密码学学科发展报告v5课件.ppt

1、CACR报告内容报告内容密码学发展历史回顾密码学发展历史回顾一一我国密码学最新研究进展我国密码学最新研究进展二二国内外密码学发展比较国内外密码学发展比较三三密码学发展趋势及展望密码学发展趋势及展望四四我国密码学学科发展建议我国密码学学科发展建议五五CACR一、密码学发展历史回顾一、密码学发展历史回顾v两个分支形成既对立又统一的矛盾体两个分支形成既对立又统一的矛盾体密码编码学密码编码学 密码分析学密码分析学 高安全或新型密高安全或新型密码算法与协议的码算法与协议的设计理论、方法设计理论、方法与技术与技术破译密码算法与破译密码算法与协议或伪造认证协议或伪造认证信息的理论、方信息的理论、方法与技术法

2、与技术新的应用驱动新的应用驱动标准化的需求标准化的需求新技术的出现新技术的出现分析技术的发展分析技术的发展新型计算技术新型计算技术存储技术存储技术编码技术的发展编码技术的发展研究分支研究分支 核心研究内容核心研究内容 内在驱动内在驱动 CACR1997-1997-当前当前1976-19961976-19961949-19751949-1975古代古代-1948-1948密码学发展的四个阶段密码学发展的四个阶段CACR二、我国密码学最新研究进展二、我国密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 密码协议密码协

3、议PKIPKI技术技术量子密码量子密码序列密码序列密码 分组密码分组密码HASHHASH函数函数最新理论与技术研究进展最新理论与技术研究进展CACR序列密码序列密码v序列密码是一类重要的对称密码，在加密序列密码是一类重要的对称密码，在加密速度和硬件实现规模两方面具有明显优势速度和硬件实现规模两方面具有明显优势v我国学者早在我国学者早在2020世纪世纪7070年代就开始了序列年代就开始了序列密码的研究工作，在多个前沿方向上取得密码的研究工作，在多个前沿方向上取得了重要进展了重要进展v近几年，在序列密码领域有两个方面的成近几年，在序列密码领域有两个方面的成果值得一提：果值得一提： 戴宗铎教授领导的

4、团队在多重伪随机序列的多戴宗铎教授领导的团队在多重伪随机序列的多维连分式理论方面的工作维连分式理论方面的工作 戚文峰教授领导的团队在整数剩余类环压缩导戚文峰教授领导的团队在整数剩余类环压缩导出序列方面的工作出序列方面的工作CACR基于此理论解决了国际上多年未能解决的基于此理论解决了国际上多年未能解决的一系列难题：解决了有关一系列难题：解决了有关d-perfectd-perfect多重多重序列的一个猜想；解决了有关二重序列线序列的一个猜想；解决了有关二重序列线性复杂度均值的一个猜想。性复杂度均值的一个猜想。刻画了多重无限长序列线性复杂度的渐近性态；刻画了多重无限长序列线性复杂度的渐近性态；揭示了

5、揭示了m-CFAm-CFA算法与广义算法与广义Berlekamp-MasseyBerlekamp-Massey算算法之间的关系。法之间的关系。多维连分式理论多维连分式理论 v戴宗铎教授领导的团队创立了多维连分式戴宗铎教授领导的团队创立了多维连分式理论，并用此理论解决了多重序列中的若理论，并用此理论解决了多重序列中的若干重要基础问题。针对多重伪随机序列先干重要基础问题。针对多重伪随机序列先后提出了可实现最佳有理逼近的多维连分后提出了可实现最佳有理逼近的多维连分式算法（称为式算法（称为m-CFAm-CFA算法）和通用高维连分算法）和通用高维连分式算法（称为式算法（称为m-UCHAm-UCHA算法）

6、算法） CACR环上本原序列压缩函数的保熵性环上本原序列压缩函数的保熵性 v戚文峰教授领导的团队近几年在环戚文峰教授领导的团队近几年在环Z/(Z/(pe e)()(p为奇素数为奇素数) )上本原序列压缩函数的上本原序列压缩函数的保熵性方面又取得了一些重要进展保熵性方面又取得了一些重要进展证明了证明了Z/(Z/(pepe) )上本原序列最高权位序列上本原序列最高权位序列0 0元素元素的局部保熵性质，即两条不同的本原序列，其的局部保熵性质，即两条不同的本原序列，其最高权位序列的最高权位序列的0 0元素分布必不同。该结论大元素分布必不同。该结论大大改进了大改进了2020世纪世纪9090年代初由我国学

