現(xiàn)代密碼算法研究

摘要：密碼技術(shù)是信息安全的核心技術(shù)。密碼技術(shù)主要包括對(duì)稱密碼算法和非對(duì)稱密碼算法及協(xié)議。對(duì)稱加密算法加密密鑰和解密密鑰相互推導(dǎo)容易，加/解密速度非常快，適用于大批量數(shù)據(jù)加密的場(chǎng)合。非對(duì)稱密鑰密碼體制從私有密鑰推導(dǎo)公開密鑰是計(jì)算不可行的，雖然公鑰加密算法在運(yùn)行速度方面無(wú)法和對(duì)稱加密算法媲美，但很好地解決了對(duì)稱密碼學(xué)面臨的密鑰的分發(fā)與管理問題，同時(shí)對(duì)于數(shù)字簽名問題也給出了完美的解答。

關(guān)鍵詞：分組密碼；流密碼；Hash函數(shù)；非對(duì)稱密碼；密碼協(xié)議

Abstract: Technologies of cryptography are the core of information security. It mainly includes symmetric encryption algorithms and asymmetric cryptographic algorithms and protocols. For the symmetric encryption algorithm， it is easy to deduce decryption keys from the encryption keys and vice versa. Because this algorithm encrypts and decrypts data very quickly， it is applicable in situations where large numbers of data have to be protected. However， for the asymmetric algorithm， extracting the secret key from the public key is computationally infeasible. Although the performance speed of asymmetric encryption algorithm is much slower than that of the symmetric algorithm， the asymmetric algorithm has key management advantages over the symmetric one， and it generates signature of digital messages.

Key words: block cipher; stream cipher; Hash function; asymmetric cryptography; cryptographic protocol

信息安全本身包括的范圍很大，從安全性需求的角度來(lái)說(shuō)涉及到信息的保密性、完整性、可用性、認(rèn)證性和不可否認(rèn)性。其中，密碼技術(shù)是保障信息安全的核心技術(shù)。

密碼學(xué)是一門充滿挑戰(zhàn)的交叉學(xué)科，有著悠久而迷人的歷史。4 000多年前就有埃及人運(yùn)用簡(jiǎn)單的加密手段傳遞秘密信息的記錄。在兩次世界大戰(zhàn)中，密碼學(xué)更是扮演了舉足輕重的角色。但是，早期密碼技術(shù)的研究和應(yīng)用多屬于軍隊(duì)、外交和政府行為。20世紀(jì)60年代計(jì)算機(jī)與通信系統(tǒng)的迅猛發(fā)展，促使人們開始考慮如何通過(guò)計(jì)算機(jī)和通信網(wǎng)絡(luò)安全地完成各項(xiàng)事務(wù)，從而使得密碼技術(shù)開始廣泛應(yīng)用于民間，也進(jìn)一步促進(jìn)了密碼技術(shù)的迅猛發(fā)展。

傳統(tǒng)密碼技術(shù)更多被看成是一門藝術(shù)，密碼學(xué)專家常常是憑自己的直覺來(lái)進(jìn)行密碼算法的設(shè)計(jì)和分析。直到1949年Shannon[1]發(fā)表《保密系統(tǒng)的通信理論》一文，文章從信息論的角度討論了加密系統(tǒng)的安全性和設(shè)計(jì)準(zhǔn)則，從此將密碼學(xué)從藝術(shù)帶入了系統(tǒng)科學(xué)的殿堂。20世紀(jì)70年代，IBM公司設(shè)計(jì)出數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)分組密碼算法，并在1977年被美國(guó)聯(lián)邦政府采納為聯(lián)邦信息處理標(biāo)準(zhǔn)。幾乎同時(shí)，Diffie和Hellman[2]提出了公鑰密碼學(xué)的思想。他們?cè)凇睹艽a學(xué)的新方向》一文中解決了原有對(duì)稱密碼系統(tǒng)存在的密鑰分配問題，并提出了數(shù)字簽名的新思路。1978年，Rivest、Shamir和Aldleman[3]設(shè)計(jì)出了第一個(gè)在實(shí)踐中可用的公開密鑰加密和簽名方案——RSA，從而拉開了現(xiàn)代密碼學(xué)的序幕。

