第10章密码学的新方向课件

2023/8/231主要内容第1章绪论第2章古典密码体制第3章分组密码体制第4章序列密码体制第5章非对称密码体制第6章认证理论与技术——Hash函数第7章认证理论与技术——数字签名第8章认证理论与技术——身份认证技术第9章密钥管理技术第10章密码学的新方向第11章密码学的应用附录：应用密码算法课程设计2023/8/21主要内容第1章绪论2023/8/232第10章密码学的新方向2023/8/22第10章密码学的新方向2023/8/233

量子密码学原理

量子密钥分配协议

混沌序列的产生及其随机序列

混沌密码体制

其它新密码体制简介知识点：2023/8/23

量子密码学原理知识点：2023/8/234自1949年香农发表奠基性论著“保密系统的通信理论（CommunicationTheoryofSecrecySystems）”标志着现代密码学的诞生以来，密码学在“设计——破译——设计”的模式下迅速发展起来。近20年来，涌现出了许多新的密码学思想。本章首先介绍了量子密码学简介、量子密码学原理、量子密钥分配协议和量子密码学面临的挑战及未来发展趋势，然后介绍了混沌理论的基本概念、混沌序列的产生及其随机序列、混沌密码体制和具体的应用示例，最后简要介绍了多变量公钥密码体制、基于格的公钥密码体制和DNA密码体制等其它新密码体制。2023/8/24自1949年香农发表奠基性论著2023/8/2351.量子密码学量子密码学（QuantumCryptography）是量子力学与现代密码学相结合的产物。1970年，美国科学家威斯纳（Wiesner）首先将量子力学用于密码学，指出可以利用单量子状态制造不可伪造的“电子钞票”。

1984年，IBM公司的贝内特（Bennett）和Montreal大学的布拉萨德（Brassard）在基于威斯纳的思想的基础上研究发现，单量子态虽然不便于保存但可用于传输信息，提出了第一个量子密码学方案（即基于量子理论的编码方案及密钥分配协议），称为BB84协议。它是以量子力学基本理论为基础的量子信息理论领域的地一个应用，并提供了一个密钥交换的安全协议，称为量子密钥交换或分发协议，由此迎来了量子密码学的新时期。（1）量子密码学简介2023/8/251.量子密码学量子密码学（Qu2023/8/2361991年，英国牛津大学的Ekert提出的基于EPR的量子密钥分配协议（E91）充分利用了量子系统的纠缠特性，通过纠缠量子系统的非定域性来传递量子信息，取代了BB84协议中用来传递量子位的量子信道，因而可以更加灵活地实现密钥分配。1992年，贝内特指出只用两个非正交态即可实现量子密码通信并提出B92协议。至此，量子密码通信三大主流协议已基本形成。

20世纪90年代以来世界各国的科学家对量子密码通信的研究投入了大量的精力，并取得了较大的成功。

瑞士UniversityofGeneva在原有光纤系统中已建立22.8km量子保密通信线路并投入了实用；英国BT实验室已实现在常规光缆线路上量子密码通信传输距离达55km；2023/8/261991年，英国牛津大学的Eker2023/8/237美国LosAlamos实验室已成功实现48km量子密钥系统运行两年，2000年他们在自由空间中使用QKD系统成功实现传输距离为1.6公里；

2002年，德国幕尼黑大学和英国军方的研究机构合作，在德国、奥地利边境利用激光成功地传输了量子密码，试验的传输距离达到了23.4公里；

2003年11月，日本三菱电机公司宣布使用量子通信技术传送信息的距离可达87km；2005年初，IDQuantum公司启动了一个称为Vectis的量子密码系统（http://www.I），它由一个链路加密器组成，能在100km距离的光纤上自动进行量子密钥交换。2007年，一个由奥地利、英国、德国研究人员组成的小组在量子通信研究中创下通信距离达144km的最新记录，并认为利用这种方法有望在未来通过卫星网络来实现太空中的绝密信息传输。2023/8/27美国LosAlamos实验室已成2023/8/238我国量子通信的研究起步较晚，但在量子密码实现方面也做了大量的工作。

1995年中科院物理研究所在国内首次用BB84协议做了演示实验，华东师范大学用B92方案作了实验，2000年中科院物理研究所和中科院研究生院合作完成了国内第一个850nm波长全光纤量子密码通信实验通信距离大大1.1km。

