神經網絡與密碼學的交叉研究*

葛釗成, 胡漢平

1. 華中科技大學 人工智能與自動化學院, 武漢430074

2. 深圳華中科技大學研究院, 深圳518057

3. 圖像信息處理與智能控制教育部重點實驗室, 武漢430074

1 引言

隨著新技術的快速發展以及人類社會的全面信息化, 加速構建強信任、強可控、強防護的安全大環境已成為必然要求. 然而作為網絡空間安全的基石與核心, 由密碼編碼和密碼分析構成的密碼學不僅對上下游安全機制有著橋梁紐帶作用, 也是安全防護的最后一道戰線. 因此, 密碼學始終是學術界和工業界的研究熱點. 與此同時, 近數十年來, 以神經網絡為代表的機器學習方法在模式識別、機器視覺等諸多領域大放異彩, 特別是隨著計算能力的大幅提升以及2006 年深度學習的提出, 人工神經網絡正逐漸發展為一種高效且具有普適意義的科學工具. 因此人們不由產生一個疑問: 神經網絡和密碼學是否可能存在交集？本文即在該問題上展開深入探索.

事實上, 同樣是信息科學的重要分支, 神經網絡和密碼學內部存在著天然的緊密聯系. 作為一種高度非線性系統, 神經網絡內部存在混沌等復雜現象[1]. 同時結合Shannon 于1949 年發表的著作《保密系統的通信理論》[2]可知, 隨機、不可預測、初值敏感等非線性特征與密碼學的混淆、擴散等基本原則高度契合, 這也為該交叉領域的發展提供了有力的理論支撐. 此外, 神經網絡所具備的自適應性、高容錯性、聯想記憶等特征也符合密碼學中對密鑰管理、抗攻擊能力等內容的需求, 而其大規模高速并行的處理能力同樣有利于密碼技術的實現. 由此可見, 神經網絡和密碼學應當存在交叉研究的可行性與必要性.

神經網絡和密碼學的交叉研究必然是相互的. 部分學者專注于如何用密碼學更好地保護神經網絡的安全性, 如訓練數據的隱私問題. 而更多的則關心如何利用神經網絡更好地實現密碼學目的, 如算法設計、密鑰管理、密碼分析等, 而這也正是本文重點研究的對象. 代表工作包括: Li 等人[3]設計的一種基于兩層混沌神經網絡的單向新型哈希函數, 其在統計特性、密鑰敏感性、抗攻擊能力等指標上均有突出表現, 因此在相關研究中被廣泛討論. 而Kanter 等人[4,5]開創了將神經相互學習的同步性質用于密鑰協商的先河, 為后續研究提供重要的理論支撐和實踐基礎. Gilmore 等人[6]則將神經網絡用于側信道的能量分析,不僅可識別掩碼值還能高效恢復密鑰信息, 進而實現對AES 密碼硬件的有效攻擊. Wang 等人[7]基于Lorenz 混沌系統和感知器模型提出了一種圖像加密算法, 展示出良好的密鑰敏感性, 并對統計、裁剪、噪聲等現有攻擊方法具有較高魯棒性. Google Brain 團隊[8]首次提出一種基于對抗神經網絡的安全通信模型, 無需人工設定加密算法即可對信息實現自我加密. 雖然該成果只能提供弱安全保證, 但仍為加密算法的未來發展提供新的可行思路.

過去也有針對該交叉領域的綜述工作[9–11], 但數量相對較少, 且或是局限于某一特定方向, 如混沌神經網絡和密鑰管理; 或是局限于某一具體應用, 如身份認證、數據隱私等. 而本文則更全面地綜述并分析了研究現狀, 主要貢獻包括以下五個部分:

(1) 第2 節概述神經網絡和密碼學的發展現狀, 并結合Shannon 的《保密系統的通信理論》和兩種定義下的神經密碼學, 探索了密碼學和神經網絡之間的內在聯系, 為交叉研究提供理論基礎.

(2) 第3 節從密碼設計、密鑰管理、密碼分析這三大密碼學原語的角度, 通過對代表工作和最新成果的分析, 展現了以Hopfield 網絡、BP 網絡、混沌神經網絡和CNN、RNN、GAN 等深度學習為代表的神經網絡方法對加密算法、隨機數、密鑰協商、側信道等密碼技術帶來的機遇與挑戰.