7、者和俄罗斯年代初由我国学者和俄罗斯学者分别独立证明的最高权位序列保熵性学者分别独立证明的最高权位序列保熵性证明了证明了Z/(Z/(p p) )上形如上形如g(xe 1)(x0,x1,xe 2)的的e e元多项式函数都是保熵的元多项式函数都是保熵的对对Z/(Z/(pepe) )上本原序列，证明了模压缩的保熵性，上本原序列，证明了模压缩的保熵性，即环即环Z/(Z/(pepe) )上两条不同的本原序列模上两条不同的本原序列模M M压缩后压缩后得到的两条序列也互不相同，得到的两条序列也互不相同，M M是至少包含一是至少包含一个异于个异于p p的素因子的整数的素因子的整数CACR分组密码分组密码v我国学

8、者近几年在分组密码设计、分析和我国学者近几年在分组密码设计、分析和工作模式等方面取得了可喜的进展工作模式等方面取得了可喜的进展v值得一提的是吴文玲研究员领导的团队在值得一提的是吴文玲研究员领导的团队在一些典型的分组密码分析方面做出了突出一些典型的分组密码分析方面做出了突出贡献贡献NUSHNUSH对对NUSHNUSH分组密码算法的线性密码分析结分组密码算法的线性密码分析结果，在果，在NESSIENESSIE的安全报告中被认为是对的安全报告中被认为是对NUSHNUSH分组分组密码算法最有效的攻击方法，从而导致密码算法最有效的攻击方法，从而导致NUSHNUSH分组分组密码算法在遴选中被淘汰。密码算法

9、在遴选中被淘汰。AESAES利用时间利用时间/ /存储存储/ /数据折衷的思想，提出了数据折衷的思想，提出了对对AESAES更有效的不可能差分攻击；利用密钥扩展算更有效的不可能差分攻击；利用密钥扩展算法的特点，选取新的种子密钥差分，提高了对法的特点，选取新的种子密钥差分，提高了对AES-192AES-192相关密钥相关密钥- -不可能差分攻击的有效性；利不可能差分攻击的有效性；利用列混合变换的独特性质，提出了对用列混合变换的独特性质，提出了对AES-192AES-192的相的相关密钥关密钥- -差分线性攻击方法。差分线性攻击方法。Rijndael针对大分组针对大分组RijndaelRijnda

10、el对不可能差分对不可能差分分析的安全性，构造了一批新的不可能差分，并分析的安全性，构造了一批新的不可能差分，并给出了给出了7 7轮轮Rijndael-160Rijndael-160、8 8轮轮Rijndael -192Rijndael -192、9 9轮轮Rijndael-224/256Rijndael-224/256的分析算法。的分析算法。CamelliaCamellia给出了给出了CamelliaCamellia的碰撞攻击和线性的碰撞攻击和线性/ /差分分析，构造了差分分析，构造了8 8轮轮CamelliaCamellia的若干不可能差分，的若干不可能差分，并利用这些不可能差分对并利用这

11、些不可能差分对CamelliaCamellia的安全性进行的安全性进行了分析。了分析。FOX利用若干利用若干3 3轮区分器，结合积分攻击方法轮区分器，结合积分攻击方法和碰撞技术，提出了对低轮和碰撞技术，提出了对低轮FOXFOX的新攻击。的新攻击。SMS4SMS4给出了一类给出了一类5 5轮循环差分特征，从而构造轮循环差分特征，从而构造出有效的出有效的1818轮差分特征和轮差分特征和1414轮飞来去器区分器，轮飞来去器区分器，给出了对给出了对2121轮轮SMS4SMS4的差分攻击和对的差分攻击和对1616轮的矩阵轮的矩阵（飞来去器）攻击；针对（飞来去器）攻击；针对SMS4SMS4的活跃的活跃S

12、S盒特性，给盒特性，给出了出了1919轮的有效差分特征，将轮的有效差分特征，将SMS4SMS4的差分分析推的差分分析推进到进到2323轮。轮。CACRHASHHASH函数函数v我国学者在我国学者在HashHash函数方面取得了一批国际领先的函数方面取得了一批国际领先的科研成果，尤其是我国学者王小云教授领导的团科研成果，尤其是我国学者王小云教授领导的团队在队在HashHash函数的安全性分析方面做出了突出贡献函数的安全性分析方面做出了突出贡献v建立了现有建立了现有HashHash函数碰撞攻击的理论与技术，深函数碰撞攻击的理论与技术，深入分析了国际通用入分析了国际通用HashHash函数函数MD5

13、MD5、RIPEMDRIPEMD、SHA-0SHA-0和国际和国际HashHash函数标准算法函数标准算法SHA-1SHA-1等，推动了等，推动了HashHash函函数的发展与研究。该成果获得了数的发展与研究。该成果获得了20082008年国家自然年国家自然科学二等奖科学二等奖MD4MD4和和RIPEMDRIPEMD给出了给出了MD4MD4和和RIPEMDRIPEMD有效碰撞攻击，有效碰撞攻击，复杂度分别为复杂度分别为2828和和218218次运算，这是国际上公开的第次运算，这是国际上公开的第一次对一次对RIPEMDRIPEMD的实际攻击。的实际攻击。 一般理论一般理论通过提炼通过提炼MD4M

