密码学发展报告2014年.ppt

《密码学发展报告2014年.ppt》由会员分享，可在线阅读，更多相关《密码学发展报告2014年.ppt（48页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国密码学会中国密码学会密码学发展报告密码学发展报告20142014CACR报告内容报告内容密码学发展历史回顾密码学发展历史回顾一一我国密码学最新研究进展我国密码学最新研究进展二二国内外密码学发展比较国内外密码学发展比较三三密码学发展趋势及展望密码学发展趋势及展望四四我国我国密码学学科发展建议密码学学科发展建议五五CACR一、密码学发展历史回顾一、密码学发展历史回顾v两个分支形成既对立又统一的矛盾体两个分支形成既对立又统一的矛盾体密码编码学密码编码学密码编码学密码编码学密码分析学密码分析学密码分析学密码分析学新方法新方法新方法新方法/新手段新手段新手段新手段新思想新思想新思想新思想/新结构新结

2、构新结构新结构密码编码学密码编码学 密码分析学密码分析学 高安全或新型密高安全或新型密码算法与协议的码算法与协议的设计理论、方法设计理论、方法与技术与技术破译密码算法与破译密码算法与协议或伪造认证协议或伪造认证信息的理论、方信息的理论、方法与技术法与技术新的应用驱动新的应用驱动标准化的需求标准化的需求新技术的出现新技术的出现分析技术的发展分析技术的发展新型计算技术新型计算技术存储技术存储技术编码技术的发展编码技术的发展CACR应用密码学发展时期应用密码学发展时期应用密码学发展时期应用密码学发展时期 现代密码学发展时期现代密码学发展时期现代密码学发展时期现代密码学发展时期 对称密码学早期发展时期

3、对称密码学早期发展时期对称密码学早期发展时期对称密码学早期发展时期 科学密码学前夜发展时期科学密码学前夜发展时期科学密码学前夜发展时期科学密码学前夜发展时期 1997-1997-当前当前1976-19961976-19961949-19751949-1975古代古代-1948-1948密码学发展的四个阶段密码学发展的四个阶段CACR二、我国密码学最新研究进展二、我国密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 密码学进展密码学进展最新理论与技术研究进展最新理论与技术研究进展CACR序列密码序列密码v序列密码是

4、一类重要的对称密码，在加密序列密码是一类重要的对称密码，在加密速度和硬件实现规模两方面具有明显优势速度和硬件实现规模两方面具有明显优势v我国学者早在我国学者早在2020世纪世纪7070年代就开始了序列年代就开始了序列密码的研究工作，在多个前沿方向上取得密码的研究工作，在多个前沿方向上取得了重要进展了重要进展v近几年，在序列密码领域有两个方面的成近几年，在序列密码领域有两个方面的成果值得一提：果值得一提：戴宗铎教授领导的团队在多重伪随机序列的多戴宗铎教授领导的团队在多重伪随机序列的多维连分式理论方面的工作维连分式理论方面的工作戚文峰教授领导的团队在整数剩余类环压缩导戚文峰教授领导的团队在整数剩余

5、类环压缩导出序列方面的工作出序列方面的工作CACR基于此理论解决了国际上多年未能解决的基于此理论解决了国际上多年未能解决的一系列难题：解决了有关一系列难题：解决了有关d-perfectd-perfect多重序多重序列的一个猜想；解决了有关二重序列线性列的一个猜想；解决了有关二重序列线性复杂度均值的一个猜想。复杂度均值的一个猜想。刻画了多重无限长序列线性复杂度的渐近性态；刻画了多重无限长序列线性复杂度的渐近性态；揭示了揭示了m-CFAm-CFA算法与广义算法与广义BerlekampBerlekamp-Massey-Massey算算法之间的关系。法之间的关系。多维连分式理论多维连分式理论 v戴宗铎

6、教授领导的团队创立了多维连分式戴宗铎教授领导的团队创立了多维连分式理论，并用此理论解决了多重序列中的若理论，并用此理论解决了多重序列中的若干重要基础问题。针对多重伪随机序列先干重要基础问题。针对多重伪随机序列先后提出了可实现最佳有理逼近的多维连分后提出了可实现最佳有理逼近的多维连分式算法（称为式算法（称为m-CFAm-CFA算法）和通用高维连分算法）和通用高维连分式算法（称为式算法（称为m-UCHAm-UCHA算法）算法）CACR环上本原序列压缩函数的保熵性环上本原序列压缩函数的保熵性 v戚文峰教授领导的团队近几年在环戚文峰教授领导的团队近几年在环Z/(Z/(pe e)()(p为奇素数为奇素数

