密码学的新方向模板课件.pptx

1、第10章 密码学的新方向1谢谢观赏2019-6-910.1 量子密码学n量子密码学是密码学上的一大分支。当前广泛使用的密码系统通常是利用数学难题来设计密码协议和算法，利用求解数学难题的困难性来保障密码方案的安全性。而量子密码则不同，它是利用求解物理问题的困难性或不可能性来保障方案的安全性。 2谢谢观赏2019-6-9 量子密码学n量子密码的主要特点是对外界任何扰动的可检测性和易于实现的无条件安全性。这些特征依赖于量子系统的内在属性：测不准性和不可克隆性。扰动的可检测性的物理基础是Heisenberg测不准原理，而无条件安全性的物理基础是量子不可克隆定理。 3谢谢观赏2019-6-9n在量子力学

2、中，任何两组不可同时测量的物理量都是共轭的，满足互补性。Heisenberg测不准原理指的是在进行测量时，对任何一个物理量的测量都不可避免地对另一物理量产生干扰，这就使得通信双方能够检测到信息是否被窃听，这一性质使通信双方无须事先交换密钥即可进行保密通信。1982年，Wootters和Zurek在Nature杂志上发表了一篇题为单量子态不可被克隆的文章，他们在文章中提出了著名的量子不可克隆定理，即：在量子力学中，不可能实现对一个未知量子态的精确复制，使得每个复制态与初始量子态完全相同。这一特性使得窃听者不可能将量子信道上传输的信息进行复制。 4谢谢观赏2019-6-9Bennett-Brass

3、ard量子密钥分配协议n通过对Bennett和Brassard提出的量子密钥分配协议（BB84），可进一步地了解量子密码。nBB84协议是量子密码中提出的第一个密钥分配协议，是由Bennett和Brassard于1984年提出的，发表在IEEE的国际计算机、系统和符号处理（International Conference on Computers，Systems and Signal Processing）会议上。BB84协议以量子互补性为基础，协议实现简单，具有无条件安全性。 5谢谢观赏2019-6-9n光子在传导时会在某个方向上发生振荡，上、下、左、右，多数则是按照某个角度振荡。正常的太阳

4、光是非极化的，在每一个方向上都有光子振荡。当大量的光子在同一方向振荡时，它们是极化的（polarized），极化滤波器只允许在同方向极化的光子通过，而其余方向则不能通过。例如，水平极化滤波器只允许水平方向极化的光子通过，将计划滤波器旋转，则只允许垂直方向极化的光子通过。光子的偏振有两个基，一是水平线和垂直线组成的基，称为线偏振光子，另一个是左对角线和右对角线组成的基，称为圆偏振光子。如果一个光子脉冲在一个给定的基上被极化后发送，而接收方在同一组基上测量，则可得到极化强度。反之，若接收方使用的是一个错误的基，则得到的是随机结果。 6谢谢观赏2019-6-9n使用这个特性可通过如下步骤来共享密钥：

5、n（1）Alice将一串光子脉冲发送给Bob，其中每一个脉冲都随机的在四个方向被极化：水平线、垂直线、左对角线和右对角线。例如，Alice向Bob发送的是n n（2）Bob随机设置极化检测器的基来检测接收到的光子脉冲，例如Bob如下设置：nn则Bob获得的结果为n n（3）Bob通过公共信道告诉Alice 他对极化检测器的设置。Alice则告诉Bob哪些设置是正确的。在上面的例子当中，第2、6、7、9位设置是正确的。n（4）双方只保存测量基相同的测量结果，放弃测量基不一致的测量结果。在上面的例子中，它们保存：nn然后使用预先设置的代码，将所保存的测量结果转变为比特。 7谢谢观赏2019-6-9

6、n利用上述方法，可共享足够多的比特，不过Bob正确设置检测器的概率为50%，因此，要共享比特密钥，Alice必须发送个光子脉冲。n（5）Bob随机选取少量比特与Alice 进行比较，经Alice 确认无误，断定无人窃听后剩下的比特串就可留下建立为密码本。n在光子的四个偏振态中，水平偏振和垂直偏振是线偏振态，左对角线偏振和右对角线偏振是圆偏振态。线偏振和圆偏振是共轭态，满足测不准原理。根据测不准原理，对线偏振光子的测量结果越精确，意味着对圆偏振光子的测量结果越不精确。因此，任何攻击者的测量必定会带来对原来量子比特的扰动，而合法通信者可以根据测不准原理检测出该扰动，从而检测出窃听是否存在与否。另外