(3) 第4 節從應用的角度, 總結了神經網絡和密碼技術在安全通信、圖像加密、密文處理、身份認證等代表領域的交叉研究成果, 并分析了對應的優勢特點、關鍵問題和潛在方向.

(4) 第5 節深入探索兩者的相互作用, 并從四個角度對前文內容與觀點加以二次凝練.

(5) 第6 節基于神經網絡和密碼學的研究現狀, 結合個人理解, 對未來發展方向提出三點展望.

2 神經網絡和密碼學發展及研究現狀

本節首先結合Hopfield、玻爾茲曼機、BP、CNN、RNN、GAN 等神經網絡關鍵模型, 梳理神經網絡的發展歷史, 并重點描述了在密碼學中有廣泛應用價值的混沌神經網絡. 同時概述了古典密碼和基于對稱、公鑰、哈希的現代密碼學以及量子、混沌、生物等新型密碼技術. 隨后對神經網絡與密碼學之間的潛在聯系進行探討, 并分別介紹了廣義和狹義的神經密碼學研究現狀.

2.1 神經網絡

1943 年, 美國心理學家McCulloch 和數學家Pitts 開創性地提出了M-P 模型——基于生物神經系統而建立的神經元數學模型, 從此人工神經網絡開始展現在世人眼前. 1957 年, 美國Rosenblatt 提出了理論上具備模擬人類感知能力的感知機模型, 即單層神經網絡, 并隨后成功將其運用于簡單的模式識別任務.然而好景不長, 1969 年, 首位榮獲圖靈獎的人工智能學者Minsky 指出這種單層模型性能較低, 只能做簡單的線性分類任務, 甚至連異或問題都無法解決, 這一觀點在當時得到廣泛認可. 因此, 神經網絡的研究很快陷入了低谷. 直至1982 年和1984 年, 美國物理學家Hopfield 分別實現了離散型Hopfield 神經網絡和連續型Hopfield 神經網絡, 他首次將神經網絡與統計物理學相聯系, 使其具備了聯想記憶和優化計算的能力, 并成功求解了旅行商問題, 這讓神經網絡再次獲得了學術界的重視. 1983 年, 深度學習三駕馬車之一的Hinton 等人結合統計物理學提出了“隱單元” 的概念, 并隨之建立了著名的隨機神經網絡模型——玻爾茲曼機BM, 利用模擬退火算法較好的解決了Hopfield 網絡的局部極小問題. 而于1986 年被美國心理學家Rumelhart 等人深度優化的誤差反向傳播算法(Back Propagation, 最早由Werbos 于1974 年發明), 更是解決了參數訓練這一制約多層神經網絡發展的瓶頸問題. 然而在20 世紀90 年代中期, 隨著結構更簡單、訓練更快速, 效果更顯著的支持向量機SVM 在模式識別領域獲得巨大成功, 神經網絡的發展陷入了第二次低谷. 直至2006 年, Hinton 等人提出了深度置信網絡DBN, 采用“預訓練+ 微調” 的思路,解決了局部最優、梯度消失等深層神經網絡的訓練問題. 自此, 以深層神經網絡為核心的深度學習在學術界和工業界再次掀起了歷史性的浪潮. 其中, 以卷積層為核心的卷積神經網絡CNN 在圖像領域取得重大成果; 具有時間記憶特性的循環神經網絡RNN 在自然語言處理等領域大放異彩; 而被LeCun 譽為“過去十年間, 機器學習領域最讓人激動的創意” 的生成對抗網絡GAN 在短短數年間獲得全球學者的廣泛關注.

然而在各式各樣的神經網絡中, 有一種特殊網絡與密碼學有著千絲萬縷的關系. 1990 年, 日本學者Aihara 等人創造性地提出了混沌神經網絡的概念——基于生物神經元的混沌特性, 將神經網絡與混沌理論相結合, 使其具有更復雜和更豐富的非線性動力學特性. 混沌神經網絡可以被視為一個復雜的混沌映射,所以它理所當然地具備遍歷性、偽隨機性、初值敏感性等混沌映射的特殊性質. 而這些性質同樣與密碼學有著緊密關聯. 這種關聯的發現可源于1949 年Shannon 的經典著作. 它結合混沌基本特性設計了密碼學的兩大原則: 擴散和混淆. 近年來, 同時具備自適應、聯想記憶、高度并行等神經網絡特性和良好混沌特性的混沌神經網絡在密碼學領域的有著一定的研究基礎與成果. 如; Guo 等人[12]基于Hopfield 混沌神經網絡的混沌吸引子特性, 設計了一種新型對稱密碼算法; Mislovaty 等人[13]將混沌映射同步和神經網絡同步相結合, 構建了一可廣泛用于密鑰協商的混合網絡結構; Yu 等人[14]使用時滯混沌Hopfield 神經網絡生成二進制序列, 可廣泛用于文件傳輸、保密通信等領域.

