《應(yīng)用密碼學(xué)》課件第10章

第10章密碼學(xué)的新方向10.1量子密碼學(xué)10.2基于混沌理論的密碼體制10.3其他新密碼體制簡(jiǎn)介

10.1量子密碼學(xué)

10.1.1量子密碼學(xué)簡(jiǎn)介

隨著人類對(duì)信息需求的日益增加，人們也在不斷推動(dòng)信息技術(shù)的發(fā)展，但一些專家認(rèn)為現(xiàn)有的信息系統(tǒng)多功能已接近于極限值。在過去近40年中，電子計(jì)算機(jī)的每個(gè)芯片上集成的晶體管數(shù)目隨時(shí)間呈指數(shù)增長(zhǎng)，這個(gè)被稱為摩爾定律的經(jīng)驗(yàn)法則預(yù)示著10多年以后電子計(jì)算機(jī)的存儲(chǔ)單元將是單個(gè)原子，電子在電路中的行為將不再服從經(jīng)典的力學(xué)定律，取而代之的是量子力學(xué)規(guī)律。那么，量子效應(yīng)究竟會(huì)對(duì)計(jì)算機(jī)運(yùn)算產(chǎn)生什么樣的影響呢？由于量子特性在信息領(lǐng)域中具有獨(dú)特的功能，特別是在提高運(yùn)算速度、確保信息安全、增大信息容量和提高檢測(cè)精度等方面可以突破現(xiàn)有的經(jīng)典信息系統(tǒng)的極限，因而量子力學(xué)將首當(dāng)其沖在信息科學(xué)中逐步得到應(yīng)用，這也導(dǎo)致一門新的學(xué)科分支——量子信息論的誕生。該新學(xué)科是量子力學(xué)和信息科學(xué)相結(jié)合的產(chǎn)物，以量子力學(xué)的態(tài)疊加原理為基礎(chǔ)，是信息處理的一門新前沿學(xué)科。量子信息論包括量子密碼學(xué)、量子通信、量子計(jì)算機(jī)等方面。近些年來，量子信息論在理論和實(shí)驗(yàn)上都取得了重大的突破。量子密碼學(xué)（QuantumCryptography）是量子力學(xué)與現(xiàn)代密碼學(xué)相結(jié)合的產(chǎn)物。1970年，美國(guó)科學(xué)家威斯納（Wiesner）首先將量子力學(xué)用于密碼學(xué)，指出可以利用單量子狀態(tài)制造不可偽造的“電子鈔票”。但由于這個(gè)設(shè)想的實(shí)現(xiàn)需要長(zhǎng)時(shí)間保存單量子狀態(tài)，不太現(xiàn)實(shí)。1984年，IBM公司的貝內(nèi)特（Bennett）和Montreal大學(xué)的布拉薩德（Brassard）在基于威斯納思想的基礎(chǔ)上研究發(fā)現(xiàn)，單量子態(tài)雖然不便于保存但可用于傳輸信息，提出了第一個(gè)量子密碼學(xué)方案（即基于量子理論的編碼方案及密鑰分配協(xié)議），稱為BB84協(xié)議。它是以量子力學(xué)基本理論為基礎(chǔ)的量子信息理論領(lǐng)域的第一個(gè)應(yīng)用，并提供了一個(gè)密鑰交換的安全協(xié)議，稱為量子密鑰交換或分發(fā)協(xié)議，由此迎來了量子密碼學(xué)的新時(shí)期。1991年，英國(guó)牛津大學(xué)的Ekert提出的基于EPR的量子密鑰分配協(xié)議（E91）充分利用了量子系統(tǒng)的糾纏特性，通過糾纏量子系統(tǒng)的非定域性來傳遞量子信息，取代了BB84協(xié)議中用來傳遞量子位的量子信道，因而可以更加靈活地實(shí)現(xiàn)密鑰分配。1992年，貝內(nèi)特指出只用兩個(gè)非正交態(tài)即可實(shí)現(xiàn)量子密碼通信并提出B92協(xié)議。至此，量子密碼通信三大主流協(xié)議已基本形成。20世紀(jì)90年代以來世界各國(guó)的科學(xué)家對(duì)量子密碼通信的研究投入了大量的精力，并取得了較大的成功。瑞士UniversityofGeneva在原有光纖系統(tǒng)中已建立22.8km量子保密通信線路并投入了實(shí)用；英國(guó)BT實(shí)驗(yàn)室已實(shí)現(xiàn)在常規(guī)光纜線路上量子密碼通信傳輸距離達(dá)55km；美國(guó)LosAlamos實(shí)驗(yàn)室已成功實(shí)現(xiàn)48km量子密鑰系統(tǒng)并運(yùn)行兩年，2000年，他們?cè)谧杂煽臻g中使用QKD系統(tǒng)成功實(shí)現(xiàn)傳輸距離1.6km；2002年，德國(guó)慕尼黑大學(xué)和英國(guó)軍方的研究機(jī)構(gòu)合作，在德國(guó)、奧地利邊境利用激光成功地傳輸了量子密碼，試驗(yàn)的傳輸距離達(dá)到了23.4km；2003年11月，日本三菱電機(jī)公司宣布使用量子通信技術(shù)傳送信息的距離可達(dá)87km；2005年初，IDQuantum公司啟動(dòng)了一個(gè)稱為Vectis的量子密碼系統(tǒng)（http://www.I），它由一個(gè)鏈路加密器組成，能在100km距離的光纖上自動(dòng)進(jìn)行量子密鑰交換，其顯著特點(diǎn)是不僅能實(shí)現(xiàn)高速全雙工以太網(wǎng)流量的加密和認(rèn)證，并能較容易地部署現(xiàn)有的網(wǎng)絡(luò)中用于私人或公共組織的安全敏感光鏈接服務(wù)。2007年，一個(gè)由奧地利、英國(guó)、德國(guó)研究人員組成的小組在量子通信研究中創(chuàng)下通信距離達(dá)144km的最新記錄，并認(rèn)為利用這種方法有望在未來通過衛(wèi)星網(wǎng)絡(luò)來實(shí)現(xiàn)太空中的絕密信息傳輸。我國(guó)量子通信的研究起步較晚，但在量子密碼實(shí)現(xiàn)方面也做了大量的工作。1995年中科院物理研究所在國(guó)內(nèi)首次用BB84協(xié)議做了演示實(shí)驗(yàn)，華東師范大學(xué)用B92方案做了實(shí)驗(yàn)，2000年中科院物理研究所和中科院研究生院合作完成了國(guó)內(nèi)第一個(gè)850nm波長(zhǎng)全光纖量子密碼通信實(shí)驗(yàn)，通信距離達(dá)1.1km。2007年1月，由清華大學(xué)、中國(guó)科學(xué)技術(shù)大學(xué)等組成的聯(lián)合研究團(tuán)隊(duì)在遠(yuǎn)距離量子通信研究上取得了重大突破。他們采用誘騙信號(hào)的方法，在我國(guó)率先實(shí)現(xiàn)了以弱激光為光源、絕對(duì)安全距離大于100km的量子密鑰分發(fā)。這也是我國(guó)科學(xué)家繼五光子糾纏態(tài)制備與操縱、自由空間量子糾纏分發(fā)以及符合體系量子態(tài)隱形傳輸?shù)戎匾芯砍晒螅诹孔油ㄐ蓬I(lǐng)域取得的又一國(guó)際領(lǐng)先研究成果。2007年4月2日，中國(guó)科學(xué)院量子信息重點(diǎn)實(shí)驗(yàn)室利用自主創(chuàng)新的量子路由器，在北京網(wǎng)通公司的公司商用通信網(wǎng)絡(luò)上率先完成了四用戶量子密碼通信網(wǎng)絡(luò)的運(yùn)行測(cè)試并確保了網(wǎng)絡(luò)通信的安全。這也是迄今為止國(guó)際上唯一無中轉(zhuǎn)、可同時(shí)、任意互通的量子密碼通信網(wǎng)絡(luò)，標(biāo)志著量子通信從點(diǎn)對(duì)點(diǎn)方式向網(wǎng)絡(luò)化邁出了關(guān)鍵性的一步量子密碼學(xué)是現(xiàn)代密碼學(xué)領(lǐng)域的一個(gè)很有前途的新方向，量子密碼的安全性是基于量子力學(xué)的測(cè)不準(zhǔn)性和不可克隆性，其特點(diǎn)是對(duì)外界任何擾動(dòng)的可檢測(cè)性和易于實(shí)現(xiàn)的無條件安全性。擾動(dòng)的可檢測(cè)性的理論基礎(chǔ)是Heisenberg測(cè)不準(zhǔn)原理，而無條件安全性的理論基礎(chǔ)是不可克隆定理。因此，要破譯量子密碼協(xié)議就意味著必須否定量子力學(xué)定律，所以量子密碼學(xué)也是一種理論上絕對(duì)安全的密碼技術(shù)。美國(guó)《商業(yè)周刊》將量子密碼列為“改變?nèi)祟愇磥砩畹氖蟀l(fā)明”的第三位，科學(xué)家們認(rèn)為它是目前最安全的密碼，最高明的攻擊者對(duì)其也一籌莫展。量子密碼通信不僅是絕對(duì)安全的、不可破譯的，而且任何竊取量子的動(dòng)作都會(huì)改變量子的狀態(tài)，所以一旦存在竊聽者，會(huì)立刻被量子密碼的使用者所知。因此，量子密碼可能成為光通信網(wǎng)絡(luò)中數(shù)據(jù)保護(hù)的強(qiáng)有力工具，而且要對(duì)付未來具有量子計(jì)算能力的攻擊者，量子密碼可能是唯一的選擇。但事實(shí)上，由于使用量子密鑰在光纖中傳輸時(shí)容易消耗，量子密碼的長(zhǎng)距離通信難度較大。但是隨著量子密碼技術(shù)研究的深入，在未來，量子密碼學(xué)必將迎來巨大的發(fā)展。10.1.2量子密碼學(xué)原理

