第10章密码学的新方向课件.ppt

第第1 1章章 绪论绪论第第2 2章章 古典密码体制古典密码体制第第3 3章章 分组密码体制分组密码体制第第4 4章章 序列密码体制序列密码体制第第5 5章章 非对称密码体制非对称密码体制第第6 6章章 认证理论与技术认证理论与技术HashHash函数函数第第7 7章章 认证理论与技术认证理论与技术数字签名数字签名第第8 8章章 认证理论与技术认证理论与技术身份认证技术身份认证技术第第9 9章章 密钥管理技术密钥管理技术第第1111章章 密码学的应用密码学的应用附录：应用密码算法课程设计附录：应用密码算法课程设计 量子密码学原理量子密码学原理 量子密钥分配协议量子密钥分配协议 混沌序列的产生及其随机序列混沌序列的产生及其随机序列 混沌密码体制混沌密码体制 其它新密码体制简介其它新密码体制简介 自自19491949年香农发表奠基性论著年香农发表奠基性论著 “保密系统的通信理保密系统的通信理论（论（Communication Theory of Secrecy SystemsCommunication Theory of Secrecy Systems）”标标志着现代密码学的诞生以来，密码学在志着现代密码学的诞生以来，密码学在“设计设计破译破译设计设计”的模式下迅速发展起来。近的模式下迅速发展起来。近2020年来，涌现出了许年来，涌现出了许多新的密码学思想。多新的密码学思想。 本章首先介绍了本章首先介绍了量子密码学简介量子密码学简介、量子密码学原理量子密码学原理、量子密钥分配协议量子密钥分配协议和和量子密码学面临的挑战及未来发展趋量子密码学面临的挑战及未来发展趋势势，然后介绍了，然后介绍了混沌理论的基本概念、混沌序列的产生及混沌理论的基本概念、混沌序列的产生及其随机序列、混沌密码体制和具体的应用示例其随机序列、混沌密码体制和具体的应用示例，最后简要，最后简要介绍了介绍了多变量公钥密码体制、基于格的公钥密码体制和多变量公钥密码体制、基于格的公钥密码体制和DNADNA密码体制密码体制等其它新密码体制。等其它新密码体制。 1. 量子密码学量子密码学 量子密码学（量子密码学（Quantum CryptographyQuantum Cryptography）是量子力学与现代密）是量子力学与现代密码学相结合的产物。码学相结合的产物。 1970 1970年，美国科学家威斯纳（年，美国科学家威斯纳（WiesnerWiesner）首先将）首先将量子力学用于量子力学用于密码学，密码学，指出可以利用单量子状态制造不可伪造的指出可以利用单量子状态制造不可伪造的“电子钞票电子钞票”。 1984 1984年，年，IBMIBM公司的贝内特（公司的贝内特（BennettBennett）和）和MontrealMontreal大学的布大学的布拉萨德（拉萨德（BrassardBrassard）在基于威斯纳的思想的基础上研究发现，单）在基于威斯纳的思想的基础上研究发现，单量子态虽然不便于保存但可用于传输信息，提出了第一个量子态虽然不便于保存但可用于传输信息，提出了第一个量子密量子密码学方案码学方案（即基于量子理论的编码方案及密钥分配协议），称为（即基于量子理论的编码方案及密钥分配协议），称为BB84BB84协议协议。，由此迎来了量子密码学的新时期。，由此迎来了量子密码学的新时期。（1）量子密码学简介）量子密码学简介 1991 1991年，英国牛津大学的年，英国牛津大学的EkertEkert提出的提出的充分利用了量子系统的纠缠特性，通过纠缠量子系统充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了的非定域性来传递量子信息，取代了BB84 BB84 协议中用来传递量子位协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。