2007年1月，由清华华大学、中国科学技术大学等组成的联合研究团队在远距离量子通信研究上取得了重大突破。他们采用诱骗信号的方法，在我国率先实现了以弱激光为光源、绝对安全距离大于100km的量子密钥分发。

2007年4月2日，中国科学院量子信息重点实验室利用自主创新的量子路由器，在北京网通公司公司商用通信网络上率先完成了四用户量子密码通信网络测试运行并确保了网络通信的安全。2023/8/28我国量子通信的研究起步较晚，但在量子密2023/8/239量子密码学是现代密码学领域的一个很有前途的新方向，量子密码的安全性是基于量子力学的测不准性和不可克隆性，其特点是对外界任何扰动的可检测性和易于实现的无条件安全性；扰动的可检测性的理论基础是Heisenberg测不准原理，而无条件安全性的理论基础是不可克隆定理。要破译量子密码协议就意味着必须否定量子力学定律，所以量子密码学也是一种理论上绝对安全的密码技术。

美国《商业周刊》将量子密码列为“改变人类未来生活的十大发明”的第三位，科学家们认为它是目前最安全的密码，最高明的攻击者也一筹莫展。

量子密码通信不仅是绝对安全的、不可破译的，而且任何窃取量子的动作都会改变量子的状态，所以一旦存在窃听者，会立刻被量子密码的使用者所知。因此，量子密码可能成为光通信网络中数据保护的强有力工具，而且要能对付未来具有量子计算能力的攻击者，量子密码可能是唯一的选择。2023/8/29量子密码学是现代密码学领域的一个很有前2023/8/2310①Heisenberg测不准原理：量子密码的基本理论依据。（2）量子密码学原理图10-1电子衍射实验2023/8/210①Heisenberg测不准原2023/8/23112023/8/2112023/8/2312另一个常见的具有不确定关系的例子是光子的两种偏振态。由于光是一种电磁波，它利用电场和磁场在垂直于光的传播方向上的平面里沿着两个相互正交的方向交替变换来传播。因此，电磁场在垂直于光传播方向的平面内的震动方向被称为光的偏振方向，又称为光的极化方向。每个光子都有一个偏振方向，存在两种光子偏振：即线偏振和圆偏振。其中线偏振可取两个方向：水平和垂直；圆偏振则包括左旋和右旋两个方向。在量子力学中，光子的线偏振和圆偏振是一对不可对易的可观测量。所以，根据海森堡不确定性原理，光子的线偏振和圆偏振是不可能被精确测量的。2023/8/212另一个常见的具有不确定关系的例子2023/8/2313②量子密码的基本原理量子密码学利用了量子的不确定性，使任何在通信信道上能够的窃听行为不可能不对通信本身产生影响，从而达到发现窃听者的目的，保证通信的安全。

在量子密码学中，量子密钥分配原理来源于光子偏振的原理：光子在传播时，不断地振动。光子振动的方向是任意的，既可能沿水平方向振动，也可能沿垂直方向，更多的是沿某一倾斜的方向振动。

如果一大批光子以沿同样的方向振动则称为偏振光。如果相反，沿各种不同的方向振动的光称为非偏振光。通常生活中的光如日光、照明灯光等都是非偏振光。偏振滤光器（偏振片）只允许沿特定方向的偏振的光子通过，并吸收其余的光子。2023/8/213②量子密码的基本原理量子密2023/8/2314设光子的偏振方向与偏振滤光器的倾斜方向的夹角为α。

当α很小时，光子改变偏振方向并通过偏振滤光器的概率大，否则就小。特别地当α＝90º,其概率为0，α＝45º时，其概率为0.5；α=0º，其概率为1。可以在任意基上测量极化状态：直角的两个方向和对角线的两个方向。一个基的例子就是直线：水平线和直线；另一个就是对角线：左对角线和右对角线。如果一个光子脉冲在一个给定的基上被极化，而且又在同一个基上测量，就能够得到极化状态。如果在一个错误的基上测量极化状态的话，将得到随机结果。因此，可以使用这个特性来产生密钥。量子密钥分配原理就是基于这一原理的。2023/8/214设光子的偏振方向与偏振滤光器的倾斜方2023/8/2315

量子密码学为现代密码学提供了一种实现密钥安全分发的途径。假设通信双方为A和B，量子密码学利用上述理论进行密钥分配的基本步骤如下：①A随机地生成一比特流，通过编码方法将比特流转换成一串光子脉冲，并发送给B，每个光子有四个可能的极化状态，A随机独立地设置每个光子的极化状态；