2.2 密碼學

作為一門古老而又年輕的學科, 密碼學早在數千年前便被用于保密通信等軍事用途. 從古中國的陰符陰書和古希臘的Scytale, 到Caesar 和Vigenere 密碼, 再到近代的Morse 電碼和Enigma 密碼等, 這些基于代換和置換的古典密碼在各個年代都發揮出了極大作用. 而現代密碼的開端則源于1949 年信息論之父Shannon 發表的《Communication Theory of Secrecy Systems》, 它開創性地將密碼系統與信息論結合, 建立了對稱密碼體制. 經過數十年的發展, 對稱密碼算法可分為分組密碼(DES、AES、SMS4 等) 和序列密碼(RC4、A5/1、Salsa 等). 雖然對稱密碼具備效率高、速度快、開銷小、密鑰短等優點, 但也存在密鑰管理難、不支持陌生通信和數字簽名等缺陷. 而美國密碼學家Diffie 和Hellman 于1976 年在《New Directions in Cryptography》一文中建立的公鑰密碼體制, 則很好地解決了以上難題, 并對現代密碼學的發展產生深遠影響. 目前的公鑰密碼算法主要包括基于大數分解、離散對數、橢圓曲線等傳統難題的常用密碼(RSA、DSA、ECC 等) 和以格困難、多變量為代表的新型密碼. 除公鑰密碼外, 哈希算法也被廣泛應用于簽名、認證等密碼領域, 作為一種單向密碼體制, 它具有單向不可逆、壓縮映射、雪崩效應、碰撞約束等密碼學特性, 其代表算法包括SHA1, SHA2, RIPEMD 等.

以上研究的針對對象均是基于數學的密碼, 然而現代密碼學中還包括諸多非數學領域的密碼, 如量子密碼、混沌密碼、生物密碼(DNA)、視覺密碼等, 其中前三者更是被稱為三大新型密碼技術. 一、量子密碼的概念是在20 世紀70 年代由美國學者Wiesner 首次提出. 量子密碼利用量子力學原理為基礎, 采用量子態作為信息載體. 在理論上, 該密碼技術基于海森堡測不準原理和量子不可克隆定, 同時結合“一次一密” 方案, 即可實現無條件安全的保密通信. 但量子密碼的具體應用仍有待進一步研究, 目前主要研究聚焦于量子密鑰分配問題. 二、混沌密碼源于混沌理論和密碼學之間的內在聯系, 早在1949 年Shannon就指出混沌映射的隨機、遍歷、初值敏感等特性天然符合密碼學原則, 而1989 年英國數學家Matthews則首次提出了混沌密碼的概念. 近年來, 混沌密碼在密碼設計、保密通信等領域取得一定成果, 但由于數字退化等關鍵問題仍未解決, 因此模擬域的混沌密碼研究仍有待深入. 三、生物密碼實際包含兩部分: 生物特征密碼和DNA 密碼. 前者將生物特征與密鑰結合, 解決了數字身份和物理身份的統一問題, 主要運用于身份認證. 而后者將DNA 作為信息載體, 具有低能量消耗、高密度信息存儲、大規模并行計算等優勢, 但同時存在缺乏理論支撐和有效實現方式等缺陷, 目前仍處于初步研究階段. 四、視覺密碼(Visual Cryptography) 最早由Naor 和Shamir 等于1994 年提出, 將傳統的一次一密與圖像相結合, 并利用人類視覺特性直接進行解密(無需任何計算機資源或密碼學知識). 它與傳統密碼相比具有信息容量大、解密設備簡單等優點. 因此視覺密碼在圖像加密、秘密共享、信息隱藏等特定場景下具有重要的應用價值.

2.3 神經密碼學

在現代密碼學中, 主流的密碼算法均只能提供計算安全性或是可證明安全性, 而這類安全性正隨著計算能力提高以及量子技術發展而逐漸降低, 因此從新的角度考慮密碼學問題顯得日益重要.