7、)上本原序列压缩函数的保熵性方上本原序列压缩函数的保熵性方面又取得了一些重要进展面又取得了一些重要进展证明了证明了证明了证明了Z/(Z/(Z/(Z/(pepepepe)上本原序列最高权位序列上本原序列最高权位序列上本原序列最高权位序列上本原序列最高权位序列0 0 0 0元素元素元素元素的局部保熵性质，即两条不同的本原序列，其的局部保熵性质，即两条不同的本原序列，其的局部保熵性质，即两条不同的本原序列，其的局部保熵性质，即两条不同的本原序列，其最高权位序列的最高权位序列的最高权位序列的最高权位序列的0 0 0 0元素分布必不同。该结论大元素分布必不同。该结论大元素分布必不同。该结论大元素分布必不

8、同。该结论大大改进了大改进了大改进了大改进了20202020世纪世纪世纪世纪90909090年代初由我国学者和俄罗斯年代初由我国学者和俄罗斯年代初由我国学者和俄罗斯年代初由我国学者和俄罗斯学者分别独立证明的最高权位序列保熵性学者分别独立证明的最高权位序列保熵性学者分别独立证明的最高权位序列保熵性学者分别独立证明的最高权位序列保熵性证明了证明了证明了证明了Z/(Z/(Z/(Z/(p p p p)上形如上形如上形如上形如g g(xexe 1)1)(x x0,0,x x1,1,xexe 2)2)的的的的e e e e元多项式函元多项式函元多项式函元多项式函数都是保熵的数都是保熵的数都是保熵的数都是保

9、熵的对对对对Z/(Z/(Z/(Z/(pepepepe)上本原序列，证明了模压缩的保熵性，上本原序列，证明了模压缩的保熵性，上本原序列，证明了模压缩的保熵性，上本原序列，证明了模压缩的保熵性，即环即环即环即环Z/(Z/(Z/(Z/(pepepepe)上两条不同的本原序列模上两条不同的本原序列模上两条不同的本原序列模上两条不同的本原序列模M M M M压缩后压缩后压缩后压缩后得到的两条序列也互不相同，得到的两条序列也互不相同，得到的两条序列也互不相同，得到的两条序列也互不相同，M M M M是至少包含一是至少包含一是至少包含一是至少包含一个异于个异于个异于个异于p p p p的素因子的整数的素因子

10、的整数的素因子的整数的素因子的整数CACR分组密码分组密码v我国学者近几年在分组密码设计、分析和我国学者近几年在分组密码设计、分析和工作模式等方面取得了可喜的进展工作模式等方面取得了可喜的进展v值得一提的是吴文玲研究员领导的团队在值得一提的是吴文玲研究员领导的团队在一些典型的分组密码分析方面做出了突出一些典型的分组密码分析方面做出了突出贡献贡献NUSHNUSHNUSHNUSH对对对对NUSHNUSHNUSHNUSH分组密码算法的线性密码分析结分组密码算法的线性密码分析结分组密码算法的线性密码分析结分组密码算法的线性密码分析结果，在果，在果，在果，在NESSIENESSIENESSIENESSI

11、E的安全报告中被认为是对的安全报告中被认为是对的安全报告中被认为是对的安全报告中被认为是对NUSHNUSHNUSHNUSH分组分组分组分组密码算法最有效的攻击方法，从而导致密码算法最有效的攻击方法，从而导致密码算法最有效的攻击方法，从而导致密码算法最有效的攻击方法，从而导致NUSHNUSHNUSHNUSH分组分组分组分组密码算法在遴选中被淘汰。密码算法在遴选中被淘汰。密码算法在遴选中被淘汰。密码算法在遴选中被淘汰。AESAESAESAES利用时间利用时间利用时间利用时间/存储存储存储存储/数据折衷的思想，提出了数据折衷的思想，提出了数据折衷的思想，提出了数据折衷的思想，提出了对对对对AESAE

12、SAESAES更有效的不可能差分攻击；利用密钥扩展算更有效的不可能差分攻击；利用密钥扩展算更有效的不可能差分攻击；利用密钥扩展算更有效的不可能差分攻击；利用密钥扩展算法的特点，选取新的种子密钥差分，提高了对法的特点，选取新的种子密钥差分，提高了对法的特点，选取新的种子密钥差分，提高了对法的特点，选取新的种子密钥差分，提高了对AES-192AES-192AES-192AES-192相关密钥相关密钥相关密钥相关密钥-不可能差分攻击的有效性；利不可能差分攻击的有效性；利不可能差分攻击的有效性；利不可能差分攻击的有效性；利用列混合变换的独特性质，提出了对用列混合变换的独特性质，提出了对用列混合变换的独

