葛釗成, 胡漢平

1. 華中科技大學(xué) 人工智能與自動(dòng)化學(xué)院, 武漢430074

2. 深圳華中科技大學(xué)研究院, 深圳518057

3. 圖像信息處理與智能控制教育部重點(diǎn)實(shí)驗(yàn)室, 武漢430074

1 引言

隨著新技術(shù)的快速發(fā)展以及人類社會(huì)的全面信息化, 加速構(gòu)建強(qiáng)信任、強(qiáng)可控、強(qiáng)防護(hù)的安全大環(huán)境已成為必然要求. 然而作為網(wǎng)絡(luò)空間安全的基石與核心, 由密碼編碼和密碼分析構(gòu)成的密碼學(xué)不僅對(duì)上下游安全機(jī)制有著橋梁紐帶作用, 也是安全防護(hù)的最后一道戰(zhàn)線. 因此, 密碼學(xué)始終是學(xué)術(shù)界和工業(yè)界的研究熱點(diǎn). 與此同時(shí), 近數(shù)十年來, 以神經(jīng)網(wǎng)絡(luò)為代表的機(jī)器學(xué)習(xí)方法在模式識(shí)別、機(jī)器視覺等諸多領(lǐng)域大放異彩, 特別是隨著計(jì)算能力的大幅提升以及2006 年深度學(xué)習(xí)的提出, 人工神經(jīng)網(wǎng)絡(luò)正逐漸發(fā)展為一種高效且具有普適意義的科學(xué)工具. 因此人們不由產(chǎn)生一個(gè)疑問: 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)是否可能存在交集？本文即在該問題上展開深入探索.

事實(shí)上, 同樣是信息科學(xué)的重要分支, 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)內(nèi)部存在著天然的緊密聯(lián)系. 作為一種高度非線性系統(tǒng), 神經(jīng)網(wǎng)絡(luò)內(nèi)部存在混沌等復(fù)雜現(xiàn)象[1]. 同時(shí)結(jié)合Shannon 于1949 年發(fā)表的著作《保密系統(tǒng)的通信理論》[2]可知, 隨機(jī)、不可預(yù)測(cè)、初值敏感等非線性特征與密碼學(xué)的混淆、擴(kuò)散等基本原則高度契合, 這也為該交叉領(lǐng)域的發(fā)展提供了有力的理論支撐. 此外, 神經(jīng)網(wǎng)絡(luò)所具備的自適應(yīng)性、高容錯(cuò)性、聯(lián)想記憶等特征也符合密碼學(xué)中對(duì)密鑰管理、抗攻擊能力等內(nèi)容的需求, 而其大規(guī)模高速并行的處理能力同樣有利于密碼技術(shù)的實(shí)現(xiàn). 由此可見, 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)應(yīng)當(dāng)存在交叉研究的可行性與必要性.

神經(jīng)網(wǎng)絡(luò)和密碼學(xué)的交叉研究必然是相互的. 部分學(xué)者專注于如何用密碼學(xué)更好地保護(hù)神經(jīng)網(wǎng)絡(luò)的安全性, 如訓(xùn)練數(shù)據(jù)的隱私問題. 而更多的則關(guān)心如何利用神經(jīng)網(wǎng)絡(luò)更好地實(shí)現(xiàn)密碼學(xué)目的, 如算法設(shè)計(jì)、密鑰管理、密碼分析等, 而這也正是本文重點(diǎn)研究的對(duì)象. 代表工作包括: Li 等人[3]設(shè)計(jì)的一種基于兩層混沌神經(jīng)網(wǎng)絡(luò)的單向新型哈希函數(shù), 其在統(tǒng)計(jì)特性、密鑰敏感性、抗攻擊能力等指標(biāo)上均有突出表現(xiàn), 因此在相關(guān)研究中被廣泛討論. 而Kanter 等人[4,5]開創(chuàng)了將神經(jīng)相互學(xué)習(xí)的同步性質(zhì)用于密鑰協(xié)商的先河, 為后續(xù)研究提供重要的理論支撐和實(shí)踐基礎(chǔ). Gilmore 等人[6]則將神經(jīng)網(wǎng)絡(luò)用于側(cè)信道的能量分析,不僅可識(shí)別掩碼值還能高效恢復(fù)密鑰信息, 進(jìn)而實(shí)現(xiàn)對(duì)AES 密碼硬件的有效攻擊. Wang 等人[7]基于Lorenz 混沌系統(tǒng)和感知器模型提出了一種圖像加密算法, 展示出良好的密鑰敏感性, 并對(duì)統(tǒng)計(jì)、裁剪、噪聲等現(xiàn)有攻擊方法具有較高魯棒性. Google Brain 團(tuán)隊(duì)[8]首次提出一種基于對(duì)抗神經(jīng)網(wǎng)絡(luò)的安全通信模型, 無需人工設(shè)定加密算法即可對(duì)信息實(shí)現(xiàn)自我加密. 雖然該成果只能提供弱安全保證, 但仍為加密算法的未來發(fā)展提供新的可行思路.

過去也有針對(duì)該交叉領(lǐng)域的綜述工作[9–11], 但數(shù)量相對(duì)較少, 且或是局限于某一特定方向, 如混沌神經(jīng)網(wǎng)絡(luò)和密鑰管理; 或是局限于某一具體應(yīng)用, 如身份認(rèn)證、數(shù)據(jù)隱私等. 而本文則更全面地綜述并分析了研究現(xiàn)狀, 主要貢獻(xiàn)包括以下五個(gè)部分:

(1) 第2 節(jié)概述神經(jīng)網(wǎng)絡(luò)和密碼學(xué)的發(fā)展現(xiàn)狀, 并結(jié)合Shannon 的《保密系統(tǒng)的通信理論》和兩種定義下的神經(jīng)密碼學(xué), 探索了密碼學(xué)和神經(jīng)網(wǎng)絡(luò)之間的內(nèi)在聯(lián)系, 為交叉研究提供理論基礎(chǔ).

(2) 第3 節(jié)從密碼設(shè)計(jì)、密鑰管理、密碼分析這三大密碼學(xué)原語的角度, 通過對(duì)代表工作和最新成果的分析, 展現(xiàn)了以Hopfield 網(wǎng)絡(luò)、BP 網(wǎng)絡(luò)、混沌神經(jīng)網(wǎng)絡(luò)和CNN、RNN、GAN 等深度學(xué)習(xí)為代表的神經(jīng)網(wǎng)絡(luò)方法對(duì)加密算法、隨機(jī)數(shù)、密鑰協(xié)商、側(cè)信道等密碼技術(shù)帶來的機(jī)遇與挑戰(zhàn).

(3) 第4 節(jié)從應(yīng)用的角度, 總結(jié)了神經(jīng)網(wǎng)絡(luò)和密碼技術(shù)在安全通信、圖像加密、密文處理、身份認(rèn)證等代表領(lǐng)域的交叉研究成果, 并分析了對(duì)應(yīng)的優(yōu)勢(shì)特點(diǎn)、關(guān)鍵問題和潛在方向.

(4) 第5 節(jié)深入探索兩者的相互作用, 并從四個(gè)角度對(duì)前文內(nèi)容與觀點(diǎn)加以二次凝練.

(5) 第6 節(jié)基于神經(jīng)網(wǎng)絡(luò)和密碼學(xué)的研究現(xiàn)狀, 結(jié)合個(gè)人理解, 對(duì)未來發(fā)展方向提出三點(diǎn)展望.

2 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)發(fā)展及研究現(xiàn)狀

本節(jié)首先結(jié)合Hopfield、玻爾茲曼機(jī)、BP、CNN、RNN、GAN 等神經(jīng)網(wǎng)絡(luò)關(guān)鍵模型, 梳理神經(jīng)網(wǎng)絡(luò)的發(fā)展歷史, 并重點(diǎn)描述了在密碼學(xué)中有廣泛應(yīng)用價(jià)值的混沌神經(jīng)網(wǎng)絡(luò). 同時(shí)概述了古典密碼和基于對(duì)稱、公鑰、哈希的現(xiàn)代密碼學(xué)以及量子、混沌、生物等新型密碼技術(shù). 隨后對(duì)神經(jīng)網(wǎng)絡(luò)與密碼學(xué)之間的潛在聯(lián)系進(jìn)行探討, 并分別介紹了廣義和狹義的神經(jīng)密碼學(xué)研究現(xiàn)狀.

2.1 神經(jīng)網(wǎng)絡(luò)