表1 神經網絡與密碼學之間的內在聯系Table 1 Inner connection between neural networks and cryptography

從信息科學的角度來看, 現代密碼學和人工神經網絡都是研究信息處理系統, 因此兩者之間理應存在著必然的聯系[15]. 如表1 所示, 神經網絡的聯想記憶、高速并行以及隨機性、初值敏感性等非線性特征高度符合密碼學的相關訴求, 如機密性、可行性、混淆與擴散. 這些內在關聯性為具有良好特性的神經網絡與密碼學的有機結合提供了理論基礎, 而這一交叉領域也確實吸引了相關研究者的密切關注.

1990 年意大利神經學家Lauria 首次將神經網絡與密碼學相結合, 提出了廣義上的神經密碼學(Neurocryptology). 他利用神經網絡的算術邏輯單位來計算無限精度的運算函數, 并將其作為密鑰用于加密過程. 隨后Lauria 教授在1992 年發表的《Non-linguistic Neurocryptology and Shannon theorem》一文中, 解釋了整個加密過程是非語言的, 其結果與Shannon 理論并不矛盾. 自此之后, 神經網絡和密碼學的交叉研究受到了學術界的廣泛關注. 相對而言, 德國科學家Kinzel、Kanter[4,5]于2002 年則提出了狹義上的神經密碼學(Neural Cryptography), 并結合理論和實踐驗證了神經密碼的可行性, 他利用相互學習(Bidirectional Learning) 的同步性質, 即全同步狀態使兩個相同結構的神經網絡也具備相同的權重值, 實現了基于神經網絡的公共信道密鑰協商過程. 這一方案的提出使得神經密碼學研究迎來了高潮. 目前的研究顯示, 隱藏層為3 的樹型奇偶機模型(Tree Parity Machine, TPM) 可能是最適合用于密鑰協商的神經網絡架構[16].

神經密碼學的發展不僅推動了神經網絡的創新應用, 更為密碼學提供了一種全新思路. 然而在90 年代神經網絡并未得到密碼學家們的重視, 而神經網絡專家則更具聚焦于基礎理論和模式識別等領域, 因此兩個領域的交叉研究進展相對緩慢. 近年來, 隨著新型攻擊方法的大量涌現以及人工智能自身的蓬勃發展,神經網絡正以無法抗拒的誘惑力吸引著諸多學者的關注. 目前, 以Hopfield、BP 網絡和CNN、RNN、GAN 等深度學習方法為代表的神經網絡, 密碼算法、密鑰管理、密碼應用等領域以及量子、生物、混沌、視覺等新型密碼方向都有大量研究成果. 對此, 本文的第3 節和第4 節分別從原語研究和創新應用兩個角度進行論述.

圖1 神經網絡與密碼學及其交叉研究歷程Figure 1 History of neural network, cryptography and their cross-over research

3 基于神經網絡的密碼學原語研究

密碼學可分為密碼編碼學和密碼分析學, 而密鑰安全則是現代密碼學的基本原則. 本章首先介紹了基于神經網絡的密碼設計、結合神經網絡方法的經典算法優化方案以及神經網路與新密碼技術的有機結合.第3 節從密鑰生成(包括隨機數設計等) 和密鑰協商(狹義的神經密碼學) 角度綜述了神經網絡與密鑰管理的交叉研究, 同時結合密碼分析和側信道攻擊等技術探索了密碼系統的安全性問題.

3.1 密碼設計

密碼編碼實質就是密碼體制的設計問題, 即如何構建更安全高效的密碼系統. 目前主流的密碼體制包括對稱密碼, 公鑰密碼和哈希函數(單向密碼體制). 然而隨著信息環境的復雜化, AES、RSA、SHA-2 等常用密碼逐漸暴露出高耗時、高復雜度、安全性不足等缺陷. 而近年來, 神經網絡的泛化能力和高速并行、非線性映射等特性吸取了學者們的熱切關注, 并被廣泛運用于密碼設計之中.