14、D4和和RIPEMDRIPEMD的圈函数的特征的圈函数的特征建立了统一的数学分析模型，提出了比特追踪法和建立了统一的数学分析模型，提出了比特追踪法和高级明文修改技术，提炼出碰撞攻击一般理论。高级明文修改技术，提炼出碰撞攻击一般理论。 MD5MD5和和SHA-0SHA-0首次提出首次提出MD4MD4的第二原像攻击。首次的第二原像攻击。首次给出了给出了MD5MD5的有效碰撞攻击。通过对的有效碰撞攻击。通过对SHA-0SHA-0建立数学分建立数学分析模型，从析模型，从2 2512512的明文空间中推导出两条碰撞路线，的明文空间中推导出两条碰撞路线，首次破解了首次破解了SHA-0SHA-0。新方法新方

15、法在在SHA-0SHA-0的破解中，建立了的破解中，建立了SHASHA系列杂凑函系列杂凑函数破解的基本理论，提出了针对明文分布规律的数学数破解的基本理论，提出了针对明文分布规律的数学分析模型以及将不可能差分转化为可能差分的新方法。分析模型以及将不可能差分转化为可能差分的新方法。CACR密码协议密码协议v我国学者近几年在密码协议的设计与分析方面取我国学者近几年在密码协议的设计与分析方面取得了可喜的进展，利用可证明安全性的设计理念得了可喜的进展，利用可证明安全性的设计理念提出了一批重要的密码协议，发表了一批高水平提出了一批重要的密码协议，发表了一批高水平的学术论文，在国际上产生了一定的影响的学术论

16、文，在国际上产生了一定的影响v最为突出的成果是邓燚等学者在重置零知识和精最为突出的成果是邓燚等学者在重置零知识和精确零知识方面的研究成果确零知识方面的研究成果 FOCS09FOCS09和和Eurocrypt07Eurocrypt07提出并实现了两个实提出并实现了两个实例依赖的新工具：实例依赖的可验证随机函数和实例例依赖的新工具：实例依赖的可验证随机函数和实例依赖的证据不可区分知识论证系统，证明了依赖的证据不可区分知识论证系统，证明了BGGLBGGL猜想猜想即在即在PlainPlain模型下，模型下，NPNP语言存在可重置可靠的、可重语言存在可重置可靠的、可重置零知识的论证系统，解决了置零知识的

17、论证系统，解决了MRMR问题即在问题即在BPKBPK模型下，模型下，存在常数轮的可重置可靠的、可重置零知识的论证系存在常数轮的可重置可靠的、可重置零知识的论证系统。统。CACRPKIPKI技术技术vPKIPKI技术是一种能够解决网络环境中信任与技术是一种能够解决网络环境中信任与授权问题的重要技术授权问题的重要技术v我国学者在该领域取得了长足的发展，尤其我国学者在该领域取得了长足的发展，尤其是冯登国教授领导的团队在是冯登国教授领导的团队在PKIPKI技术方面做技术方面做出了重要贡献出了重要贡献, ,该成果获得该成果获得20052005年国家科技年国家科技进步二等奖进步二等奖 n构建了具有自主知识

18、产权的构建了具有自主知识产权的PKIPKI模型框架，为解决模型框架，为解决PKIPKI互操作问题和模型复杂问题提供了新的技术途径互操作问题和模型复杂问题提供了新的技术途径n提出了双层式秘密分享的入侵容忍证书认证机构，为提出了双层式秘密分享的入侵容忍证书认证机构，为解决解决PKIPKI自身安全问题提供了一套国际领先的方案自身安全问题提供了一套国际领先的方案 n提出了提出了PKIPKI实体的概念，简化了对实体的概念，简化了对PKIPKI的理解、设计、的理解、设计、实现和应用实现和应用 CACR量子密码量子密码v量子密码是以现代密码学和量子力学为基础、量子密码是以现代密码学和量子力学为基础、利用量子

19、物理学方法实现密码思想和操作的利用量子物理学方法实现密码思想和操作的一种新型密码体制一种新型密码体制v我国学者在诱骗态量子密码和量子避错码等我国学者在诱骗态量子密码和量子避错码等方面做出了开创性工作，这些工作对整个领方面做出了开创性工作，这些工作对整个领域的发展来说具有举足轻重的地位域的发展来说具有举足轻重的地位v在不同协议的设计和分析方面提出了大量建在不同协议的设计和分析方面提出了大量建设性意见，推动了量子密码理论的发展设性意见，推动了量子密码理论的发展v我国学者近几年在量子密码实验方面取得了我国学者近几年在量子密码实验方面取得了一些令人瞩目的成绩，尤其是郭光灿院士领一些令人瞩目的成绩，尤其