1．Heisenberg測(cè)不準(zhǔn)原理

Heisenberg（海森堡）測(cè)不準(zhǔn)原理是量子密碼學(xué)的基本理論依據(jù)，這個(gè)原理可表述為：

設(shè)A和B是量子的兩個(gè)算子的測(cè)量值，〈A〉和〈B〉表示算子的理論值，則：圖10－1電子衍射實(shí)驗(yàn)另一個(gè)常見的具有不確定關(guān)系的例子是光子的兩種偏振態(tài)。由于光是一種電磁波，它利用電場(chǎng)和磁場(chǎng)在垂直于光的傳播方向上的平面里沿著兩個(gè)相互正交的方向交替變換來傳播。因此，電磁場(chǎng)在垂直于光傳播方向的平面內(nèi)的振動(dòng)方向被稱為光的偏振方向，又稱為光的極化方向。每個(gè)光子都有一個(gè)偏振方向，存在兩種光子偏振，即線偏振和圓偏振。其中線偏振可取兩個(gè)方向：水平和垂直；圓偏振則包括左旋和右旋兩個(gè)方向。在量子力學(xué)中，光子的線偏振和圓偏振是一對(duì)不可對(duì)易的可觀測(cè)量。所以，根據(jù)海森堡不確定性原理，光子的線偏振和圓偏振是不可能被精確測(cè)量的。

