密码学的研究方向与发展前景综述

密码学的研究方向与发展前景综述

摘要：如今，计算机网络环境下信息的保密性、完整性、可用性和抗抵赖性，都需要采用密码技术来解决。密码体制大体分为对称密码(又称为私钥密码)和非对称密码(又称为公钥密码)两种。对称密码术早已被人们使用了数千年，它有各种形式，从简单的替换密码到较复杂的构造方式。它通常非常快速，但容易遭受攻击，因为用于加密的密钥必须与需要对消息进行解密的所有人一起共享。而非对称密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色，已成为最核心的密码。无论我们在应用程序中使用哪种密码，都应该考虑使用的方法、认识到发生的折衷方案以及规划功能更强大的计算机系统的前景。

关键字：计算机网络；密码技术；私钥密码；公钥密码

一、引言

当前，公钥密码的安全性概念已经被大大扩展了。像著名的RSA公钥密码算法、Rabin公钥密码算法和ElGamal公钥密码算法都已经得到了广泛应用。但是，有些公钥密码算法在理论上虽然是安全的，在具体的实际应用中却并非安全。因为在实际应用中不仅需要算法本身在数学证明上是安全的，同时也需要算法在实际应用中也是安全的。比如，公钥加密算法根据不同的应用，需要考虑选择明文安全、非适应性选择密文安全和适应性选择密码安全三类。数字签名根据需要也要求考虑抵抗非消息攻击和选择消息攻击等。因此，近年来，公钥密码学研究中的一个重要内容——可证安全密码学正是致力于这方面的研究。

公钥密码在信息安全中担负起密钥协商、数字签名、消息认证等重要角色，已成为最核心的密码。目前密码的核心课题主要是在结合具体的网络环境、提高运算效率的基础上，针对各种主动攻击行为，研究各种可证安全体制。其中引人注目的是基于身份(ID)密码体制和密码体制的可证安全模型研究，目前已经取得了重要成果。这些成果对网络安全、信息安全的影响非常巨大，例如公钥基础设施(PKI)将会更趋于合理，使其变为ID-PKI。在密码分析和攻击手段不断进步，计算机运算速度不断提高以及密码应用需求不断增长的情况下，迫切需要发展密码理论和创新密码算法。

二、研究方向

1.在线/离线密码学

公钥密码学能够使通信双方在不安全的信道上安全地交换信息。在过去的几年里，公钥密码学已经极大地加速了网络的应用。然而，和对称密码系统不同，非对称密码的执行效率不能

很好地满足速度的需要。因此，如何改进效率成为公钥密码学中一个关键的问题之一。

针对效率问题，在线/离线的概念被提出[1]。其主要观点是将一个密码体制分成两个阶段：在线执行阶段和离线执行阶段。在离线执行阶段，一些耗时较多的计算可以预先被执行。在在线阶段，一些低计算量的工作被执行。

2.圆锥曲线密码学

圆锥曲线密码学是1998年由****首次提出[2]，C.Schnorr认为，除椭圆曲线密码以外这是人们最感兴趣的密码算法。在圆锥曲线群上的各项计算比椭圆曲线群上的更简单，一个令人激动的特征是在其上的编码和解码都很容易被执行。同时，还可以建立模n的圆锥曲线群，构造等价于大整数分解的密码。现在已经知道，圆锥曲线群上的离散对数问题在圆锥曲线的阶和椭圆曲线的阶相同的情况下，是一个不比椭圆曲线容易的问题。所以，圆锥曲线密码已成为密码学中的一个重要的研究内容。

3.代理密码学

代理密码学包括代理签名和代理密码系统。两者都提供代理功能，另外分别提供代理签名和代理解密功能。

目前，代理密码学的两个重要问题亟需解决。一个是构造不用转换的代理密码系统，这个工作已经被*****和日本Tsukuba大学的学者进行了一些研究[3]。另外一个是如何来构造代理密码系统的较为合理的可证安全模型，以及给出系统安全性的证明。已经有一些研究者开始在这方面展开工作。

