同学们的作业工程

1、工程：学号：1120112053班级：083111011.学的基本概念01.1 学科概述01.2技术发展简介01.3 现代学所解决的基本安全问题11.4体制的分类22.几种典型的古典算法4.4.5CaesarVigenere2.3Vernam 加密法52.4Hill现代.6系统的组成7系统五元组73.3.13.2 典型的体制与通信模型8学分析学94.4.14.2体制9分析学94.3 新一代分析技术105.算法的安全性105.1 对5.25.3系统的.10分析分类11类型分类125.4 评估系统安全性145.55.6的复杂度15的具体应用166.学发展方向176.1/ 离线学17学176.2 圆

2、锥曲线6.3学186.4 密钥托管问题186.5 基于的学196.6 多方密钥协商问题197. 小结20试论学的基本原理1.学的基本概念1.1 学科概述学是研究技术的重要学科，是保障的。技术在古代就有广泛的应用，如狼烟，消息数等；但应用也仅限于和军事等重要领域。一直到 20 世纪中期都才逐渐形成学理论基础。随着计算机技术的快速发展，技术正在不断向其他领域渗透，应用越来越广。学是集数学、计算机科学、电子与通信等诸多学科于一身的交叉学科。1.2技术发展简介学是一门非常古老的学科，早期的技术是把人们能够读懂的消息变换成不易读懂的信息用来隐藏信息内容，使得者无法理解消息的内容，同时又能够让合法用户把变

3、换的结果还原成能够读懂的消息学的发展大致可以分为 3 个阶段。(1)古典时期(古代到 19 世纪末)学在公元前 400 多年就早已经产生了，正如破译者一书中所说“人类使用的历史几乎与使用文字的时间一样长”。学的的确要追溯到人类刚刚出现，并且尝试去学习如何通信的时候。为了确保他们的通信的，最先是有意识的使用一些简单的方法来加密信息，通过一些（）象形文字相互传达信息。接着由于文字的出现和使用，确保通信的性就成为一种艺术，古代发明了不少加密信息和传达信息的方法。例如结绳记事，藏头诗，烽火传军情等都是这一个时期学应用的显著表现，并大大促进了学的发展。总结来说，这一阶段学还不是科学，而是一门艺术。虽然产

4、生了一些简单的算法和加密设备，但是针对的基本是字符。因此这个时期最鲜明的特点便是数据的安全基于算法的。(2)近代由于时期(20 世纪初到 50 年代)的关系，虽然学被广泛应用，但大部分进展都被和军学理论研究进展不大，甚至 50 年代到 60 年代。方控制。这正因此，这个时期这十，几乎没有文献的但期间值得一提的是，Shannon 的“系统的信息理论”奠定了私钥的信息论基础，使得学成为一门科学，但是依旧保留着浓重的艺术色彩。这一时期相对于古典时期，取得了进步。数据的安全，取决于密钥的保密，而非对算法的。(3)现代时期(20 世纪 60 年代至今)随着社会的发展，不管是还是普通都对信息的安全有了的认

5、识，需求也不断增长。在这一背景下，世纪年代末，数据加密标准算法由确定，其具体的加密细节也被公开，从而使得基于加密的安全性只依赖于对密钥的。在1976年，Diffie和man提出了“学新方向”，开辟了公钥技术理论，使得密钥协商、数字签名等密码问题有了新的解决方法，也为学的广泛应用奠定了基础。DES的与公钥技术问世标志着学进入高速发展的现代学时代。这一时期的显著特点为公钥使得发送端和接收端无密钥传输的通信成为可能。1.3 现代学所解决的基本安全问题(1)性除了信息的人可以拥有信息以外，其他人都不可获得信息内容。这是传统，或者说学诞生最初就要解决的首要问题，也是普通人理解的狭义学，也就是说要对信息实