7、，线偏振态和圆偏振态是非正交的，因此它们是不可区分的，攻击者不可能精确地测量所截获的每一个量子态，因而窃听者不可能采取穷搜索的攻击方法。量子测不准原理和量子不可克隆定理保证了BB84协议的无条件安全。 8谢谢观赏2019-6-9量子密码的应用与进展n量子密码起初的主要目标是为了解决密钥管理问题。因此，量子密码的研究主要集中在量子密钥的分配方面。但是经过三十余年的研究，逐渐形成了系统的量子密码理论体系，内容涉及量子密钥管理、量子加密、量子认证、量子密码信息理论、量子密码分析等方面。可以说，经典密码能发挥作用的领域，量子密码几乎都能起到相应的作用。随着计算技术和量子芯片技术的发展，量子密码有可能像

8、经典密码一样，既可以通过硬件来实现，也可以通过软件来实现。9谢谢观赏2019-6-9n量子密码不仅在理论上形成了自身的框架体系，在技术上也取得了飞速的发展。Bennett等人于1989年首次用实验验证了BB84协议。然而，量子信道仅32cm。在长距离上实现其系统出现的问题是光缆瓦解了光的极化，因此，光子需要通过一个真空直管发送。20世纪90年代以来，世界各国的科学家对量子密码通信的研究出现了迅猛发展，并取得很大成功，瑞士University of Geneva 在原有光纤系统中已建立22.8km 量子保密通信线路并投入了实用；英国BT实验室已实现在常规光缆线路上量子密码通信传输距离达55km；

9、美国Los Alamos 实验室已成功实现48km量子密钥系统运行两年，2000年，他们在自由空间中使用QKD 系统成功实现传输距离为1.6km。2007年，一个由奥地利、英国、德国研究人员组成的小组在量子通信研究中创下了通信距离达144km的最新纪录，并认为利用这种方法有望在未来通过卫星网络实现信息的太空绝密传输。 10谢谢观赏2019-6-9n我国在量子密码实现方面也做了大量的工作。2007年1月，由清华大学、中国科学技术大学等单位组成的联合研究团队最近在远距离量子通信研究上取得重大突破。他们采用诱骗信号方法，在国际上率先实现了以弱激光为光源、绝对安全距离大于100km的量子密钥分发。这是

10、我国科学家继五光子纠缠态制备与操纵、自由空间量子纠缠分发以及复合体系量子态隐形传输等重要研究成果后，在量子通信实验领域取得的又一国际领先的研究成果。2007年4月2日上午，中国科学技术大学在北京举行新闻发布会，正式向外界透露：由中国科学技术大学教授、中科院院士郭光灿领导的中科院量子信息重点实验室，利用自主创新的量子路由器，目前在北京网通公司商用通信网络上率先完成四用户量子密码通信网络的测试运行并确保了网络通信的安全。据悉，这是迄今为止国际公开报道的唯一无中转、可同时、任意互通的量子密码通信网络，标志着量子保密通信技术从点对点方式向网络化迈出关键性的一步。2007年3月，该课题组在北京网通的商用

11、光纤线路上进行多用户的测试运行，四个用户节点的分布构成方式为北京市朝阳区的望京东小口南沙滩望京，路由器位于东城区的东皇城根地区，用户之间最短距离约32km，最长约42.6km。测试系统演示了一对三和任意两点互通的量子密钥分配，并在对原始密钥进行纠错和提纯的基础上，完成了加密的多媒体通信实验 11谢谢观赏2019-6-910.2 多变量公钥密码n近年来，量子计算机的发展对于基于数论问题的密码体制的安全性造成了本质威胁。1994年，Peter Shor发现了一种在量子计算机上多项式时间运行的整数因子分解算法。这意味着一旦人们能建造出实用的量子计算机，那么RSA体制就完全不再安全。这种威胁应当严肃对

12、待，因为目前已经做了大量研制量子计算机的工作，而且在2001年已经构造出了示例性的量子计算机。该计算机利用Shor的算法成功地分解了15。因此有必要去寻找更高效、更安全的公钥密码系统来替代RSA密码系统。n多变量公钥密码系统被认为是这样一种有希望的选择。近年来，多变量公钥密码逐渐成为密码学研究的一个热点。多变量公钥密码系统的安全性建立在求解有限域上随机多变量多项式方程组是NP-困难问题的论断之上。由于运算都是在小的有限域上进行，所以多变量公钥密码体制中的计算速度非常快。到目前为止，已经构造出很多新的多变量公钥密码体制，这些密码体制当中有一些非常适用于诸如无线传感器网络和动态 RFID标签等计算