2．量子密碼學(xué)的基本原理

在當(dāng)前的通信網(wǎng)絡(luò)中，當(dāng)有攻擊者竊聽時(shí)，通信雙方很難知道有竊聽發(fā)生，如通信雙方傳輸?shù)男畔⒈幌冗M(jìn)的成像技術(shù)讀出；移動(dòng)存儲(chǔ)介質(zhì)或無線電波中的信息被復(fù)制或竊收等都很難被發(fā)現(xiàn)。但當(dāng)信息以量子為載體時(shí)，根據(jù)量子力學(xué)，微觀世界的粒子不可能確定地存在于任何位置，總是以不同的概率存在于不同的地方。量子密碼學(xué)利用了量子的不確定性，使任何在通信信道上能夠?qū)崿F(xiàn)的竊聽行為不可能不對(duì)通信本身產(chǎn)生影響，從而達(dá)到發(fā)現(xiàn)竊聽者的目的，保證通信的安全。在量子密碼學(xué)中，量子密鑰分配原理來源于光子偏振的原理：光子在傳播時(shí)，不斷地振動(dòng)。光子振動(dòng)的方向是任意的，既可能沿水平方向振動(dòng)，也可能沿垂直方向振動(dòng)，更多的是沿某一傾斜的方向振動(dòng)。如果一大批光子都沿同樣的方向振動(dòng)則稱為偏振光。如果相反，沿各種不同的方向振動(dòng)的光稱為非偏振光。通常生活中的光如日光、照明燈光等都是非偏振光。偏振濾光器（偏振片）只允許沿特定方向偏振的光子通過，并吸收其余的光子。這是因?yàn)榻?jīng)過偏振濾光器時(shí)，每個(gè)光子都有突然改變偏振方向，并使偏振方向與偏振濾光器的傾斜方向一致的可能性。設(shè)光子的偏振方向與偏振濾光器的傾斜方向的夾角為α。當(dāng)α很小時(shí)，光子改變偏振方向并通過偏振濾光器的概率大，否則就小。特別地，當(dāng)α＝90°時(shí)，其概率為0；α＝45°時(shí)，其概率為0.5；α=0°，其概率為1。可以在任意基上測(cè)量極化狀態(tài)：直角的兩個(gè)方向和對(duì)角線的兩個(gè)方向。一個(gè)基的例子就是直線：水平線和直線；另一個(gè)就是對(duì)角線：左對(duì)角線和右對(duì)角線。如果一個(gè)光子脈沖在一個(gè)給定的基上被極化，而且又在同一個(gè)基上測(cè)量，就能夠得到極化狀態(tài)。如果在一個(gè)錯(cuò)誤的基上測(cè)量極化狀態(tài)，將得到隨機(jī)結(jié)果。因此，可以使用這個(gè)特性來產(chǎn)生密鑰。量子密鑰分配原理就是基于這一原理的。量子密碼學(xué)為現(xiàn)代密碼學(xué)提供了一種實(shí)現(xiàn)密鑰安全分發(fā)的途徑。假設(shè)通信雙方為A和B，量子密碼學(xué)利用上述理論進(jìn)行密鑰分配的基本步驟如下：

（1）A隨機(jī)地生成一比特流，通過編碼方法將比特流轉(zhuǎn)換成一串光子脈沖，并發(fā)送給B，每個(gè)光子有四個(gè)可能的極化狀態(tài)，A隨機(jī)獨(dú)立地設(shè)置每個(gè)光子的極化狀態(tài)；

（2）B設(shè)置接收濾光器的序列，并讀取接收到的光子序列，然后轉(zhuǎn)換為相應(yīng)的比特流，但由于B并不知道A的設(shè)置，因此只能隨機(jī)地設(shè)置；假設(shè)在初始狀態(tài)下，兩個(gè)準(zhǔn)備通信的用戶A和B之間沒有任何共享的秘密信息。A和B利用量子信道傳輸隨機(jī)比特流，然后在通常的信道上判斷并選擇一些比特作為共享的密鑰。協(xié)議流程如下：

（1）A隨機(jī)地選擇比特流：

1100110100……

（2）A隨機(jī)地設(shè)置偏振濾光器的方向：

＋－＋|＋＋|＋|－……（3）B通過傳統(tǒng)的非保密信道告訴A其濾光器序列的設(shè)置，A對(duì)照自己的位置，通過傳統(tǒng)的非保密信道告訴B設(shè)置正確的位置；