1943 年, 美國(guó)心理學(xué)家McCulloch 和數(shù)學(xué)家Pitts 開創(chuàng)性地提出了M-P 模型——基于生物神經(jīng)系統(tǒng)而建立的神經(jīng)元數(shù)學(xué)模型, 從此人工神經(jīng)網(wǎng)絡(luò)開始展現(xiàn)在世人眼前. 1957 年, 美國(guó)Rosenblatt 提出了理論上具備模擬人類感知能力的感知機(jī)模型, 即單層神經(jīng)網(wǎng)絡(luò), 并隨后成功將其運(yùn)用于簡(jiǎn)單的模式識(shí)別任務(wù).然而好景不長(zhǎng), 1969 年, 首位榮獲圖靈獎(jiǎng)的人工智能學(xué)者M(jìn)insky 指出這種單層模型性能較低, 只能做簡(jiǎn)單的線性分類任務(wù), 甚至連異或問題都無法解決, 這一觀點(diǎn)在當(dāng)時(shí)得到廣泛認(rèn)可. 因此, 神經(jīng)網(wǎng)絡(luò)的研究很快陷入了低谷. 直至1982 年和1984 年, 美國(guó)物理學(xué)家Hopfield 分別實(shí)現(xiàn)了離散型Hopfield 神經(jīng)網(wǎng)絡(luò)和連續(xù)型Hopfield 神經(jīng)網(wǎng)絡(luò), 他首次將神經(jīng)網(wǎng)絡(luò)與統(tǒng)計(jì)物理學(xué)相聯(lián)系, 使其具備了聯(lián)想記憶和優(yōu)化計(jì)算的能力, 并成功求解了旅行商問題, 這讓神經(jīng)網(wǎng)絡(luò)再次獲得了學(xué)術(shù)界的重視. 1983 年, 深度學(xué)習(xí)三駕馬車之一的Hinton 等人結(jié)合統(tǒng)計(jì)物理學(xué)提出了“隱單元” 的概念, 并隨之建立了著名的隨機(jī)神經(jīng)網(wǎng)絡(luò)模型——玻爾茲曼機(jī)BM, 利用模擬退火算法較好的解決了Hopfield 網(wǎng)絡(luò)的局部極小問題. 而于1986 年被美國(guó)心理學(xué)家Rumelhart 等人深度優(yōu)化的誤差反向傳播算法(Back Propagation, 最早由Werbos 于1974 年發(fā)明), 更是解決了參數(shù)訓(xùn)練這一制約多層神經(jīng)網(wǎng)絡(luò)發(fā)展的瓶頸問題. 然而在20 世紀(jì)90 年代中期, 隨著結(jié)構(gòu)更簡(jiǎn)單、訓(xùn)練更快速, 效果更顯著的支持向量機(jī)SVM 在模式識(shí)別領(lǐng)域獲得巨大成功, 神經(jīng)網(wǎng)絡(luò)的發(fā)展陷入了第二次低谷. 直至2006 年, Hinton 等人提出了深度置信網(wǎng)絡(luò)DBN, 采用“預(yù)訓(xùn)練+ 微調(diào)” 的思路,解決了局部最優(yōu)、梯度消失等深層神經(jīng)網(wǎng)絡(luò)的訓(xùn)練問題. 自此, 以深層神經(jīng)網(wǎng)絡(luò)為核心的深度學(xué)習(xí)在學(xué)術(shù)界和工業(yè)界再次掀起了歷史性的浪潮. 其中, 以卷積層為核心的卷積神經(jīng)網(wǎng)絡(luò)CNN 在圖像領(lǐng)域取得重大成果; 具有時(shí)間記憶特性的循環(huán)神經(jīng)網(wǎng)絡(luò)RNN 在自然語言處理等領(lǐng)域大放異彩; 而被LeCun 譽(yù)為“過去十年間, 機(jī)器學(xué)習(xí)領(lǐng)域最讓人激動(dòng)的創(chuàng)意” 的生成對(duì)抗網(wǎng)絡(luò)GAN 在短短數(shù)年間獲得全球?qū)W者的廣泛關(guān)注.

然而在各式各樣的神經(jīng)網(wǎng)絡(luò)中, 有一種特殊網(wǎng)絡(luò)與密碼學(xué)有著千絲萬縷的關(guān)系. 1990 年, 日本學(xué)者Aihara 等人創(chuàng)造性地提出了混沌神經(jīng)網(wǎng)絡(luò)的概念——基于生物神經(jīng)元的混沌特性, 將神經(jīng)網(wǎng)絡(luò)與混沌理論相結(jié)合, 使其具有更復(fù)雜和更豐富的非線性動(dòng)力學(xué)特性. 混沌神經(jīng)網(wǎng)絡(luò)可以被視為一個(gè)復(fù)雜的混沌映射,所以它理所當(dāng)然地具備遍歷性、偽隨機(jī)性、初值敏感性等混沌映射的特殊性質(zhì). 而這些性質(zhì)同樣與密碼學(xué)有著緊密關(guān)聯(lián). 這種關(guān)聯(lián)的發(fā)現(xiàn)可源于1949 年Shannon 的經(jīng)典著作. 它結(jié)合混沌基本特性設(shè)計(jì)了密碼學(xué)的兩大原則: 擴(kuò)散和混淆. 近年來, 同時(shí)具備自適應(yīng)、聯(lián)想記憶、高度并行等神經(jīng)網(wǎng)絡(luò)特性和良好混沌特性的混沌神經(jīng)網(wǎng)絡(luò)在密碼學(xué)領(lǐng)域的有著一定的研究基礎(chǔ)與成果. 如; Guo 等人[12]基于Hopfield 混沌神經(jīng)網(wǎng)絡(luò)的混沌吸引子特性, 設(shè)計(jì)了一種新型對(duì)稱密碼算法; Mislovaty 等人[13]將混沌映射同步和神經(jīng)網(wǎng)絡(luò)同步相結(jié)合, 構(gòu)建了一可廣泛用于密鑰協(xié)商的混合網(wǎng)絡(luò)結(jié)構(gòu); Yu 等人[14]使用時(shí)滯混沌Hopfield 神經(jīng)網(wǎng)絡(luò)生成二進(jìn)制序列, 可廣泛用于文件傳輸、保密通信等領(lǐng)域.

2.2 密碼學(xué)

作為一門古老而又年輕的學(xué)科, 密碼學(xué)早在數(shù)千年前便被用于保密通信等軍事用途. 從古中國(guó)的陰符陰書和古希臘的Scytale, 到Caesar 和Vigenere 密碼, 再到近代的Morse 電碼和Enigma 密碼等, 這些基于代換和置換的古典密碼在各個(gè)年代都發(fā)揮出了極大作用. 而現(xiàn)代密碼的開端則源于1949 年信息論之父Shannon 發(fā)表的《Communication Theory of Secrecy Systems》, 它開創(chuàng)性地將密碼系統(tǒng)與信息論結(jié)合, 建立了對(duì)稱密碼體制. 經(jīng)過數(shù)十年的發(fā)展, 對(duì)稱密碼算法可分為分組密碼(DES、AES、SMS4 等) 和序列密碼(RC4、A5/1、Salsa 等). 雖然對(duì)稱密碼具備效率高、速度快、開銷小、密鑰短等優(yōu)點(diǎn), 但也存在密鑰管理難、不支持陌生通信和數(shù)字簽名等缺陷. 而美國(guó)密碼學(xué)家Diffie 和Hellman 于1976 年在《New Directions in Cryptography》一文中建立的公鑰密碼體制, 則很好地解決了以上難題, 并對(duì)現(xiàn)代密碼學(xué)的發(fā)展產(chǎn)生深遠(yuǎn)影響. 目前的公鑰密碼算法主要包括基于大數(shù)分解、離散對(duì)數(shù)、橢圓曲線等傳統(tǒng)難題的常用密碼(RSA、DSA、ECC 等) 和以格困難、多變量為代表的新型密碼. 除公鑰密碼外, 哈希算法也被廣泛應(yīng)用于簽名、認(rèn)證等密碼領(lǐng)域, 作為一種單向密碼體制, 它具有單向不可逆、壓縮映射、雪崩效應(yīng)、碰撞約束等密碼學(xué)特性, 其代表算法包括SHA1, SHA2, RIPEMD 等.

以上研究的針對(duì)對(duì)象均是基于數(shù)學(xué)的密碼, 然而現(xiàn)代密碼學(xué)中還包括諸多非數(shù)學(xué)領(lǐng)域的密碼, 如量子密碼、混沌密碼、生物密碼(DNA)、視覺密碼等, 其中前三者更是被稱為三大新型密碼技術(shù). 一、量子密碼的概念是在20 世紀(jì)70 年代由美國(guó)學(xué)者Wiesner 首次提出. 量子密碼利用量子力學(xué)原理為基礎(chǔ), 采用量子態(tài)作為信息載體. 在理論上, 該密碼技術(shù)基于海森堡測(cè)不準(zhǔn)原理和量子不可克隆定, 同時(shí)結(jié)合“一次一密” 方案, 即可實(shí)現(xiàn)無條件安全的保密通信. 但量子密碼的具體應(yīng)用仍有待進(jìn)一步研究, 目前主要研究聚焦于量子密鑰分配問題. 二、混沌密碼源于混沌理論和密碼學(xué)之間的內(nèi)在聯(lián)系, 早在1949 年Shannon就指出混沌映射的隨機(jī)、遍歷、初值敏感等特性天然符合密碼學(xué)原則, 而1989 年英國(guó)數(shù)學(xué)家Matthews則首次提出了混沌密碼的概念. 近年來, 混沌密碼在密碼設(shè)計(jì)、保密通信等領(lǐng)域取得一定成果, 但由于數(shù)字退化等關(guān)鍵問題仍未解決, 因此模擬域的混沌密碼研究仍有待深入. 三、生物密碼實(shí)際包含兩部分: 生物特征密碼和DNA 密碼. 前者將生物特征與密鑰結(jié)合, 解決了數(shù)字身份和物理身份的統(tǒng)一問題, 主要運(yùn)用于身份認(rèn)證. 而后者將DNA 作為信息載體, 具有低能量消耗、高密度信息存儲(chǔ)、大規(guī)模并行計(jì)算等優(yōu)勢(shì), 但同時(shí)存在缺乏理論支撐和有效實(shí)現(xiàn)方式等缺陷, 目前仍處于初步研究階段. 四、視覺密碼(Visual Cryptography) 最早由Naor 和Shamir 等于1994 年提出, 將傳統(tǒng)的一次一密與圖像相結(jié)合, 并利用人類視覺特性直接進(jìn)行解密(無需任何計(jì)算機(jī)資源或密碼學(xué)知識(shí)). 它與傳統(tǒng)密碼相比具有信息容量大、解密設(shè)備簡(jiǎn)單等優(yōu)點(diǎn). 因此視覺密碼在圖像加密、秘密共享、信息隱藏等特定場(chǎng)景下具有重要的應(yīng)用價(jià)值.

2.3 神經(jīng)密碼學(xué)

在現(xiàn)代密碼學(xué)中, 主流的密碼算法均只能提供計(jì)算安全性或是可證明安全性, 而這類安全性正隨著計(jì)算能力提高以及量子技術(shù)發(fā)展而逐漸降低, 因此從新的角度考慮密碼學(xué)問題顯得日益重要.

表1 神經(jīng)網(wǎng)絡(luò)與密碼學(xué)之間的內(nèi)在聯(lián)系Table 1 Inner connection between neural networks and cryptography

從信息科學(xué)的角度來看, 現(xiàn)代密碼學(xué)和人工神經(jīng)網(wǎng)絡(luò)都是研究信息處理系統(tǒng), 因此兩者之間理應(yīng)存在著必然的聯(lián)系[15]. 如表1 所示, 神經(jīng)網(wǎng)絡(luò)的聯(lián)想記憶、高速并行以及隨機(jī)性、初值敏感性等非線性特征高度符合密碼學(xué)的相關(guān)訴求, 如機(jī)密性、可行性、混淆與擴(kuò)散. 這些內(nèi)在關(guān)聯(lián)性為具有良好特性的神經(jīng)網(wǎng)絡(luò)與密碼學(xué)的有機(jī)結(jié)合提供了理論基礎(chǔ), 而這一交叉領(lǐng)域也確實(shí)吸引了相關(guān)研究者的密切關(guān)注.