13、能力有限的设备。2003年，一个多变量签名体制SFLASH已经被欧洲NESSIE密码计划接受用于低耗智能卡的推荐算法。12谢谢观赏2019-6-9多变量公钥密码体制的一般形式n多变量公钥密码（Multivariate Public Key Cryptosystem，MPKC）的一般形式如下：令k是一个有限域，n和m是正整数，L1和L2分别是kn和km上的随机选取的可逆仿射变换。取映射为一个从kn到km的容易求逆的非线性映射。令n其中F是一个从kn到km的映射。它总可以被表示成有限域k上m个n元多项式，其最高次数等于的次数。 11211(,)(,)(,)mnnYyyF xxLL xx13谢谢观赏

14、2019-6-9n在多变量公钥密码系统中，F的表达式为公钥，它是一组多变量多项式，而私钥设为L1和L2的表达式。多变量公钥密码设计的关键在于构造映射 ，后者称为多变量密码体制的中心映射。 的表达式可以公开，也可以保密。为了节省公钥多项式的存储，中心映射和公钥多项式通常选取为最简单的非线性函数即二次函数。 14谢谢观赏2019-6-9n作为加密体制，一般要求 ，而作为签名体制一般有 。n作为加密体制加密消息 ，需要计算 。而解密密文 ，则需要通过依次求解映射L2 、 和L1的逆来求解如下方程组：n （1）n作为签名体制签署文件 ，则需要找到方程（1）的解 。验证一个签名是否合法需要检查下式是否成

15、立：mnmn1(,)nXxx()F X1(,)mYyy1(,)nF xxY1(,)mYyy1(,)nXxx1(,)nF xxY15谢谢观赏2019-6-9MI多变量公钥密码体制nMI加密体制也称为，是1988年由Matsumoto 和 Imai提出的。它是第一个使用“小域大域”思想来构造多变量公钥密码体制的方法。它是多变量公钥密码学发展史上的一座里程碑，是第一个实用的多变量公钥密码体制，它为这个领域带来了一种全新的数学思想，并且得到广泛的研究和推广。16谢谢观赏2019-6-9MI 加密体制的简化版本 17谢谢观赏2019-6-9签名体制n公钥：域的结构和多项式组。n私钥与MI加密体制一样。n

16、签名过程如下：n要签名的文件（或它的Hash值）为。合法用户要生成签名首先随机选择个元素，将这些值与合在一起得到，然后类似于解密过程，利用私钥计算n即为文件的签名。n验证过程如下：n在接收到文件和相应的签名后，验证者检查下式是否成立：n如果等式成立，则签名合法；反之，则拒绝。18谢谢观赏2019-6-9彩虹：多层油醋签名体制n原始的油醋体制是Patarin在1997年受到线性化方程的启发构造出来的签名体制。这个体制的关键是应用了一种所谓的油醋多项式。令k是一个含q个元素的有限域。19谢谢观赏2019-6-9n定义1 （油醋多项式）n设f kx1,xo,1,，v，我们称如下形式的多项式为油醋多项

17、式：n其中aij, bij,ci,dj,e k, x1, xo称为油变量，1, v称为醋变量。 111111ovvvovi jiji jijiijjijijijfa x xb x xc xd xe 20谢谢观赏2019-6-9n注意在油醋多项式中，若给定醋变量的值，那么油醋多项式就转变为关于油变量的一次多项式。油醋签名体制的中心映射是由一组油醋多项式构成的。生成签名时只需随机选取一组醋变量的值，然后解一个关于油变量的线性方程组。n油醋签名体制分为三类：平衡的油醋体制、不平衡的油醋体制以及彩虹体制。在平衡的油醋体制中，油变量和醋变量的个数相等。但平衡的油醋体制并不安全，Kipnis和Shamir