（4）B選取正確設(shè)置的比特，并向A公布部分選定的比特；

（5）A檢查B公布的比特與自己所發(fā)出比特的一致性，若沒有發(fā)生竊聽行為，則他們應(yīng)該是一致的，否則可以判斷發(fā)生了竊聽行為；

（6）如果沒有發(fā)生竊聽行為，A和B雙方可以約定用剩余的比特作為共享的會(huì)話密鑰，從而實(shí)現(xiàn)密鑰的分配。

如果A和B獲得的比特位在數(shù)量上沒有達(dá)到要求，他們可以重復(fù)上述辦法獲得足夠多的比特位。10.1.3量子密鑰分配協(xié)議

在現(xiàn)代對(duì)稱密碼體制中，其加密密鑰和解密密鑰是相同的。加密信息的安全性取決于密鑰的安全性，與算法的安全性無關(guān)，即由密文和加解密算法不可能得到明文。換句話說算法是無需保密的，需保密的僅是密鑰。因此密鑰可由發(fā)方產(chǎn)生后再經(jīng)過一個(gè)安全可靠的途徑（如信使遞送）送至收方，或由第三方（如密鑰分配中心（KDC））產(chǎn)生后分配給通信雙方。但是這樣的傳輸或分配密鑰是否真正安全可靠呢？不管是由信使或KDC來傳送或分配密鑰，都存在不安全的隱患。因此，密鑰的安全是影響系統(tǒng)安全的關(guān)鍵因素，即使密碼算法再好，如密鑰產(chǎn)生、分配等問題處理不好，就很難保證系統(tǒng)的安全性。下面介紹量子密鑰分配（QuantumKeyDistribution，QKD）協(xié)議的密鑰分配過程。其中，“+”表示左右對(duì)角線方向，“－”表示水平方向，“|”表示垂直方向。量子力學(xué)的規(guī)律只允許我們同時(shí)測(cè)量沿左對(duì)角線方向或右對(duì)角線方向的偏振光，或同時(shí)測(cè)量沿水平方向或垂直方向的偏振光。但是不允許我們同時(shí)測(cè)量沿上述四個(gè)方向的偏振光，測(cè)量其中一組就會(huì)破壞對(duì)另一組的測(cè)量。

A和B事先約定好編碼規(guī)則，例如令偏振濾光器的左對(duì)角線方向“／”和水平方向“―”為0，右對(duì)角線方向“＼”和垂直方向“∣”為1。（3）A把一串光子脈沖發(fā)送給B，其中每一個(gè)脈沖隨機(jī)地在四個(gè)方向上被極化成水平線、垂直線、左對(duì)角線和右對(duì)角線。比如：A給B發(fā)送的是

‖／—―＼―|―／……

（4）[WB]B設(shè)置有一個(gè)偏振光檢測(cè)器，他能將檢測(cè)器設(shè)置成直線極化，或設(shè)置成對(duì)角線極化，但他不能同時(shí)做這兩種測(cè)量，這是因?yàn)榱孔恿W(xué)不允許這樣做，測(cè)量了一個(gè)就破壞了測(cè)量另外一個(gè)的任何可能性，所以B隨機(jī)地設(shè)置檢測(cè)器。例如

×＋＋×××＋×＋＋……當(dāng)B正確地設(shè)置了他的檢測(cè)器，B將記錄下正確的極化。如果B將檢測(cè)器設(shè)置成測(cè)量直線化，而脈沖被直線化，那么他將獲得A極化光子的方向；如果B將檢測(cè)器設(shè)置成測(cè)量對(duì)角線極化，而脈沖被直線極化，那么B將得到一個(gè)隨機(jī)的測(cè)量結(jié)果。因而B很難確定A極化光子的方向。

例如：對(duì)于第3個(gè)光子脈沖，A與B的設(shè)置均為×，即沿對(duì)角線方向測(cè)量偏振光，B將獲得正確的結(jié)果／。反之，若B的設(shè)置錯(cuò)誤，即A與B的設(shè)置不同時(shí)，他將得到隨機(jī)的結(jié)果。當(dāng)然，B并不知道他所獲得的結(jié)果中哪些是正確的。此外，在實(shí)踐中由于光子會(huì)在傳輸中丟失，或偏振濾光器等測(cè)量設(shè)備不夠靈敏沒有檢測(cè)到光子，還會(huì)導(dǎo)致B收到的光子脈沖會(huì)少于A發(fā)送的光子脈沖等情況。在本例中，B可能獲得結(jié)果：

／|—＼／＼―／―|……

那么，B根據(jù)所獲得的結(jié)果，可以判斷所收到的為如下比特流：

1100110101……

至此，量子信道上的傳輸過程完畢，下面A和B將在通常的不安全信道上公開交換信息。

（5）B在公共信道（有可能是不安全的信道）上告訴A，他使用了什么設(shè)置。

（6）A告訴B在哪些設(shè)置上是正確的，在本例中，檢測(cè)器對(duì)第2、6、7、9脈沖是正確的設(shè)置。（7）A和B只保存被正確測(cè)量的那些極化。在本例中，他們保存：