1990 年意大利神經(jīng)學(xué)家Lauria 首次將神經(jīng)網(wǎng)絡(luò)與密碼學(xué)相結(jié)合, 提出了廣義上的神經(jīng)密碼學(xué)(Neurocryptology). 他利用神經(jīng)網(wǎng)絡(luò)的算術(shù)邏輯單位來計(jì)算無限精度的運(yùn)算函數(shù), 并將其作為密鑰用于加密過程. 隨后Lauria 教授在1992 年發(fā)表的《Non-linguistic Neurocryptology and Shannon theorem》一文中, 解釋了整個(gè)加密過程是非語言的, 其結(jié)果與Shannon 理論并不矛盾. 自此之后, 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)的交叉研究受到了學(xué)術(shù)界的廣泛關(guān)注. 相對(duì)而言, 德國(guó)科學(xué)家Kinzel、Kanter[4,5]于2002 年則提出了狹義上的神經(jīng)密碼學(xué)(Neural Cryptography), 并結(jié)合理論和實(shí)踐驗(yàn)證了神經(jīng)密碼的可行性, 他利用相互學(xué)習(xí)(Bidirectional Learning) 的同步性質(zhì), 即全同步狀態(tài)使兩個(gè)相同結(jié)構(gòu)的神經(jīng)網(wǎng)絡(luò)也具備相同的權(quán)重值, 實(shí)現(xiàn)了基于神經(jīng)網(wǎng)絡(luò)的公共信道密鑰協(xié)商過程. 這一方案的提出使得神經(jīng)密碼學(xué)研究迎來了高潮. 目前的研究顯示, 隱藏層為3 的樹型奇偶機(jī)模型(Tree Parity Machine, TPM) 可能是最適合用于密鑰協(xié)商的神經(jīng)網(wǎng)絡(luò)架構(gòu)[16].

神經(jīng)密碼學(xué)的發(fā)展不僅推動(dòng)了神經(jīng)網(wǎng)絡(luò)的創(chuàng)新應(yīng)用, 更為密碼學(xué)提供了一種全新思路. 然而在90 年代神經(jīng)網(wǎng)絡(luò)并未得到密碼學(xué)家們的重視, 而神經(jīng)網(wǎng)絡(luò)專家則更具聚焦于基礎(chǔ)理論和模式識(shí)別等領(lǐng)域, 因此兩個(gè)領(lǐng)域的交叉研究進(jìn)展相對(duì)緩慢. 近年來, 隨著新型攻擊方法的大量涌現(xiàn)以及人工智能自身的蓬勃發(fā)展,神經(jīng)網(wǎng)絡(luò)正以無法抗拒的誘惑力吸引著諸多學(xué)者的關(guān)注. 目前, 以Hopfield、BP 網(wǎng)絡(luò)和CNN、RNN、GAN 等深度學(xué)習(xí)方法為代表的神經(jīng)網(wǎng)絡(luò), 密碼算法、密鑰管理、密碼應(yīng)用等領(lǐng)域以及量子、生物、混沌、視覺等新型密碼方向都有大量研究成果. 對(duì)此, 本文的第3 節(jié)和第4 節(jié)分別從原語研究和創(chuàng)新應(yīng)用兩個(gè)角度進(jìn)行論述.

圖1 神經(jīng)網(wǎng)絡(luò)與密碼學(xué)及其交叉研究歷程Figure 1 History of neural network, cryptography and their cross-over research

3 基于神經(jīng)網(wǎng)絡(luò)的密碼學(xué)原語研究

密碼學(xué)可分為密碼編碼學(xué)和密碼分析學(xué), 而密鑰安全則是現(xiàn)代密碼學(xué)的基本原則. 本章首先介紹了基于神經(jīng)網(wǎng)絡(luò)的密碼設(shè)計(jì)、結(jié)合神經(jīng)網(wǎng)絡(luò)方法的經(jīng)典算法優(yōu)化方案以及神經(jīng)網(wǎng)路與新密碼技術(shù)的有機(jī)結(jié)合.第3 節(jié)從密鑰生成(包括隨機(jī)數(shù)設(shè)計(jì)等) 和密鑰協(xié)商(狹義的神經(jīng)密碼學(xué)) 角度綜述了神經(jīng)網(wǎng)絡(luò)與密鑰管理的交叉研究, 同時(shí)結(jié)合密碼分析和側(cè)信道攻擊等技術(shù)探索了密碼系統(tǒng)的安全性問題.

3.1 密碼設(shè)計(jì)

密碼編碼實(shí)質(zhì)就是密碼體制的設(shè)計(jì)問題, 即如何構(gòu)建更安全高效的密碼系統(tǒng). 目前主流的密碼體制包括對(duì)稱密碼, 公鑰密碼和哈希函數(shù)(單向密碼體制). 然而隨著信息環(huán)境的復(fù)雜化, AES、RSA、SHA-2 等常用密碼逐漸暴露出高耗時(shí)、高復(fù)雜度、安全性不足等缺陷. 而近年來, 神經(jīng)網(wǎng)絡(luò)的泛化能力和高速并行、非線性映射等特性吸取了學(xué)者們的熱切關(guān)注, 并被廣泛運(yùn)用于密碼設(shè)計(jì)之中.

針對(duì)對(duì)稱密碼體制, Arvandi 等人[17]提出基于遞歸神經(jīng)網(wǎng)絡(luò)的對(duì)稱密碼算法, 支持可變密鑰長(zhǎng)度和可變塊長(zhǎng)度, 并對(duì)統(tǒng)計(jì)等傳統(tǒng)密碼分析方法具有良好的抵抗能力. Noura 等人[18]將非線性函數(shù)與三層神經(jīng)網(wǎng)絡(luò)用于設(shè)計(jì)新型分組密碼. 該方案有效降低計(jì)算復(fù)雜度, 降低延遲, 具有足夠的安全性. 與AES相比, 速度至少快1.7 倍. 并具有雪崩效應(yīng)、初值敏感、統(tǒng)計(jì)隨機(jī)、魯棒等優(yōu)良特性. Sagar 等人[19]結(jié)合基于均勻交叉和單點(diǎn)突變的遺傳算法和誤差反向傳播神經(jīng)網(wǎng)絡(luò), 設(shè)計(jì)了安全、快速、高效的對(duì)稱密碼算法, 其時(shí)間復(fù)雜度遠(yuǎn)低于DES、AES 等經(jīng)典算法. 而在公鑰密碼體制中, Wang 等人[20]構(gòu)建了基于Hopfield 神經(jīng)網(wǎng)絡(luò)的多元公鑰密碼系統(tǒng)——CHNN-MVC, 不僅建立從神經(jīng)網(wǎng)絡(luò)到多元密碼學(xué)的映射, 還將Diffie-Hellman 算法擴(kuò)展到矩陣領(lǐng)域. 不僅具備消息敏感等密碼學(xué)特性, 還對(duì)量子計(jì)算具有一定抵抗能力. 此外, 神經(jīng)網(wǎng)絡(luò)的單向、壓縮、擴(kuò)散等特性也非常適用于構(gòu)造哈希函數(shù), Li 等人[3]結(jié)合兩層混沌神經(jīng)網(wǎng)絡(luò), 其中以分段線性混沌映射(PWLCM) 為傳遞函數(shù), 將四維單向耦合映象格子系統(tǒng)(4D OWCML)作為密鑰生成器, 構(gòu)造了一種新型哈希函數(shù). 該算法對(duì)消息和密鑰具有極高的敏感性, 并具備良好的抗碰撞性和擴(kuò)散混淆特征, 同時(shí)能有效抵御中間攻擊(MITM). Tur?aník 等人[21]探索了最佳的遞歸神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu), 可實(shí)現(xiàn)128/196/256 位的加密, 其結(jié)果安全性良好, 生成速度更快且便于計(jì)算機(jī)實(shí)現(xiàn). Abdoun 等人[22]則設(shè)計(jì)了一種基于混沌神經(jīng)網(wǎng)絡(luò)的哈希算法, 提出使用快速高效的混沌生成器生成神經(jīng)網(wǎng)絡(luò)參數(shù)并通過混沌神經(jīng)網(wǎng)絡(luò)對(duì)消息進(jìn)行迭代, 其結(jié)果相對(duì)于標(biāo)準(zhǔn)SHA-2, 具有更好的均勻分布性、初值敏感性和抗碰撞性. 以上大量工作體現(xiàn)神經(jīng)網(wǎng)絡(luò)可用于設(shè)計(jì)高效的新型密碼算法, 而其同樣可以用于對(duì)AES、RSA等現(xiàn)代密碼算法的改良優(yōu)化. 如為了提高AES-128 算法性能, Kalaiselvi 等人[23]提出了一種強(qiáng)大的混淆技術(shù)——基于遺傳算法和前饋神經(jīng)網(wǎng)絡(luò)的代換-置換網(wǎng)絡(luò)(Substitution-Permutation Network, SPN), 可以使密文信息和加密密鑰之間的關(guān)系非線性化、復(fù)雜化. 該方案具有優(yōu)良的雪崩效應(yīng)等密碼學(xué)特性, 可有效抵御定時(shí)攻擊, 并縮短加密系統(tǒng)的計(jì)算時(shí)間. Chakraborty 等人[24]則通過BP 神經(jīng)網(wǎng)絡(luò)對(duì)RSA 的高計(jì)算復(fù)雜性問題進(jìn)行了優(yōu)化. 與標(biāo)準(zhǔn)RSA 算法相比, 其在小文件(6–24 KB) 的加解密速度上最高可提升52%.