18、在1998年利用与二次多项式相关的矩阵方法有效地构造与原私钥等价的密钥，并且由此可以伪造合法签名。随即，Kipnis等人在1999年提出了不平衡油醋体制。在不平衡油醋体制中，醋变量的个数大于油变量的个数。彩虹体制是一种多层的油醋体制，即每一层都是油醋多项式，而且该层的所有变量都是下一层的醋变量。与彩虹体制具有类似层级结构的还有TTS和TRMS，尽管它们是通过不同的思想（三角形构造）构造出来的。 21谢谢观赏2019-6-9彩虹体制的构造n令S为集合 。 为u个整数，满足，0 。定义整数集合 ，其中 。显然有：n而且每个集合 中的元素个数为 。n令 ，集合 ， 。记 为下列形式的二次多项式张成的

19、线性空间：1,2,3, n12,uv vv1vuvn1,2, llSv1,lu 12uSSSSiSiv1iiiovv1iiiOSS1,2,1iulP1,llllijijijijiii Oj Si j Si Sx xx xx22谢谢观赏2019-6-9彩虹体制的构造n可以看出这些多项式正是油醋多项式，其中 、 是油变量， 、 是醋变量。更准确地，称 、 是第l层油变量，称 、 是第l层醋变量， 中任意一个多项式都称为一个第l层油醋多项式。显然有 j，而且 是一组由油醋多项式构成的集合。注意，由于 所以第l+1层的醋变量为第l层所有的变量。ixliOixliSixlOiixlSilP,ijPP i

20、121,uP PP1iiiSOS23谢谢观赏2019-6-9彩虹体制的构造n记 ， ，其中每一个 都是 中随机选择的元素。定义映射： ，形式如下：n为了简化符号，记 中的 个多项式为 。n通过上述构造，可以看出具有层油醋结构。第一层由个多项式组成，其中是油变量，是醋变量。第层由个多项式组成，其中是油变量，是醋变量。 1(,)iiiioFFF1,iu ijFiP1n vnkkF11(,)uFFFF1nv11,n vFF24谢谢观赏2019-6-9彩虹体制的构造n这样就构造了一个变量组成的“彩虹”：n 其中每一行变量表示彩虹的一层。每一层中括号内的变量为该层的醋变量，大括号内的变量为该层的油变量。

21、因此，可称映射为层彩虹多项式映射。n令和分别是和上的随机选取的可逆仿射变换。定义：，形式如下：n映射中的每一个分量都是一个多变量二次多项式。 25谢谢观赏2019-6-9彩虹体制的构造n具体的彩虹体制如下：n公钥 域k的结构，映射 中的 个多项式分量。n私钥 私钥由映射 、 和 组成。n签名生成 为了签署文件 ，需要找到下述方程的一个解：F1vnF1L2L111(,)n vn vYyyk1121( ,)( ,)nnF xxLFLxxY26谢谢观赏2019-6-9彩虹体制的构造n具体步骤如下：n（1）计算：n（2）求映射F的逆，这实际上等价于求下述方程的逆：首先，选取一组 的值 ，并将它们代入第

22、一层 的个方程，可得上述方程实际上是一个以 为未知数的线性方程组，方程的个数为 个。解这个方程组可以得到变量的值 。1111()(,)n vYLYyy111(,)(,)nn vF xxYyy11,vxx11,vxx1o11211111(,)(,)vvvoF xxxxyy121,vvxx121,vvxx1o121,vvxx27谢谢观赏2019-6-9彩虹体制的构造n（3）将 代入第二层多项式，可得到 个以 为未知数的线性方程。解这个线性方程组，可得到变量 的值 。重复上述步骤，直到找到方程 的解。n（4）最后，计算：n 即为文件 的签名。21,vxx2o231,vvxx231,vvxx231,v

23、vxx1( ,)nF xxY121()( ,)nXLXxxX11(,)n vYyy28谢谢观赏2019-6-9彩虹体制的构造n注意：如果在某一层得到的线性方程组不可解，则必须返回第二步重新选取 的值。为了签署较大文件，可先将文件进行杂凑，然后再计算签名。n签名验证：为了验证 是文件 的签名，仅需要验证：是否成立。若等式成立，则接受该签名；反之，拒绝该签名。 1,1vxx 1(,)nXxx11(,)n vYyy() ?F XY29谢谢观赏2019-6-9多变量公钥密码体制的现状n原始的MI加密体制在1995年被Patarin利用线性化方程的方法破解。随后，Patarin 改进了MI体制而提出了H