*|***＼-*-*……

使用預(yù)先設(shè)置的代碼，A和B能把那些極化測(cè)量轉(zhuǎn)變成位。在本例中，A和B都有：1100……所以，A和B產(chǎn)生了4位，利用該系統(tǒng)他們能產(chǎn)生需要的位。B猜出正確設(shè)置的機(jī)會(huì)平均是50%，所以要產(chǎn)生n位，A必須發(fā)送2n個(gè)光子脈沖。因此，可以使用被正確設(shè)置接收到的那些位作為對(duì)稱密碼體制的密鑰，或者能為一次一密亂碼本產(chǎn)生足夠的位及提供絕對(duì)的安全性。但是，值得注意的是，可能有第三方C在竊聽。正像B一樣，他必須猜測(cè)測(cè)量的是哪一種類型的極化，并且與B一樣，C的猜測(cè)中可能有一半是錯(cuò)誤的。因?yàn)殄e(cuò)誤的猜測(cè)改變了光子的極化，所以C在他竊聽的脈沖中引起了錯(cuò)誤。如果他這樣做了，A和B將最后得出不同的位串。如果要預(yù)防這種情況發(fā)生，A和B可以像下面那樣完成協(xié)議。（8）A和B比較位串中少量的幾位。如果有差別，他們就可以斷定傳輸信道上正在被竊聽；如果沒有任何差別，他們放棄用于比較的那些位，而使用剩下的那些位。至此，就生成了秘密的共享比特流（密鑰）。

為了進(jìn)一步增強(qiáng)本協(xié)議，可以這樣做：即使C存在的情況下，仍然允許A和B使用他們的位，他們只能比較那些位的子集中的一部分。其次，如果沒有找到差別，他們只需放棄子集中的一位。雖然只有50%的概率檢測(cè)到竊聽，但是如果他們采用n個(gè)不同的子集，在不檢測(cè)的情況下C竊聽的概率為1/2n。具體實(shí)現(xiàn)時(shí)，可以這樣做：為防止量子信道被竊聽，B隨機(jī)地泄露部分(例如1/3)可用的比特流。然后A校驗(yàn)上述比特流的正確性，如果A驗(yàn)證無誤，則A和B同意使用下述未被泄露的比特流，作為A和B之間通信的共享密鑰流。如果A驗(yàn)證有誤，則可重新執(zhí)行上述密鑰分配協(xié)議。在量子世界沒有被動(dòng)竊聽（或密鑰被破譯）這樣的事情。如果C試圖恢復(fù)所有的位，那他就必須破壞通信信道。之所以這樣認(rèn)為，是基于量子世界里的不確定性，對(duì)任意一個(gè)物理量的測(cè)量都不可避免地產(chǎn)生對(duì)另一個(gè)物理量的干擾。這實(shí)際上由未知量子態(tài)不能完全克隆定理就可以得到證實(shí)。在上面的討論中，實(shí)際上是假設(shè)了分配密鑰的量子信道是完全純的，沒有干擾的。而實(shí)際量子信道可能做不到這一點(diǎn)，就是說在傳輸中會(huì)有各種干擾（比如噪聲）存在。即使在沒有C竊聽的情況下，A和B也會(huì)發(fā)現(xiàn)前面提出的校驗(yàn)方式仍可能失敗。應(yīng)如何把信道上的各種干擾所引起的出錯(cuò)同竊聽破壞引起的出錯(cuò)區(qū)別開來呢？可以采用量子糾錯(cuò)的方法減少出錯(cuò)率（關(guān)于在量子信道傳輸中的糾錯(cuò)問題讀者可以參閱其他相關(guān)資料）。

一個(gè)具體的量子密鑰分配協(xié)議的過程如表10－1所示。表10－1一個(gè)具體的量子密鑰分配協(xié)議10.1.4量子密碼學(xué)面臨的挑戰(zhàn)及發(fā)展趨勢(shì)

1．量子密碼學(xué)面臨的技術(shù)挑戰(zhàn)

（1）光子源。量子密鑰分配的安全性取決于生成和處理單個(gè)光子的能力，但要生成單個(gè)光子并非一件容易的事情。當(dāng)前的解決辦法是借助于弱激光脈沖，這樣同時(shí)發(fā)送兩個(gè)光子的概率是已知的，也是很小的，但也將光子導(dǎo)致的安全隱患降到最低（因?yàn)橥瑫r(shí)產(chǎn)生兩個(gè)光子的概率很小，根據(jù)量子密鑰分發(fā)協(xié)議就能找出竊聽發(fā)生的次數(shù)）。目前，有多種實(shí)驗(yàn)方案可以接近理想的光子源（每次觸發(fā)在給定的方向發(fā)射且只發(fā)射一個(gè)光子，形象地稱為“光子槍”），但現(xiàn)有的實(shí)驗(yàn)結(jié)果離實(shí)用的要求還差得很遠(yuǎn)。此外，有些方案的實(shí)驗(yàn)技術(shù)難度也很大，研制出真正的“光子槍”還需要進(jìn)一步的努力。（2）量子信息傳輸?shù)耐ǖ?。目前，主要是單模光纖或空氣作為傳輸介質(zhì)。雖然單模光纖理論已經(jīng)發(fā)展得很完美，但目前所有的通信光纖都不是理想的單模光纖，光纖的雙折射、偏振模色散以及偏振的有關(guān)損耗等會(huì)影響到密碼傳輸系統(tǒng)的性能，如傳輸距離受限，誤碼率上升等。而遠(yuǎn)程通信還離不開衛(wèi)星的中繼，這就要求實(shí)現(xiàn)由地面到衛(wèi)星，以及衛(wèi)星到衛(wèi)星的量子密碼通信，而這里的傳輸介質(zhì)只能是大氣空間，如何降低光子在空間傳輸中的損耗，抑制背景光的影響，都是必須解決的技術(shù)難題。（3）量子中繼器。由于目前量子密鑰分發(fā)系統(tǒng)只能工作在100多千米的范圍內(nèi)，要想擴(kuò)大距離，傳統(tǒng)的中繼器不能使用，如何在長(zhǎng)距離的自由空間中來實(shí)現(xiàn)衛(wèi)星分發(fā)量子密鑰都還是技術(shù)難題。