在現(xiàn)代密碼學(xué)中, 除了對(duì)稱、公鑰、哈希這三個(gè)經(jīng)典體制, 還有諸多基于非數(shù)學(xué)問題的密碼方案, 如量子密碼、混沌密碼、DNA 密碼、視覺密碼等, 其中前三者更是被統(tǒng)稱為三大新興密碼技術(shù). 而作為一種普適性的科學(xué)工具, 神經(jīng)網(wǎng)絡(luò)同樣為這些新方向的研究帶來了不少的機(jī)遇. Anh 等人[25]用BP 算法訓(xùn)練的兩個(gè)多層量子神經(jīng)網(wǎng)絡(luò)來構(gòu)建密碼系統(tǒng), 可廣泛用于密鑰交換協(xié)議和身份驗(yàn)證等領(lǐng)域. 針對(duì)“量子糾錯(cuò)”這一量子密碼學(xué)的關(guān)鍵問題, Niemiec 等人[26]提出了基于人工神經(jīng)網(wǎng)絡(luò)的誤差校正方案, 不僅增加了密鑰長(zhǎng)度, 還有效提升了安全性. 而由于混沌理論與神經(jīng)網(wǎng)絡(luò)、密碼學(xué)都有著緊密聯(lián)系, 因此這一交叉領(lǐng)域有著豐富的研究成果. 如Guo 等人[12]探索了離散Hopfield 神經(jīng)網(wǎng)絡(luò)模型的混沌吸引子特性, 并據(jù)此提出了一種高效且安全的新型概率加密方案. 此外, Roy 等人[27]提出了一種基于混沌神經(jīng)網(wǎng)絡(luò)的DNA 密碼算法——在DNA 編碼前, 先通過時(shí)變混沌神經(jīng)網(wǎng)絡(luò)生成用于明文加密的二進(jìn)制序列. 該方案有效結(jié)合了兩種技術(shù)的優(yōu)點(diǎn), 體現(xiàn)出更好的安全性和保密性. Basu 等人[28]將雙向聯(lián)想記憶神經(jīng)網(wǎng)絡(luò)BAMNN 用于在DNA 加解密過程中的密鑰生成與存儲(chǔ). 該方案不僅能保障擴(kuò)散和混淆原則, 提高安全性, 同時(shí)還降低了時(shí)間復(fù)雜度. 而Song 等人[29]使用pi-sigma 神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)了一種新的視覺密碼算法, 和其他方案相比極大降低了通信速率, 并提升了區(qū)分圖像中不同信息的能力.

神經(jīng)網(wǎng)絡(luò)等新技術(shù)的發(fā)展為密碼體制設(shè)計(jì)開辟全新的思路, 然而在多個(gè)研究方向中, 將高度非線性的混沌神經(jīng)網(wǎng)絡(luò)用于對(duì)密碼算法優(yōu)化設(shè)計(jì)的研究相對(duì)較為成熟. 但其同樣受限于混沌理論自身局限性與神經(jīng)網(wǎng)絡(luò)的不可解釋性等問題. 目前基于神經(jīng)網(wǎng)絡(luò)的密碼設(shè)計(jì)主要是在理論推理和仿真實(shí)驗(yàn)上取得了一定成果, 仍缺乏符合應(yīng)用需求、可真實(shí)落地的解決方案.

3.2 密鑰管理

3.2.1 密鑰生成

作為現(xiàn)代密碼學(xué)的基礎(chǔ)原則之一, Kerckhoffs 原則指出密碼體制的安全性依賴于密鑰安全, 而非算法的保密. 無論是主密鑰還是會(huì)話密鑰, 都必須具備長(zhǎng)周期、非線性、不可預(yù)測(cè)等良好的隨機(jī)性. 然而隨著應(yīng)用需求的提升以及密碼分析的發(fā)展, 傳統(tǒng)的密鑰生成技術(shù)逐漸暴露出隨機(jī)性不足、高復(fù)雜度、高能耗等缺陷. 對(duì)此, 部分學(xué)者提出將神經(jīng)網(wǎng)絡(luò)運(yùn)用于密鑰生成器的優(yōu)化設(shè)計(jì). 比如, 為了解決對(duì)稱密碼的密鑰交換難題, Jin 等人[30]設(shè)計(jì)了基于人工神經(jīng)網(wǎng)絡(luò)的3D CUBE 混合算法, 通過學(xué)習(xí)產(chǎn)生密鑰并最小化共享信息, 可適用于AES-256 等對(duì)稱密碼體制. 與GnuPG 等方法相比, 雖然處理速度變緩, 但有效提升了安全性. 而在非對(duì)稱密碼體制中, Pu 等人[31]通過細(xì)胞神經(jīng)網(wǎng)絡(luò)生成高隨機(jī)的混沌序列, 然后隨機(jī)選擇序列并通過RSA 公鑰對(duì)其位置信息進(jìn)行處理以生成傳輸密鑰. 隨后將位置信息進(jìn)行Chebyshev 混沌映射生成加密密鑰. 經(jīng)相關(guān)性、頻譜和敏感性等分析證明, 該方案性能突出, 且適用于音頻等大文件處理. Jhajharia等人[32]首次結(jié)合遺傳算法和人工神經(jīng)網(wǎng)絡(luò), 提出一種新的密鑰生成方案. 通過隨機(jī)性、間隙分析等測(cè)試,其密鑰結(jié)果具有良好的安全性. 而考慮到物理環(huán)境存在著不可避免的干擾, Alimohammadi 等人[33]提出了一種基于Hopfield 神經(jīng)網(wǎng)絡(luò)的密鑰糾錯(cuò)方案, 解決了物理環(huán)境下密鑰生成的偏轉(zhuǎn)問題. 可成功識(shí)別噪音并重新生成完整且準(zhǔn)確的密鑰. 與常用的BCH 碼相比, 該方案可更快糾正錯(cuò)誤位并重建密鑰.

作為密碼算法的基礎(chǔ)參數(shù), 隨機(jī)數(shù)是密鑰生成的主要方式, 在對(duì)稱密碼、公鑰密碼、抵御重放攻擊等領(lǐng)域有著關(guān)鍵作用. 而神經(jīng)網(wǎng)絡(luò)在偽隨機(jī)數(shù)生成器上的成功應(yīng)用, 也間接為密鑰生成提供了新的思路. 神經(jīng)網(wǎng)絡(luò)常被用于隨機(jī)數(shù)生成器的優(yōu)化設(shè)計(jì), 如Wang 等人[34]利用反向傳播神經(jīng)網(wǎng)絡(luò)的強(qiáng)泛化、非線性運(yùn)算等特點(diǎn), 實(shí)現(xiàn)理想隨機(jī)數(shù)和生成隨機(jī)數(shù)的差異最小化, 同時(shí)結(jié)合SHA-512 提升了隨機(jī)數(shù)的統(tǒng)計(jì)特性.相比于前人工作, 該結(jié)果在NIST SP800-22 中展現(xiàn)出全方面的優(yōu)勢(shì), 可用于生成安全性更高的密鑰序列.Wen 等人[35]結(jié)合模糊理論, 研究了混沌憶阻神經(jīng)網(wǎng)絡(luò)的復(fù)雜動(dòng)力學(xué)特性和滯后自適應(yīng)同步問題, 并成功將其應(yīng)用于偽隨機(jī)數(shù)發(fā)生器的設(shè)計(jì), 對(duì)密鑰生成有廣泛的應(yīng)用價(jià)值. 另一方面, 部分學(xué)者利用神經(jīng)網(wǎng)絡(luò)改善NIST 套件(一種廣泛被應(yīng)用的隨機(jī)數(shù)測(cè)試工具) 的不足之處. 如針對(duì)NIST SP800-22 無法測(cè)試未知統(tǒng)計(jì)偏差(如線性同余的安全性問題)的缺陷, Kimura 等人[36]通過一種三層LSTM 的神經(jīng)網(wǎng)絡(luò)模型, 在不同算法(如RC4 和LCG) 中檢測(cè)不同類型的統(tǒng)計(jì)偏差, 進(jìn)而分析生成隨機(jī)數(shù)和理想隨機(jī)數(shù)的細(xì)微區(qū)別.不僅完善了NIST 的隨機(jī)性測(cè)試功能, 還有效提高對(duì)生成密鑰的安全性要求. 另外針對(duì)NIST SP800-90無法準(zhǔn)確分析時(shí)變序列隨機(jī)性的問題, Zhu 等人[37]提出基于全連接神經(jīng)網(wǎng)絡(luò)的最小熵估計(jì)方案, 可實(shí)現(xiàn)更準(zhǔn)確的熵估計(jì)(特別是對(duì)于時(shí)變序列), 有利于提高生成密鑰的安全性.

以上是神經(jīng)網(wǎng)絡(luò)在密鑰生成方向的部分代表工作, 通過對(duì)偽隨機(jī)數(shù)生成器等密鑰生成方案的優(yōu)化設(shè)計(jì), 在一定程度上提升了密鑰生成的安全性和可用性, 但如何權(quán)衡密鑰安全性和計(jì)算能耗、如何用神經(jīng)網(wǎng)絡(luò)生成真隨機(jī)數(shù), 如何將神經(jīng)網(wǎng)絡(luò)與非線性反饋移位(NLFSR)、寄存器物理不可克隆函數(shù)(PUF) 等新型密鑰生成方案相結(jié)合等問題仍有待深入探索.

3.2.2 密鑰協(xié)商

與基于隨機(jī)數(shù)生成器、線性移位寄存器等密鑰生成技術(shù)不同的是, 密鑰協(xié)商通常是指兩個(gè)或多個(gè)通信實(shí)體, 在公開信道上進(jìn)行協(xié)商以獲取共同的會(huì)話密鑰. 然而正如前文2.3 章節(jié)中的描述, 基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商算法, 即狹義上的神經(jīng)密碼學(xué), 也是神經(jīng)網(wǎng)絡(luò)和密碼學(xué)這一交叉領(lǐng)域最成功的研究成果之一. 神經(jīng)密碼學(xué)利用神經(jīng)網(wǎng)絡(luò)的同步差異性為基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商模型提供了安全基礎(chǔ), 即兩個(gè)神經(jīng)網(wǎng)絡(luò)(合法通信雙方) 相互學(xué)習(xí)的同步速度比一個(gè)神經(jīng)網(wǎng)絡(luò)(惡意第三方) 的單向?qū)W習(xí)同步速度更快. 這與其他常用技術(shù)有著本質(zhì)的不同.