13、特性质，提出了对用列混合变换的独特性质，提出了对AES-192AES-192AES-192AES-192的相的相的相的相关密钥关密钥关密钥关密钥-差分线性攻击方法。差分线性攻击方法。差分线性攻击方法。差分线性攻击方法。RijndaelRijndael针对大分组针对大分组针对大分组针对大分组RijndaelRijndaelRijndaelRijndael对不可能差分对不可能差分对不可能差分对不可能差分分析的安全性，构造了一批新的不可能差分，并分析的安全性，构造了一批新的不可能差分，并分析的安全性，构造了一批新的不可能差分，并分析的安全性，构造了一批新的不可能差分，并给出了给出了给出了给出了7 7

14、 7 7轮轮轮轮Rijndael-160Rijndael-160Rijndael-160Rijndael-160、8 8 8 8轮轮轮轮RijndaelRijndaelRijndaelRijndael-192-192-192-192、9 9 9 9轮轮轮轮Rijndael-224/256Rijndael-224/256Rijndael-224/256Rijndael-224/256的分析算法。的分析算法。的分析算法。的分析算法。CamelliaCamelliaCamelliaCamellia给出了给出了给出了给出了CamelliaCamelliaCamelliaCamellia的碰撞攻击和线性

15、的碰撞攻击和线性的碰撞攻击和线性的碰撞攻击和线性/差分分析，构造了差分分析，构造了差分分析，构造了差分分析，构造了8 8 8 8轮轮轮轮CamelliaCamelliaCamelliaCamellia的若干不可能差分，的若干不可能差分，的若干不可能差分，的若干不可能差分，并利用这些不可能差分对并利用这些不可能差分对并利用这些不可能差分对并利用这些不可能差分对CamelliaCamelliaCamelliaCamellia的安全性进行的安全性进行的安全性进行的安全性进行了分析。了分析。了分析。了分析。FOXFOX利用若干利用若干利用若干利用若干3 3 3 3轮区分器，结合积分攻击方法轮区分器，结

16、合积分攻击方法轮区分器，结合积分攻击方法轮区分器，结合积分攻击方法和碰撞技术，提出了对低轮和碰撞技术，提出了对低轮和碰撞技术，提出了对低轮和碰撞技术，提出了对低轮FOXFOXFOXFOX的新攻击。的新攻击。的新攻击。的新攻击。SMS4SMS4SMS4SMS4给出了一类给出了一类给出了一类给出了一类5 5 5 5轮循环差分特征，从而构造轮循环差分特征，从而构造轮循环差分特征，从而构造轮循环差分特征，从而构造出有效的出有效的出有效的出有效的18181818轮差分特征和轮差分特征和轮差分特征和轮差分特征和14141414轮飞来去器区分器，轮飞来去器区分器，轮飞来去器区分器，轮飞来去器区分器，给出了对

17、给出了对给出了对给出了对21212121轮轮轮轮SMS4SMS4SMS4SMS4的差分攻击和对的差分攻击和对的差分攻击和对的差分攻击和对16161616轮的矩阵轮的矩阵轮的矩阵轮的矩阵（飞来去器）攻击；针对（飞来去器）攻击；针对（飞来去器）攻击；针对（飞来去器）攻击；针对SMS4SMS4SMS4SMS4的活跃的活跃的活跃的活跃S S S S盒特性，给盒特性，给盒特性，给盒特性，给出了出了出了出了19191919轮的有效差分特征，将轮的有效差分特征，将轮的有效差分特征，将轮的有效差分特征，将SMS4SMS4SMS4SMS4的差分分析推的差分分析推的差分分析推的差分分析推进到进到进到进到23232

18、323轮。轮。轮。轮。CACRHASHHASH函数函数v我国学者在我国学者在HashHash函数方面取得了一批国际领先的函数方面取得了一批国际领先的科研成果，尤其是我国学者王小云教授领导的团科研成果，尤其是我国学者王小云教授领导的团队在队在HashHash函数的安全性分析方面做出了突出贡献函数的安全性分析方面做出了突出贡献v建立了现有建立了现有HashHash函数碰撞攻击的理论与技术，深函数碰撞攻击的理论与技术，深入分析了国际通用入分析了国际通用HashHash函数函数MD5MD5、RIPEMDRIPEMD、SHA-0SHA-0和国际和国际HashHash函数标准算法函数标准算法SHA-1SH

19、A-1等，推动了等，推动了HashHash函函数的发展与研究。该成果获得了数的发展与研究。该成果获得了20082008年国家自然年国家自然科学二等奖科学二等奖MD4MD4MD4MD4和和和和RIPEMDRIPEMDRIPEMDRIPEMD给出了给出了给出了给出了MD4MD4MD4MD4和和和和RIPEMDRIPEMDRIPEMDRIPEMD有效碰撞攻击，有效碰撞攻击，有效碰撞攻击，有效碰撞攻击，复杂度分别为复杂度分别为复杂度分别为复杂度分别为28282828和和和和218218218218次运算，这是国际上公开的第次运算，这是国际上公开的第次运算，这是国际上公开的第次运算，这是国际上公开的第一