（4）單光子探測(cè)。有了可靠的光子源，量子密鑰分發(fā)成敗就取決于單個(gè)光子探測(cè)的可能性。目前可以通過光子增倍器、雪崩二極管（AvalanchePhotodiodes）、多通道極板、超導(dǎo)Josephson結(jié)等來實(shí)現(xiàn)。一般來說，理想的單光子探測(cè)器應(yīng)滿足能在較大光譜范圍內(nèi)取得高的量子探測(cè)效率，產(chǎn)生噪聲的概率應(yīng)很小，具有較高的定時(shí)分辨率和恢復(fù)時(shí)間要很小等。但是同時(shí)滿足這些要求，到目前為止還是不可能的。目前最好的選擇是雪崩二極管，但仍然存在一些尚未克服的難題。（5）低傳輸率。由于量子密鑰分配的工作原理決定了只有部分傳輸位才能作為密鑰，導(dǎo)致量子密鑰傳輸?shù)男实?。如何提高傳輸效率也是一個(gè)技術(shù)難題。

2．量子密碼學(xué)的未來發(fā)展方向

從量子理論的基本概念出發(fā)，由理論上提出設(shè)想，到今天100多千米遠(yuǎn)的密鑰分配，接近實(shí)用化的量子密碼傳輸系統(tǒng)，這一切都是在最近幾年才發(fā)生的。在如此短的時(shí)間內(nèi)取得如此飛速的發(fā)展，說明了現(xiàn)實(shí)社會(huì)對(duì)它的需求的迫切性。當(dāng)前，由于Internet的迅猛發(fā)展，電子商務(wù)、電子政務(wù)等的廣泛應(yīng)用，安全性成為首先考慮的問題之一，這也給量子密碼的應(yīng)用提供了巨大的空間。如果在未來量子計(jì)算機(jī)成為事實(shí)，也只有量子密碼才能保證其安全性。目前，大多數(shù)專家認(rèn)為，量子密碼學(xué)可能向以下方向發(fā)展。（1）尋找量子密碼學(xué)的新研究領(lǐng)域，如量子簽名、量子身份認(rèn)證、量子投票等。當(dāng)前，量子密碼學(xué)作為現(xiàn)代密碼學(xué)的擴(kuò)展和升級(jí)，不是用來取代現(xiàn)代密碼學(xué)，而是要將量子密碼學(xué)的優(yōu)勢(shì)和現(xiàn)代密碼體制（如公鑰密碼體制）的優(yōu)勢(shì)結(jié)合起來，尋找新的應(yīng)用領(lǐng)域。

（2）量子密碼通信的網(wǎng)絡(luò)化。如何進(jìn)一步將量子密碼通信在當(dāng)前的Internet中推廣應(yīng)用，并實(shí)現(xiàn)量子密碼通信的網(wǎng)絡(luò)化，也是未來研究的問題。

（3）在光纖和大氣環(huán)境中如何實(shí)現(xiàn)更長(zhǎng)距離、更快速度、更低的誤碼率的量子密鑰的分發(fā)，使點(diǎn)對(duì)點(diǎn)的量子密碼通信進(jìn)入實(shí)用階段，也是值得進(jìn)一步研究的問題。（4）在不同工作波長(zhǎng)和采用不同的量子密鑰分發(fā)協(xié)議的量子密碼系統(tǒng)的研究中，應(yīng)從可行性、實(shí)用性、可靠性、穩(wěn)定性上力求構(gòu)建完善的量子密碼系統(tǒng)方案。

（5）實(shí)現(xiàn)量子隱形傳態(tài)，研究和完善使用EPR（糾錯(cuò)）的關(guān)聯(lián)來實(shí)現(xiàn)量子密碼的通信方案。

（6）進(jìn)一步解決量子通信和計(jì)算中存在的消相干、誤差檢測(cè)、校驗(yàn)和量子糾錯(cuò)等問題，研究和開發(fā)上百比特或上千比特的量子計(jì)算機(jī)，使量子計(jì)算機(jī)真正進(jìn)入實(shí)用階段。

（7）量子密碼通信與未來的全光網(wǎng)絡(luò)相結(jié)合。如何利用未來的全光網(wǎng)的光纖信道搭載通信，提供量子計(jì)算機(jī)的接口等，都是值得研究的關(guān)鍵問題。

10.2基于混沌理論的密碼體制

10.2.1混沌理論的基本概念

1．混沌理論簡(jiǎn)介

與微積分不同，混沌理論是一門專門研究奇異函數(shù)、奇異圖形的數(shù)學(xué)理論，研究自然界有序、無序間規(guī)律的學(xué)科。20世紀(jì)70年代，混沌科學(xué)作為一門新興的學(xué)科正式誕生了。1971年，法國(guó)數(shù)學(xué)物理學(xué)家Ruelle和荷蘭學(xué)者Takens一起發(fā)表了“論湍流的本質(zhì)”，在學(xué)術(shù)界首次提出了用混沌來描述湍流形成機(jī)理的新觀點(diǎn)。通過嚴(yán)密的數(shù)學(xué)分析發(fā)現(xiàn)了動(dòng)力學(xué)存在“奇異吸引子”；1973年，日本京都大學(xué)的Y.Ueda在用計(jì)算機(jī)研究非線性振動(dòng)時(shí)，發(fā)現(xiàn)了一種雜亂的振動(dòng)形態(tài)，被稱為Ueda吸引子；