24、FE多变量公钥加密体制，其关键是将定义密码中心映射的单项式改为某种特殊次数的多项式。这个体制也遭到了各种方法的攻击，如再线性化攻击、XL算法攻击以及Grbner基算法攻击。2003年，Faugere 利用改进的 Grbner基算法F5 算法成功地破解了关于 HFE 的一个挑战。n1997年，受线性化方程攻击的启发，Patarin又提出了油-醋（Oil-Vinegar）签名体制。这是一类只适用于数字签名的体制。n从1997年至今，多变量公钥密码的发展进入一个比较繁荣的阶段，这期间相继提出了许多多变量公钥加密和签名体制。总的来说，多变量公钥密码体制可分为四种类型MI（Matsumoto-Imai）

25、、HFE（Hidden Field Equation）、UOV（Unbalance Oil &Vinegar）和三角形多变量公钥密码体制。其中三角形体制尚未形成系统的设计方法，它的代表有 TTM加密体制、中等域方程（MFE）加密体制、可解有理映射（TRMC）体制和TTS 签名体制。30谢谢观赏2019-6-9n近十年来，人们还提出了许多变形的方法，在基本类型的基础上设计安全性有所提高的多变量方案。比较典型的变形方法有：加方法、减方法、醋变量方法以及内部扰动方法，其中减方法和醋变量方法主要用来设计数字签名方案。内部扰动方法是美国辛辛那提大学中国籍学者丁津泰提出的一种系统化的增强MPKC 的安全性

26、的方法。加方法和内部扰动方法的缺陷是增加了密钥量以及降低了解密速度。利用内部扰动方法构造的PMI（对MI体制的内部扰动）和IPHFE（对HFE体制的内部扰动）等两个加密体制已经被Fouque 和 Dubois 等人利用差分攻击破解。n目前，从严格理论意义来说，并没有公认的既安全又高效的 MPKC加密体制，而安全高效的多变量签名体制的设计则要容易得多，并且已经存在这样的体制。因此，MPKC的高效率一直吸引着人们去设计安全和更实用的多变量加密体制。n另一方面，虽然多变量公钥密码体制的效率较高，但相比于传统的公钥密码体制，MPKC的密钥量较大。研究密钥量较小的多变量体制的设计也是一个具有吸引力的方向

27、。 31谢谢观赏2019-6-910.3 基于格的公钥密码体制n与多变量公钥密码体制类似，基于格的公钥密码体制也是一类高效的公钥密码系统，这一类体制的安全性基石是格中的三个NP-困难问题最短向量问题（SVP）、最近向量问题（CVP）和最小基问题（SBP）。这一类体制同样有希望替代RSA等传统密码系统来抵挡量子计算机和量子算法攻击。本节介绍NTRU公钥加密体制和NTRUSign数字签名体制。 32谢谢观赏2019-6-9数学背景33谢谢观赏2019-6-91.格问题n定义1 设为中一组线性无关向量，取集合为的整线性组合，即：n这样的集合称为格，其中称为格的一组基或简称格基。的每一组基所含向量的个

28、数相同，基中所含向量个数称为格的维数或秩，记为，它与所张成的线性子空间的维数相同。1ZdiiiiLnb n34谢谢观赏2019-6-9n当时 ，格中有无数组基。任意两组基之间都可以通过一个幺模矩阵（行列式为的整数矩阵）进行相互转化。因此格中所有的基都有相同的Gram行列式 ，其中 表示两个向量的内积。格的体积定义为格基的Gram行列式的平方根。当 ，也就是为满维格时，它的体积等于以任何一组基为行向量的矩阵的行列式的绝对值。 dim( )2L dim( )2L 1,det,i jdijb b , dim( )Ln35谢谢观赏2019-6-9n 中向量的欧氏范数和中心化欧氏范数定义为：若 ，则 的

29、欧氏范数 为：n而的中心化欧氏范数定义为：n其中 。本节以下部分如无特别说明均指中心化欧氏范数 Rnn011(,)Rnaa aaaaa11220aniia1122111222a0001annniiiiiiaaaN1a01niiaN36谢谢观赏2019-6-9n由于格是离散的，所以格中必有最短非零向量，这个向量的欧式范数称为格的第一最小，记为 或 。更一般的，对于所有的 ，Minkowski的 次最小 定义为 L)(1L1dim( )iL i iL12(v ,v , ,v )1( )minmax viijjiL 37谢谢观赏2019-6-9n其中最小值取自L中 个线性无关向量 构成的向量组的集合