20、是郭光灿院士领导的团队和潘建伟教授领导的团队成绩突出导的团队和潘建伟教授领导的团队成绩突出CACR量子密码量子密码v郭光灿院士领导的团队郭光灿院士领导的团队 20042004年，在北京和天津之间的商用通信光纤中完成了年，在北京和天津之间的商用通信光纤中完成了120/160120/160公里公里的的QKDQKD实验实验 20072007年，利用自主创新的量子路由器，率先完成四用户量子密码年，利用自主创新的量子路由器，率先完成四用户量子密码通信网络的测试运行。这是国际上首次公开报道的无中转、可同通信网络的测试运行。这是国际上首次公开报道的无中转、可同时、任意互通的量子密码通信网络，标志着量子保密通

21、信技术从时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出关键性的一步点对点方式向网络化迈出关键性的一步 20092009年，建成世界首个量子政务网年，建成世界首个量子政务网芜湖芜湖“量子政务网量子政务网”，标，标志着我国量子保密通信技术已步入应用轨道志着我国量子保密通信技术已步入应用轨道v潘建伟教授领导的团队潘建伟教授领导的团队 20042004年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验年，成功完成五粒子纠缠态及终端开放的量子隐形传态实验 20052005年，利用超稳定高强度的年，利用超稳定高强度的4-4-光子纠缠态光子源完成了光子纠缠态光子源完成了QS

22、SQSS实验实验 20062006年，首次实现了六粒子纠缠态的制备，完成传输距离超过年，首次实现了六粒子纠缠态的制备，完成传输距离超过100100公里的诱骗态公里的诱骗态QKDQKD实验实验 20082008年，实现远距离量子通信中亟须的年，实现远距离量子通信中亟须的“量子中继器量子中继器”，在合肥，在合肥建成了世界上首个光量子电话网建成了世界上首个光量子电话网CACR二、密码学最新研究进展二、密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 CACR最新成果应用进展最新成果应用进展v20092009年是我国年是

23、我国商用密码管理条例商用密码管理条例发布发布实施实施1010周年，周年，1010年来我国的商用密码取得年来我国的商用密码取得了长足发展了长足发展v国家密码管理局于国家密码管理局于20092009年年8 8月下旬在北京展月下旬在北京展览馆举办了览馆举办了“全国商用密码成果展全国商用密码成果展”，充，充分展示了我国近几年密码最新成果的应用分展示了我国近几年密码最新成果的应用进展进展v值得一提的是我国在可信计算和值得一提的是我国在可信计算和WAPIWAPI两方两方面的密码应用进展面的密码应用进展 CACR可信计算领域中的密码应用可信计算领域中的密码应用v可信计算的主要思想是在硬件平台上引入安全芯可信

24、计算的主要思想是在硬件平台上引入安全芯片架构，来提高终端系统的安全性，从而将部分片架构，来提高终端系统的安全性，从而将部分或整个计算平台变为或整个计算平台变为“可信可信”的计算平台的计算平台 v可信计算密码支撑平台是一种由可信密码模块可信计算密码支撑平台是一种由可信密码模块(TCM)(TCM)和可信密码服务模块和可信密码服务模块(TSM)(TSM)组成的软硬件系组成的软硬件系统，是可信计算平台的重要组成部分，为实现可统，是可信计算平台的重要组成部分，为实现可信计算平台自身的完整性、身份可信性和数据安信计算平台自身的完整性、身份可信性和数据安全性提供密码支持，其功能内容包括密码算法、全性提供密码

25、支持，其功能内容包括密码算法、密钥管理、证书管理、密码协议、密码服务等密钥管理、证书管理、密码协议、密码服务等 v通过在可信计算领域中的密码应用推广，推出了通过在可信计算领域中的密码应用推广，推出了我国自主的我国自主的可信计算密码支撑平台功能与接口可信计算密码支撑平台功能与接口规范规范，大大提升了我国密码算法的应用水平和，大大提升了我国密码算法的应用水平和密码芯片的设计和研制水平密码芯片的设计和研制水平CACRWAPIWAPI中的密码应用中的密码应用 v我国自主研发的宽带无线网络我国自主研发的宽带无线网络WAPIWAPI（无线局域网（无线局域网认证与保密基础设施）安全技术，实现了无线认证与保密

