用两个或者三个不同的密钥重复DES算法三遍来产生密文）。1997年1月2号，NIST宣布开始寻找新的对称密钥分组密码算法作为新的加密标准来取代DES。新算法将命名为高级加密标准（Advanced Encryption Standard，AES）.与DES的封闭式设计过程不同，1997年9月12号，对AES算法的公开征集正式启动。征集规定AES为非保密的，完全公开的对称密钥加密算法：算法分组长度（至少）为128比特，密钥长度可选128，192，256比特，并且算法强度至少与三重DES相同，并且效率要高于三重DES.另外，入选算法必须在世界范围内可用。1998年8月20号，NIST宣布了一组15个AES候选算法。这些算法是由世界各地的密码学研究团体成员所提供。通过征集公开的评估开始对这些算法进行过滤（公开评估时期为第一阶段）。第一阶段于1999年4月15号结束。通过对候选算法的评估和分析，NIST从15个候选算法中选出5个最终候选算法，这5个算法分别为MARS[8]，RC6[50]，Rijndael[25]，Serpent[1]和Twofish[49]。这些最终入选的算法经过进一步更加深入的分析阶段（第二阶段）。在第二阶段，对于候选算法的各个方面：密码分析，算法性质，所有算法的交叉分析，整体建议和实现问题等进行分析和评估。第二阶段结束于2000年3月15号，之后NIST根据各种可用信息来进行AES的选择。2000年10月2号，NIST宣布将由Joan Daemen和Vincent Rijmen[24]设计的算法Rijndael作为AES.2001年11月，AES作为FIPS 197[27]正式出版，今天已经快速成为数字基础设施的至关重要的组成部分。在这篇论文中我们研究了高级加密标准的性质以及某些分析方法。基于这些AES的性质，我们提出了AES的一些新性质，这些性质的提出在AES的分析中是非常重要的。我们也在对AES的某些现有攻击的基础上进行了改进，给出了我们对AES的最新分析结果。本文是这样组织的。第1章介绍关于AES的背景知识，在这章的结尾对我们最重要的分析结论进行了总结。在第2章我们描述了AES算法。首先介绍AES算法最基本的四种变换，然后介绍密钥方案。最后将AES算法以伪代码进行描述。对AES的分析的部分结果在第3章中给出。第一节我们介绍了已有的一些关于AES的S-盒本身的性质。尽管还没有针对这些性质提出的攻击，但是这些性质对我们分析AES算法是十分重要的。基于这些性质，我们观察到一个新的性质，就是对于AES的S-盒来说，只存在两对元素，‘EC’和‘CE’，‘32’和‘23’，满足下面的关系S（xy）=yx。在这个性质中，S-盒的作用等价于向左循环移4位。如果把这个性质理解成S-盒的作用与循环移位运算之间的等价关系，我们可以把所有满足这种关系的元素总结到一个表格中。这个表格中的每个元素满足：S-盒对任一元素的作用等价于该元素的循环移位运算，其中移位的位数由该元素在表中对应的数字决定。我们都知道对于AES的S-盒没有不动点存在，也就是说没有元素满足S（x）=x，因此这个性质对于AES算法的分析还是十分重要的。在提出这些性质之后，第二节我们给出已有的一些关于AES密钥方案的性质，这些性质被应用在各种分析方法中。我们也推导出下列的新性质W₄=W₂₄⊕W₂₈，W₅=W₂₅⊕W₂₉。这些性质在我们对AES的新的分析中得到应用。第三节我们讨论了AES算法的设计原则，主要是针对S-盒的设计进行讨论。为了解释AES的设计准则，我们列举了关于AES的S-盒的差分分布表的一些性质，这些性质可以帮助我们更好的理解AES的设计准则。差分分析[14]和线性分析[38]是分组密码分析的最基本的两个工具。随着密码设计理论的发展，越来越多的新密码算法抵抗这些传统攻击方法，并且出现了更多的分析方法，比如[4]，[6]，[9]，[15]，[31]和[52]。在第4章我们介绍以前出现的对AES的一些分析结果，首先介绍square攻击。square攻击首先在提出square算法的论文中提出[19]，是一种针对square算法中特定的字节结构特点进行的攻击方法。这种方法同样适用于AES，因为Rijndael继承了很多square算法的特点。在[22]中Rijndael算法的作者提出了对于AES的square攻击。Biham和Keller将此攻击改进了两倍[13]。Lucks将square攻击对于AES-192和AES-256扩展到7轮[34]。他的攻击利用了AES-192和AES-256的密钥方案的特点。最好的square攻击是由Ferguson，Kelsey和Lucks等人在[26]中用到的部分和（partial sum）技术。我们在第4章的第一节对上述攻击进行了简要描述。在第4章第二节，我们描述对AES的不可能差分攻击。对AES的不可能差分攻击首先由Biham和Keller在[13]中提出。然后Cheon，Kim和Kimin等人在[17]中给出了6轮AES的不可能差分分析。Phan在[48]中将对AES的不可能差分扩展到7轮。在这一章最后两节我们讨论对AES的碰撞攻击和飞去来器攻击。对AES的碰撞攻击首先由Gilbert和Minier在[28]中提出。Biryukov在[3]中给出了5轮和6轮的对AES的飞去来器攻击。我们将这些攻击的时间复杂度，数据复杂度和内存需要总结成一个表格。第5章给出了我们对AES算法的最新的分析结果。基于碰撞攻击中给出的三轮性质[28]，我们在这章的第一节描述了王小云教授提出的三轮AES中存在的一个新性质。基于这个新性质中的一些结果，王小云教授把这个性质提升到一个新的高度，这样我们提出了三轮AES中存在的一类新的碰撞。特别的，这种word碰撞的平均概率大约为2^-16，王小云教授提出了对这个概率的证明的主要思想。基于对AES的碰撞攻击，第二节中我们给出了改进的7轮AES-192的碰撞攻击。这种改进主要是利用了第3章中推导的在AES-192算法中的密钥性质，并且通过更加仔细的猜测，这种的复杂度得到进一步降低。第三节中我们在Biryukov的5轮和6轮AES飞去来器攻击的基础上将飞去来器攻击对AES-192扩展到7轮。我们把主要的分析结果总结如下：1．给出了关于AES的S-盒和密钥方案的一些性质。我们也列出了关于AES的S-盒的差分分布表的一些性质，这些性质可以帮助我们更好的理解AES的设计准则。2．给出了一个三轮AES的新性质。在这个性质中首次提出了三轮AES中存在的一类新的碰撞。我们对这类碰撞的概率进行了特别的讨论。3．给出了改进的7轮AES-192的碰撞攻击。这种攻击可以使用大约2¹²⁰次加密运算和2¹²³字节的内存来恢复主密钥。这比Gilbert-Minier的攻击[28]在时间复杂度上降低了2²⁴倍而内存只增加2⁸倍。如果使用与Gilbert-Minier的攻击同样的内存，这种攻击的时间复杂度大约是2¹²⁷次运算。4．将AES-192的飞去来器攻击扩展到7轮．这种攻击需要2³⁹选择明文，2¹⁸³自适应选择密文，2¹⁸³加密运算和2³⁷字节内存。最后我们在第6章总结我们的结果，并且提出了未来可以研究的问题。