30、。 ， ， 称为 的逐次最小。总存在一组线性无关向量 达到所有的逐次最小，即对所有的 ， 。但是当 时，这样的一组向量不一定是一组格基；当时 ，甚至可能不存在这样一组格基。n。i12,iLv vv1( )L2( )L( )dLLLL )dim(21,v,vv1dim( )iL v( )iiLdim( )4L dim( )5L 38谢谢观赏2019-6-9n利用高斯启发式算法（Gaussian heuristic），随机 维格的最短向量长度约为d1( )( )2dgaussdLLvol Le39谢谢观赏2019-6-92格中的困难问题 n关于格有三个著名的NP问题。以下L代表一个格，d为格L的维

31、数， 为一范数。 40谢谢观赏2019-6-9n 最短向量问题（SVP）：给定格的一组基，寻找格中一非零向量，使得。近似最短向量问题（APPR-SVP）：给定格的一组基，寻找一非零向量，使得，其中是与维数有关的某个近似因子。n 最近向量问题（CVP），也称为最近格点问题：给定格的一组基和向量，v不一定在中，寻找一向量，使得都有。类似地，近似最近向量问题定义为：给定格的一组基和向量，v不一定在中，寻找一向量，使得都有。n 最小基问题（SBP）：这个问题目前研究的人并不多，本文也未曾涉及，这里就不作介绍了。41谢谢观赏2019-6-93格约化 n在格中总有线性无关向量组可以达到所有的逐次最小值，但

32、一般来说，这样一组线性无关向量并不构成格的一组基；格中也没有一组基比其他基“明显好”。 42谢谢观赏2019-6-9n格约化的目的是利用已有的一组基找另一组“更好”的基，这组基满足：n（1）该基中的向量比原有的基中的向量更短，或者该基中有向量的范数 。n（2）该基中的向量两两正交或者相对正交（即该基中任意两个向量的内积与它们的长度之积的比率特别小，接近于零）。n一组约化的基可以帮助解决SVP和CVP。目前最有名的格基约化算法为A. K. Lenstra、H. W. Lenstra Jr和L. Lovsz提出的LLL算法。 1()2ddvole43谢谢观赏2019-6-94多项式环及NTRU格n

33、4NTRU加密体制及NTRUSign数字签名体制都是基于商环上运算的算法。环中的乘法运算定义为卷积 “ ”（convolution multiplication）：设 ，n ，, f gR1011( )NNf xff xfx1011( )NNg xgg xgx44谢谢观赏2019-6-9n定义：n其中 的 的系数为n n，称是模q的是指f、g及 中的所有单项式系数均为模q的，即将f、g及 视 作的元素。 1011( )()()()NNfg xfgfg xfgxfgkx(mod)()kijij kNfgfg 0, ,1i j kN fgfg/(1)NqqRZXX45谢谢观赏2019-6-946谢

34、谢观赏2019-6-9NTRU公钥加密体制47谢谢观赏2019-6-9NTRUSign数字签名体制48谢谢观赏2019-6-910.4 DNA 密码学n1994年，Adleman利用DNA计算解决了一个有向汉密尔顿路径问题，标志着信息时代开始了的一个新阶段。DNA计算具有超大规模并行性、超低的能量消耗和超高密度的信息存储能力。伴随着DNA计算的研究出现了一个新的密码学领域DNA密码。DNA密码的特点是以DNA为信息载体，以现代生物技术为实现工具，挖掘了DNA固有的高存储密度和高并行性等优点，实现加密、认证及签名等密码学功能。 49谢谢观赏2019-6-9DNA计算nDNA，即脱氧核糖核酸，存在

35、于每个细胞组织中，是遗传信息的载体。DNA由4种碱基核苷酸（nucleotides）按一定顺序排列聚合成一种双螺旋状。这4种碱基核苷酸分n别是：腺嘌呤（adenine）、鸟嘌呤（guanine）、胞嘧啶（cytosine）及胸腺嘧啶（thymine），分别简记为A，G，C，T。生命的纷繁多样性及复杂的结构就是编码在DNA序列中的遗传信息经信使RNA复制、转录、翻译进而在蛋白质中进行表达的结果。DNA序列是有极性的：一个DNA序列与其反序列是不同的。这4种碱基遵循WatsonCrick的互补规律，即核苷酸A与T互补，C与G互补。2 个互补的具有相反极性的单链DNA序列通过碱基配对或退火就形成一个