26、基础设施）安全技术，实现了无线IPIP网络认证和保密的基础架构网络认证和保密的基础架构 使终端和网络接入点进行完整的双向认证使终端和网络接入点进行完整的双向认证 通过接入控制、加密、数据完整性校验和数据源认证通过接入控制、加密、数据完整性校验和数据源认证等措施，构成了完整的无线局域网认证与保密协议，等措施，构成了完整的无线局域网认证与保密协议，弥补了同类国际标准的安全缺陷弥补了同类国际标准的安全缺陷 形成并颁布了两项国家标准，该成果形成并颁布了两项国家标准，该成果20052005年获得国家年获得国家发明二等奖发明二等奖vSMS4SMS4是国家密码管理局公布的第一个分组密码算是国家密码管理局公布

27、的第一个分组密码算法，主要作为无线局域网的推荐密码算法法，主要作为无线局域网的推荐密码算法 SMS4SMS4算法的整体设计水平和国外算法相当，具有自身算法的整体设计水平和国外算法相当，具有自身的特色和创新之处的特色和创新之处CACR二、密码学最新研究进展二、密码学最新研究进展最新理论与技术研究进展最新理论与技术研究进展 最新成果应用进展最新成果应用进展 学术建制最新进展学术建制最新进展 CACR学术建制最新进展学术建制最新进展v近几年，我国在密码学学术建制方面的主近几年，我国在密码学学术建制方面的主要工作体现在以下几个方面：要工作体现在以下几个方面： 中国密码学会中国密码学会 国家商用密码应用

28、技术体系总体组国家商用密码应用技术体系总体组 WG3WG3标准工作组标准工作组 CACR中国密码学会中国密码学会v中国密码学会于中国密码学会于20072007年年3 3月月2525日正式成立日正式成立v已成立的学术、教育和组织工作委员会，已成立的学术、教育和组织工作委员会，量子密码专业委员会开展了众多工作，即量子密码专业委员会开展了众多工作，即将成立的密码数学理论、密码算法和密码将成立的密码数学理论、密码算法和密码芯片专业委员会已获得主管部门批准，根芯片专业委员会已获得主管部门批准，根据实际需要还将成立必要的专业委员会，据实际需要还将成立必要的专业委员会，全面推进中国密码学学科的发展和进步全面

29、推进中国密码学学科的发展和进步v中国密码学会的网址为：中国密码学会的网址为：http:/http:/ CACR国家商用密码应用技术体系总体组国家商用密码应用技术体系总体组v国家密码管理局为了推动商用密码的应用，成立国家密码管理局为了推动商用密码的应用，成立了国家商用密码应用技术体系总体组，并针对不了国家商用密码应用技术体系总体组，并针对不同领域成立了多个密码应用专项工作组同领域成立了多个密码应用专项工作组v可信计算密码专项组在可信计算密码专项组在20082008年年1212月正式更名为中月正式更名为中国可信计算工作组（国可信计算工作组（China TCM UnionChina TCM Unio

30、n，简称，简称TCMUTCMU）v中国可信计算工作组带领学术界和产业界共同发中国可信计算工作组带领学术界和产业界共同发展中国自主创新的可信计算技术与产业，其主要展中国自主创新的可信计算技术与产业，其主要任务是研究制定可信计算密码应用技术体系及相任务是研究制定可信计算密码应用技术体系及相关密码技术标准规范，推动可信计算技术与产品关密码技术标准规范，推动可信计算技术与产品的标准化、工程化和产业化，指导可信计算应用的标准化、工程化和产业化，指导可信计算应用示范工程建设示范工程建设v中国可信计算工作组的网址为：中国可信计算工作组的网址为：http:/http:/CACRWG3WG3标准工作组标准工作组

31、v为了有效推动国家密码标准的制订和研究，为了有效推动国家密码标准的制订和研究，全国信息安全标准化技术委员会（简称信全国信息安全标准化技术委员会（简称信息安全标委会，息安全标委会，TC260TC260）设立）设立WG3WG3标准工作标准工作组组vWG3WG3标准工作组专门制订和研究密码方面的标准工作组专门制订和研究密码方面的标准和规范标准和规范CACR三、国内外密码学发展比较三、国内外密码学发展比较 密码理论密码理论密码技术密码技术密码应用密码应用密码标准密码标准CACR（一）密码理论方面的发展比较（一）密码理论方面的发展比较v密码理论密码理论密码数学基础理论、密码算法设计理密码数学基础理论、密

32、码算法设计理论和密码算法分析方法论和密码算法分析方法v美国等西方一些发达国家和地区的密码理论研究水美国等西方一些发达国家和地区的密码理论研究水平比较高，研究成果突出，覆盖面广，创新理论和平比较高，研究成果突出，覆盖面广，创新理论和新观点、新方法较多新观点、新方法较多v我国在密码理论研究方面取得了丰硕成果，如密码我国在密码理论研究方面取得了丰硕成果，如密码布尔函数、序列密码设计理论和分析方法、分组密布尔函数、序列密码设计理论和分析方法、分组密码分析方法、码分析方法、HashHash函数分析方法、公钥密码分析方函数分析方法、公钥密码分析方法、量子密码等法、量子密码等v总体上讲，我国密码理论研究发展