6、现隐藏。这是正确的理解。性确实是为了防止一些不希望其知道信息内容的人从信息传输媒介获取信息而将信息隐藏起来。在学中，主要是通过加密和算法来完成这项任务。(2)数据完整性数据的真实完整性是针对数据的变更性中接收者并不能知道信息是否完好无损和正确。而完整性就是来保证这一点的，保证信息在传输过程中的正确性。但是要非常注意一点，完整性不但包括消息本身的完整性，还包括消息源的完整性，也就是不但消息自身没有被改，还要保证消息的来源是对的。为了做到这一点，必须提供发现非人对数据变动的机制。许多工具可以提供这一机制，如Hash 函数等。(3)可鉴别性是与识别相关。双方在进行通信之前，需要识别对方的；另外，在信

7、道上传输的一条信息也需要识别何时、何地、何内容由何人发出。因此，认证在学中常常被分成两类：实体认证和数据源认证。数据源认证实际上包含了数据真实性认证，因为如果数据被修改，数据源也就发生了变更。(4)抗抵赖性抗抵赖性主要用于约束交易行为，目的是防止成员否认参与交易，多使用公钥数字签名算法，签名算法的输出为签名。公钥算法的用于签名的私钥是私有的，所以用其签名出来的签名，是能够确定就是此人签的。例如，一个实体与另一个实体签署合同，但事后其中一方否认签署过，这时需要一个第来解决争议。第在解决争议时，需要使用必要的技术。在学中，解决这一问题段常用数字签名。1.4体制的分类(1)密钥数量根据加密和过程所采

8、用密钥的特点可以将体制分为两类：对称体制和非对称体制。对称体制：加密和的密钥相同，在通信前由发送方生成密钥，通过安全信道送到接收方。优点：加、处理速度快，效率高，算法安全性高。局限或：密钥分发过程复杂，代价高。安全信道的建立是突出问题。并且密钥管理量的。用户增多，密钥量增加，密钥管理复杂化。如果n 个用户两两通信，则每个用户需要获取并保管(n-1)个密钥，总密钥量为 n(n-1)/2，当 n=100 时，密钥量是 4995 个；当 n=5000 时，密钥量是 12497500 个。显然需要一个庞大的密钥库。通信系统的开放性差。如果收发双方素不相识，或没有可靠的密钥传递，则无法通信。存在数字签名

9、的性。当用对称算法实现数字签名时，由于通信双方拥有相同的密钥，使得接收方可以数字签名，发送方可以抵赖发送过的消息。非对称体制：与对称明显区别的是，非对称体制的加密密钥不同。在通信前，每个用户都有一对用于加密和的密钥对，公钥可以发布，私钥自己保管。优点： 密钥分配简单。不需要安全方式传送密钥。公钥可以由密钥分发中心分发，私钥由用户保管。系统密钥量少，便于管理。n 个用户仅需要产生n 对密钥。系统开放性好可以实现数字签名局限性与：与对称体制相比，加、运算复杂，处理速度较慢，同等安全强度下，非对称体制的密钥位数较多。容易“已知明文”：者截获密文后，可以利用公开的加密密钥，通过尝试遍历加密所有可能的明

10、文，并与截获的密文进行比较，若可能的明文数量不多，这种很有效。(2)对明文处理方式根据明文的处理方法分为两类：分组和流。分组：将明文分成固定长度的组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。每次只对一块数据加密。如数字签名、认证、RSA、ECC、ElGamal、DES、IDEA、RC6、Rijndael 等。对称体制和非对称体制，均有采用分组的应用，而其中非对称体制大部分采用分组体制。流：又称序列。序列每次加密一位或一字节的明文，也可以称为流。每次只对一位或一字节加密。如，、One-time padding、Vigenre、Vernam 等。(3)能否进行可逆的加密变换通过能否进