的量子信道，因而可以更加灵活地实现密钥分配。 1992 1992年，贝内特指出年，贝内特指出。 至此，至此，2020世纪世纪90 90 年代以来世界各国的科学家对量子密码通信的研究年代以来世界各国的科学家对量子密码通信的研究投入了大量的精力，并取得了较大的成功。投入了大量的精力，并取得了较大的成功。 瑞士瑞士University of Geneva University of Geneva 在原有光纤系统中已建立在原有光纤系统中已建立22.8km 22.8km 量子保密通信线路并投入了实用量子保密通信线路并投入了实用； 英国英国BTBT实验室已实现在常规光缆线路上量子密码通信传输距离实验室已实现在常规光缆线路上量子密码通信传输距离达达55km55km； 美国美国LosAlamos LosAlamos 实验室已成功实现实验室已成功实现48km 48km 量子密钥系统运行两量子密钥系统运行两年，年，20002000年他们在自由空间中使用年他们在自由空间中使用QKDQKD系统成功实现传输距离为系统成功实现传输距离为1.6 1.6 公里；公里； 20022002年，德国幕尼黑大学和英国军方的研究机构合作，在德国、年，德国幕尼黑大学和英国军方的研究机构合作，在德国、奥地利边境利用激光成功地传输了量子密码，试验的传输距离达到奥地利边境利用激光成功地传输了量子密码，试验的传输距离达到了了23.423.4公里；公里； 20032003年年1111月，日本三菱电机公司宣布使用量子通信技术传送信月，日本三菱电机公司宣布使用量子通信技术传送信息的距离可达息的距离可达87km87km； 2005 2005年初，年初，ID QuantumID Quantum公司启动了一个称为公司启动了一个称为VectisVectis的量子密码的量子密码系统（系统（http:/www. Ihttp:/www. I），它由一个链路加密器组成，），它由一个链路加密器组成，能在能在100km100km距离的光纤上自动进行量子密钥交换。距离的光纤上自动进行量子密钥交换。 2007 2007年，一个由奥地利、英国、德国研究人员组成的小组在量年，一个由奥地利、英国、德国研究人员组成的小组在量子通信研究中创下通信距离达子通信研究中创下通信距离达144km144km的最新记录，并认为利用这种的最新记录，并认为利用这种方法有望在未来通过卫星网络来实现太空中的绝密信息传输。方法有望在未来通过卫星网络来实现太空中的绝密信息传输。 我国量子通信的研究起步较晚，但在量子密码实现方面也做了大我国量子通信的研究起步较晚，但在量子密码实现方面也做了大量的工作。量的工作。 1995 1995 年中科院物理研究所在国内首次用年中科院物理研究所在国内首次用BB84BB84协议做了演示实验，协议做了演示实验，华东师范大学用华东师范大学用B92B92方案作了实验，方案作了实验，20002000年中科院物理研究所和中年中科院物理研究所和中科院研究生院合作完成了国内第一个科院研究生院合作完成了国内第一个850nm850nm波长全光纤量子密码通波长全光纤量子密码通信实验通信距离大大信实验通信距离大大1.1 km1.1 km。 20072007年年1 1月，由清华华大学、中国科学技术大学等组成的联合研月，由清华华大学、中国科学技术大学等组成的联合研究团队在远距离量子通信研究上取得了重大突破。他们采用诱骗信究团队在远距离量子通信研究上取得了重大突破。他们采用诱骗信号的方法，在我国率先实现了以弱激光为光源、绝对安全距离大于号的方法，在我国率先实现了以弱激光为光源、绝对安全距离大于100km100km的量子密钥分发。的量子密钥分发。 20072007年年4 4月月2 2日，中国科学院量子信息重点实验室利用自主创新的日，中国科学院量子信息重点实验室利用自主创新的量子路由器，在北京网通公司公司商用通信网络上率先完成了四用量子路由器，在北京网通公司公司商用通信网络上率先完成了四用户量子密码通信网络测试运行并确保了网络通信的安全。