1 對(duì)稱加密算法

密碼算法主要分為對(duì)稱密碼算法和非對(duì)稱密碼算法兩大類。對(duì)稱加密算法指加密密鑰和解密密鑰相同，或知道密鑰之一很容易推導(dǎo)得到另一個(gè)密鑰。通常情況下，對(duì)稱密鑰加密算法的加/解密速度非常快，因此，這類算法適用于大批量數(shù)據(jù)加密的場(chǎng)合。這類算法又分為分組密碼和流密碼兩大類。

1.1 分組密碼

分組密碼算法如圖1所示。相對(duì)流密碼算法來(lái)說(shuō)，分組密碼算法不需要存儲(chǔ)生成的密鑰序列，所以適用于存儲(chǔ)空間有限的加密場(chǎng)合。此外，目前使用的分組密碼算法的分析和設(shè)計(jì)過(guò)程都相對(duì)公開，通常伴隨著大型的征集和公開評(píng)估活動(dòng)。這樣一來(lái)不僅僅增加了算法的透明度，防止攻擊者隱藏陷門并使得用戶充分相信算法的安全強(qiáng)度；另一方面極大促進(jìn)了分組密碼技術(shù)的飛速發(fā)展。

1973年5月13日的美國(guó)聯(lián)邦政府提出征求在傳輸和存儲(chǔ)數(shù)據(jù)中保護(hù)計(jì)算機(jī)數(shù)據(jù)的密碼算法的建議，這一舉措最終導(dǎo)致了DES算法的研制。在公開征得的眾多算法中，IBM公司提出的算法Lucifer中選。1975年3月17日，美國(guó)國(guó)家標(biāo)準(zhǔn)局(NBS)首次公布了此算法，請(qǐng)公眾評(píng)議。1977年1月NBS正式向社會(huì)公布，采納IBM公司設(shè)計(jì)的方案作為非機(jī)密數(shù)據(jù)的數(shù)據(jù)加密標(biāo)準(zhǔn)。DES正式成為美國(guó)聯(lián)邦政府信息處理標(biāo)準(zhǔn)，即FIPS-46標(biāo)準(zhǔn)，同年7月15日開始生效。此后，每隔5年美國(guó)國(guó)家保密局(NSA)對(duì)DES作新的評(píng)估，并重新批準(zhǔn)它是否繼續(xù)作為聯(lián)邦加密標(biāo)準(zhǔn)。

1997年，美國(guó)標(biāo)準(zhǔn)技術(shù)研究所(NIST)對(duì)DES進(jìn)行再次評(píng)測(cè)并宣布：DES算法的安全強(qiáng)度已經(jīng)不足以保障聯(lián)邦政府信息數(shù)據(jù)的安全性，所以NIST建議撤銷相關(guān)標(biāo)準(zhǔn)，此后DES算法只作為三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)(TDES)的一個(gè)組成部分使用。同時(shí)，NIST開始征集新的數(shù)據(jù)加密標(biāo)準(zhǔn)高級(jí)數(shù)據(jù)加密標(biāo)準(zhǔn)(AES)[4]，他們要求新算法的分組長(zhǎng)度為128，支持可變密鑰長(zhǎng)度128、192、256比特。1998年，NIST在第一輪AES征集會(huì)議上公布了征集到的15個(gè)算法，并且邀請(qǐng)全世界的密碼研究機(jī)構(gòu)對(duì)算法進(jìn)行安全性等方面的評(píng)測(cè)。1999年，NIST從中選取了5個(gè)優(yōu)良的算法作為AES的候選算法，它們分別是MARS、RC6、Rijndael、Serpent和Twofish，并通過(guò)最終的綜合評(píng)價(jià)確定Rijndael算法為新的數(shù)據(jù)加密標(biāo)準(zhǔn)，2001年12月正式公布FIPS-197標(biāo)準(zhǔn)。