神經(jīng)密碼學(xué)最早由Kanter[4]等人于2002 年提出, 使用Hebbian 規(guī)則訓(xùn)練兩個(gè)人工神經(jīng)網(wǎng)絡(luò), 在有限訓(xùn)練后雙方具有相同狀態(tài)的內(nèi)部突觸權(quán)重, 并成功運(yùn)用于密鑰協(xié)商、秘密共享等領(lǐng)域. 次年, Mislovaty等人[13]提出了“雙同步”的混合結(jié)構(gòu), 即先讓神經(jīng)網(wǎng)絡(luò)產(chǎn)生相互學(xué)習(xí)的同步信號(hào), 再將同步信號(hào)輸入到混沌映射中. 混沌同步的加入有效提高了公共信道上密鑰協(xié)商的安全性. Kinzel 等人[38]發(fā)現(xiàn), 單雙向的神經(jīng)同步在單層感知機(jī)(最簡(jiǎn)單的神經(jīng)網(wǎng)絡(luò)模型) 上并沒有明顯差異, 在樹形奇偶機(jī)(Tree Parity Machine,TPM) 這種復(fù)雜的多層前饋神經(jīng)網(wǎng)絡(luò)上則有著明顯差異. 特別是在隱藏單元數(shù)K = 3 的TPM 模型中,雙向?qū)W習(xí)同步時(shí)間隨突觸深度增加呈多項(xiàng)式級(jí)增長(zhǎng), 而單向?qū)W習(xí)同步時(shí)間則呈指數(shù)級(jí)增長(zhǎng), 這也使得含3個(gè)隱藏節(jié)點(diǎn)的TPM 模型被廣泛運(yùn)用于神經(jīng)密碼學(xué)設(shè)計(jì). 而Allam 等人[39]結(jié)合二叉樹結(jié)構(gòu), 提出一種基于神經(jīng)密碼的組密鑰協(xié)商協(xié)議, 即將N 個(gè)TPM 同步在一起, 并由完整二叉樹的M 個(gè)葉子表示, 其中M =2sup(log2N). 該算法可實(shí)現(xiàn)組用戶之間的快速密鑰交換, 并結(jié)合身份認(rèn)證技術(shù)可有效提升機(jī)密性.

自2002 年提出后, 由于同時(shí)具備低復(fù)雜度、快速并行等優(yōu)點(diǎn), 基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商方法受到了廣泛關(guān)注. 然而密鑰安全始終是現(xiàn)代密碼學(xué)的關(guān)鍵問題. 雖然神經(jīng)密碼學(xué)已被證明在諸多攻擊策略下是安全的, 但攻擊策略通常都是與密碼學(xué)快速同步發(fā)展. 隨著簡(jiǎn)單攻擊、幾何攻擊、多數(shù)攻擊、遺傳攻擊和協(xié)作攻擊等[40,41]針對(duì)神經(jīng)密碼的有效分析技術(shù)的提出, 特別是著名的基于PPM 的協(xié)商算法被概率攻擊成功攻破, 大量研究開始聚焦于如何加強(qiáng)神經(jīng)密碼學(xué)方案的安全性. 對(duì)此, Ruttor 等人[42]首次提出了查詢(Queries) 的概念, 以引入端點(diǎn)間相互影響的查詢機(jī)制替換神經(jīng)網(wǎng)絡(luò)的隨機(jī)輸入, 可在不增加同步時(shí)間的條件下提高魯棒性, 降低來自協(xié)作攻擊等技術(shù)的威脅. 同時(shí)還通過調(diào)整神經(jīng)網(wǎng)絡(luò)的突觸深度以增加網(wǎng)絡(luò)的同步時(shí)間, 并證明了幾何攻擊、多數(shù)攻擊等技術(shù)的實(shí)現(xiàn)難度會(huì)隨著突觸深度的增加而呈指數(shù)增長(zhǎng). 這兩個(gè)基本思想也被廣泛運(yùn)用于神經(jīng)密碼學(xué)的優(yōu)化設(shè)計(jì). Allam 等人[43]設(shè)計(jì)了三種增強(qiáng)方法——基于誤差預(yù)測(cè)的DTMP 算法、基于同步反饋的SCSFB 算法以及混合方案, 可有效增強(qiáng)密鑰協(xié)商過程的安全性. Reyes 等人[44]則從結(jié)構(gòu)提出了優(yōu)化——基于置換奇偶機(jī)(Permutation Parity Machine, PPM) 的密鑰協(xié)商算法,這種TPM 變體對(duì)簡(jiǎn)單、幾何、多數(shù)、遺傳等攻擊體現(xiàn)出良好魯棒性, 但無法有效抵御概率分析. 而Lei等人[45]設(shè)計(jì)了一種全新的具有兩層樹形結(jié)構(gòu)的前饋神經(jīng)網(wǎng)絡(luò)模型TTFNN, 在密鑰協(xié)商應(yīng)用上表現(xiàn)出比傳統(tǒng)TPM 更高的安全性和更短的同步時(shí)間. 上述方案均以實(shí)值為輸入, 而Dong 等人[46]則提出了基于復(fù)值樹型奇偶校驗(yàn)機(jī)(CVTPM) 的神經(jīng)密碼術(shù). 作為TPM 的擴(kuò)展, 該方法支持更復(fù)雜的輸入、輸出、權(quán)重以及更高的安全性, 同時(shí)可在一次神經(jīng)同步中實(shí)現(xiàn)兩個(gè)組密鑰交換. 由此可見, 為了克服TPM 模型的局限性和潛在安全缺陷, 探索更多高效可用的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu), 或結(jié)合混沌映射等理論設(shè)計(jì)同步機(jī)制, 是基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商技術(shù)發(fā)展的重要方向之一.

然而針對(duì)神經(jīng)密碼學(xué)的安全性問題, 除了傳統(tǒng)攻擊技術(shù), 還需考慮側(cè)信道攻擊所帶來的新型威脅. 如St?ttinger 等人[47]首次分析并實(shí)現(xiàn)了神經(jīng)密碼系統(tǒng)的側(cè)信道攻擊問題, 對(duì)基于樹型奇偶校驗(yàn)機(jī)的神經(jīng)密鑰協(xié)商算法提出了一種差分功率分析方案, 結(jié)合漢明重量模型和漢明距離模型來獲取神經(jīng)網(wǎng)絡(luò)權(quán)重向量的相關(guān)信息, 進(jìn)而獲取密鑰. 雖然該方案需要較大數(shù)據(jù)基礎(chǔ), 且準(zhǔn)確度受密碼系統(tǒng)非線性函數(shù)的影響較大, 但仍對(duì)基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商算法的安全性敲響了警鐘.

3.3 密碼分析

3.3.1 傳統(tǒng)密碼分析

作為密碼學(xué)的重要分支, 密碼分析旨在在加解密信息未知的情況下從密文恢復(fù)密鑰或明文. 根據(jù)已知信息量, 可分為唯密文、已知明文、選擇明文和選擇明文四種, 其攻擊難度依次遞減. 根據(jù)攻擊方式的不同, 可分為強(qiáng)力攻擊、統(tǒng)計(jì)分析、差分分析、線性分析、代數(shù)分析等常見方法. 然而自20 世紀(jì)80 年代以來, 密碼編碼學(xué)得以快速發(fā)展, 密碼系統(tǒng)安全性不斷提升, 密碼分析則變得越來越困難. 此時(shí), 作為一種新興的通用科學(xué)工具, 神經(jīng)網(wǎng)絡(luò)為密碼分析注入了新的血液, 并經(jīng)過多年積累, 擁有了廣泛的研究成果. 但與上述這些普遍需要先恢復(fù)密鑰比特的分析技術(shù)所不同的是, 絕大多數(shù)基于神經(jīng)網(wǎng)絡(luò)的密碼分析均是從全局推理的角度學(xué)習(xí)加解密的模式進(jìn)以直接實(shí)現(xiàn)破譯.

針對(duì)于古典密碼, Alallayah 等人[48]使用前饋神經(jīng)網(wǎng)絡(luò)來對(duì)Vigenere 密碼(任意密鑰長(zhǎng)度) 實(shí)現(xiàn)近乎完美(98%) 的攻擊效率, 但該方案特定于Vigenere 密碼, 不具有可遷移性. Greydanus[49]提出了一種基于遞歸神經(jīng)網(wǎng)絡(luò)RNN 的多表代換密碼通用分析方案. 該種已知明文攻擊在Vigenere、Autokey 和Enigma 三種古典密碼上取得了較好的成果. 與傳統(tǒng)分析方法相比, 該通用方案雖然在準(zhǔn)確度上有一定差距, 但至少可以實(shí)現(xiàn)有效攻擊, 且可通過簡(jiǎn)單調(diào)整便支持對(duì)多種密碼的分析. Gomez 等人[50]則基于生成對(duì)抗網(wǎng)絡(luò)GAN 設(shè)計(jì)了一種針對(duì)古典密碼的通用方案, 可在無需先驗(yàn)知識(shí)和配對(duì)訓(xùn)練集的情況下, 對(duì)Shift和Vigenere 實(shí)現(xiàn)成果破解, 并極大縮小了與非神經(jīng)網(wǎng)絡(luò)的傳統(tǒng)技術(shù)的準(zhǔn)確度差異, 同時(shí)也對(duì)其他形式的密碼分析以及機(jī)器翻譯等學(xué)習(xí)任務(wù)有著重要參考意義. 而在現(xiàn)代密碼學(xué)領(lǐng)域中, Alani 等人[51]設(shè)計(jì)了一種基于神經(jīng)網(wǎng)絡(luò)的已知明文攻擊, 成功實(shí)現(xiàn)了對(duì)DES 和3DES 的分析. 與差分、線性等其他技術(shù)相比, 該攻擊在數(shù)據(jù)量和處理速度上有明顯優(yōu)勢(shì), 平均在211(212) 個(gè)明文-密文對(duì)的基礎(chǔ)上, 僅需51(72) 分鐘即可恢復(fù)64 位明文數(shù)據(jù). Antonik[52]利用儲(chǔ)備池計(jì)算(Reservoir Computing) 對(duì)常用于密碼設(shè)計(jì)的混沌系統(tǒng)進(jìn)行長(zhǎng)期預(yù)測(cè)進(jìn)而實(shí)現(xiàn)同步, 并成功破解了基于Mackey-Glass 和Lorenz 混沌系統(tǒng)的加密算法. 而在實(shí)際應(yīng)用中, Chen 等人[53]則提出了一種針對(duì)UAV 系統(tǒng)的已知明文攻擊方案, 利用神經(jīng)網(wǎng)絡(luò)分析位置數(shù)據(jù)的潛在解密模式并成功破譯, 初步證實(shí)神經(jīng)網(wǎng)絡(luò)可用于真實(shí)通信中的安全性攻擊. 此外, 部分學(xué)者提出結(jié)合密碼分析特點(diǎn), 攻擊并優(yōu)化設(shè)計(jì)神經(jīng)網(wǎng)絡(luò). 如Carlinic 等人[54]將AI 安全中的模型萃取轉(zhuǎn)換為密碼分析問題, 針對(duì)神經(jīng)網(wǎng)絡(luò)的ReLU 激活函數(shù), 提出一種基于差分攻擊的萃取攻擊技術(shù)(通過查詢輸出, 推測(cè)模型的結(jié)構(gòu)或參數(shù), 進(jìn)而復(fù)制等效功能的模型), 在具有105個(gè)參數(shù)的神經(jīng)網(wǎng)絡(luò)上, 僅通過221.5次查詢,即可實(shí)現(xiàn)worst-case 輸入誤差低至2?25的高效攻擊.