②B设置接收滤光器的序列，并读取接收到的光子序列，然后转换为相应的比特流，但由于B并不知道A的设置，因此只能随机地设置；

③B通过传统的非保密信道告诉A其滤光器序列的设置，A并对照自己的位置，通过传统的非保密信道告诉B设置正确的位置；④

B选取正确设置的比特，并向A公布部分选定的比特；

⑤A检查B公布的比特与自己所发出比特的一致性，若没有发生窃听行为，则他们应该是一致的，否则可以判断发生了窃听行为；2023/8/215量子密码学为现代密码学提供了一种2023/8/2316

⑥如果没有发生窃听行为，A和B双方可以约定用剩余的比特作为共享的会话密钥，从而实现密钥的分配。如果A和B获得的比特位在数量上没有达到要求，他们可以重复上述办法获得足够多的比特位。

（3）量子密钥分配协议假设在初始状态下，两个准备通信的用户A和B之间没有任何共享的秘密信息。A和B利用量子信道传输随机比特流，然后在通常的信道上判断并选择一些比特作为共享的密钥。协议流程如下：

①A随机地选择比特流：1100110100……②A随机地设置偏振滤光器的方向：＋－＋|＋＋|＋|－……

其中，+表示左右对角线方向，－表示水平方向，|表示垂直方向。2023/8/216⑥如果没有发生窃听行为，A和B双方可2023/8/2317量子力学的规律只允许我们同时测量沿左对角线方向或右对角线方向的偏振光，或同时测量沿水平方向或垂直方向的偏振光。但是不允许我们同时测量沿上述四个方向的偏振光，测量其中一组就会破坏对另一组的测量。A和B事先约定好编码规则，例如令偏振滤光器的左对角线方向“／”和水平方向“―”为0，右对角线方向“╲”和垂直方向∣为1。

③A把一串光子脉冲发送给B，其中每一个脉冲随机地在四个方向上被极化成水平线，垂直线、左对角线和右对角线。比如：A给B发送的是：||／—―╲―|―／……

④B设置有一个偏振光检测器，他能将检测器设置成直线极化，或设置成对角线极化，但他不能同时做这两种测量，这是因为量子力学不允许这样做，测量了一个就破坏了测量另外一个的任何可能性，所以B随机地设置检测器。例如：×＋＋×××＋×＋＋……2023/8/217量子力学的规律只允许我们同时测量2023/8/2318当B正确地设置了他的检测器，B将记录下正确的极化。如果B将检测器设置成测量直线化。而脉冲被直线化，那么他将获得A极化光子的方向；如果B将检测器设置成测量对角线极化，而脉冲被直线极化，那么B将得到一个随机的测量结果。B不知道差别。

例如：对于第3个光子脉冲，A与B的设置均为×，即沿对角线方向测量偏振光，B将获得正确的结果／。反之，若B的设置错误，即A与B的设置不同时，他将得到随机的结果。当然，B并不知道他所获得的结果中哪些是正确的。此外，在实践中由于光子会在传输中丢失，或偏振滤光器等测量设备不够灵敏没有检测到光子，还会导致B收到的光子脉冲会少于A发送的光子脉冲等这些情况。在本例中，B可能获得结果：／|—╲／╲―／―|那么，B根据所获得的结果，可以判断所收到的为如下比特流：1100110101……2023/8/218当B正确地设置了他的检测器，B将2023/8/2319至此，量子信道上的传输过程完毕，下面A和B将在通常的不安全信道上公开交换信息。

⑤B在公共信道（有可能是不安全的信道）上告诉A，他使用了什么设置。⑥A告诉B在哪些设置上是正确的，在本例中，检测器对第2、6、7、9脉冲是正确的设置。⑦A和B只保存被正确测量的那些极化。在本例中，他们保存：×|×××╲―×―×……使用预先设置的代码，A和B能把那些极化测量转变成位。在本例中，A和B都有：1100……，所以，A和B产生了4位，利用该系统他们能产生需要的位。B猜出正确设置的机会平均是50%，所以产生n位，A必须发送2n个光子脉冲。因此，可使用被正确设置接收到的那些位作为对称密码体制的密钥，或者能为一次一密乱码本产生足够的位及提供绝对的安全性。2023/8/219至此，量子信道上的传输过程完毕，2023/8/2320但值得注意的是，可能有第三方C在窃听。正象B一样，他必须猜测测量的是哪一种类型的极化，并且与B一样，C的猜测中可能有一半是错误的。因为错误的猜测改变了光子的极化，所以C在她窃听的脉冲中引起了错误。如果他这样做了，A和B将最后得出不同的位串。如果要预防这种情况发生，A和B可以像下面那样完成协议。⑧A和B比较位串中少量的几位。如果有差别，他们就可以断定传输信道上正在被窃听；如果没有任何差别，他们放弃用于比较的那些位，而使用剩下的那些位。