針對對稱密碼體制, Arvandi 等人[17]提出基于遞歸神經網絡的對稱密碼算法, 支持可變密鑰長度和可變塊長度, 并對統計等傳統密碼分析方法具有良好的抵抗能力. Noura 等人[18]將非線性函數與三層神經網絡用于設計新型分組密碼. 該方案有效降低計算復雜度, 降低延遲, 具有足夠的安全性. 與AES相比, 速度至少快1.7 倍. 并具有雪崩效應、初值敏感、統計隨機、魯棒等優良特性. Sagar 等人[19]結合基于均勻交叉和單點突變的遺傳算法和誤差反向傳播神經網絡, 設計了安全、快速、高效的對稱密碼算法, 其時間復雜度遠低于DES、AES 等經典算法. 而在公鑰密碼體制中, Wang 等人[20]構建了基于Hopfield 神經網絡的多元公鑰密碼系統——CHNN-MVC, 不僅建立從神經網絡到多元密碼學的映射, 還將Diffie-Hellman 算法擴展到矩陣領域. 不僅具備消息敏感等密碼學特性, 還對量子計算具有一定抵抗能力. 此外, 神經網絡的單向、壓縮、擴散等特性也非常適用于構造哈希函數, Li 等人[3]結合兩層混沌神經網絡, 其中以分段線性混沌映射(PWLCM) 為傳遞函數, 將四維單向耦合映象格子系統(4D OWCML)作為密鑰生成器, 構造了一種新型哈希函數. 該算法對消息和密鑰具有極高的敏感性, 并具備良好的抗碰撞性和擴散混淆特征, 同時能有效抵御中間攻擊(MITM). Tur?aník 等人[21]探索了最佳的遞歸神經網絡結構, 可實現128/196/256 位的加密, 其結果安全性良好, 生成速度更快且便于計算機實現. Abdoun 等人[22]則設計了一種基于混沌神經網絡的哈希算法, 提出使用快速高效的混沌生成器生成神經網絡參數并通過混沌神經網絡對消息進行迭代, 其結果相對于標準SHA-2, 具有更好的均勻分布性、初值敏感性和抗碰撞性. 以上大量工作體現神經網絡可用于設計高效的新型密碼算法, 而其同樣可以用于對AES、RSA等現代密碼算法的改良優化. 如為了提高AES-128 算法性能, Kalaiselvi 等人[23]提出了一種強大的混淆技術——基于遺傳算法和前饋神經網絡的代換-置換網絡(Substitution-Permutation Network, SPN), 可以使密文信息和加密密鑰之間的關系非線性化、復雜化. 該方案具有優良的雪崩效應等密碼學特性, 可有效抵御定時攻擊, 并縮短加密系統的計算時間. Chakraborty 等人[24]則通過BP 神經網絡對RSA 的高計算復雜性問題進行了優化. 與標準RSA 算法相比, 其在小文件(6–24 KB) 的加解密速度上最高可提升52%.

在現代密碼學中, 除了對稱、公鑰、哈希這三個經典體制, 還有諸多基于非數學問題的密碼方案, 如量子密碼、混沌密碼、DNA 密碼、視覺密碼等, 其中前三者更是被統稱為三大新興密碼技術. 而作為一種普適性的科學工具, 神經網絡同樣為這些新方向的研究帶來了不少的機遇. Anh 等人[25]用BP 算法訓練的兩個多層量子神經網絡來構建密碼系統, 可廣泛用于密鑰交換協議和身份驗證等領域. 針對“量子糾錯”這一量子密碼學的關鍵問題, Niemiec 等人[26]提出了基于人工神經網絡的誤差校正方案, 不僅增加了密鑰長度, 還有效提升了安全性. 而由于混沌理論與神經網絡、密碼學都有著緊密聯系, 因此這一交叉領域有著豐富的研究成果. 如Guo 等人[12]探索了離散Hopfield 神經網絡模型的混沌吸引子特性, 并據此提出了一種高效且安全的新型概率加密方案. 此外, Roy 等人[27]提出了一種基于混沌神經網絡的DNA 密碼算法——在DNA 編碼前, 先通過時變混沌神經網絡生成用于明文加密的二進制序列. 該方案有效結合了兩種技術的優點, 體現出更好的安全性和保密性. Basu 等人[28]將雙向聯想記憶神經網絡BAMNN 用于在DNA 加解密過程中的密鑰生成與存儲. 該方案不僅能保障擴散和混淆原則, 提高安全性, 同時還降低了時間復雜度. 而Song 等人[29]使用pi-sigma 神經網絡設計了一種新的視覺密碼算法, 和其他方案相比極大降低了通信速率, 并提升了區分圖像中不同信息的能力.