20、次对一次对一次对一次对RIPEMDRIPEMDRIPEMDRIPEMD的实际攻击。的实际攻击。的实际攻击。的实际攻击。一般理论一般理论一般理论一般理论通过提炼通过提炼通过提炼通过提炼MD4MD4MD4MD4和和和和RIPEMDRIPEMDRIPEMDRIPEMD的圈函数的特征的圈函数的特征的圈函数的特征的圈函数的特征建立了统一的数学分析模型，提出了比特追踪法和建立了统一的数学分析模型，提出了比特追踪法和建立了统一的数学分析模型，提出了比特追踪法和建立了统一的数学分析模型，提出了比特追踪法和高级明文修改技术，提炼出碰撞攻击一般理论。高级明文修改技术，提炼出碰撞攻击一般理论。高级明文修改技术，提炼

21、出碰撞攻击一般理论。高级明文修改技术，提炼出碰撞攻击一般理论。MD5MD5MD5MD5和和和和SHA-0SHA-0SHA-0SHA-0首次提出首次提出首次提出首次提出MD4MD4MD4MD4的第二原像攻击。首次的第二原像攻击。首次的第二原像攻击。首次的第二原像攻击。首次给出了给出了给出了给出了MD5MD5MD5MD5的有效碰撞攻击。通过对的有效碰撞攻击。通过对的有效碰撞攻击。通过对的有效碰撞攻击。通过对SHA-0SHA-0SHA-0SHA-0建立数学分建立数学分建立数学分建立数学分析模型，从析模型，从析模型，从析模型，从2 2 2 2512512512512的明文空间中推导出两条碰撞路线，的明

22、文空间中推导出两条碰撞路线，的明文空间中推导出两条碰撞路线，的明文空间中推导出两条碰撞路线，首次破解了首次破解了首次破解了首次破解了SHA-0SHA-0SHA-0SHA-0。新方法新方法新方法新方法在在在在SHA-0SHA-0SHA-0SHA-0的破解中，建立了的破解中，建立了的破解中，建立了的破解中，建立了SHASHASHASHA系列杂凑函系列杂凑函系列杂凑函系列杂凑函数破解的基本理论，提出了针对明文分布规律的数学数破解的基本理论，提出了针对明文分布规律的数学数破解的基本理论，提出了针对明文分布规律的数学数破解的基本理论，提出了针对明文分布规律的数学分析模型以及将不可能差分转化为可能差分的新

23、方法。分析模型以及将不可能差分转化为可能差分的新方法。分析模型以及将不可能差分转化为可能差分的新方法。分析模型以及将不可能差分转化为可能差分的新方法。CACR密码协议密码协议v我国学者近几年在密码协议的设计与分析方面取我国学者近几年在密码协议的设计与分析方面取得了可喜的进展，利用可证明安全性的设计理念得了可喜的进展，利用可证明安全性的设计理念提出了一批重要的密码协议，发表了一批高水平提出了一批重要的密码协议，发表了一批高水平的学术论文，在国际上产生了一定的影响的学术论文，在国际上产生了一定的影响v最为突出的成果是邓燚等学者在重置零知识和精最为突出的成果是邓燚等学者在重置零知识和精确零知识方面的

24、研究成果确零知识方面的研究成果 FOCSFOCSFOCSFOCS 09090909和和和和EurocryptEurocryptEurocryptEurocrypt 07070707提出并实现了两个实提出并实现了两个实提出并实现了两个实提出并实现了两个实例依赖的新工具：实例依赖的可验证随机函数和实例例依赖的新工具：实例依赖的可验证随机函数和实例例依赖的新工具：实例依赖的可验证随机函数和实例例依赖的新工具：实例依赖的可验证随机函数和实例依赖的证据不可区分知识论证系统，证明了依赖的证据不可区分知识论证系统，证明了依赖的证据不可区分知识论证系统，证明了依赖的证据不可区分知识论证系统，证明了BGGLBG

25、GLBGGLBGGL猜想猜想猜想猜想即在即在即在即在PlainPlainPlainPlain模型下，模型下，模型下，模型下，NPNPNPNP语言存在可重置可靠的、可重语言存在可重置可靠的、可重语言存在可重置可靠的、可重语言存在可重置可靠的、可重置零知识的论证系统，解决了置零知识的论证系统，解决了置零知识的论证系统，解决了置零知识的论证系统，解决了MRMRMRMR问题即在问题即在问题即在问题即在BPKBPKBPKBPK模型下，模型下，模型下，模型下，存在常数轮的可重置可靠的、可重置零知识的论证系存在常数轮的可重置可靠的、可重置零知识的论证系存在常数轮的可重置可靠的、可重置零知识的论证系存在常数轮