36、双螺旋状链分子。反之，一个双螺旋状链分子，经融化过程，可分裂产生2个单链DNA序列。DNA链是有方向性的，通常左端用5标记，右端用3标记。 50谢谢观赏2019-6-9DNA计算n如：n5TGCCAGGCCTAGTTAAG3就表示一个DNA单链。51谢谢观赏2019-6-9DNA计算n一个DNA单链可表示成由A、G、C，T构成的字母串，从编码论角度看，这意味着可将任何一条信息表示成一个DNA单链码。对DNA序列进行操作需要酶的协助。酶是由蛋白质组成的一种有机物，对生化反应起催化作用。不同类型的酶可完成不同的操作任务。 52谢谢观赏2019-6-9DNA计算n涉及有关DNA计算模型的酶主要为以下

37、 4 种：n（1）限制性内切酶，简称限制酶。可识别特定的DNA短序列，该短序列称为限制性位点，任何含有这种限制性位点的DNA双链分子都可以被限制酶在该位点处切开。n（2）连接酶，可将一个DNA链的一端与另一个DNA链的一端连接成一个新的DNA链。n（3）聚合酶，它有好几个功能。其中一个功能是DNA复制，复制反应需要一个称为模板的DNA单链和一个称为引物的较短的寡核苷酸。聚合酶可往该寡核苷酸的一端依次追加核苷酸，使作为引物的寡核苷酸沿着一个方向一直扩展下去，直到得到一个与作为模板的DNA单链互补的一个DNA单链为止。n（4）外切酶，利用外切酶可以有选择地破坏双链DNA或DNA单链分子。 53谢谢

38、观赏2019-6-9DNA计算n在DNA链上所涉及的操作，基本上是下列简单的生物操作的各种组合：n合成 对一个给定的短DNA分子链，通过添加核苷酸溶液而聚合成一个预期的多项式级长度的DNA分子链。n混合 将 2 个试管中的溶液注入第 3 个试管中。n退火 通过冷却溶液，将 2 个互补的单链DNA序列联结在一起。n溶解 通过加热溶液，将一个双链DNA分子分解成2个单链的DNA序列。n放大 又称复制，即利用聚合酶链式反应（PCR），复制DNA链。n分离 利用一种称为凝胶电泳的技术按大小来分离DNA分子。n提取 利用亲和净化法将含有一给定子串模式的链提取出来。n切割 利用限制酶在特定的位置上切割DN

39、A双链分子。n连接 利用DNA连接酶将带有相容的黏性末端的DNA链粘接在一起。n替换 利用PCR特定位置上的寡核苷酸诱变方法来替换、插入或删除DNA序列。n检测和阅读 检测和阅读某种溶液中的DNA序列，即对于某一给定试管中的溶液，如果其中至少有一个DNA链，则回答“是”，否则回答“否”。可以利用PCR将反应产物放大，然后利用一个称为序列化的过程来实际读取该溶液。54谢谢观赏2019-6-9DNA计算n所谓DNA计算，就是对DNA链分子的生物操作。DNA计算的“程序”，就是以上这些生物操作，也可能还包括另外一些生物操作来编写的。这些程序的输入是一个含有DNA链的试管，而输出为“是”或“否”，或是

40、一组含有一些DNA链的试管。1994年Adleman首次用分子生物实验解决了有向汉密尔顿路径问题（DHPP）。图10-1是一个含 7 座城市的以 为起点，而以 为终点的DHPP。 55谢谢观赏2019-6-9DNA计算56谢谢观赏2019-6-9DNA计算n对于该DHPP，不难找到唯一的满足条件的最短路线：。但当城市数增加时，要直观找到最短路线是不可能的。业已证明，现有的电子计算机解DHPP的最好算法也是完全指数级的。Adleman以图10-1的DHPP为例给出了该问题的DNA解法。首先将图中的每座城市及每条有向路编码成含20个碱基的DNA单链，如城市 及 可分别编码成：nD3：5TATCGG