33、很不平衡，只是总体上讲，我国密码理论研究发展很不平衡，只是在一些点上的研究深度达到了国际水平，覆盖面还在一些点上的研究深度达到了国际水平，覆盖面还不够广，可持续发展不够好，研究深度与国际水平不够广，可持续发展不够好，研究深度与国际水平还有差距，创新理论和新观点、新方法还不够多还有差距，创新理论和新观点、新方法还不够多杂凑函数杂凑函数密码协议密码协议- -可证安全可证安全密码协议密码协议- -形式化分析形式化分析序列密码序列密码公钥密码公钥密码密码理论密码理论分组密码分组密码量子密码量子密码CACR 序列密码发展比较序列密码发展比较1 119911991年，我国学年，我国学者肖国镇教授等者肖国镇

34、教授等提出的序列密码提出的序列密码的稳定性理论是的稳定性理论是序列密码领域的序列密码领域的一个原创性理论一个原创性理论2 22020世纪世纪8080年代，年代，我国学者曾肯成我国学者曾肯成教授等提出的整教授等提出的整数剩余类环压缩数剩余类环压缩导出序列是一个导出序列是一个原创性工作原创性工作3 3带进位反馈移位带进位反馈移位寄存器（寄存器（FCSRFCSR）序列是序列是19931993年由年由美国学者提出的，美国学者提出的，是目前序列密码是目前序列密码领域的一个研究领域的一个研究热点热点但目前我国在但目前我国在这一领域的研这一领域的研究工作总体上究工作总体上已落后于国外已落后于国外目前我国学者

35、在目前我国学者在剩余类环压缩导剩余类环压缩导出序列领域的研出序列领域的研究工作仍处于国究工作仍处于国际领先水平际领先水平目前我国学者目前我国学者在在这一领域的这一领域的研究供过于求研究供过于求处于国际领先处于国际领先水平水平1 1CACR 序列密码发展比较序列密码发展比较4 4序列密码的代数攻序列密码的代数攻击是近几年序列密击是近几年序列密码研究领域取得的码研究领域取得的最重要成果之一，最重要成果之一，在代数攻击的理论在代数攻击的理论研究和应用上，我研究和应用上，我国落后于国际国落后于国际5 5我国对我国对eSTREAMeSTREAM各个算法的研究各个算法的研究中与国际先进水中与国际先进水平有

36、很大差距平有很大差距6 6我国还没有公开我国还没有公开征集序列密码算征集序列密码算法标准法标准我国在由代数攻击我国在由代数攻击引发的布尔函数代引发的布尔函数代数免疫问题的研究数免疫问题的研究成果得到国际上充成果得到国际上充分肯定分肯定我国在非线性序我国在非线性序列源的理论研究列源的理论研究和应用落后于国和应用落后于国际先进水平际先进水平所以在序列密所以在序列密码的设计理论码的设计理论上，也落后于上，也落后于国际先进水平国际先进水平1 1CACR 分组密码发展比较分组密码发展比较v我国公布的推荐密码算法我国公布的推荐密码算法SMS4SMS4充分体现了我国分充分体现了我国分组密码的设计水平已达到国

37、际先进水平组密码的设计水平已达到国际先进水平v在分组密码分析方面无论从使用已有的分析手段，在分组密码分析方面无论从使用已有的分析手段，还是从对各类分组密码进行分析的效果来看，国还是从对各类分组密码进行分析的效果来看，国内外差距不大内外差距不大v在某些方面，我国学者的分析工作处于领先地位在某些方面，我国学者的分析工作处于领先地位 如我国学者张文涛等对如我国学者张文涛等对AESAES的分析结果、吴文玲和多磊的分析结果、吴文玲和多磊等对等对CamelliaCamellia的分析结果、张蕾等对的分析结果、张蕾等对SMS4SMS4的分析结果的分析结果都是目前国际最好的工作都是目前国际最好的工作v分组密码

38、工作模式的研究在国际上已经是一个很分组密码工作模式的研究在国际上已经是一个很重要的研究方向，而我国在这方面的研究工作才重要的研究方向，而我国在这方面的研究工作才刚刚起步刚刚起步 2CACR 公钥密码发展比较公钥密码发展比较v国际上一个正在进行的研究方向是超椭圆国际上一个正在进行的研究方向是超椭圆曲线上或代数簇上的双线性映射曲线上或代数簇上的双线性映射v由于涉及很多数论知识、以及数论专业人由于涉及很多数论知识、以及数论专业人才培养的不多，国内对此研究的人很少才培养的不多，国内对此研究的人很少v从总的方面看，由于研究难度大，国内对从总的方面看，由于研究难度大，国内对公钥密码算法进行研究的人比较少，