至此，就生成了秘密的共享比特流（密钥）。

在上面的讨论中，实际上是假设了分配密钥的量子信道是完全纯的，没有干扰的。而实际量子信道可能做不到这一点，就是说在传输中会有各种干扰（比如噪声）存在。即使在没有C窃听的情况下，A和B也会发现前面提出的校验方式仍可能失败。应如何把信道上的各种干扰引起出错同窃听破坏出错区别开来呢？可以采用量子纠错的方法减少出错率。

2023/8/220但值得注意的是，可能有第三方C在窃2023/8/2321一个具体的量子密钥分配协议的过程如下表所示。2023/8/221一个具体的量子密钥分配协议的过程2023/8/2322①量子密码学面临的技术挑战（4）量子密码学面临的挑战及未来发展趋势

光子源：量子密钥分配的安全性取决于生成和处理单个光子的能力，但要生成单个光子并的是件容易的事情。

量子信息传输的通道：目前，主要是单模光纤或空气作为传输介质。虽然单模光纤理论已经发展得很完美，但目前所有的通信光纤都不是理想的单模光纤，光纤的双折射，偏振模色散以及偏振有关损耗等会影响到密码的传输系统的性能，如传输距离受限，误码率上升等。而远程通信还离不开卫星的中继，这就要求实现由地面到卫星，以及卫星到卫星的量子密码通信，而这里的传输介质只能是大气空间，如何降低光子在空间传输中的损耗，抑制背景光的影响，都是必须解决的技术难题。

2023/8/222①量子密码学面临的技术挑战（2023/8/2323

量子中继器：由于目前量子密钥分发系统只能工作在100多公里的范围内，要想扩大距离，传统的中继骑不能使用，如何在长距离的自由空间中来实现卫星分发量子密钥都还是技术难题。

单光子探测：有了可靠的光子源，量子密钥分发成败就取决于单个光子探测的可能性。目前可以通过光子增倍器、雪崩二极管（AvalanchePhotodiodes）、多通道极板、超导Josephson结等来实现。一般来说，理想的单光子探测器应满足能在较大光谱范围内取得高的量子探测效率、产生噪声的概率应很小、具有较高的定时分辨率和恢复时间要很小等，但是同时满足这些要求，到目前为止还是不可能的。目前最好的选择是雪崩二极管，但仍然还存在一些尚未克服的难题。

低传输率：由于量子密钥分配的工作原理决定了只有部分传输位才能用于作为密钥，导致量子密钥传输的效率低。如何提高传输效率也是一个技术难题。2023/8/223

量子中继器：由于目前量子密钥分2023/8/2324②量子密码学的未来发展方向

寻找量子密码学的新研究领域，如量子签名、量子身份认证、量子投票等。当前，量子密码学作为现代密码学的扩展和升级，不是用来取代现代密码学，而是要将量子密码学的优势和现代密码体制（如公钥密码体制）的优势结合起来，寻找新的应用领域。

量子密码通信的网络化。如何进一步将量子密码通信在当前的Internet中推广应用，并实现量子密码通信的网络化，也是未来研究的问题。

在光纤和大气环境中如何实现更长距离、更快速度、更低的误码率的量子密钥的分发，使点对点的量子密码通信进入实用阶段，也是值得进一步研究的问题。

2023/8/224②量子密码学的未来发展方向2023/8/2325

在不同工作波长和采用不同的量子密钥分发协议的量子密码系统的研究中，应从可行性、实用性、可靠性、稳定性上力求构建完善的量子密码系统方案。

实现量子隐形传态，研究和完善使用EPR（纠错）的关联来实现量子密码的通信方案。

进一步解决量子通信和计算中存在的消相干、误差检测、校验和量子纠错等问题，研究和开发上百比特或上千比特的量子计算机，使量子计算机真正进入实用阶段。

量子密码通信与未来的全光网络相结合。如何利用未来的全光网的光纤信道搭载通信，提供量子计算机的接口等，都是值得研究的关键问题。2023/8/225

在不同工作波长和采用不2023/8/23262.基于混沌理论的密码体制①混沌理论简介

（1）混沌理论的基本概念

混沌理论是一门专门研究奇异函数、奇异图形的数学理论。研究自然界的有序、无序间的规律。20世纪70年代，混沌科学作为一门新兴的学科正式诞生了。1971年，法国数学物理家Ruelle和荷兰学者Takens一起发表了“论湍流的本质”，在学术界首次提出了用混沌来描述湍流形成机理的新观点。通过严密的数学分析发现了动力学存在“奇异吸引子”；