歐洲于2000年1月啟動(dòng)了NESSIE工程[5]，該工程的目的是評(píng)價(jià)出包含分組密碼、流密碼等在內(nèi)的一系列安全、高效和靈活的密碼算法。至2000年9月，共收集到了17個(gè)分組密碼算法，同時(shí)他們將TDES和AES納入了評(píng)估范圍，并作為分組密碼算法的評(píng)測(cè)基準(zhǔn)。經(jīng)過(guò)3年2個(gè)階段的篩選，最終確定下列算法為推薦的分組密碼算法：MISTY164、Camllia128、SHACAL-2和AES128。

日本政府在2000年成立了密碼研究與評(píng)估委員會(huì)(CRYPTREC)[6]并參考?xì)W洲NESSIE工程的作法對(duì)密碼算法的安全性和效率等問題進(jìn)行評(píng)估，以備政府使用。評(píng)估涵蓋了對(duì)稱密碼算法、非對(duì)稱密碼算法、散列函數(shù)和隨機(jī)數(shù)生成器4部分。2002年初步擬定了推薦算法的草案，2003年3月確定了推薦算法名單，其中分組密碼算法包括：

分組長(zhǎng)度為64比特的算法：CIPHERUNICORN-E、MISTY1[Ma00]和3-keyTDES。

分組長(zhǎng)度為128比特的算法：Camellia、CIPHERUNICORN-A、SC2000、Hierocrypt-3和Rijndael128。

目前，分組密碼的設(shè)計(jì)與分析依然是密碼學(xué)研究的熱點(diǎn)。設(shè)計(jì)方面主要是尋求更好的設(shè)計(jì)技術(shù)在安全性和效率方面突破AES算法。分析方面主要是可證明安全性理論研究、應(yīng)用安全性研究及新的攻擊方法挖掘。此外，利用分組密碼技術(shù)設(shè)計(jì)新的流密碼算法、新的Hash函數(shù)算法也是研究的熱點(diǎn)。

1.2 流密碼

流密碼(也叫序列密碼)的理論基礎(chǔ)是一次一密算法，它的主要原理是：生成與明文信息流同樣長(zhǎng)度的隨機(jī)密鑰序列，使用該序列按比特加密信息流，得到密文序列，解密變換是加密變換的逆過(guò)程。根據(jù)Shannon的研究，這樣的算法可以達(dá)到完全保密的要求。但是，在現(xiàn)實(shí)生活中，生成完全隨機(jī)的密鑰序列是不可行的，因此只能生成一些類似隨機(jī)的密鑰序列，稱之為偽隨機(jī)序列。

流密碼內(nèi)部存在記憶元件(存儲(chǔ)器)來(lái)存儲(chǔ)生成的密鑰序列。根據(jù)加密器中記憶元件的存儲(chǔ)狀態(tài)是否依賴于輸入的明文序列，又分為同步流密碼算法(如圖2所示)和自同步流密碼算法(如圖3所示)。

流密碼算法最初主要用于政府、軍方等國(guó)家要害部門，因此，流密碼不像分組密碼那樣有公開的國(guó)際標(biāo)準(zhǔn)，大多數(shù)設(shè)計(jì)、分析成果都是保密的。但是隨著流密碼的應(yīng)用需求越來(lái)越廣泛，從NESSIE工程開始，流密碼算法的設(shè)計(jì)與分析也列上了公開征集評(píng)測(cè)的日程。

2000年1月歐洲啟動(dòng)的NESSIE工程中，有6個(gè)流密碼算法(Leviathan、UIi-128、BMGL、SOBER-t32、SNOW、SOBER-tl)進(jìn)入了第二階段評(píng)估，但是因?yàn)樗麄兌疾环螻ESSIE的征集準(zhǔn)則而最終全部落選。

2003年3月，日本政府的密碼研究與評(píng)估委員會(huì)(CRYPTREC)推薦了3個(gè)流密碼算法：MUGI、MULTI-S01和RC4-128。