户量子密码通信网络测试运行并确保了网络通信的安全。 量子密码学是现代密码学领域的一个很有前途的新方向，量子密码学是现代密码学领域的一个很有前途的新方向，量子密量子密码的安全性是基于量子力学的测不准性和不可克隆性码的安全性是基于量子力学的测不准性和不可克隆性，其特点是对，其特点是对外界任何扰动的可检测性和易于实现的无条件安全性；外界任何扰动的可检测性和易于实现的无条件安全性；扰动的可检扰动的可检测性的理论基础是测性的理论基础是HeisenbergHeisenberg测不准原理，而无条件安全性的理论测不准原理，而无条件安全性的理论基础是不可克隆定理基础是不可克隆定理。要破译量子密码协议就意味着必须否定量子。要破译量子密码协议就意味着必须否定量子力学定律，所以量子密码学也是一种理论上绝对安全的密码技术。力学定律，所以量子密码学也是一种理论上绝对安全的密码技术。 美国美国商业周刊商业周刊将量子密码列为将量子密码列为“改变人类未来生活的十大发改变人类未来生活的十大发明明”的第三位，科学家们认为它是目前最安全的密码，最高明的攻的第三位，科学家们认为它是目前最安全的密码，最高明的攻击者也一筹莫展。击者也一筹莫展。 量子密码通信不仅是绝对安全的、不可破译的，而且任何窃取量量子密码通信不仅是绝对安全的、不可破译的，而且任何窃取量子的动作都会改变量子的状态，所以一旦存在窃听者，会立刻被量子的动作都会改变量子的状态，所以一旦存在窃听者，会立刻被量子密码的使用者所知。子密码的使用者所知。因此，量子密码可能成为光通信网络中数据因此，量子密码可能成为光通信网络中数据保护的强有力工具，而且要能对付未来具有量子计算能力的攻击者，保护的强有力工具，而且要能对付未来具有量子计算能力的攻击者，量子密码可能是唯一的选择。量子密码可能是唯一的选择。 HeisenbergHeisenberg测不准原理：量子密码的基本理论依据。测不准原理：量子密码的基本理论依据。（2）量子密码学原理）量子密码学原理 图图10-110-1电子衍射实验电子衍射实验 量子密码的基本原理量子密码的基本原理 在量子密码学中，量子密钥分配原理来源于光子偏振的原理：在量子密码学中，量子密钥分配原理来源于光子偏振的原理：光光子在传播时，不断地振动。子在传播时，不断地振动。如果一大批光子以沿同样的方向振动则称为偏振光。如果相反，如果一大批光子以沿同样的方向振动则称为偏振光。如果相反，沿各种不同的方向振动的光称为非偏振光沿各种不同的方向振动的光称为非偏振光。通常生活中的光如日光、。通常生活中的光如日光、照明灯光等都是非偏振光。偏振滤光器（偏振片）只允许沿特定方照明灯光等都是非偏振光。偏振滤光器（偏振片）只允许沿特定方向的偏振的光子通过，并吸收其余的光子。向的偏振的光子通过，并吸收其余的光子。 （3）量子密钥分配协议）量子密钥分配协议 量子密码学面临的技术挑战量子密码学面临的技术挑战 （4）量子密码学面临的挑战及未来发展趋势）量子密码学面临的挑战及未来发展趋势 单光子探测单光子探测：有了可靠的光子源，量子密钥分发成败就取：有了可靠的光子源，量子密钥分发成败就取决于单个光子探测的可能性。目前可以通过光子增倍器、雪崩二极决于单个光子探测的可能性。目前可以通过光子增倍器、雪崩二极管（管（Avalanche PhotodiodesAvalanche Photodiodes）、多通道极板、超导）、多通道极板、超导JosephsonJosephson结等结等来实现。一般来说，理想的单光子探测器应满足能在较大光谱范围来实现。一般来说，理想的单光子探测器应满足能在较大光谱范围内取得高的量子探测效率、产生噪声的概率应很小、具有较高的定内取得高的量子探测效率、产生噪声的概率应很小、具有较高的定时分辨率和恢复时间要很小等，但是同时满足这些要求，到目前为时分辨率和恢复时间要很小等，但是同时满足这些要求，到目前为止还是不可能的。