根據(jù)密碼設(shè)計(jì)原則, 密文不能泄漏或傳播任何有效信息. 而區(qū)分攻擊(Distinguishing Attack) 則專注于分析提取密文間的內(nèi)在聯(lián)系和細(xì)微區(qū)別, 進(jìn)而識(shí)別其密碼體制. Bhateja 等人[55]利用BP 神經(jīng)網(wǎng)絡(luò), 結(jié)合聯(lián)合互信息提取特征, 在RC4 密鑰流中以高識(shí)別率區(qū)分出隨機(jī)序列. De Souza 等人[56]提出了一種唯密文的區(qū)分攻擊算法, 利用神經(jīng)網(wǎng)絡(luò)的聚類和分類特性, 研究密文的內(nèi)在聯(lián)系, 進(jìn)而識(shí)別密碼算法. 該方案在MARS, RC6, Rijndael, Serpent 和Two Fish 這五種優(yōu)秀的基于128 位AES 的算法中高效實(shí)現(xiàn)區(qū)分攻擊, 可有效分析長(zhǎng)度為8192 字節(jié)的密文序列, 適用于小批量加密數(shù)據(jù)的識(shí)別. 然而在現(xiàn)代密碼體制中,優(yōu)秀的密碼算法對(duì)隨機(jī)性有著較高的要求, 密文之間的差異度小且關(guān)聯(lián)性弱, 這導(dǎo)致通用的神經(jīng)網(wǎng)絡(luò)方法的識(shí)別效率偏低. 因此針對(duì)密碼體制的自身特性設(shè)計(jì)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)以提高密文特征提取效率, 可能是潛在方向之一.

整體而言, 基于神經(jīng)網(wǎng)絡(luò)的密碼分析技術(shù)在多個(gè)方向初現(xiàn)成效. 然而盡管在區(qū)分攻擊等領(lǐng)域表現(xiàn)出比統(tǒng)計(jì)分析等傳統(tǒng)技術(shù)更好的效果, 神經(jīng)網(wǎng)絡(luò)方案所解決的大部分仍是成熟技術(shù)可以解決甚至可以更好解決的問題(如古典密碼, DES), 而對(duì)于AES 高度非線性變換、哈希單向映射等未解決難題依然束手無策. 但這并不意味交叉研究沒有價(jià)值, 正如第1 節(jié)中神經(jīng)密碼學(xué)所描述的, 兩者之間有著天然的理論聯(lián)系, 大量的研究成果也初步證明了可行性. 如何設(shè)計(jì)可以準(zhǔn)確提取復(fù)雜密文特征的詞向量或神經(jīng)網(wǎng)絡(luò)模型, 以及如何在實(shí)踐中將神經(jīng)網(wǎng)絡(luò)的非線性特性與密碼學(xué)的擴(kuò)散混淆原則緊密聯(lián)系將成為關(guān)鍵突破點(diǎn). 而整體模式的相似性(黑盒、序列到序列), 使得這一交叉研究對(duì)機(jī)器翻譯等領(lǐng)域同樣有著廣泛的參考價(jià)值.

3.3.2 側(cè)信道攻擊

傳統(tǒng)意義的密碼分析, 往往是探索密碼算法的數(shù)學(xué)弱點(diǎn)或結(jié)構(gòu)缺陷, 且近年研究突破非常有限. 而密碼算法在工程實(shí)現(xiàn)時(shí), 往往會(huì)不可避免地泄漏部分與密鑰相關(guān)的物理信息, 這也為密碼分析提供了一種新的思路——側(cè)信道攻擊(Side Channel Attack), 即通過對(duì)功耗、電磁、時(shí)間、聲音、光線、熱成像等泄漏信息進(jìn)行分析, 進(jìn)而獲取密鑰或恢復(fù)明文. 主要方法包括簡(jiǎn)單能量分析(SPA), 差分能量分析(DPA)、相關(guān)能量分析(CPA) 與模板攻擊(Template Attack). 然而作為一種學(xué)習(xí)性的側(cè)信道攻擊方法, 它主要包括建立模板和能跡匹配兩部分. 傳統(tǒng)的模版攻擊不僅在攻擊階段通常需要多條能跡, 而在高維空間中使用多元高斯模型容易產(chǎn)生數(shù)值計(jì)算問題. 而它本質(zhì)上其實(shí)就是一件分類任務(wù): 首先根據(jù)從能跡集中提取特征并建立用于識(shí)別信息的模板(訓(xùn)練階段), 隨后將獲取的能跡與模版進(jìn)行匹配, 提取并識(shí)別有用信息進(jìn)而恢復(fù)密鑰(攻擊階段). 作為分類技術(shù)的集大成者, 神經(jīng)網(wǎng)絡(luò)自然成為了模板攻擊等側(cè)信道攻擊領(lǐng)域的研究熱點(diǎn).

近年來, 基于神經(jīng)網(wǎng)絡(luò)的側(cè)信道攻擊得到廣泛驗(yàn)證, 具有了豐富的研究成果. Yu 等人[57,58]利用深度神經(jīng)網(wǎng)絡(luò)對(duì)功率噪聲與電磁噪聲之間的關(guān)系進(jìn)行建模, 并結(jié)合電源攻擊恢復(fù)密鑰. 該方案成功利用較少的泄漏數(shù)據(jù)樣本實(shí)現(xiàn)了對(duì)AES 加密電路的高效攻擊, 即在經(jīng)過有限訓(xùn)練后(500 個(gè)無保護(hù)模型和10 000 個(gè)受保護(hù)模型), 即可成功實(shí)現(xiàn)AES 密碼電路的密鑰恢復(fù). 而Ometov 等人[59]將使用低成本的聲卡設(shè)備,并結(jié)合神經(jīng)網(wǎng)進(jìn)行信息提取, 恢復(fù)存儲(chǔ)在移動(dòng)設(shè)備中的個(gè)人數(shù)據(jù)和敏感信息, 這對(duì)真實(shí)世界中的數(shù)據(jù)安全問題帶來更廣泛的挑戰(zhàn). 但該方案同樣存在處理高隨機(jī)、多特征數(shù)據(jù)的效果低下等缺陷. 于賽[60]則提出了基于深度卷積神經(jīng)網(wǎng)絡(luò)的類模板攻擊方案. 與其他基于SVM 等機(jī)器學(xué)習(xí)方法的模版攻擊方式相比, 該方案在準(zhǔn)確率沒有明顯差異的情況下、體現(xiàn)出更快的收斂速度和更低的時(shí)間空間復(fù)雜度, 并對(duì)處理高維度數(shù)據(jù)集有著巨大優(yōu)勢(shì). Kong 等人[61]更是從時(shí)間、準(zhǔn)確率、計(jì)算復(fù)雜度等角度分析了四種神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)(FFBP、PNN、CFBP、LVQ) 的性能, 最終結(jié)合主成分分析的預(yù)處理技術(shù), 提出了一種基于FFBP(前饋反向傳播神經(jīng)網(wǎng)絡(luò)) 的最優(yōu)側(cè)信道攻擊方案, 并在橢圓曲線密碼(ECC) 的FPGA 工程上取得了88% 的高分類準(zhǔn)確率.

對(duì)應(yīng)于攻擊, 部分學(xué)者提出了基于神經(jīng)網(wǎng)絡(luò)的防御策略, 如Shan 等人[62]針對(duì)功率補(bǔ)償, 利用神經(jīng)網(wǎng)絡(luò)尋找最優(yōu)的漢明距離重分配方案, 不僅可抵抗部分側(cè)信道攻擊, 還支持低功率和零頻率開銷, 更利于硬件實(shí)現(xiàn). 然而目前針對(duì)常規(guī)側(cè)信道攻擊的通用防御策略主要基于掩碼思想, 即在不改變算法結(jié)構(gòu)的前提下, 將隨機(jī)數(shù)與中間數(shù)據(jù)做異或等不同操作, 以掩蓋運(yùn)算過程中的敏感信息, 具有低開銷低損失、可抵御一階攻擊等優(yōu)點(diǎn), 但在面對(duì)高階攻擊時(shí)無法保證良好的魯棒性. Gilmore 等人[6]首次提出了基于神經(jīng)網(wǎng)絡(luò)的高階能量分析, 使用神經(jīng)網(wǎng)絡(luò)識(shí)別掩碼并以高準(zhǔn)確率通過少量能跡信息便可恢復(fù)密鑰, 該算法可成功攻破基于AES 的智能卡系統(tǒng)并制作偽造卡. 但其前提要求較為苛刻, 如需要擁有能量泄漏位置等先驗(yàn)知識(shí).對(duì)于AES-128 加密算法, Martinasek 等人[63]首先通過模板分析掩碼偏移量offset, 然后用BP 神經(jīng)網(wǎng)絡(luò)對(duì)S 盒輸出進(jìn)行多分類. 同時(shí)結(jié)合已知明文信息, 僅根據(jù)13 條能跡信息即恢復(fù)了完整密鑰.

整體而言, 基于算法優(yōu)化的密碼系統(tǒng)的安全性仍然容易受到側(cè)信道攻擊的威脅, 而其本質(zhì)上又與模式識(shí)別問題高度相似. 因此, 結(jié)合主成分分析和以神經(jīng)網(wǎng)絡(luò)為代表的機(jī)器學(xué)習(xí)方法的防御策略, 對(duì)該領(lǐng)域發(fā)展有著重要的應(yīng)用價(jià)值.

4 神經(jīng)網(wǎng)絡(luò)和密碼技術(shù)的交叉應(yīng)用

本節(jié)以安全通信、圖像加密、密文處理、身份認(rèn)證這四個(gè)具有廣泛應(yīng)用意義的交叉領(lǐng)域?yàn)槔? 通過對(duì)代表工作和最新成果的分析, 闡述了交叉應(yīng)用的特點(diǎn)、價(jià)值與前景.