39、在公公钥密码算法进行研究的人比较少，在公钥密码相关困难问题方面从事研究的人就钥密码相关困难问题方面从事研究的人就更是寥寥无几更是寥寥无几 如大数分解，目前国际上一直有很多进展，预如大数分解，目前国际上一直有很多进展，预期在期在20102010年完成年完成768768比特比特RSARSA模数的分解模数的分解3CACR 杂凑函数发展比较杂凑函数发展比较v我国的研究起步较晚，但取得了突破性成果，现我国的研究起步较晚，但取得了突破性成果，现已处于国际领先水平已处于国际领先水平v我国率先提炼杂凑函数不安全因素的数学特征，我国率先提炼杂凑函数不安全因素的数学特征，建立统一的数学分析模型，提出杂凑函数碰撞攻

40、建立统一的数学分析模型，提出杂凑函数碰撞攻击的一般理论击的一般理论-比特追踪法，找到了国际通用杂比特追踪法，找到了国际通用杂凑函数凑函数MD5MD5、SHA-1SHA-1、RIPEMDRIPEMD、SHA-0SHA-0等的碰撞等的碰撞v国际上对杂凑函数的分析发展迅速，涌现出了一国际上对杂凑函数的分析发展迅速，涌现出了一批新的研究成果。基于杂凑函数的批新的研究成果。基于杂凑函数的MACMAC算法的研究算法的研究方面还处于劣势，尤其在设计方面比较薄弱，有方面还处于劣势，尤其在设计方面比较薄弱，有待提出具有国际影响力的新的安全可靠的设计理待提出具有国际影响力的新的安全可靠的设计理念，但在安全性分析方

41、面，我国取得了一系列具念，但在安全性分析方面，我国取得了一系列具有国际先进水平的研究成果有国际先进水平的研究成果4CACR 密码协议形式化分析发展比较密码协议形式化分析发展比较v在密码协议的形式化分析方法方面，我国的研究在密码协议的形式化分析方法方面，我国的研究处于一个初级发展阶段，也处于一个尴尬的境地处于一个初级发展阶段，也处于一个尴尬的境地 我国这方面的研究，理论上没有形成有影响力的理论我国这方面的研究，理论上没有形成有影响力的理论体系，实用上也没有形成有影响力的安全验证系统体系，实用上也没有形成有影响力的安全验证系统 我国在这一领域的研究力量没有真正得到重视，并且我国在这一领域的研究力量

42、没有真正得到重视，并且也存在实际上的困难也存在实际上的困难v具体地讲，这个方向是一个真正交叉研究领域，具体地讲，这个方向是一个真正交叉研究领域，形式化方法是研究工具，密码协议是研究对象，形式化方法是研究工具，密码协议是研究对象，二者缺一不可二者缺一不可v从这个领域的研究现状看来，后继乏人是一个令从这个领域的研究现状看来，后继乏人是一个令人担忧的事情人担忧的事情5CACR 密码协议可证安全发展比较密码协议可证安全发展比较v在密码协议的可证明安全性理论方面，我国学者在密码协议的可证明安全性理论方面，我国学者近几年取得了可喜的进展，利用可证明安全性的近几年取得了可喜的进展，利用可证明安全性的设计理念

43、提出了一批重要的密码协议，发表了一设计理念提出了一批重要的密码协议，发表了一批高水平学术论文，在国际上产生了一定的影响批高水平学术论文，在国际上产生了一定的影响 v在基于公钥的认证密钥交换协议方面，目前国内在基于公钥的认证密钥交换协议方面，目前国内学者的研究水平与国际水平相当学者的研究水平与国际水平相当v在基于口令密钥交换协议方面，国内研究工作与在基于口令密钥交换协议方面，国内研究工作与国际水平有一定相差国际水平有一定相差 v在零知识协议方面，国外学者对零知识协议都有在零知识协议方面，国外学者对零知识协议都有深刻的刻画。国内研究零知识协议学者屈指可数，深刻的刻画。国内研究零知识协议学者屈指可数

44、，在广度上不及国外，但也取得了可喜可贺的成绩，在广度上不及国外，但也取得了可喜可贺的成绩，尤其在重置零知识和精确零知识上，国内研究处尤其在重置零知识和精确零知识上，国内研究处于国际领先地位于国际领先地位6CACR 量子密码发展比较量子密码发展比较v在量子密码方面，我国学者取得了大量的重要研在量子密码方面，我国学者取得了大量的重要研究成果究成果v在理论方面，我们在诱骗态量子密码和量子避错在理论方面，我们在诱骗态量子密码和量子避错码等方面做出了开创性工作，这些工作对整个领码等方面做出了开创性工作，这些工作对整个领域的发展来说具有举足轻重的地位。同时，在不域的发展来说具有举足轻重的地位。同时，在不同