26、的可重置可靠的、可重置零知识的论证系统。统。统。统。CACRPKIPKI技术技术vPKIPKI技术是一种能够解决网络环境中信任与技术是一种能够解决网络环境中信任与授权问题的重要技术授权问题的重要技术v我国学者在该领域取得了长足的发展，尤其我国学者在该领域取得了长足的发展，尤其是冯登国教授领导的团队在是冯登国教授领导的团队在PKIPKI技术方面做技术方面做出了重要贡献出了重要贡献,该成果获得该成果获得20052005年国家科技年国家科技进步二等奖进步二等奖 n构建了具有自主知识产权的构建了具有自主知识产权的PKIPKI模型框架，为解决模型框架，为解决PKIPKI互操作问题和模型复杂问题提供了新的

27、技术途径互操作问题和模型复杂问题提供了新的技术途径n提出了双层式秘密分享的入侵容忍证书认证机构，为提出了双层式秘密分享的入侵容忍证书认证机构，为解决解决PKIPKI自身安全问题提供了一套国际领先的方案自身安全问题提供了一套国际领先的方案 n提出了提出了PKIPKI实体的概念，简化了对实体的概念，简化了对PKIPKI的理解、设计、的理解、设计、实现和应用实现和应用 CACR量子密码量子密码v量子密码是以现代密码学和量子力学为基础、量子密码是以现代密码学和量子力学为基础、利用量子物理学方法实现密码思想和操作的利用量子物理学方法实现密码思想和操作的一种新型密码体制一种新型密码体制v我国学者在诱骗态量

28、子密码和量子避错码等我国学者在诱骗态量子密码和量子避错码等方面做出了开创性工作，这些工作对整个领方面做出了开创性工作，这些工作对整个领域的发展来说具有举足轻重的地位域的发展来说具有举足轻重的地位v在不同协议的设计和分析方面提出了大量建在不同协议的设计和分析方面提出了大量建设性意见，推动了量子密码理论的发展设性意见，推动了量子密码理论的发展v我国学者近几年在量子密码实验方面取得了我国学者近几年在量子密码实验方面取得了一些令人瞩目的成绩，尤其是郭光灿院士领一些令人瞩目的成绩，尤其是郭光灿院士领导的团队和潘建伟教授领导的团队成绩突出导的团队和潘建伟教授领导的团队成绩突出CACR量子密码量子密码v郭光

29、灿院士领导的团队郭光灿院士领导的团队20042004年，在北京和天津之间的商用通信光纤中完成了年，在北京和天津之间的商用通信光纤中完成了120/160120/160公里公里的的QKDQKD实验实验20072007年，利用自主创新的量子路由器，率先完成四用户量子密码年，利用自主创新的量子路由器，率先完成四用户量子密码通信网络的测试运行。这是国际上首次公开报道的无中转、可同通信网络的测试运行。这是国际上首次公开报道的无中转、可同时、任意互通的量子密码通信网络，标志着量子保密通信技术从时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出关键性的一步点对点方式向网络化迈出关键

30、性的一步 20092009年，建成世界首个量子政务网年，建成世界首个量子政务网芜湖芜湖“量子政务网量子政务网”，标，标志着我国量子保密通信技术已步入应用轨道志着我国量子保密通信技术已步入应用轨道v潘建伟教授领导的团队潘建伟教授领导的团队20042004年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验 20052005年，利用超稳定高强度的年，利用超稳定高强度的4-4-光子纠缠态光子源完成了光子纠缠态光子源完成了QSSQSS实验实验20062006年，首次实现了六粒子纠缠态的制备，完成传输距离超过年，首次实现了六粒子纠缠态的制备，完成传输距

31、离超过100100公里的诱骗态公里的诱骗态QKDQKD实验实验20082008年，实现远距离量子通信中亟须的年，实现远距离量子通信中亟须的“量子中继器量子中继器”，在合肥，在合肥建成了世界上首个光量子电话网建成了世界上首个光量子电话网CACR二、密码学最新研究进展二、密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 密码学进展密码学进展CACR最新成果应用进展最新成果应用进展v20092009年是我国年是我国商用密码管理条例商用密码管理条例发布发布实施实施1010周年，周年，1010年来我国的商用密码取得年来我国