神經網絡等新技術的發展為密碼體制設計開辟全新的思路, 然而在多個研究方向中, 將高度非線性的混沌神經網絡用于對密碼算法優化設計的研究相對較為成熟. 但其同樣受限于混沌理論自身局限性與神經網絡的不可解釋性等問題. 目前基于神經網絡的密碼設計主要是在理論推理和仿真實驗上取得了一定成果, 仍缺乏符合應用需求、可真實落地的解決方案.

3.2 密鑰管理

3.2.1 密鑰生成

作為現代密碼學的基礎原則之一, Kerckhoffs 原則指出密碼體制的安全性依賴于密鑰安全, 而非算法的保密. 無論是主密鑰還是會話密鑰, 都必須具備長周期、非線性、不可預測等良好的隨機性. 然而隨著應用需求的提升以及密碼分析的發展, 傳統的密鑰生成技術逐漸暴露出隨機性不足、高復雜度、高能耗等缺陷. 對此, 部分學者提出將神經網絡運用于密鑰生成器的優化設計. 比如, 為了解決對稱密碼的密鑰交換難題, Jin 等人[30]設計了基于人工神經網絡的3D CUBE 混合算法, 通過學習產生密鑰并最小化共享信息, 可適用于AES-256 等對稱密碼體制. 與GnuPG 等方法相比, 雖然處理速度變緩, 但有效提升了安全性. 而在非對稱密碼體制中, Pu 等人[31]通過細胞神經網絡生成高隨機的混沌序列, 然后隨機選擇序列并通過RSA 公鑰對其位置信息進行處理以生成傳輸密鑰. 隨后將位置信息進行Chebyshev 混沌映射生成加密密鑰. 經相關性、頻譜和敏感性等分析證明, 該方案性能突出, 且適用于音頻等大文件處理. Jhajharia等人[32]首次結合遺傳算法和人工神經網絡, 提出一種新的密鑰生成方案. 通過隨機性、間隙分析等測試,其密鑰結果具有良好的安全性. 而考慮到物理環境存在著不可避免的干擾, Alimohammadi 等人[33]提出了一種基于Hopfield 神經網絡的密鑰糾錯方案, 解決了物理環境下密鑰生成的偏轉問題. 可成功識別噪音并重新生成完整且準確的密鑰. 與常用的BCH 碼相比, 該方案可更快糾正錯誤位并重建密鑰.

作為密碼算法的基礎參數, 隨機數是密鑰生成的主要方式, 在對稱密碼、公鑰密碼、抵御重放攻擊等領域有著關鍵作用. 而神經網絡在偽隨機數生成器上的成功應用, 也間接為密鑰生成提供了新的思路. 神經網絡常被用于隨機數生成器的優化設計, 如Wang 等人[34]利用反向傳播神經網絡的強泛化、非線性運算等特點, 實現理想隨機數和生成隨機數的差異最小化, 同時結合SHA-512 提升了隨機數的統計特性.相比于前人工作, 該結果在NIST SP800-22 中展現出全方面的優勢, 可用于生成安全性更高的密鑰序列.Wen 等人[35]結合模糊理論, 研究了混沌憶阻神經網絡的復雜動力學特性和滯后自適應同步問題, 并成功將其應用于偽隨機數發生器的設計, 對密鑰生成有廣泛的應用價值. 另一方面, 部分學者利用神經網絡改善NIST 套件(一種廣泛被應用的隨機數測試工具) 的不足之處. 如針對NIST SP800-22 無法測試未知統計偏差(如線性同余的安全性問題)的缺陷, Kimura 等人[36]通過一種三層LSTM 的神經網絡模型, 在不同算法(如RC4 和LCG) 中檢測不同類型的統計偏差, 進而分析生成隨機數和理想隨機數的細微區別.不僅完善了NIST 的隨機性測試功能, 還有效提高對生成密鑰的安全性要求. 另外針對NIST SP800-90無法準確分析時變序列隨機性的問題, Zhu 等人[37]提出基于全連接神經網絡的最小熵估計方案, 可實現更準確的熵估計(特別是對于時變序列), 有利于提高生成密鑰的安全性.

以上是神經網絡在密鑰生成方向的部分代表工作, 通過對偽隨機數生成器等密鑰生成方案的優化設計, 在一定程度上提升了密鑰生成的安全性和可用性, 但如何權衡密鑰安全性和計算能耗、如何用神經網絡生成真隨機數, 如何將神經網絡與非線性反饋移位(NLFSR)、寄存器物理不可克隆函數(PUF) 等新型密鑰生成方案相結合等問題仍有待深入探索.