45、协议的设计和分析方面提出了大量建设性意见，同协议的设计和分析方面提出了大量建设性意见，切实推动了量子密码理论研究的进步切实推动了量子密码理论研究的进步v在实验方面，我们更是取得了一些令人瞩目的成在实验方面，我们更是取得了一些令人瞩目的成绩，郭光灿院士和潘建伟教授领导的小组在量子绩，郭光灿院士和潘建伟教授领导的小组在量子密码实验的某些方面已经达到了国际先进水平密码实验的某些方面已经达到了国际先进水平7CACR 量子密码发展比较（续）量子密码发展比较（续）v不可否认的是，我们在一些方面与国际水平还存在不可否认的是，我们在一些方面与国际水平还存在一定的差距一定的差距 在协议设计方面，我们虽然设计了大

46、量各具特色的量子在协议设计方面，我们虽然设计了大量各具特色的量子密码协议，但在真正具有较大创新性、能切实推动理论密码协议，但在真正具有较大创新性、能切实推动理论或实验进展的基本协议上尚有所欠缺，在解决各类协议或实验进展的基本协议上尚有所欠缺，在解决各类协议设计中遇到的难点、重点问题上做的还不够设计中遇到的难点、重点问题上做的还不够 在协议分析方面，我们虽然对不同协议给出了多种有效在协议分析方面，我们虽然对不同协议给出了多种有效的攻击方法，但在对的攻击方法，但在对BB84BB84等基本协议的分析或安全性证等基本协议的分析或安全性证明方面尚有所欠缺，对量子密码系统在实际环境中的安明方面尚有所欠缺，

47、对量子密码系统在实际环境中的安全性研究还不够全性研究还不够 在相关关键技术方面，我们提出的创新性理论工作还较在相关关键技术方面，我们提出的创新性理论工作还较少。还需要增加投入，努力寻找某些理论方法去协助解少。还需要增加投入，努力寻找某些理论方法去协助解决当前实验条件下量子密码系统所面临的一些难点问题决当前实验条件下量子密码系统所面临的一些难点问题 在实验方面，我们在自由空间量子密码实验和连续变量在实验方面，我们在自由空间量子密码实验和连续变量量子密码实验等方向成果较少。还需更多研究者投入到量子密码实验等方向成果较少。还需更多研究者投入到实验研究中来，着力解决实验中面临的一些难点问题实验研究中来

48、，着力解决实验中面临的一些难点问题7CACR（二）密码技术方面的发展比较（二）密码技术方面的发展比较v密码技术密码技术密码算法、密码芯片、密码基础设密码算法、密码芯片、密码基础设施、密码软硬件实现优化技术等施、密码软硬件实现优化技术等v美国等西方一些发达国家和地区的密码技术体系美国等西方一些发达国家和地区的密码技术体系相对比较完善，技术密集度高，技术种类丰富，相对比较完善，技术密集度高，技术种类丰富，覆盖面广，时间跨度大，几乎对所有的密码技术覆盖面广，时间跨度大，几乎对所有的密码技术都有深度研究，对过去、现在和未来的密码技术都有深度研究，对过去、现在和未来的密码技术研究都有详细部署。技术创新性

49、强，创新技术多，研究都有详细部署。技术创新性强，创新技术多，技术辐射面广技术辐射面广v我国密码技术体系基本形成，总体上来讲，我国我国密码技术体系基本形成，总体上来讲，我国密码技术的发展很不平衡，在一些点上的研究深密码技术的发展很不平衡，在一些点上的研究深度达到了国际水平，如度达到了国际水平，如SMS4SMS4分组密码算法、分组密码算法、TCMTCM密密码芯片、码芯片、PKI/CAPKI/CA技术，但覆盖面还不够广，研究技术，但覆盖面还不够广，研究深度和广度都与国际水平还有差距，创新技术还深度和广度都与国际水平还有差距，创新技术还不够多不够多国外发达国家和地区，已形成了较为完整的密码算法体国外发

50、达国家和地区，已形成了较为完整的密码算法体系，种类齐全、技术先进，面向不同的应用和环境系，种类齐全、技术先进，面向不同的应用和环境我国目前公开的自主密码算法只有一个，还没有真正建我国目前公开的自主密码算法只有一个，还没有真正建立起自主的密码算法体系，与国外还有一定的距离立起自主的密码算法体系，与国外还有一定的距离 我国密码算法的芯片实现技术已经相当成熟；但从芯片我国密码算法的芯片实现技术已经相当成熟；但从芯片的系统化来看，我国的相关研究还刚刚起步，不同应用的系统化来看，我国的相关研究还刚刚起步，不同应用领域的发展也不平衡；关于密码芯片的实现安全方面，领域的发展也不平衡；关于密码芯片的实现安全方