32、的商用密码取得了长足发展了长足发展v国家密码管理局于国家密码管理局于20092009年年8 8月下旬在北京展月下旬在北京展览馆举办了览馆举办了“全国商用密码成果展全国商用密码成果展”，充，充分展示了我国近几年密码最新成果的应用分展示了我国近几年密码最新成果的应用进展进展v值得一提的是我国在可信计算和值得一提的是我国在可信计算和WAPIWAPI两方两方面的密码应用进展面的密码应用进展 CACR可信计算领域中的密码应用可信计算领域中的密码应用v可信计算的主要思想是在硬件平台上引入安全芯可信计算的主要思想是在硬件平台上引入安全芯片架构，来提高终端系统的安全性，从而将部分片架构，来提高终端系统的安全性

33、，从而将部分或整个计算平台变为或整个计算平台变为“可信可信”的计算平台的计算平台 v可信计算密码支撑平台是一种由可信密码模块可信计算密码支撑平台是一种由可信密码模块(TCM)(TCM)和可信密码服务模块和可信密码服务模块(TSM)(TSM)组成的软硬件系组成的软硬件系统，是可信计算平台的重要组成部分，为实现可统，是可信计算平台的重要组成部分，为实现可信计算平台自身的完整性、身份可信性和数据安信计算平台自身的完整性、身份可信性和数据安全性提供密码支持，其功能内容包括密码算法、全性提供密码支持，其功能内容包括密码算法、密钥管理、证书管理、密码协议、密码服务等密钥管理、证书管理、密码协议、密码服务等

34、 v通过在可信计算领域中的密码应用推广，推出了通过在可信计算领域中的密码应用推广，推出了我国自主的我国自主的可信计算密码支撑平台功能与接口可信计算密码支撑平台功能与接口规范规范，大大提升了我国密码算法的应用水平和，大大提升了我国密码算法的应用水平和密码芯片的设计和研制水平密码芯片的设计和研制水平CACRWAPIWAPI中的密码应用中的密码应用 v我国自主研发的宽带无线网络我国自主研发的宽带无线网络WAPIWAPI（无线局域网（无线局域网认证与保密基础设施）安全技术，实现了无线认证与保密基础设施）安全技术，实现了无线IPIP网络认证和保密的基础架构网络认证和保密的基础架构使终端和网络接入点进行完

35、整的双向认证使终端和网络接入点进行完整的双向认证通过接入控制、加密、数据完整性校验和数据源认证通过接入控制、加密、数据完整性校验和数据源认证等措施，构成了完整的无线局域网认证与保密协议，等措施，构成了完整的无线局域网认证与保密协议，弥补了同类国际标准的安全缺陷弥补了同类国际标准的安全缺陷形成并颁布了两项国家标准，该成果形成并颁布了两项国家标准，该成果20052005年获得国家年获得国家发明二等奖发明二等奖vSMS4SMS4是国家密码管理局公布的第一个分组密码算是国家密码管理局公布的第一个分组密码算法，主要作为无线局域网的推荐密码算法法，主要作为无线局域网的推荐密码算法SMS4SMS4算法的整体

36、设计水平和国外算法相当，具有自身算法的整体设计水平和国外算法相当，具有自身的特色和创新之处的特色和创新之处CACR二、密码学最新研究进展二、密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 密码学进展密码学进展CACR学术建制最新进展学术建制最新进展v近几年，我国在密码学学术建制方面的主近几年，我国在密码学学术建制方面的主要工作体现在以下几个方面：要工作体现在以下几个方面：中国密码学会中国密码学会国家商用密码应用技术体系总体组国家商用密码应用技术体系总体组 WG3WG3标准工作组标准工作组 CACR中国密码学会中

37、国密码学会v中国密码学会于中国密码学会于20072007年年3 3月月2525日正式成立日正式成立v已成立的学术、教育和组织工作委员会，已成立的学术、教育和组织工作委员会，量子密码专业委员会开展了众多工作，即量子密码专业委员会开展了众多工作，即将成立的密码数学理论、密码算法和密码将成立的密码数学理论、密码算法和密码芯片专业委员会已获得主管部门批准，根芯片专业委员会已获得主管部门批准，根据实际需要还将成立必要的专业委员会，据实际需要还将成立必要的专业委员会，全面推进中国密码学学科的发展和进步全面推进中国密码学学科的发展和进步v中国密码学会的网址为：中国密码学会的网址为：http:/http:/

38、CACR国家商用密码应用技术体系总体组国家商用密码应用技术体系总体组v国家密码管理局为了推动商用密码的应用，成立国家密码管理局为了推动商用密码的应用，成立了国家商用密码应用技术体系总体组，并针对不了国家商用密码应用技术体系总体组，并针对不同领域成立了多个密码应用专项工作组同领域成立了多个密码应用专项工作组v可信计算密码专项组在可信计算密码专项组在20082008年年1212月正式更名为中月正式更名为中国可信计算工作组（国可信计算工作组（China TCM UnionChina TCM Union，简称，简称TCMUTCMU）v中国可信计算工作组带领学术界和产业界共同发中国可信计算工作组带领学术