1975年，李天巖和Yoke發(fā)表了著名的論文“PeriodThreeImpliesChaos（周期3意味著混沌）”，首次使用了“混沌（Chaos）”這個(gè)名詞，并為后來的學(xué)者接受；1977年夏，物理學(xué)家Ford和Casati在意大利組織了關(guān)于混沌研討的第一次國(guó)際會(huì)議，進(jìn)一步營(yíng)造了混沌科學(xué)研究的氛圍；1978年，美國(guó)物理學(xué)家Feigenbanum發(fā)現(xiàn)了普適性常數(shù)；1979年，Holmes作了磁場(chǎng)中曲片受簡(jiǎn)諧激勵(lì)時(shí)的振動(dòng)試驗(yàn)，發(fā)現(xiàn)激勵(lì)頻率和振幅超過某個(gè)特定值后，就會(huì)出現(xiàn)混沌振動(dòng)；1981年，美國(guó)MIT學(xué)院的Linsay驗(yàn)證了Feigenbanum普適性常數(shù)；1989年，召開了美蘇混沌研討會(huì)；1991年4月，在日本召開了“混沌科學(xué)與社會(huì)的影響”國(guó)際會(huì)議；1991年10月，在美國(guó)召開了首屆混沌試驗(yàn)研討會(huì)。這些會(huì)議的召開促進(jìn)了混沌學(xué)世界性研究熱潮的到來。近10多年，混沌學(xué)更是與其他學(xué)科相互滲透，無論是在生物學(xué)、生理學(xué)、心理學(xué)、數(shù)學(xué)、物理學(xué)、電子學(xué)、信息科學(xué)，還是天文學(xué)、氣象學(xué)、經(jīng)濟(jì)學(xué)，甚至音樂、藝術(shù)等領(lǐng)域，混沌學(xué)都得到了廣泛的應(yīng)用。如今，混沌學(xué)被認(rèn)為是20世紀(jì)與相對(duì)論、量子力學(xué)并列的三大發(fā)現(xiàn)之一。

2．混沌理論的基本概念

混沌系統(tǒng)有兩大特征：對(duì)初始條件的敏感性和系統(tǒng)變化的不可預(yù)測(cè)性。這兩個(gè)特性恰好是密碼學(xué)隨機(jī)序列的重要特征，因此混沌理論也被應(yīng)用于密碼學(xué)的研究之中?；煦缬成涞钠娈惐憩F(xiàn)提供了一種隨機(jī)序列的產(chǎn)生方法，下面給出混沌理論的基本概念。在條件（1）中說明，混沌現(xiàn)象中，各種周期成分并存；而條件（2）表明，非周期成分也共存；條件（2）中的條件①和②表明任何兩點(diǎn)的迭代軌跡時(shí)分時(shí)合，條件③表明非周期軌道不可能呈現(xiàn)出漸近的周期行為，這些條件充分反映了映射迭代軌跡的混亂（隨機(jī)）特性。

李-Yoke定理給出了一個(gè)判別映射混沌的條件：周期3意味著混沌。其數(shù)學(xué)理論表示為：并發(fā)現(xiàn)λk幾乎以幾何級(jí)數(shù)變化，即

Feigenbanum還發(fā)現(xiàn)，對(duì)于像y=λx(1-x)，λex(1-x)，λsin(πx)，x(1-λ(1-x))，x∈［0,1］等單峰函數(shù)都有這一現(xiàn)象，且這個(gè)極限值是相同的。大多數(shù)研究者都認(rèn)為這個(gè)極限是一個(gè)普適性常數(shù)（其重要性不亞于π和e等），被稱為Feigenbanum常數(shù)。這個(gè)常數(shù)的一個(gè)重要用途是可以幫助我們達(dá)到預(yù)測(cè)混沌的時(shí)間。10.2.2混沌序列的產(chǎn)生及其隨機(jī)序列

目前，在一次一密的密碼體制中，任意隨機(jī)比特序列的生成、傳輸、存儲(chǔ)等是其無法逾越的瓶頸。混沌映射可以用來產(chǎn)生（偽）隨機(jī)序列，從而為一次一密密碼體制的應(yīng)用提供了基礎(chǔ)。在混沌序列應(yīng)用中，最大的困難和要求是其隨機(jī)性度量和事實(shí)周期的研究?？梢詳嘌裕煦缧蛄胁豢赡車?yán)格滿足Golomb隨機(jī)性條件，也許根本不滿足。由于計(jì)算精度的限制，混沌序列實(shí)際上是周期性的，對(duì)密碼學(xué)而言，這個(gè)周期要足夠大，但是我們甚至不能計(jì)算一個(gè)混沌系統(tǒng)的事實(shí)周期。這也給基于混沌的密碼學(xué)應(yīng)用帶來了巨大的障礙，也成為密碼學(xué)研究的主要內(nèi)容。