ECRYPT[7]是歐洲第6框架研究計(jì)劃(FP6)下IST基金支持的一個(gè)為期4年的項(xiàng)目，該項(xiàng)目啟動(dòng)于2004年2月，分為AZTEC、PROVILAB、VAMPIRE、STVL和WAVILA 5個(gè)部分。其中STVL正在進(jìn)行流密碼算法的公開征集評(píng)估活動(dòng)：2004年10月14—15日在比利時(shí)舉行了一個(gè)名為SASC的特別會(huì)議，會(huì)議的討論引發(fā)了流密碼算法的征集活動(dòng)，并于2004年11月發(fā)布了征集公告，這也是對(duì)NESSIE沒有征集到流密碼算法的一個(gè)補(bǔ)充。征集活動(dòng)到2005年4月29日結(jié)束，根據(jù)4個(gè)征集原則，一共征集到了34個(gè)流密碼算法。2007年4月開始進(jìn)入第三輪評(píng)估，針對(duì)軟件設(shè)計(jì)的候選算法有CryptMT(Version3)、Dragon、Rabbit、HC(HC-128和HC-256)、LEX(LEX-128、LEX-192和LEX-256)、NLS(NLSv2加密)、Salsa20和SOSEMANUK。針對(duì)硬件設(shè)計(jì)的候選算法包括DECIM(DECIMv2和DECIM-128)、F-FCSR(F-FCSR-Hv2和F-FCSR-16)、Edon80、Grain(Grainv1和Grain-128)、MICKEY(MICKEY2.0和MICKEY-1282.0)、Moustique、Trivium和Pomaranch (Version 3) 。

對(duì)流密碼研究?jī)?nèi)容集中在如下兩方面：

(1)衡量密鑰流序列好壞的標(biāo)準(zhǔn)。通常，密鑰序列的檢驗(yàn)標(biāo)準(zhǔn)采用Golomb的3點(diǎn)隨機(jī)性公設(shè)，除此之外，還需做進(jìn)一步局部隨機(jī)性檢驗(yàn)，包括頻率檢驗(yàn)、序列檢驗(yàn)、撲克檢驗(yàn)、自相關(guān)檢驗(yàn)和游程檢驗(yàn)，以及反映序列不可預(yù)測(cè)性的復(fù)雜度測(cè)試等。但是，究竟什么樣的序列可以作為安全可靠的密鑰序列，還是一個(gè)未知的問題。

(2)構(gòu)造線性復(fù)雜度高、周期大的密鑰流序列。當(dāng)前最常用的密鑰序列產(chǎn)生器主要有：基于線性反饋移位寄存器的前饋序列產(chǎn)生器、非線性組合序列產(chǎn)生器、鐘控序列產(chǎn)生器、基于分組密碼技術(shù)的密鑰生成器等。

2 Hash函數(shù)

Hash函數(shù)(也稱雜湊函數(shù)、散列函數(shù))就是把任意長(zhǎng)的輸入消息串變化成固定長(zhǎng)度的輸出“0”、“1”串的函數(shù)，輸出“0”、“1”串被稱為該消息的Hash值(或雜湊值)。一個(gè)比較安全的Hash函數(shù)應(yīng)該至少滿足以下幾個(gè)條件：

輸出串長(zhǎng)度至少為128比特，以抵抗生日攻擊。

對(duì)每一個(gè)給定的輸入，計(jì)算Hash值很容易(Hash算法的運(yùn)行效率通常都很高)。

對(duì)給定的Hash函數(shù)，已知Hash值，得到相應(yīng)的輸入消息串(求逆)是計(jì)算上不可行的。

對(duì)給定的Hash函數(shù)和一個(gè)隨機(jī)選擇的消息，找到另一個(gè)與該消息不同的消息使得它們Hash值相同(第二原像攻擊)是計(jì)算上不可行的。