11、行可逆的加密变换来将其分为单向函数体制和双向函数体制。单向函数体制：算法一经加密，无法进行可逆变换，即无从根据密文来反推出明文。其中最典型代表为 MD5 加密算法。双向函数体制：由上述可以得知，双向函数体制即为可以进行逆变换的算法。不仅需要对信息进行加密，而且还需要在信息经过传送达到某一位置后，对其进行操作。2. 几种典型的古典算法2.1Caesar两千多年以前，J.Caesar 给他的朋友写了一封密信。将每个字母用其后第三个字母代替。例如明文 C A E S A R 变为密文F D H V D U 。一般的 Caesar 加密变换实际上是：C 三(M + K )mod26 , 其中m 是明文

12、对应的数据， 即A=0，B=1， ，z= 25。C 是与明文对应的密文数据，K 是密钥。Caesar可以推广为以下的仿射：C 三(a M + b) mod 26, 其中(a ，26) =1( 这是可以的充分必要条件) 。a=1 时便是Caesar。2.2VigenereCaesar是单表代换的典型代表。即一个明文字母对应的密文字母是确定的。这样，用频率分析可对该系统进行有效的。16表代换Blaise de Vigenere 构造的(有异议)Vigenere世纪，法国是多的典型代表, 即一个明文字母可以表成多个密文字母。方法如下：设密钥K=k1k2kn，明文 M=m1m2mn，则密文EK (M

13、) = c1c2cn,其中Ci=(mi+ki)mod 26，i=1，2，3，n。对于 n=1 的特殊情况，该就是单表代换。对任意正整数 r，若 K=k1k2kr 是一个独立同分布的随机今量序列，且 Ki 在Z26 上取值，服从均匀分布。对明文M=m1m2mn，由 K=k1k2kr，确定的加密过程为C=EK (M ) = c1c2cr，其中 Ci=(mi+ki)mod 26，i=1，2，3，r。此系统就是著名的一次一密系统。2.3Vernam 加密法Vernam 加密法也称一次一密(One-Time-Pad)，用随机的非重复的字符集合作为输出密文。这里最重要的是，一旦使用了变换的输入密文，就不再

14、在任何其他消息中使用这个输入密文(因此是长度。的)。输入密文的长度等于原消息明文的以下为主要步骤：按递增顺序把每个明文字母作为一个数字，A=0，B=1 等等。对输入明文文中每一个字母做相同的处理。将明文中的每个字母与密钥中的相应字母相加。如果得到的和大于 26，则从中减去 26。将和转化为字母，从而得到密文。显然，由于板用完就要放弃，因此这个技术相当安全，适合少量明文消息，但是对大消息是行不通的(板称为密钥(Key)，并且明文有多长，密钥就有多长，因此对于大消息行不通)。Vernam 加密法最初是 AT&T 公司借助所谓的 Vernam 机实现的。假设对明文消息 HOW ARE YOU 进行

15、vernam 加密， NCBTZQARX，得到的密文消息 UQXTUYFR。以下是图解：板为明文：HO714密钥 ：NCW 22BA 0TR 17ZE 4QY 24AOU 14 20 R X1723初始和：20 16 23 19 42 20 24 31 43大于 26 则减去 26 20 16 23得到密文 U Q X T Q U Y F R2.4HillHill 是1929 年数学家Lester Hill 发明的分组。它将n个连续的明文字母串加密成n 个连续的密文字母串。它的意义在于第一次在学中用到了代数方法（线性代数，模的运算）。设n = 3 ，明文串p1p2p3 到密文串 c1c2c3

16、的变换由下面方程组给出。Hill 加密事实上是一个矩阵乘法体系。加密密钥是一个方阵 K，密钥就是。Hill对于唯密文方式有很高的防能力 。明文一个字母改变，通常带来密文n 个字母改变。当n 比较小时，只要密文文本足够大，总可以用频率分析法来密文，n=2，双频率分析法，n=3，三频率分析法。矩阵越大，密文越难破译。Hill对于已知明文方式来说， 是非常弱的。事实上，只要知道 n 块相互独立的明文串及相对的密文，就可以确定密钥 K。3. 现代系统的组成3.1系统五元组消息空间 M（又称明文空间）：所有可能明文 m 的集合；密文空间 C：所有可能密文c 的集合；密钥空间 K：所有可能密钥 k 的集合