3.2.2 密鑰協商

與基于隨機數生成器、線性移位寄存器等密鑰生成技術不同的是, 密鑰協商通常是指兩個或多個通信實體, 在公開信道上進行協商以獲取共同的會話密鑰. 然而正如前文2.3 章節中的描述, 基于神經網絡的密鑰協商算法, 即狹義上的神經密碼學, 也是神經網絡和密碼學這一交叉領域最成功的研究成果之一. 神經密碼學利用神經網絡的同步差異性為基于神經網絡的密鑰協商模型提供了安全基礎, 即兩個神經網絡(合法通信雙方) 相互學習的同步速度比一個神經網絡(惡意第三方) 的單向學習同步速度更快. 這與其他常用技術有著本質的不同.

神經密碼學最早由Kanter[4]等人于2002 年提出, 使用Hebbian 規則訓練兩個人工神經網絡, 在有限訓練后雙方具有相同狀態的內部突觸權重, 并成功運用于密鑰協商、秘密共享等領域. 次年, Mislovaty等人[13]提出了“雙同步”的混合結構, 即先讓神經網絡產生相互學習的同步信號, 再將同步信號輸入到混沌映射中. 混沌同步的加入有效提高了公共信道上密鑰協商的安全性. Kinzel 等人[38]發現, 單雙向的神經同步在單層感知機(最簡單的神經網絡模型) 上并沒有明顯差異, 在樹形奇偶機(Tree Parity Machine,TPM) 這種復雜的多層前饋神經網絡上則有著明顯差異. 特別是在隱藏單元數K = 3 的TPM 模型中,雙向學習同步時間隨突觸深度增加呈多項式級增長, 而單向學習同步時間則呈指數級增長, 這也使得含3個隱藏節點的TPM 模型被廣泛運用于神經密碼學設計. 而Allam 等人[39]結合二叉樹結構, 提出一種基于神經密碼的組密鑰協商協議, 即將N 個TPM 同步在一起, 并由完整二叉樹的M 個葉子表示, 其中M =2sup(log2N). 該算法可實現組用戶之間的快速密鑰交換, 并結合身份認證技術可有效提升機密性.

自2002 年提出后, 由于同時具備低復雜度、快速并行等優點, 基于神經網絡的密鑰協商方法受到了廣泛關注. 然而密鑰安全始終是現代密碼學的關鍵問題. 雖然神經密碼學已被證明在諸多攻擊策略下是安全的, 但攻擊策略通常都是與密碼學快速同步發展. 隨著簡單攻擊、幾何攻擊、多數攻擊、遺傳攻擊和協作攻擊等[40,41]針對神經密碼的有效分析技術的提出, 特別是著名的基于PPM 的協商算法被概率攻擊成功攻破, 大量研究開始聚焦于如何加強神經密碼學方案的安全性. 對此, Ruttor 等人[42]首次提出了查詢(Queries) 的概念, 以引入端點間相互影響的查詢機制替換神經網絡的隨機輸入, 可在不增加同步時間的條件下提高魯棒性, 降低來自協作攻擊等技術的威脅. 同時還通過調整神經網絡的突觸深度以增加網絡的同步時間, 并證明了幾何攻擊、多數攻擊等技術的實現難度會隨著突觸深度的增加而呈指數增長. 這兩個基本思想也被廣泛運用于神經密碼學的優化設計. Allam 等人[43]設計了三種增強方法——基于誤差預測的DTMP 算法、基于同步反饋的SCSFB 算法以及混合方案, 可有效增強密鑰協商過程的安全性. Reyes 等人[44]則從結構提出了優化——基于置換奇偶機(Permutation Parity Machine, PPM) 的密鑰協商算法,這種TPM 變體對簡單、幾何、多數、遺傳等攻擊體現出良好魯棒性, 但無法有效抵御概率分析. 而Lei等人[45]設計了一種全新的具有兩層樹形結構的前饋神經網絡模型TTFNN, 在密鑰協商應用上表現出比傳統TPM 更高的安全性和更短的同步時間. 上述方案均以實值為輸入, 而Dong 等人[46]則提出了基于復值樹型奇偶校驗機(CVTPM) 的神經密碼術. 作為TPM 的擴展, 該方法支持更復雜的輸入、輸出、權重以及更高的安全性, 同時可在一次神經同步中實現兩個組密鑰交換. 由此可見, 為了克服TPM 模型的局限性和潛在安全缺陷, 探索更多高效可用的神經網絡結構, 或結合混沌映射等理論設計同步機制, 是基于神經網絡的密鑰協商技術發展的重要方向之一.