1973年，日本京都大学的Y.Ueda在用计算机研究非线性振动时，发现了一种杂乱的振动形态，被称为Ueda吸引子；2023/8/2262.基于混沌理论的密码体制①2023/8/23271975年，李天岩和Yoke发表了著名的论文“PeriodThreeImpliesChaos（周期3意味着混沌）”，首次使用了“混沌（Chaos）”这个名词，并为后来的学者接受；

1977年夏，物理学家Ford和Casati在意大利组织了关于混沌研讨的第1次国际会议，进一步营造了混沌科学研究的氛围；1978年，美国物理学家Feigenbanum发现了普适性常数；1979年，Holmes作了磁场中曲片受简谐激励时的振动试验，发现激励频率和振幅超过某个特定值后，就会出现混沌振动；1981年，美国MIT学院的Linsay验证了Feigenbanum普适性常数；1989年，召开了美苏混沌研讨会；1991年4月，在日本召开了“混沌科学与社会的影响”国际会议；2023/8/2271975年，李天岩和Yoke发表2023/8/23281991年10月，在美国召开了首届混沌试验研讨会。这些会议的召开促进了混沌学世界性研究热潮的到来。近10多年，混沌学更是与其他学科相互渗透，无论是在生物学、生理学、心理学、数学、物理学、电子学、信息科学，还是天文学、气象学、经济学，甚至音乐、艺术等领域，混沌学都得到了广泛的应用。如今，混沌学被认为是20世纪与相对论、量子力学并列的三大发现之一。

2023/8/2281991年10月，在美国召开了首2023/8/2329②混沌理论的基本概念混沌系统有两大特征：对初始条件的敏感性和系统变化的不可预测性。这两个特性恰好是密码学随机序列的重要特征，因此混沌理论也被应用于密码学的研究之中。

2023/8/229②混沌理论的基本概念2023/8/2330在条件（1）中说明，混沌现象中，各种周期成分并存；而条件（2）表明，非周期成分也共存；条件（2）中的条件①和②表明任何两点的迭代轨迹时分时合，条件③表明非周期轨道不可能呈现出渐近的周期行为，这些条件充分反映了映射迭代轨迹的混乱（随机）特性。李-Yoke定理给出了一个判别映射混沌的条件：周期3意味着混沌。其数学理论表示为：2023/8/230在条件（1）中说明，混沌现象中，2023/8/23312023/8/2312023/8/2332（2）混沌序列的产生及其随机序列

在混沌序列应用中，最大的困难和要求是其随机性度量和事实周期的研究。可以断言，混沌序列不可能严格满足Golomb随机性条件，也许根本不满足。

由于计算精度的限制，混沌序列实际上是周期性的，对密码学而言，这个周期要足够大，但是我们甚至不能计算一个混沌系统的事实周期。这也给基于混沌的密码学应用带来了巨大的障碍，也成为密码学研究的主要内容。

2023/8/232（2）混沌序列的产生及其随机序列2023/8/2333

显然，可以认为是实际上是安全的。同时，我们还看到，只要简单地提高数据的有效数，攻击时间以指数速度增长。2023/8/233显然，可以认为是实际上是安全的。同时2023/8/2334

但随后Wheeler又指出，对于这种映射生成的序列，不能抵抗差分密码分析方法，因而也是不安全的。Wheeler和Matthews进一步研究指出，只要提高计算机运算的精度，Matthews的混沌序列生成方法仍然适用于密码学。2023/8/234但随后Wheeler又指出，对于2023/8/2335（3）混沌密码体制

2023/8/235（3）混沌密码体制2023/8/2336

迭代次数一般要尽量地大，越大，差别不大的明文加密后得到的密文差别就越大。此外，的选取还需要使明、密文满足一定的分布性要求，一般可以使用以下方法来选取：（1）随机地选取一个点作为密文，取一些密钥进行解密，考察明文的分布，使之相对于密钥在上一致地分布；（2）将（1）中选取的密钥稍加变化，再解密密文，得到明文的分布