17、，其中每一密钥k 由加密密钥ke 和密钥 kd 组成，即 k=（ke，kd）；加密算法 E：一簇由加密密钥控制的、从M 到C 的加密变换；(5)算法 D：一簇由密钥控制的、从C 到M 的变换。五元组 M，C，K，E，D 对于明文空间M 中的每一个明文m，加密算法 E 在加密密钥ke 的控制下将明文m 加密成密文 c；而明文m，即：算法D 则在密钥 kd 的控制下将密文 c成同一对mM，(ke，kd)K，有：Dkd(Eke(m)=m从数学的角度来讲，一个系统就是一族，它在密钥的控制下将明文空间中的每一个元素到密文空间上的某个元素。这族由方案确定，具体使用哪一个由密钥决定。在上面通信模型中，还存在

18、一个者或破译者可从普通信道上到的密文c，其工作目标就是要在不知道密钥 k 的情况下，试图从密文c 恢复出明文m 或密钥k。如果分析者可以仅由密文推出明文或密钥，或者可以由明文和密文推出密钥，那么就称该系统是可破译的。相反地，则称该系统不可破译。3.2 典型的通信模型如上所示这是一个对称体制的通信图，首先在信息加密之前，掌管密钥源的一方，先将生成的密钥分发给发送者和接收者。注意，密钥需要，因此应该在安全信道中传送。发送方通过加密算法 E 与密钥，将想要发送的明文加以变换，并通过普通信道传送给接受者。算法 D 与接收者收到来自发送方的信息，但是此时信息为密文，需要密钥才能对还原为明文。在这过程中，

19、者可以在普通信道信息，而其所得到的信息，为密文。4.体制与学分析学4.1体制体制也叫系统，是指能完整地解决中的性、数据完整性、认证、识别、可控性及不可抵赖性等问题中的一个或几个的一个系统。对一个体制的正确描述，需要用数学方法清楚地描述其中的各种对象、参数、解决问题所使用的算法等。完成加密和的算法。通常，数据的加密和过程是通过体制和密钥来控制的体制必须易于使用，特别是应当可以在微型计算机上使用。体制的安全性依赖于密钥的安全性，现代学不追求加密算法的性，而是追求加密算法的完备，即：使者在不知道密钥的情况下，没有办法从算法找到突破口。4.2分析学学主要包括编码学和分析学两个分支。编码学的主要任务是寻

20、求有效算法和协议，以保证信息的性或认证性的。它主要研究算法的构造与设计，也就是体制的构造。它是理论的基础，也是系统设计的基础。分析学的主要任务是研究加密信息的破译或认证信息的。它主要是对信息的方法进行研究。例如，试图通过分析密文获取对方的真正明文。分析是检验体制安全性最为直接段，只有通过实际分析考验的体制，才是真正可用的。这一点 Shannon 在几十年前就已表明：只有析者才能评判体制的安全性。分因此，编码学和分析学是学的两个方面，两者既相互对立，又互相促进和发展。4.3 新一代分析技术新一代分析技术主要是基于物理特性的分析技术，其基本原理是：进行运算时总要消耗运算设备一定的能量，者通过收集能

21、量值，就可能计算运算时所采用的密钥值。特别是进行运算量很大的算法（ 如 RSA 签名）出时，这种基于能量的更容易得到签名私匙。这些技术包括电压分析技术、故障分析技术、侵入分析技术、时间分析技术、简单的电流分析技术、差分电流分析技术。利用这些技术，者可以在获得算法运行载体的情况下，快速地获得密钥，从而整个系统。5.算法的安全性5.1 对系统的(1) 穷举穷举法法又称为强力或蛮力（Brute force）。这种方法是对截获到的密文尝试遍历所有可能的密钥，直到获得了一种从密文到明文的可理解的转换；或使用不变的密钥对所有可能的明文加密直到得到与截获到的密文一致为止。显然对于任何已知算法的系统，只要者有