4.密钥托管问题

在现代保密通信中，存在两个矛盾的要求：一个是用户间要进行保密通信，另一个是政府为了抵制网络犯罪和保护国家安全，要对用户的通信进行监督。密钥托管系统就是为了满足这种需要而被提出的。在原始的密钥托管系统中，用户通信的密钥将由一个主要的密钥托管代理来管理，当得到合法的授权时，托管代理可以将其交给政府的监听机构。但这种做法显然产生了新的问题：政府的监听机构得到密钥以后，可以随意地监听用户的通信，即产生所谓的“一次监控，永远监控”问题。另外，这种托管系统中“用户的密钥完全地依赖于可信任的托管机构”的做法也不可取，因为托管机构今天是可信任的，不表示明天也是可信任的。

在密钥托管系统中，法律强制访问域LEAF(Law Enforcement Access Field)是被通信加密和存储的额外信息块，用来保证合法的政府实体或被授权的第三方获得通信的明文消息。对于一个典型的密钥托管系统来说，LEAF可以通过获得通信的解密密钥来构造。为了更趋合理，可以将密钥分成一些密钥碎片，用不同的密钥托管代理的公钥加密密钥碎片，然后再将加密的密

钥碎片通过门限化的方法合成。以此来达到解决“一次监控，永远监控”和“用户的密钥完全地依赖于可信任的托管机构”的问题。现在对这一问题的研究产生了构造网上信息安全形式问题，通过建立可证安全信息形式模型来界定一般的网上信息形式。

5.基于身份的密码学

基于身份的密码学是由Shamir于1984年提出的。其主要观点是，系统中不需要证书，可以使用用户的标识如姓名、IP地址、电子邮件地址等作为公钥。用户的私钥通过一个被称作私钥生成器PKG(Private Key Generator)的可信任第三方进行计算得到。基于身份的数字签名方案在1984年Shamir就已得到。然而，直到2001年，Boneh等人利用椭圆曲线的双线性对才得到Shamir意义上的基于身份的加密体制(IBE)[4]。在此之前，一个基于身份的更加传统的加密方案曾被Cocks提出，但效率极低。目前，基于身份的方案包括基于身份的加密体制、可鉴别身份的加密和签密体制、签名体制、密钥协商体制、鉴别体制、门限密码体制、层次密码体制等。

6.多方密钥协商问题

密钥协商问题是密码学中又一基本问题。

Diffie-Hellman协议是一个众所周知的在不安全的信道上通过交换消息来建立会话密钥的协议。它的安全性基于Diffie-Hellman离散对数问题。然而，Diffie-Hellman协议的主要问题是它不能抵抗中间人攻击，因为它不能提供用户身份验证。

当前已有的密钥协商协议包括双方密钥协商协议、双方非交互式的静态密钥协商协议、双方一轮密钥协商协议、双方可验证身份的密钥协商协议以及三方相对应类型的协议。

如何设计多方密钥协商协议？存在多元线性函数(双线性对的推广)吗？如果存在，我们能够构造基于多元线性函数的一轮多方密钥协商协议。而且，这种函数如果存在的话，一定会有更多的密码学应用。然而，直到现在，在密码学中，这个问题还远远没有得到解决。目前已经有人开始作相关的研究，并且给出了一些相关的应用以及建立这种函数的方向，给出了这种函数肯定存在的原因。

7.可证安全性密码学

当前，在现有公钥密码学中，有两种被广泛接受的安全性的定义，即语义安全性和非延展安全性。语义安全性，也称作不可区分安全性IND(Indistinguishability),首先由Goldwasser和Micali在1984年提出，是指从给定的密文中，攻击者没有能力得到关于明文的任何信息。非延展安全性NM(Non-malleability)是由Dolev、Dwork和Naor在1991年提出的[5]，指攻击者不能从给定的密文中，建立和密文所对应的与明文意义相关的明文的密文。在大多数令人感兴趣的研究问题上，不可区分安全性和非延展安全性是等价的。