39、界和产业界共同发展中国自主创新的可信计算技术与产业，其主要展中国自主创新的可信计算技术与产业，其主要任务是研究制定可信计算密码应用技术体系及相任务是研究制定可信计算密码应用技术体系及相关密码技术标准规范，推动可信计算技术与产品关密码技术标准规范，推动可信计算技术与产品的标准化、工程化和产业化，指导可信计算应用的标准化、工程化和产业化，指导可信计算应用示范工程建设示范工程建设v中国可信计算工作组的网址为：中国可信计算工作组的网址为：http:/http:/CACRWG3WG3标准工作组标准工作组v为了有效推动国家密码标准的制订和研究，为了有效推动国家密码标准的制订和研究，全国信息安全标准化技术委

40、员会（简称信全国信息安全标准化技术委员会（简称信息安全标委会，息安全标委会，TC260TC260）设立）设立WG3WG3标准工作标准工作组组vWG3WG3标准工作组专门制订和研究密码方面的标准工作组专门制订和研究密码方面的标准和规范标准和规范CACR三、国内外密码学发展比较三、国内外密码学发展比较 密码理论密码理论密码技术密码技术密码应用密码应用密码标准密码标准C1C1C2C2C4C4C3C3CACR（一）密码理论方面的发展比较（一）密码理论方面的发展比较v密码理论密码理论密码数学基础理论、密码算法设计理论密码数学基础理论、密码算法设计理论和密码算法分析方法和密码算法分析方法v美国等西方一些发

41、达国家和地区的密码理论研究水平美国等西方一些发达国家和地区的密码理论研究水平比较高，研究成果突出，覆盖面广，创新理论和新比较高，研究成果突出，覆盖面广，创新理论和新观点、新方法较多观点、新方法较多v我国在密码理论研究方面取得了丰硕成果，如密码布我国在密码理论研究方面取得了丰硕成果，如密码布尔函数、序列密码设计理论和分析方法、分组密码尔函数、序列密码设计理论和分析方法、分组密码分析方法、分析方法、HashHash函数分析方法、公钥密码分析方法、函数分析方法、公钥密码分析方法、量子密码等量子密码等v总体上讲，我国密码理论研究发展很不平衡，只是在总体上讲，我国密码理论研究发展很不平衡，只是在一些点上

42、的研究深度达到了国际水平，覆盖面还不一些点上的研究深度达到了国际水平，覆盖面还不够广，可持续发展不够好，研究深度与国际水平还够广，可持续发展不够好，研究深度与国际水平还有差距，创新理论和新观点、新方法还不够多有差距，创新理论和新观点、新方法还不够多杂凑函数杂凑函数密码协议密码协议-可证安全可证安全密码协议密码协议-形式化分析形式化分析序列密码序列密码公钥密码公钥密码密码理论密码理论分组密码分组密码量子密码量子密码CACR 序列密码发展比较序列密码发展比较1 119911991年，我国学年，我国学者肖国镇教授等者肖国镇教授等提出的序列密码提出的序列密码的稳定性理论是的稳定性理论是序列密码领域的序

43、列密码领域的一个原创性理论一个原创性理论2 22020世纪世纪8080年代，年代，我国学者曾肯成我国学者曾肯成教授等提出的整教授等提出的整数剩余类环压缩数剩余类环压缩导出序列是一个导出序列是一个原创性工作原创性工作3 3带进位反馈移位带进位反馈移位寄存器（寄存器（FCSRFCSR）序列是序列是19931993年由年由美国学者提出的，美国学者提出的，是目前序列密码是目前序列密码领域的一个研究领域的一个研究热点热点但目前我国在但目前我国在这一领域的研这一领域的研究工作总体上究工作总体上已落后于国外已落后于国外目前我国学者在目前我国学者在剩余类环压缩导剩余类环压缩导出序列领域的研出序列领域的研究工作

44、仍处于国究工作仍处于国际领先水平际领先水平目前我国学者目前我国学者在在这一领域的这一领域的研究供过于求研究供过于求处于国际领先处于国际领先水平水平1 1CACR 序列密码发展比较序列密码发展比较4 4序列密码的代数攻序列密码的代数攻击是近几年序列密击是近几年序列密码研究领域取得的码研究领域取得的最重要成果之一，最重要成果之一，在代数攻击的理论在代数攻击的理论研究和应用上，我研究和应用上，我国落后于国际国落后于国际5 5我国对我国对eSTREAMeSTREAM各个算法的研究各个算法的研究中与国际先进水中与国际先进水平有很大差距平有很大差距6 6我国还没有公开我国还没有公开征集序列密码算征集序列密