22、足够多的计算资源，该方法是可以成功的。穷举是对的一种最基本的方法。(2) 统计分析法统计分析就是指分析者根据明文、密文和密钥的统计规律来破译密码的方法。例如在经典的换位、置换体制中，可通过分析单字母、双字母、三字母等的频率和其他统计参数而破译。能够对抗统计分析，已成为现代的基本要求。(3) 数学分析法数学分析是指分析者针对加算法的数学基础和某些学特性，通过数学求解的方法来破译。数学分析是对基于数学难题的各种密码算法的主要。三种分析方法的对抗方法如下：5.2分析分类根据者所具有的知识和掌握的不同，可以将分析分成下列几种类型：唯密文：在唯密文中，分析者知道算法，但仅能根据截获的密文进行分析，以得出

23、明文或密钥。由于分析者所能利用的数据资源仅为密文，这是对分析者最不利的情况。对于这种形式的分析，破译者已知的东西只有两样：加密算法、待破译的密文。已知明文：分析者仅知道一些明文和相应的密文。在已知明文中，破译者已知的东西包括：加密算法和经密钥加密形成的一个或多个明文-密文对，即知道一定数量的密文和对应的明文。选择明文：分析者可以选择一些明文，并相应得到密文。分析方法对抗方法穷举法增加密钥长度，在明文、密文中增加随机冗余信息等统计分析法设法使明文的统计特性不带入密文，这样，密文不带有明文的痕迹，而呈现出极大的随机性，从而挫败统计分析。数学分析法选用具有坚实数学基础和足够复杂的加算法。选择明文的破

24、译者除了知道加密算法外，他还可以选定明文消息，并可以知道对应的加密得到的密文，即知道选择的明文和对应的密文。例如，公钥密码体制中，者可以利用公钥加密他任意选定的明文，这种就是选择明文。选择密文：分析者可以得到一些密文，并得到相应的明文。与选择性明文相对应，破译者除了知道加密算法外，还包括他自己选定的密文和对应的、已的原文，即知道选择的密文和对应的明文。5.3类型分类把分为两类：和主动。主动：主动是指者通过有选择的修改、删除、延迟、乱序、数据流或数据流的一部分以达到其目的。主动可以归纳为中断、篡改、三种。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的。如破坏计

25、算机硬件、网络或文件管理系统等。篡改中断主动篡改是指者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性。如修改文件中的数据、替换某一程序使其执行不同的功能、修改网络中传送的消息内容等。是针对信息的真实性的者或者是首先一段发送接收方之间的信息流，然后在适当时间向接收方或发送放（playback）这段信息，向接收方发送。如在或者是完全一段信息流，冒充接收方任的第网络中的消息或在文件中的。：主要是指者网络上传递的信息流，从而获取信息的内容（ erception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（traffic在ysis）。即，系统的性。(pa

26、ssive attack)中，者的目的只是获取信息，这就意味着攻击者不会篡改信息或危害系统。系统可以不中断其正常运行。然而，可能会危害信息的发送者或者接收者。信息性的-和流量分析均属被业务流分析消息内容获取动。信息的会危害信息的发送者或接收者，但是系统不会受到影响。因此，在者或者接收者发现信息已经之前，要发现这种是困难的。又分为两类，一类是获取消息内容，这很好理解，即是通过，得到想要得到的有用信息。第二类是进行业务流分析，加入通过某种手段，比如加密，使得者从截获的消息无法得到消息的真实内容，然而敌手却有可能获得消息的格式、确定通信双方的位置和以及通信的次数和消息的长度，这些信息可能对于通信双方

27、来说是敏感的。应对办法：绝对预防主动，是的。需要随时随地对通信设备和通信线路进行物理保护。因此抗击主动的主要途径是检测，以及对此造成的破坏进行恢复。不对消息做任何修改，因此是难以检测的。因此抗击此工的方法应该是预防而非检测。5.4 评估系统安全性一个系统最起码的安全性要求是：破译者从截获的密文中，无法用穷举所有可能的密钥，来破译该系统。如果破译者没有足够的时间来试每个密钥，或即使穷举了所有密钥, 还是不能破译该系统，则称它是穷举破译安全的。对于分析，有上文所说的四种方式。选择明文是最强的一种。如果一个是抗选择明文安全的，那么它也一定是抗其它安全的。无条件安全性：这种评价方法考虑的是假定者拥有无