目前最好的选择是雪崩二极管，但仍然还存在一止还是不可能的。目前最好的选择是雪崩二极管，但仍然还存在一些尚未克服的难题。些尚未克服的难题。低传输率低传输率：由于量子密钥分配的工作原理决定了只有部分：由于量子密钥分配的工作原理决定了只有部分传输位才能用于作为密钥，导致量子密钥传输的效率低。如何提高传输位才能用于作为密钥，导致量子密钥传输的效率低。如何提高传输效率也是一个技术难题。传输效率也是一个技术难题。 量子密码学的未来发展方向量子密码学的未来发展方向 2. 基于混沌理论的密码体制基于混沌理论的密码体制 混沌理论简介混沌理论简介 （1）混沌理论的基本概念）混沌理论的基本概念 混沌理论的基本概念混沌理论的基本概念 在条件（在条件（1 1）中说明，）中说明，混沌现象中，各种周期成分并存；混沌现象中，各种周期成分并存；而条而条件（件（2 2）表明，非周期成分也共存；）表明，非周期成分也共存；条件（条件（2 2）中的条件和表明）中的条件和表明任何两点的迭代轨迹时分时合，条件表明非周期轨道不可能呈现任何两点的迭代轨迹时分时合，条件表明非周期轨道不可能呈现出渐近的周期行为出渐近的周期行为，这些条件充分反映了映射迭代轨迹的混乱（随，这些条件充分反映了映射迭代轨迹的混乱（随机）特性。机）特性。 李李-Yoke-Yoke定理给出了一个判别映射混沌的条件：周期定理给出了一个判别映射混沌的条件：周期3 3意味着混意味着混沌。其数学理论表示为：沌。其数学理论表示为：（2）混沌序列的产生及其随机序列）混沌序列的产生及其随机序列 在混沌序列应用中，最大的困难和要求是其随机性度量和事实在混沌序列应用中，最大的困难和要求是其随机性度量和事实周期的研究周期的研究。 可以断言，混沌序列不可能严格满足可以断言，混沌序列不可能严格满足GolombGolomb随机性条件，也许随机性条件，也许根本不满足。根本不满足。 由于计算精度的限制，混沌序列实际上是周期性的，对密码学由于计算精度的限制，混沌序列实际上是周期性的，对密码学而言，这个周期要足够大，但是我们甚至不能计算一个混沌系统的而言，这个周期要足够大，但是我们甚至不能计算一个混沌系统的事实周期。事实周期。这也给基于混沌的密码学应用带来了巨大的障碍，也成这也给基于混沌的密码学应用带来了巨大的障碍，也成为密码学研究的主要内容。为密码学研究的主要内容。 显然，可以认为是实际上是安全的。显然，可以认为是实际上是安全的。同时，我们还看到，只要简同时，我们还看到，只要简单地提高数据的有效数，攻击时间以指数速度增长。单地提高数据的有效数，攻击时间以指数速度增长。 但随后但随后WheelerWheeler又指出，对于这种映射生成的序列，不能抵抗又指出，对于这种映射生成的序列，不能抵抗差分密码分析方法，因而也是不安全的。差分密码分析方法，因而也是不安全的。 Wheeler Wheeler和和MatthewsMatthews进一步研究指出，只要提高计算机运算的进一步研究指出，只要提高计算机运算的精度，精度，MatthewsMatthews的混沌序列生成方法仍然适用于密码学。的混沌序列生成方法仍然适用于密码学。（3）混沌密码体制）混沌密码体制 迭代次数一般要尽量地大，越大，差别不大的明文加密后得到迭代次数一般要尽量地大，越大，差别不大的明文加密后得到的密文差别就越大。的密文差别就越大。 此外，的选取还需要使明、密文满足一定的分布性要求，一般此外，的选取还需要使明、密文满足一定的分布性要求，一般可以使用以下方法来选取：可以使用以下方法来选取： （1 1）随机地选取一个点作为密文，取一些密钥进行解密，考察）随机地选取一个点作为密文，取一些密钥进行解密，考察明文的分布，使之相对于密钥在上一致地分布；明文的分布，使之相对于密钥在上一致地分布； （2 2）将（）将（1 1）中选取的密钥稍加变化，再解密密文，得到明文）中选取的密钥稍加变化，再解密密文，得到明文的分布，这个分布与（的分布，这个分布与（1 1）中的分布独立。）