4.1 安全通信

從本質(zhì)上講, AES、DH 協(xié)議等幾乎所有的密碼技術(shù)都可應(yīng)用于安全通信, 但均針對(duì)數(shù)據(jù)加密、密鑰協(xié)商等局部場(chǎng)景. 而安全通信模型主要從全局角度, 探索合法通信方Alice、Bob 和惡意監(jiān)聽方Eve 以及明文P、密鑰K 和密文C 等元素之間的關(guān)系. 對(duì)此Abadi 等人[8]借鑒對(duì)抗思想, 設(shè)計(jì)了一種全新的安全通信模型(Adversarial Neural Cryptography), 其中Alice、Bob 和Eve 均是神經(jīng)網(wǎng)絡(luò)主體, 使用了卷積層和全連接層以及激活函數(shù)實(shí)現(xiàn)了大量異或操作, 并在2000 輪的對(duì)抗訓(xùn)練后實(shí)現(xiàn)了16 位的安全通信(Alice 和Bob 可穩(wěn)定加解密, Eve 無法正確恢復(fù)密鑰或密文). ANC 模型最大的優(yōu)點(diǎn)在于無需提前約定某一種密碼算法, 讓神經(jīng)網(wǎng)絡(luò)自己學(xué)習(xí)加解密方法. 而由于原始ANC 模型僅考慮了唯密文攻擊, 且伴隨著側(cè)信道等新型攻擊技術(shù)的快速發(fā)展, 其真實(shí)安全性受到了質(zhì)疑. Li 等人[64]在經(jīng)典工作的基礎(chǔ)上, 通過激活函數(shù)優(yōu)化、結(jié)構(gòu)復(fù)雜化、激活函數(shù)和數(shù)據(jù)規(guī)格化等方法, 使原模型在密鑰泄露高達(dá)8 位的情況下仍可限制Eve 的解密能力, 并有效保障Alice 和Bob 之間穩(wěn)定的安全通信. 而Coutinho 等人[65]設(shè)計(jì)了選擇明文攻擊下的安全通信模型CPA-ANC, 不僅在一定程度上克服了原模型的安全局限性, 還首次實(shí)現(xiàn)了基于神經(jīng)網(wǎng)絡(luò)的無條件安全的一次一密通信模型.

基于對(duì)抗思想的神經(jīng)網(wǎng)絡(luò)模型不僅能實(shí)現(xiàn)基礎(chǔ)的安全通信功能, 還可具備一定的抗泄漏能力, 甚至是一次一密的可行性, 這為安全通信的發(fā)展開辟了新的思路. 但同時(shí)它也暴露出規(guī)模小、密鑰短等缺陷. 而相比基于AES、RSA 等成熟技術(shù)的保密通信系統(tǒng), 神經(jīng)網(wǎng)絡(luò)模型所提供的弱安全性無法滿足真實(shí)應(yīng)用的需求. 將上述理論技術(shù)與仿真結(jié)果轉(zhuǎn)換為真實(shí)應(yīng)用仍有很長(zhǎng)的路要走. 而結(jié)合某些特定環(huán)境的特殊需求來設(shè)計(jì)針對(duì)性的神經(jīng)網(wǎng)絡(luò)安全通信模型, 可能是潛在方向之一.

4.2 圖像加密

作為圖像處理和密碼學(xué)的交叉研究, 圖像加密在醫(yī)療、安防、軍事等領(lǐng)域有著重要意義. 然而, 與其他數(shù)據(jù)不同, 圖像存在數(shù)據(jù)容量大、像素相關(guān)強(qiáng)、信息冗余高等特點(diǎn), 因此AES、RSA 等傳統(tǒng)密碼算法無法直接應(yīng)用于圖像加密. 目前的加密方法主要采用三種基礎(chǔ)思想: 基于像素置亂、基于秘密分割/共享和基于現(xiàn)代密碼學(xué)體制. 但以上的基礎(chǔ)方案仍然存在一定局限, 特別是無法滿足日益增長(zhǎng)的安全性需求. 對(duì)此, 如何結(jié)合混沌理論[66]和神經(jīng)網(wǎng)絡(luò)[67,68]等新興技術(shù)實(shí)現(xiàn)安全高效的圖像加密, 正成為該領(lǐng)域的研究熱點(diǎn).代表工作包括Kassem 等人[69]利用神經(jīng)網(wǎng)絡(luò)設(shè)計(jì)混沌發(fā)生器, 以生成高質(zhì)量的隨機(jī)序列, 并成功將其用于像素位置和像素值的置換. 此外, 混沌神經(jīng)網(wǎng)絡(luò)也被廣泛應(yīng)用于圖像加密算法的優(yōu)化, 如Peng 等人[70]在其獲得廣泛認(rèn)可的工作中提出的利用神經(jīng)網(wǎng)絡(luò)的混沌特性加密圖像的新模型以及Tomas 等人[71]設(shè)計(jì)的基于Lorenz 混沌神經(jīng)網(wǎng)絡(luò)的圖像加密算法——ChaosNet. 同時(shí)神經(jīng)網(wǎng)絡(luò)的其他優(yōu)勢(shì)也在圖像加密中得以發(fā)揮, 如Lakshmi 等人[72]在不使用其他混沌圖的情況下, 提出了一種基于Hopfield 吸引子的加密方案, 其結(jié)果具有良好的統(tǒng)計(jì)特性和安全性, 特別是可抵御廣泛采用的混沌圖攻擊. Ramamurthy 等人[73]創(chuàng)新性將圖像直接嵌入到回聲狀態(tài)網(wǎng)絡(luò)的可訓(xùn)練參數(shù)中(加密), 并在第二個(gè)網(wǎng)絡(luò)進(jìn)行恢復(fù)(解密), 可有效提高安全性. 此外, 大量研究探索了神經(jīng)網(wǎng)絡(luò)同步等特性在灰度/彩色圖像加密上的可行性和優(yōu)越性, 如慣性神經(jīng)網(wǎng)絡(luò)的同步特性[74]、耦合切換神經(jīng)網(wǎng)絡(luò)的滯后同步[75]、反應(yīng)擴(kuò)散神經(jīng)網(wǎng)絡(luò)的脈沖同步[76,77]等,并在密鑰空間、密鑰敏感、信息熵、相關(guān)系數(shù)等指標(biāo)上表現(xiàn)良好.

除此之外, 目前基于神經(jīng)網(wǎng)絡(luò)的圖像加密算法主要是結(jié)合混沌理論和像素置換-擴(kuò)散機(jī)制, 發(fā)揮神經(jīng)網(wǎng)絡(luò)的同步、混沌等特性,在密鑰空間、密鑰敏感、信息熵、直方圖、相關(guān)系數(shù)等指標(biāo)上均有良好表現(xiàn),有效改善傳統(tǒng)置換技術(shù)的處理量小、統(tǒng)計(jì)特性差, 抗攻擊能力低等缺陷. 同時(shí)也有部分學(xué)者參考了量子技術(shù)[78]、DNA 編碼[79]等新技術(shù). 但無論是哪種方案都有一個(gè)普遍存在的問題, 即雖然有效提高了安全性, 但復(fù)雜度也隨之大幅增加. 如何均衡兩項(xiàng)指標(biāo)將是這些新型圖像加密算法能否落地于實(shí)際應(yīng)用的關(guān)鍵, 在這點(diǎn)上可適當(dāng)參考Elhoseny 等人[80]提出的GO-PSO 混合優(yōu)化算法. 此外, 作為一種新型密碼技術(shù), 視覺密碼無需復(fù)雜計(jì)算的特點(diǎn)使其在圖像加密具有廣闊的應(yīng)用前景, 并常與神經(jīng)網(wǎng)絡(luò)、圖像隱寫等結(jié)合以共同提升加密質(zhì)量.

4.3 密文處理(隱私保護(hù))

加解密技術(shù)可以在一定程度上保障敏感信息的機(jī)密性, 但同時(shí)也降低了信息的可用性. 然而在多方協(xié)作、遠(yuǎn)程服務(wù)器、云計(jì)算等真實(shí)應(yīng)用環(huán)境中, 通常要求在不泄露機(jī)密信息的前提下, 對(duì)密文進(jìn)行分類[81]、檢索[82]、訓(xùn)練[83,84]、協(xié)同計(jì)算[85]等處理操作. 而以深度學(xué)習(xí)為代表的神經(jīng)網(wǎng)絡(luò)模型通常需要依靠強(qiáng)大的云計(jì)算資源來提升學(xué)習(xí)和預(yù)測(cè)的效率, 由此帶來的隱私問題(Privacy-Preserving Deep Learning) 也是神經(jīng)網(wǎng)絡(luò)應(yīng)用需要解決的關(guān)鍵問題之一.

對(duì)于傳統(tǒng)的加密數(shù)據(jù)處理, 絕大多數(shù)方案主要以同態(tài)加密(Homomorphic Encryption) 為底層機(jī)制,但這些策略并不能直接套用于神經(jīng)網(wǎng)絡(luò)的隱私保護(hù)問題. 目前的解決方案主要包括兩種思路: 結(jié)合安全多方計(jì)算(Secure Multi-Party Computation) 與尋找近似算法. 前者支持正確計(jì)算和獨(dú)立輸入, 但需要消耗大量的時(shí)間和資源, 代表工作包括Barni 等人[86]結(jié)合Paillier 加法同態(tài)密碼和混淆電路結(jié)構(gòu)而設(shè)計(jì)的隱私保護(hù)神經(jīng)網(wǎng)絡(luò)模型, 可對(duì)加密后的醫(yī)療圖像等機(jī)密數(shù)據(jù)進(jìn)行高效分類. 而后者無需復(fù)雜計(jì)算, 卻只能在小型神經(jīng)網(wǎng)絡(luò)上提供較高的準(zhǔn)確率, 其代表工作包括Bachrach 等人[87]提出的基于全同態(tài)加密FHE 的CryptoNets 模型, 將深度為1 的平方函數(shù)作為ReLU 激活函數(shù)的近似多項(xiàng)式, 在MINIST 上的識(shí)別準(zhǔn)確率可達(dá)99%. 而Mishra 等人[88]則將多方計(jì)算與近似算法相結(jié)合, 在GAZELLE 系統(tǒng)[89]的基礎(chǔ)上提出了更高效的用于卷積神經(jīng)網(wǎng)絡(luò)隱私保護(hù)的DELPHI, 該系統(tǒng)主要包括兩個(gè)部分——混合密碼協(xié)議和規(guī)劃器, 前者在預(yù)處理期間使用線性同態(tài)加密LHE 創(chuàng)建線性層模型權(quán)重的秘密共享, 并在非線性層用多項(xiàng)式近似替換激活函數(shù)ReLU, 進(jìn)而大幅降低通信和計(jì)算成本, 后者則自動(dòng)生成神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)配置以權(quán)衡性能與準(zhǔn)確度.