對(duì)給定的Hash函數(shù)，找到兩個(gè)不同的輸入消息串使得它們的Hash值相同(即碰撞攻擊)實(shí)際計(jì)算上是不可行的。

Hash函數(shù)主要用于消息認(rèn)證算法構(gòu)造、口令保護(hù)、比特承諾協(xié)議、隨機(jī)數(shù)生成和數(shù)字簽名算法中。Hash函數(shù)算法有很多，最著名的主要有MD系列和SHA系列，一直以來(lái)，對(duì)于這些算法的安全性分析結(jié)果沒有很大突破，這給了人們足夠的信心相信它們是足夠安全的，并被廣泛應(yīng)用于網(wǎng)絡(luò)通信協(xié)議當(dāng)中。直到2004年，中國(guó)密碼學(xué)家王小云教授和她的團(tuán)隊(duì)將MD4的碰撞攻擊復(fù)雜度時(shí)間降到手工可計(jì)算[8]；并將尋找MD5算法實(shí)際碰撞的復(fù)雜度和SHA-1算法碰撞的理論復(fù)雜度分別降為239和263 [9-10]。她們的出色工作，顛覆了這座堅(jiān)固的大廈，也迫使眾多密碼學(xué)家重新評(píng)價(jià)目前Hash算法的安全強(qiáng)度，同時(shí)思考新的Hash函數(shù)算法設(shè)計(jì)方法。

NESSIE工程推薦使用的Hash算法有SHA-256/384/512和Whirlpool，日本密碼研究與評(píng)估委員會(huì)推薦使用的算法有SHA-1/256/384/512、 RIPEMD-160。

ECRYPT也在Hash算法研究方面舉辦了一系列活動(dòng)。此外，NIST研究所將于2008年啟動(dòng)新的Hash標(biāo)準(zhǔn)的征集活動(dòng)。

3 非對(duì)稱密碼算法

非對(duì)稱密鑰密碼體制，即公開密鑰密碼體制指用戶有兩個(gè)密鑰，一個(gè)公開密鑰，一個(gè)私有密鑰，并且從私有密鑰推導(dǎo)公開密鑰是計(jì)算不可行的。公鑰加密算法在運(yùn)行速度方面無(wú)法和對(duì)稱加密算法媲美，但是這一思想很好地解決了對(duì)稱密碼學(xué)面臨的密鑰的分發(fā)與管理問題，同時(shí)對(duì)于數(shù)字簽名問題也給出了完美的解答，并正在繼續(xù)產(chǎn)生許多新的，優(yōu)秀的思想和方案。

3.1 基于CA的公鑰密碼

公鑰密碼算法設(shè)計(jì)的關(guān)鍵是存在多項(xiàng)式時(shí)間內(nèi)不可解的困難問題。最早的也是目前使用最廣泛的公鑰加密和簽名方案是RSA算法，該算法的安全性基于大整數(shù)分解問題。

Diffie和Hellman提出的DH密鑰交換方案以及后來(lái)的數(shù)字簽名標(biāo)準(zhǔn)(DSS)和ElGamal加密算法多基于同離散對(duì)數(shù)問題相關(guān)的困難問題。此外，在基于離散對(duì)數(shù)問題的密碼算法中有一類特殊的算法——橢圓曲線和超橢圓曲線密碼學(xué)(ECC)。這類算法的優(yōu)點(diǎn)是參數(shù)長(zhǎng)度較短(見表1)可以達(dá)到較高的安全性，因此，非常適合在智能卡等存儲(chǔ)空間有限的密碼設(shè)備上使用。

在NESSIE工程中共推薦了3個(gè)數(shù)字簽名算法：ECDSA、RSA-PSS、SFLASH。2003年3月，日本政府的密碼研究與評(píng)估委員會(huì)推薦了兩個(gè)公鑰加密算法(RSAES-PKCS1-v1 5、RAS-OAEP)和4個(gè)數(shù)字簽名算法(ECDSA、RSASSA-PKCS1-v1 5、 DSA、RSA-PSS)。

歷經(jīng)20多年的分析研究，密碼學(xué)家依然沒有徹底攻破基于整數(shù)分解和基于離散對(duì)數(shù)的經(jīng)典算法，從而增強(qiáng)了人們對(duì)于這些算法的信心，但是這并不意味著公鑰加密和簽名算法的研究可以停滯不前了。首先，雖然在原始計(jì)算模型的假設(shè)下，目前為止最有效的分解因子解法和離散對(duì)數(shù)解法都是亞指數(shù)時(shí)間。但是離散對(duì)數(shù)問題和分解因子問題始終沒有被證明是多項(xiàng)式時(shí)間內(nèi)不可解(NP)問題。其次，即使證明他們是NP問題，也不能確保相應(yīng)的密碼算法是安全的，例如基于背包問題設(shè)計(jì)的密碼算法幾乎全軍覆沒。最后，在量子計(jì)算機(jī)問世后，這兩類問題將存在多項(xiàng)式時(shí)間解法[11]。所以，密碼學(xué)家一直在探尋新的、可以用于設(shè)計(jì)公鑰密碼算法的困難問題。目前研究比較廣泛的算法主要有如下幾種：基于編碼問題的公鑰密碼算法(McEliece，1978)、基于格問題的密碼算法(NTRU，1996)、多變量密碼系統(tǒng)(Multivariate PKC，1999)以及基于無(wú)限群理論的密碼算法(辮子群， 2000)等。