中的分布独立。 如果的选取满足（如果的选取满足（1 1）和（）和（2 2），则密码体制就会具有良好的安），则密码体制就会具有良好的安全性。全性。 （4）应用示例）应用示例 下面介绍的混沌映射的对称密码体制的应用示例。下面介绍的混沌映射的对称密码体制的应用示例。3.其它新密码体制简介其它新密码体制简介 （1）多变量公钥密码体制简介）多变量公钥密码体制简介 近年来，多变量公钥密码体制逐渐成为现代密码学研究的热点。近年来，多变量公钥密码体制逐渐成为现代密码学研究的热点。多变量公钥密码体制的安全性是建立在求解有限域上随机多变量多多变量公钥密码体制的安全性是建立在求解有限域上随机多变量多项式方程组是项式方程组是NPNP困难问题的论断上。困难问题的论断上。 由于运算都是在较小的有限域上进行，所以多变量公钥密码体由于运算都是在较小的有限域上进行，所以多变量公钥密码体制中的计算速度非常快。制中的计算速度非常快。 到目前为止，已经研究出很多新的多变量公钥密码体制，这些到目前为止，已经研究出很多新的多变量公钥密码体制，这些多变量公钥密码体制当中一些非常适用于诸如无线传感器网络和动多变量公钥密码体制当中一些非常适用于诸如无线传感器网络和动态态RFIDRFID标签等计算能力有限能力的设备。标签等计算能力有限能力的设备。 2003 2003年，一个多变量签名体制年，一个多变量签名体制SFLASHSFLASH已经被欧洲已经被欧洲NESSIENESSIE密密码计划接受用于低耗智能卡的推荐算法。码计划接受用于低耗智能卡的推荐算法。 （2）基于格的公钥密码体制简介）基于格的公钥密码体制简介 与多变量公钥密码体制类似，基于格的公钥密码体制也一类高与多变量公钥密码体制类似，基于格的公钥密码体制也一类高效的公钥密码体制。效的公钥密码体制。 这类密码体制的安全性基石的格中的三个这类密码体制的安全性基石的格中的三个NPNP困难问题困难问题最短最短向量问题（向量问题（SVPSVP）、最近向量问题（）、最近向量问题（CVPCVP）和最小基问题（）和最小基问题（SBPSBP）。）。这类密码体制也有希望取代这类密码体制也有希望取代RSARSA密码体制来抵挡量子计算机和量子密码体制来抵挡量子计算机和量子算法的攻击。算法的攻击。 目前，基于格的公钥密码体制的典型代表有目前，基于格的公钥密码体制的典型代表有NTRUNTRU公钥密码体制公钥密码体制和和NTRUSignNTRUSign数字签名体制等。数字签名体制等。 （3）DNA密码体制简介密码体制简介 19941994年，年，AdiemanAdieman利用利用DNADNA计算解决了一个有向哈密尔顿路径问计算解决了一个有向哈密尔顿路径问题，标志着信息时代开始了一个新的阶段。题，标志着信息时代开始了一个新的阶段。 由于由于DNADNA计算具有超大规模并行性、超低的能力消耗和超高密计算具有超大规模并行性、超低的能力消耗和超高密度的信息存储能力。伴随着度的信息存储能力。伴随着DNADNA计算的研究出现了一个新的密码学计算的研究出现了一个新的密码学领域领域DNADNA密码学。密码学。 DNA DNA密码的特点是以密码的特点是以DNADNA为信息载体，以现代生物技术为实现工为信息载体，以现代生物技术为实现工具，挖掘具，挖掘DNADNA固有的高存储密度和工并行性等优点，实现加密、认固有的高存储密度和工并行性等优点，实现加密、认证及签名等功能。证及签名等功能。 2004 2004年，年，GehaniGehani等人利用等人利用DNADNA实现了一次一密的加密方法，他实现了一次一密的加密方法，他们还提出了两种方法来加密大量的短消息，一是用替代方法，二是们还提出了两种方法来加密大量的短消息，一是用替代方法，二是用分子计算技术进行异或计算。用分子计算技术进行异或计算。