28、限的计算资源，但仍然无法破译该系统。计算安全性：这种方法是指使用目前最好的方法攻破它所需要的计算远远超出者的计算资源水平，则可以定义这个体制是安全的。可证明安全性：这种方法是将系统的安全性归结为某个经过深入研究的数学难题（如大整数素因子分解、计算离散对数等），数学难题被证明求解。这种评估方法存在是它只说明了这个方法的安全性与某个问题相关，没有完全证明问题本身的安全性，并给出它们的等价性证明。对于实际应用中的系统而言，由于至少存在一种破译方法，即强力法，因此都不能满足无条件安全性，只提供计算安全性。系统要达到实际安全性，就要满足以下准则：（1）破译该系统的实际计算量（包括计算时间或费用）十分巨大

29、，以致于在实际上是无法实现的。（2）破译该中发起战斗系统所需要的计算时间超过被加密信息有用的生命周期。例如，的命令只需要在战斗打响前需要；重要消息在公开前需要的时间往往也只有几个小时。（3）破译该系统的费用超过被加密信息本身的价值。如果一个系统能够满足以上准则之一，就可以认为是满足实际安全性的。5.5的复杂度一种的复杂度可以从下述三个方面描述，即：(1)(2)(3)数据复杂度：用作所需输人的数据量时间复杂度：完成所需的计算时间。空间复杂度：完成所需的空间作为一个规则，的复杂度常取这三个因数的最小值。有些包括这三种复杂度的折中：需求越大，可能越快。的复杂度常用数量级来表示。如果算法的时间复杂度是

30、 2128，那么破译这个算法需要 2128 次的运算(这些运算可能非常复杂和耗时)。当的复杂度是常数时，一般情况下，就只取决于计算能力了。在过去的几十年中，计算能力已得到显著提高，这种趋势将继续下去。所以，一个好的密码系统应设计成能抵抗未来许多年后计算能力的发展。5.6的具体应用(1)对 RSA 的选择密文RSA 在选择密文面前很脆弱。一般者是将某一信息作一下（Blind），让拥有私钥的实体签署。然后，经过计算就到它所想要的信息。实际上，利用的都是同一个弱点，即存在这样一个事实：乘幂保留了输入的乘法结构：（XM）d=Xd * Md mod n这个固有来自于公钥系统的最有用的特征没一个人都能使用

31、公钥。但从算法上无法解决这一问题，主要措施有两条：一条是采用好的公钥协议，保证工作过程中实，体不对其他任意产生的信息，不对自己一无所知的信息签名；另一条是决不对陌生人送来的随机文档签名，签名时首先使用ay HashFunction 对文档做HASH 处理，或同时使用不同的签名算法。(2)对 RSA 的公共模数若系统有一个模数，只是不同的人拥有不同e 和d，系统将是的。最普遍的情况是同一信息用不同的公钥加密，这些公钥共模而且互质，那么该信息无需私钥就到恢复。设P 为信息明文，两个加密密钥为 el 和 e2，公共模数是n，则：C1=Pel mod n C2=Pe2 mod n分析者知道n、el、e

32、2、Cl 和 C2，就能得到 P。因为 el 和 e2 互质。故用Euclidean76 算法能够找到r 和 s 满足：r * e1+s * e2=1假设r 为负数，需要用Euclidean 算法计算 C1(-1),则（C1（-1）（-r）* C2s=P mod n总之，如果知道给定模数的一对e 和d，一是有利于者分析模数，一是有利于计算出其它成对的e 和d，而无需分解模数。解决办法只有一个，那就是不要共享模数n。(3)对 RSA 的小指数有一种提高 RSA 速度的建议是使公钥e 取较小的值，这样会使加密变得易于实现，速度有所提高。但这样是不安全的，对付办法就是 e 和d 都取较大的值。总之，