3.2 基于身份的公鑰密碼

基于身份的密碼學(xué)是由Shamir[12]于1984年提出。其主要思想是，系統(tǒng)中可以直接使用用戶的標(biāo)識(shí)，如姓名、IP地址、電子郵件地址等作為用戶的公鑰。用戶的私鑰通過(guò)一個(gè)被稱作私鑰生成器(PKG)的可信任第三方計(jì)算分發(fā)給用戶。Shamir在提出這一思想的同時(shí)設(shè)計(jì)了一個(gè)基于身份的數(shù)字簽名方案。然而，直到2001年，Boneh等人[13]利用橢圓曲線的雙線性對(duì)才得到一個(gè)真正有效的基于身份的加密體制(IBE)。目前，基于身份的方案(包括基于身份的加密算法、簽名算法以及各種協(xié)議)不斷涌現(xiàn)出來(lái)。現(xiàn)階段，基于對(duì)的運(yùn)算效率問題是亟需解決的問題，也是現(xiàn)在研究的熱門問題。

3.3 密碼協(xié)議

所謂協(xié)議，就是兩個(gè)或者兩個(gè)以上的參與者為完成某項(xiàng)特定的任務(wù)而采取的一系列步驟。密碼協(xié)議的參與者可能是可以信任的人，也可能是攻擊者。在網(wǎng)絡(luò)通信中最常用的基本的密碼協(xié)議按照其完成的功能可以分成以下3類：

(1)密鑰交換協(xié)議

參與協(xié)議的兩個(gè)或者多個(gè)實(shí)體之間建立共享的秘密，例如在一次通信中所使用的會(huì)話密鑰。協(xié)議可以采用對(duì)稱密碼體制，也可以采用非對(duì)稱密碼體制，例如Diffie-Hellman密鑰交換協(xié)議。日本政府的密碼研究與評(píng)估委員會(huì)推薦了3個(gè)密鑰交換協(xié)議(DH、ECDH、PSEC-KEM)。

(2)認(rèn)證協(xié)議

認(rèn)證協(xié)議中包括實(shí)體認(rèn)證(身份認(rèn)證)協(xié)議、消息認(rèn)證協(xié)議、數(shù)據(jù)源認(rèn)證和數(shù)據(jù)目的認(rèn)證協(xié)議等，用來(lái)防止假冒、篡改、否認(rèn)等攻擊。NESSIE工程中推薦了一個(gè)由法國(guó)的Ecole Normal Superieure大學(xué)和電信公司提交的鑒別方案GPS。

(3)解決特殊問題的安全協(xié)議

解決特殊問題的安全協(xié)議有電子選舉協(xié)議、電子錢幣協(xié)議、安全多方計(jì)算協(xié)議等。

ECRYPT的PROVI實(shí)驗(yàn)室在密碼協(xié)議研究方面又劃分了3個(gè)研究小組：模型和定義小組，主要負(fù)責(zé)認(rèn)證、密鑰協(xié)商、零知識(shí)和身份認(rèn)證的研究；安全計(jì)算小組，主要負(fù)責(zé)高效的多方計(jì)算協(xié)議、實(shí)用協(xié)議的可證明安全性和安全協(xié)議的無(wú)條件安全性研究；合理密碼協(xié)議小組，主要負(fù)責(zé)密碼協(xié)議模型的定義和合理參與者的多方計(jì)算問題研究。ECRYPT于2007年3月和7月分別舉辦了相關(guān)的主題研討會(huì)。