由此可見, 該交叉領(lǐng)域的未來熱點(diǎn)應(yīng)包括深入研究神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)與原理, 探索可適用于同態(tài)加密的近似算法, 以及推動(dòng)同態(tài)密碼和安全多方計(jì)算等密碼技術(shù)的自身發(fā)展, 解決密文膨脹、隨機(jī)噪聲、高復(fù)雜度等關(guān)鍵問題進(jìn)而更好適應(yīng)神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)并減少對(duì)其性能的影響.

4.4 身份認(rèn)證

作為密碼學(xué)的主要功能之一, 身份認(rèn)證是鑒別真人用戶、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)主機(jī)等主體的真?zhèn)蔚倪^程,其中真人用戶與后兩者之間的認(rèn)證主要有三種形式, 包括口令、RFID 智能卡等硬件以及生物特征密碼.而神經(jīng)網(wǎng)絡(luò)在該領(lǐng)域的應(yīng)用可分為兩種: 一是利用神經(jīng)網(wǎng)絡(luò)攻擊現(xiàn)有的身份認(rèn)證方案, 如Hitaj 等人[90]提出的基于生成對(duì)抗網(wǎng)絡(luò)的PassGAN, 與HashCat、Ripper 等基于規(guī)則的口令生成方法相比, 可生成更逼近泄漏數(shù)據(jù)集的密碼. Xia 等人[91]首次將LSTM 神經(jīng)網(wǎng)絡(luò)與PCFG (Probabilistic Context Free Grammar) 結(jié)合, 提出了高效且通用的密碼生成模型GENPass. 而Liu 等人[92]通過獲取可穿戴設(shè)備的側(cè)信道信息, 并結(jié)合神經(jīng)網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)方法成功推斷出用于身份認(rèn)證的銀行PIN 碼、POS 機(jī)密碼等鍵盤輸入. 二是通過神經(jīng)網(wǎng)絡(luò)對(duì)現(xiàn)有方案提出優(yōu)化設(shè)計(jì), 如基于神經(jīng)網(wǎng)絡(luò)的隨機(jī)數(shù)生成方法可用于口令加鹽,而Wang 等人[93]設(shè)計(jì)了基于Hopfield 神經(jīng)網(wǎng)絡(luò)的身份認(rèn)證方案, 不僅無需驗(yàn)證表, 還支持更高的準(zhǔn)確率和更低的處理時(shí)間, 此外, 神經(jīng)網(wǎng)絡(luò)強(qiáng)大的分類識(shí)別功能也被廣泛用于人臉[94,95]、指紋[96,97]、擊鍵行為[98,99]等生物特征密碼中模板匹配的優(yōu)化和保護(hù)[100,101].

由以上的研究?jī)?nèi)容可知, 目前基于神經(jīng)網(wǎng)絡(luò)的研究主要集中于口令密碼、生物特征密碼等真人用戶與計(jì)算機(jī)系統(tǒng)之間的身份認(rèn)證, 而缺乏對(duì)如ISO/IEC9798-3、Needham-Schroeder、Kerberos 等網(wǎng)絡(luò)環(huán)境下基于公鑰密碼體制的身份認(rèn)證協(xié)議的探索. 考慮到神經(jīng)密碼學(xué)在密鑰協(xié)商領(lǐng)域的突出優(yōu)勢(shì), 這也可能是神經(jīng)網(wǎng)絡(luò)與密碼學(xué)交叉研究的可行思路之一, 如Narad 等人[102]結(jié)合BP 神經(jīng)網(wǎng)絡(luò)提出了基于Shamir秘密共享的(n,n) 組認(rèn)證方案.

5 總結(jié)

本文探索了神經(jīng)網(wǎng)絡(luò)和密碼學(xué)之間的內(nèi)在聯(lián)系, 從密碼學(xué)原語與技術(shù)應(yīng)用角度綜述并歸納該交叉領(lǐng)域的經(jīng)典工作和最新進(jìn)展, 進(jìn)而深入分析其相互作用, 具體總結(jié)如下:

(1) 對(duì)于密碼編碼, 神經(jīng)網(wǎng)絡(luò)對(duì)密碼學(xué)的影響主要體現(xiàn)在三方面: 一是對(duì)傳統(tǒng)密碼學(xué)的補(bǔ)充, 即在AES/RSA/SHA 等經(jīng)典密碼算法與以隨機(jī)數(shù)為代表的密碼生成方法的基礎(chǔ)上加以優(yōu)化, 實(shí)現(xiàn)加解密速度、安全性等性能的提升; 二是對(duì)傳統(tǒng)密碼學(xué)的顛覆, 部分工作結(jié)合神經(jīng)網(wǎng)絡(luò)特性, 從新的角度考慮密碼學(xué)問題. 最具有代表性的是基于神經(jīng)網(wǎng)絡(luò)的密鑰協(xié)商模型, 安全性理論基礎(chǔ)和豐富實(shí)驗(yàn)探索使其在密碼協(xié)商領(lǐng)域開拓出了新的方向; 三是作為一種高效且普適的科學(xué)工具, 神經(jīng)網(wǎng)絡(luò)不僅適用于基于數(shù)學(xué)問題的密碼技術(shù), 還對(duì)量子、混沌、生物、視覺等基于非數(shù)學(xué)問題的新型密碼技術(shù)有著重要參考意義和應(yīng)用價(jià)值.

(2) 對(duì)于密碼分析, 相比窮舉、統(tǒng)計(jì)等傳統(tǒng)方法, 神經(jīng)網(wǎng)絡(luò)則為其注入了全新的血液. 基于神經(jīng)網(wǎng)絡(luò)的密碼分析技術(shù)不僅可以有效攻擊DES 等傳統(tǒng)密碼算法, 還能結(jié)合區(qū)分攻擊、側(cè)信道攻擊、高階攻擊等技術(shù), 突破掩碼等常規(guī)防御策略, 對(duì)密碼系統(tǒng)進(jìn)行有效攻擊, 這為密碼系統(tǒng)的安全性和魯棒性帶來了極大挑戰(zhàn).

(3) 神經(jīng)網(wǎng)絡(luò)和密碼學(xué)的交叉研究在通信、認(rèn)證等經(jīng)典的密碼應(yīng)用領(lǐng)域有著廣泛參考價(jià)值, 特別是在圖像加密和生物特征識(shí)別方向已有相對(duì)較成熟的技術(shù)方案并展現(xiàn)出比傳統(tǒng)技術(shù)更好的應(yīng)用效果.

(4) 作為安全的基石, 密碼學(xué)對(duì)神經(jīng)網(wǎng)絡(luò)的安全性問題發(fā)揮著關(guān)鍵作用. 如同態(tài)密碼、差分隱私、安全多方計(jì)算等密碼學(xué)技術(shù)為神經(jīng)網(wǎng)絡(luò)的數(shù)據(jù)隱私保護(hù)問題提供了理論支撐和路線指導(dǎo), 相關(guān)方案被廣泛研究并已在實(shí)際應(yīng)用收獲初步成功.

6 展望

目前, “神經(jīng)網(wǎng)絡(luò)與密碼學(xué)的交叉研究” 這項(xiàng)富有機(jī)遇和挑戰(zhàn)的工作在理論和實(shí)踐上都已有一定積累,特別是結(jié)合混沌理論所發(fā)展的隨機(jī)數(shù)生成和密鑰協(xié)商技術(shù). 但其大多都具有局限性, 且缺乏被大規(guī)模成功應(yīng)用的成果, 同時(shí)神經(jīng)密碼學(xué)的潛力也并未得到完全發(fā)揮. 希望本文能有助于推動(dòng)更多學(xué)者結(jié)合神經(jīng)網(wǎng)絡(luò)等人工智能技術(shù)的優(yōu)勢(shì), 為密碼研究翻開新的篇章, 共同促進(jìn)密碼學(xué)的長(zhǎng)足發(fā)展. 現(xiàn)結(jié)合前文, 提出三個(gè)潛在研究方向:

(1) 雖然近年來以深度學(xué)習(xí)為代表的神經(jīng)網(wǎng)絡(luò)為各領(lǐng)域帶來了顛覆性變化, 但技術(shù)自身的內(nèi)部運(yùn)作機(jī)制和復(fù)雜動(dòng)態(tài)過程并不能被人們理解, 仍然存在可解釋性差等瓶頸問題. 神經(jīng)網(wǎng)絡(luò)自身發(fā)展將有利于其在密碼學(xué)等領(lǐng)域的進(jìn)一步研究.

(2) 目前神經(jīng)網(wǎng)絡(luò)正處于行業(yè)風(fēng)口, 部分研究人員過于追求神經(jīng)網(wǎng)絡(luò)的作用而在未考慮真實(shí)需求的情況下進(jìn)行交叉研究, 其結(jié)果只能適得其反. 因此深入探索密碼學(xué)和神經(jīng)網(wǎng)絡(luò)的關(guān)聯(lián)性以最大化其技術(shù)優(yōu)勢(shì), 同時(shí)尋找更多的類似密鑰協(xié)商、模板匹配、密碼體制識(shí)別等適合神經(jīng)網(wǎng)絡(luò)的密碼學(xué)問題至關(guān)重要.

(3) 相對(duì)于神經(jīng)網(wǎng)絡(luò)在密碼學(xué)上的豐富成果, 如何利用密碼學(xué)優(yōu)化設(shè)計(jì)神經(jīng)網(wǎng)絡(luò)仍是小眾方向. 目前的研究主要集中于結(jié)合密碼學(xué)技術(shù)解決訓(xùn)練過程的隱私保護(hù)問題, 但神經(jīng)網(wǎng)絡(luò)的安全性問題遠(yuǎn)不止于此, 可利用密碼學(xué)知識(shí)對(duì)輸入恢復(fù)(Input Recovery)[103]、對(duì)抗攻擊(Adversarial Attacks)[104]等安全問題加以適當(dāng)拓展. 此外, 同態(tài)密碼、安全多方計(jì)算等密碼學(xué)技術(shù)目前并未成熟, 仍需不斷完善, 從而進(jìn)一步推動(dòng)密碼學(xué)與神經(jīng)網(wǎng)絡(luò)等其他領(lǐng)域的交叉研究.