Golomb隨機(jī)性并不是度量隨機(jī)性的唯一標(biāo)準(zhǔn)，而事實(shí)上混沌系統(tǒng)的混沌特性本身就是一種隨機(jī)性。對(duì)于迭代混沌序列x1,x2,…,xn…，也可以用分布函數(shù)來刻畫其隨機(jī)性行為。如二次映射y=1-2x2生成迭代混沌序列在［-1,1］區(qū)間上的分布密度函數(shù)為：x∈［-1,1］對(duì)于一般的混沌迭代函數(shù)，很難得到精確的分布密度的解析公式。在工程實(shí)踐中，通常用數(shù)值分析方法來得到大致的分布密度函數(shù)。1989年，Matthews在Logistic函數(shù)的基礎(chǔ)上，首次給出了用于加密隨機(jī)序列的生成函數(shù)：研究表明，在參數(shù)β的以上范圍內(nèi)，迭代映射xn+1=g(xn)是混沌的。迭代值對(duì)初始值x0是敏感的。如果設(shè)參數(shù)β和初始值x0取D位十進(jìn)制數(shù)，則密鑰空間的大小為102D，然后轉(zhuǎn)換成二進(jìn)制。令2H(K)=102D，則得H(K)=6.6D。但隨后Wheeler又指出，對(duì)于這種映射生成的序列，不能抵抗差分密碼分析方法，因而也是不安全的。

Wheeler和Matthews進(jìn)一步研究指出，只要提高計(jì)算機(jī)運(yùn)算的精度，Matthews的混沌序列生成方法仍然適用于密碼學(xué)。10.2.3混沌密碼體制

前面討論的是混沌序列在序列密碼學(xué)中的應(yīng)用，本小節(jié)介紹一個(gè)基于混沌映射的對(duì)稱密碼體制。

設(shè)函數(shù)y=fλ(x)，x∈［0,1］，λ∈［a,b］確定的迭代映射xn+1=f(xn,λ)是混沌的，且y=fλ(x)有有限個(gè)反函數(shù)。迭代次數(shù)n一般要盡量地大，n越大，差別不大的明文加密后得到的密文差別就越大。此外，n的選取還需要使明、密文滿足一定的分布性要求，一般可以使用以下方法來選?。?/p>

（1）隨機(jī)地選取一個(gè)點(diǎn)作為密文，取一些密鑰進(jìn)行解密，考察明文的分布，使之相對(duì)于密鑰在［0,1］上一致地分布；

（2）將（1）中選取的密鑰稍加變化，再解密密文，得到明文的分布，這個(gè)分布與（1）中的分布獨(dú)立。

如果n的選取滿足（1）和（2），則密碼體制就會(huì)具有良好的安全性。例如：

0.0255731,0.983993,0.999796,0.201291,0.0288681,0.158915,0.128187,0.0236716,0.98741,

0.997393,0.498003,0.889698,0.0972101,0.742839,0.000508285,0.966881,0.990987,0.00770645,0.930978,

0.443842,0.104602,0.130245,0.996834,0.184349,0.00251379,0.678948,0.999948,0.114764,0.0012771,

0.358824,0.593482,0.498929,0.995716,0.442905,0.193961,0.0396601,0.969042,0.992294,0.112231,

0.830405,0.231597,0.330547,0.288029,0.128806,0.203756,0.190813,0.932988,0.587447,0.793767,

0.562268,0.0458632,0.335458,0.550075,0.566229,0.994744,0.879303,0.0883124,0.9989933,0.803607,

0.000125446,0.875888,0.877297,0.0905916,0.993964,……..….}0.101434,0.407428,0.488819,0.999449,0.0147253,0.174927,0.984754,0.620449,0.9129,0.626395,0.344178,0.969361,0.55922,0.97215,0.0342265,0.298361,0.100876,0.0542892,0.867953,0.0299046,0.931446,0.519464,0.955029,0.967211,0.105169,0.179614,0.887183,0.00825241,0.0327892,0.177265,0.941898,0.987615,0.997784,0.978158,0.0227479,0.116135,0.449598,0.270683,0.03501,0.689501,0.655822,0.25262,0.926238,0.379551,0.06747753,0.486674,0.0705863,0.0268491,0.326796,0.755337,0.803608,0.733935,0.162743,0.0900615,0.00389254,0.296402,0.913421,0.416489,0.470416,0.3745,0.634387,0.55007,0.959979,0.0132836,…………..} 10.3其他新密碼體制簡(jiǎn)介

1．多變量公鑰密碼體制簡(jiǎn)介

近年來，量子計(jì)算機(jī)的發(fā)展對(duì)于基于數(shù)論的密碼體制的安全性帶來了極大的威脅。1994年，PeterShor發(fā)現(xiàn)了一種在量子計(jì)算機(jī)上多項(xiàng)式時(shí)間運(yùn)行的整數(shù)因子分解算法，這意味著一旦人們能研制出量子計(jì)算機(jī)，那么RSA密碼體制就不再安全，這種威脅應(yīng)當(dāng)嚴(yán)肅看待。因?yàn)槟壳耙呀?jīng)做了大量的研制量子計(jì)算機(jī)的工作，在2001年已經(jīng)研制出示例性的量子計(jì)算機(jī)，該計(jì)算機(jī)利用PeterShor的算法成功地分解了15。因此有必要去尋找更高效、更安全的公鑰密碼體制來代替RSA密碼體制。多變量公鑰密碼體制（MultivariatePublicKeyCryptosystem，MPKC）被認(rèn)為是一種有希望的選擇。特別是近年來，多變量公鑰密碼體