密碼協(xié)議是許多分布式系統(tǒng)安全的基礎(chǔ)，因此，對(duì)協(xié)議的安全性進(jìn)行分析和研究是一個(gè)重要的課題。造成協(xié)議存在安全缺陷的原因主要有兩個(gè)：一是協(xié)議設(shè)計(jì)者誤解或者采用了不恰當(dāng)?shù)募夹g(shù)；二是協(xié)議設(shè)計(jì)者對(duì)環(huán)境的安全需求研究不足。目前，對(duì)密碼協(xié)議進(jìn)行分析的方法主要有兩大類：一類是攻擊檢驗(yàn)方法；一類是形式化的分析方法。所謂攻擊檢驗(yàn)方法就是搜集使用目前的對(duì)協(xié)議的有效攻擊方法，逐一對(duì)安全協(xié)議進(jìn)行攻擊，檢驗(yàn)安全協(xié)議是否具有抵抗這些攻擊的能力。這種分析方法是否奏效關(guān)鍵在于攻擊方法的選擇。形式化的分析方法是采用各種語(yǔ)言或者模型，為協(xié)議建立模型，并按照規(guī)定的假設(shè)和分析、驗(yàn)證方法證明協(xié)議的安全性。目前，形式化的分析方法是研究的熱點(diǎn)，但是就其實(shí)用性來(lái)說(shuō)，還沒有什么突破性的進(jìn)展。

4 參考文獻(xiàn)

[1] SHANNON C E. Communication theory of secrecy systems [J]. Bell System Technical Journal， 1949， 28(4): 656-715.

[2] DIFFIE W， HELLMAN M. New irection in Cryptography [J]. IEEE Transactions on Information Theory， 1976，22(6):644-654.

[3] The RSA challenge numbers [EB/OL]. http://www.rsa.com/rsalabs/node.asp.

[4] AES Candidate algorithms [EB/OL]. http://csrcnistgov/encryption/aes/aes-homehtm#candidates.

[5] Linear cryptan alysis of reduced-round SAFER++ [EB/OL]. http://www.cryptonessie. org.

[6] 王秋麗. 世界三次大規(guī)模密碼算法評(píng)選活動(dòng)介紹 [J]. 信息安全與通信保密， 2004(2):76-78.

[7] Network of excellence in cryptology [EB/OL]. http://www.ecrypt.eu.org.

[8] WANG Xiaoyun， FENG Dengguo， LAI Xuejia， et al. Collisions for Hash functions MD4， MD5， HAVAL-128 and RIPEMD [C]//Proceedings of Crypto'04， Aug 15-19，2004， Santa Barbara， CA，USA. Berlin，Germany: Springer-Verlag，2004.

[9] WANG Xiaoyun， YIN Yiqun， YU Hongbo. Finding collisions in the full SHA-1 [C]// Proceedings of Crypto'05， Aug 14-18，2005， Santa Barbara， CA，USA. Berlin， Germany: Springer-Verlag.2005.

[10] WANG Xiaoyun， YU Hongbo. How to break MD5 and other Hash functions [C]//Proceedings ofcrypto’05， Aug 14-18，2005， Santa Barbara， CA，USA. Berlin， Germany: Springer-Verlag.2005.

[11] SHOR P W. Polynomial-time algorithms for prime factorization and discrete logarithms on a quantum computer [J]. SIAM Journal on Computing， 1997，26(5):1484-1509.

[12] SHAMIR A. Identity-based cryptosystems and signature schemes [C]//Proceedings of CRYPTO '84， Aug 19-22，1984，Santa Barbara， CA，USA. Berlin， Germany: Springer-Verlag， 1984:47-53.

[13] BONEH D， FRANKLIN M. Identity-based encryption from the weil pairing [C]//Proceedings of CRYPTO’01， Aug， 19-23， 2001， Santa Barbara， CA，USA. Berlin， Germany: Springer-Verlag， 2001:213-229.

收稿日期：2007-07-17

鄭世慧，山東大學(xué)博士畢業(yè)，北京郵電大學(xué)信息工程學(xué)院博士后，主要研究領(lǐng)域?yàn)槊艽a算法的分析與設(shè)計(jì)。