33、从 Diffie 和man 发起学起，该领域最近几十年的发展表明，技术的一个创新生长点是的编译码理论和方法的深入研究，这方面具有代表性的工作有数据加密标准DES、高级加密标准 AES、RSA算法、椭圆曲线算法ECC、IDEA 算法、PGP 系统等。编码与是一对矛和盾的关系，它们在发展中始终处于一种动态的平衡。在网络领域，除了技术之外，管理也是非常重要的一个方面。如果技术使用不当，或者者绕过了技术的使用，就不可能提供真正的安全性。6.学发展方向6.1/离线学公钥学能够使通信双方在不安全的信道上安全地交换信息。在过去的几年里，公钥学已经极大地加速了网络的应用。然而，和对称系统不同，非对称的执行效率

34、不能很好地满足速度的需要。因此，如何改进效率成为公钥学中一个关键之一。针对效率问题，/ 离线的概念被提出。其主要观点是将一个体制分成两个阶段：执行阶段和离线执行阶段。在离线执行阶段，一些耗时较多的计算可以预先被执行。在阶段，一些低计算量的工作被执行。6.2 圆锥曲线学学是 1998 年由本文第一作者首次提出，C.Schnorr 认为，除圆锥曲线椭圆曲线以外这是人们最感的算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单，一个令人激动的特征是在其上的编码和都很容易被执行。同时，还可以建立模 n 的圆锥曲线群，构造等价于大整数分解的。现在已经知道，圆锥曲线群上的离散对数问题在圆锥曲线的阶和椭圆曲

35、线的阶相同的情况下，是一个不比椭圆曲线容易。所以，圆锥曲线已成为学中的一个重要的研究内容。6.3学学包括签名和系统。两者都提供功能，另外分别提供签名和功能。目前，学的两个重要问题亟需解决。一个是构造不用转换的系统，这个工作已经被本文第一作者和Tsukuba 大学的学者进行了一些研究。另外一个是如何来构造系统的较为合理的可证安全模型，以及给出系统安全性的证明。已经有一些研究者开始在这方面展开工作。6.4 密钥托管问题在现代通信中，存在两个的要求：一个是用户间要进行通信，另一个是为了网络和保护国家安全，要对用户的通信进行监督。密钥托管系统就是为了满足这种需要而被。在原始的密钥托管系统中，用户通信的

36、密钥将由一个主要的密钥托管来管理，当得到合法的时，托管代理可以将其交给的机构。但这种做法显然产生了新：的机构得到密钥以后，可以随意地用户的通信，即产生所谓的“一次，永远”问题。另外，这种托管系统中“用户的密钥完全地依赖于任的托管机构”的做法也不可取，因为托管机构今天是任的，不表示明天也是任的。在密钥托管系统中，法律强制域L E A F ( LawEnforcement Acs Field)是被通信加密和的额外信息块，用来保证合法的实体或被的第获得通信的明文消息。对于一个典型的密钥托管系统来说，LEAF 可以通过获得通信的解密密钥来构造。为了更趋合理，可以先将密钥分成一些密钥碎片，用不同的密钥托管的公钥加密密钥碎片，然后再将加密的密钥碎片通过门限化的方法合成。以此来达到解决“一次，”和“用户的密钥完全地依赖于任的托管机构”。现在对这一问题的研究产生了构造网上形式问题，通过建立可证安全信息形式模型来界定一般的网上信息形式。6.5 基于的学基于的学是由Shamir 于 1984 年。其主要观点是，系统中不，可以使用用户的标识如、IP 地址、电子邮件地址等作为公钥。需要P K G ( Private Key Generator)的用户的私钥通过一个被称作私钥任第进行计算得到。基于的数字签名方案在 1984 年Shamir 就已得到。然而，直到 2001 年，Boneh 等人利用椭圆曲