41、ATCGGTATATCCGA 3nD4：5GCTATTCGAGCTTAAAGCTA 357谢谢观赏2019-6-9DNA计算n有向路编码成D34 ：5GTATATCCGAGCTATTCGAG 3，即D34的前10个碱基与后10个碱基分别是D3的后10个碱基与D4的前10个碱基，其他有向路也以此规则编成DNA单链。根据Watson-Crick互补规律，可得DNA单链Di的补，记为，例如，D2的补为：3ATAGCCTAGCCATATAGGCT 5。将含有这些DNA单链（Di，Dij及）的溶液倒入一个试管中，再添加连接酶与聚合酶等，利用PCR、凝胶电泳及凝胶净化等生化反应，将生成相关联的、代表边连接

42、起来所形成路径的寡核苷酸片段。反应结束后，首先通过PCR扩增出那些始于起点并止于终点的路径，然后通过电泳去除长度不符合要求的边，再用磁珠分离技术依次去掉不通过某些顶点的边。如果最后有DNA序列存在，就说明有满足要求的汉密尔顿路径存在。对于如图10-1所示的DHPP，Adleman大约经过n7天的实验工作，得出了该DHPP的解，即得到了一条由一个DNA 双链分子表示的有向路。58谢谢观赏2019-6-9DNA加密技术n2004年，AGehani等人利用DNA实现了一次一密的加密方法。一次一密的加密方法使用随机密码本将明文转变为密文。密码本作为一次一密的密钥，对于敌手来说是不可预测的。密码本的真随

43、机性和密码本仅使用一次，这两个原则对于加密方案的安全性是非常关键的。如果密码本中的数据是可预测的，那么敌手就有可能生成密码本对截获到的密文进行解密。如果密码本中任意片断被重复使用，这将泄露明文的概率分布信息，增大尝试猜测明文的效率。这两点原则规定了DNA序列所应具有的性质。首先以一条DNA链的方式秘密地建立随机的大型一次性密码本，这条DNA链由一些短的寡核苷酸序列组成，然后进行隔离和克隆。进一步假设发送端和接收端预先共享了一次性密码本。DNA的紧致特性比较容易实现发送者和接收者之间的初始化通信（传递一次一密密码本）。59谢谢观赏2019-6-9DNA加密技术nGehani等人提出了两种方法来加

44、密大量的短消息：一是使用替代的方法，即使用一次性密码本中相关匹配的片断加密每一条消息；二是利用分子计算技术进行异或计算。解密使用类似的方法。这里只介绍第一种方法。n使用替代方法的DNA一次一密加密体制所加密的明文为二进制消息，所使用的密码本由一张表组成，该表将所有可能的明文字符串映射为固定长度的密文字符，存在唯一对应的逆映射。输入的长为 n 的DNA链划分为固定长度的明文字。加密将每一个DNA明文字替代成相应的DNA密文字，解密则是反替代的过程。加密映射的实现使用了一个由许多小段构成的长的DNA密码本，其中每一小段指定了一个单一明文字到密文字的映射。明文字在加密过程中首先是经过粘贴形成明文密文

45、对，然后明文将被分离、移出。60谢谢观赏2019-6-9n理想的一次性密码本库由大量的密码本组成，每个密码本都能提供完全唯一的随机的从明文字到密文字的映射。图10-2 给出了一个密码本结构的例子。n重复的单元包括：密文集或密码本匹配的字符集中的序列字 Ci、明文集中的序列字 Pi 以及聚合酶“停止”序列。每一个 Pi 包含一个唯一的子序列，使用这个子序列可将相同的明文映射成不同的密文以便抵挡频率分析。对于每一个i，每个序列对唯一对应着一个明文字以及相应的密文字。序列是明文Pi的Watson-Crick 补序列。的寡合可作为聚合酶使用，并且通过粘贴指定的密文字的补来扩充。停止序列的作用是禁止增加

46、的DNA链扩展超过成对密文字符的边界。密码本库中的唯一密码本链就是通过上述方法构造的。库中每一个链都指定了一个独一无二的字符对集合。 61谢谢观赏2019-6-9DNA密码发展趋势n实现 DNA 密码要以现代生物学为工具，以生物学难题作为主要安全依据，充分发掘DNA密码独特的优势。n安全性要求。不管DNA 密码和传统的密码有多么不同，它同样要遵守密码的共同特性。 nDNA 密码现阶段的研究目标是以安全且容易实现为主，存储密度为次。一个好的密码系统，既要是安全的，还要是容易实现的。 nDNA密码现阶段的主要任务是建立起DNA密码的基本理论依据，积累研制DNA密码的实际经验。 62谢谢观赏2019-6-963谢谢观赏2019-6-9