45、码算法标准法标准我国在由代数攻击我国在由代数攻击引发的布尔函数代引发的布尔函数代数免疫问题的研究数免疫问题的研究成果得到国际上充成果得到国际上充分肯定分肯定我国在非线性序我国在非线性序列源的理论研究列源的理论研究和应用落后于国和应用落后于国际先进水平际先进水平所以在序列密所以在序列密码的设计理论码的设计理论上，也落后于上，也落后于国际先进水平国际先进水平1 1CACR 分组密码发展比较分组密码发展比较v我国公布的推荐密码算法我国公布的推荐密码算法SMS4SMS4充分体现了我国分充分体现了我国分组密码的设计水平已达到国际先进水平组密码的设计水平已达到国际先进水平v在分组密码分析方面无论从使用已有

46、的分析手段，在分组密码分析方面无论从使用已有的分析手段，还是从对各类分组密码进行分析的效果来看，国还是从对各类分组密码进行分析的效果来看，国内外差距不大内外差距不大v在某些方面，我国学者的分析工作处于领先地位在某些方面，我国学者的分析工作处于领先地位如我国学者张文涛等对如我国学者张文涛等对AESAES的分析结果、吴文玲和多磊的分析结果、吴文玲和多磊等对等对CamelliaCamellia的分析结果、张蕾等对的分析结果、张蕾等对SMS4SMS4的分析结果的分析结果都是目前国际最好的工作都是目前国际最好的工作v分组密码工作模式的研究在国际上已经是一个很分组密码工作模式的研究在国际上已经是一个很重要

47、的研究方向，而我国在这方面的研究工作才重要的研究方向，而我国在这方面的研究工作才刚刚起步刚刚起步 2CACR 公钥密码发展比较公钥密码发展比较v国际上一个正在进行的研究方向是超椭圆国际上一个正在进行的研究方向是超椭圆曲线上或代数簇上的双线性映射曲线上或代数簇上的双线性映射v由于涉及很多数论知识、以及数论专业人由于涉及很多数论知识、以及数论专业人才培养的不多，国内对此研究的人很少才培养的不多，国内对此研究的人很少v从总的方面看，由于研究难度大，国内对从总的方面看，由于研究难度大，国内对公钥密码算法进行研究的人比较少，在公公钥密码算法进行研究的人比较少，在公钥密码相关困难问题方面从事研究的人就钥密

48、码相关困难问题方面从事研究的人就更是寥寥无几更是寥寥无几如大数分解，目前国际上一直有很多进展，预如大数分解，目前国际上一直有很多进展，预期在期在20102010年完成年完成768768比特比特RSARSA模数的分解模数的分解3CACR 杂凑函数发展比较杂凑函数发展比较v我国的研究起步较晚，但取得了突破性成果，现我国的研究起步较晚，但取得了突破性成果，现已处于国际领先水平已处于国际领先水平v我国率先提炼杂凑函数不安全因素的数学特征，我国率先提炼杂凑函数不安全因素的数学特征，建立统一的数学分析模型，提出杂凑函数碰撞攻建立统一的数学分析模型，提出杂凑函数碰撞攻击的一般理论击的一般理论-比特追踪法，找

49、到了国际通用杂比特追踪法，找到了国际通用杂凑函数凑函数MD5MD5、SHA-1SHA-1、RIPEMDRIPEMD、SHA-0SHA-0等的碰撞等的碰撞v国际上对杂凑函数的分析发展迅速，涌现出了一国际上对杂凑函数的分析发展迅速，涌现出了一批新的研究成果。基于杂凑函数的批新的研究成果。基于杂凑函数的MACMAC算法的研究算法的研究方面还处于劣势，尤其在设计方面比较薄弱，有方面还处于劣势，尤其在设计方面比较薄弱，有待提出具有国际影响力的新的安全可靠的设计理待提出具有国际影响力的新的安全可靠的设计理念，但在安全性分析方面，我国取得了一系列具念，但在安全性分析方面，我国取得了一系列具有国际先进水平的研

50、究成果有国际先进水平的研究成果4CACR 密码协议形式化分析发展比较密码协议形式化分析发展比较v在密码协议的形式化分析方法方面，我国的研究在密码协议的形式化分析方法方面，我国的研究处于一个初级发展阶段，也处于一个尴尬的境地处于一个初级发展阶段，也处于一个尴尬的境地我国这方面的研究，理论上没有形成有影响力的理论我国这方面的研究，理论上没有形成有影响力的理论体系，实用上也没有形成有影响力的安全验证系统体系，实用上也没有形成有影响力的安全验证系统我国在这一领域的研究力量没有真正得到重视，并且我国在这一领域的研究力量没有真正得到重视，并且也存在实际上的困难也存在实际上的困难v具体地讲，这个方向是一个真