然而針對神經密碼學的安全性問題, 除了傳統攻擊技術, 還需考慮側信道攻擊所帶來的新型威脅. 如St?ttinger 等人[47]首次分析并實現了神經密碼系統的側信道攻擊問題, 對基于樹型奇偶校驗機的神經密鑰協商算法提出了一種差分功率分析方案, 結合漢明重量模型和漢明距離模型來獲取神經網絡權重向量的相關信息, 進而獲取密鑰. 雖然該方案需要較大數據基礎, 且準確度受密碼系統非線性函數的影響較大, 但仍對基于神經網絡的密鑰協商算法的安全性敲響了警鐘.

3.3 密碼分析

3.3.1 傳統密碼分析

作為密碼學的重要分支, 密碼分析旨在在加解密信息未知的情況下從密文恢復密鑰或明文. 根據已知信息量, 可分為唯密文、已知明文、選擇明文和選擇明文四種, 其攻擊難度依次遞減. 根據攻擊方式的不同, 可分為強力攻擊、統計分析、差分分析、線性分析、代數分析等常見方法. 然而自20 世紀80 年代以來, 密碼編碼學得以快速發展, 密碼系統安全性不斷提升, 密碼分析則變得越來越困難. 此時, 作為一種新興的通用科學工具, 神經網絡為密碼分析注入了新的血液, 并經過多年積累, 擁有了廣泛的研究成果. 但與上述這些普遍需要先恢復密鑰比特的分析技術所不同的是, 絕大多數基于神經網絡的密碼分析均是從全局推理的角度學習加解密的模式進以直接實現破譯.

針對于古典密碼, Alallayah 等人[48]使用前饋神經網絡來對Vigenere 密碼(任意密鑰長度) 實現近乎完美(98%) 的攻擊效率, 但該方案特定于Vigenere 密碼, 不具有可遷移性. Greydanus[49]提出了一種基于遞歸神經網絡RNN 的多表代換密碼通用分析方案. 該種已知明文攻擊在Vigenere、Autokey 和Enigma 三種古典密碼上取得了較好的成果. 與傳統分析方法相比, 該通用方案雖然在準確度上有一定差距, 但至少可以實現有效攻擊, 且可通過簡單調整便支持對多種密碼的分析. Gomez 等人[50]則基于生成對抗網絡GAN 設計了一種針對古典密碼的通用方案, 可在無需先驗知識和配對訓練集的情況下, 對Shift和Vigenere 實現成果破解, 并極大縮小了與非神經網絡的傳統技術的準確度差異, 同時也對其他形式的密碼分析以及機器翻譯等學習任務有著重要參考意義. 而在現代密碼學領域中, Alani 等人[51]設計了一種基于神經網絡的已知明文攻擊, 成功實現了對DES 和3DES 的分析. 與差分、線性等其他技術相比, 該攻擊在數據量和處理速度上有明顯優勢, 平均在211(212) 個明文-密文對的基礎上, 僅需51(72) 分鐘即可恢復64 位明文數據. Antonik[52]利用儲備池計算(Reservoir Computing) 對常用于密碼設計的混沌系統進行長期預測進而實現同步, 并成功破解了基于Mackey-Glass 和Lorenz 混沌系統的加密算法. 而在實際應用中, Chen 等人[53]則提出了一種針對UAV 系統的已知明文攻擊方案, 利用神經網絡分析位置數據的潛在解密模式并成功破譯, 初步證實神經網絡可用于真實通信中的安全性攻擊. 此外, 部分學者提出結合密碼分析特點, 攻擊并優化設計神經網絡. 如Carlinic 等人[54]將AI 安全中的模型萃取轉換為密碼分析問題, 針對神經網絡的ReLU 激活函數, 提出一種基于差分攻擊的萃取攻擊技術(通過查詢輸出, 推測模型的結構或參數, 進而復制等效功能的模型), 在具有105個參數的神經網絡上, 僅通過221.5次查詢,即可實現worst-case 輸入誤差低至2?25的高效攻擊.

根據密碼設計原則, 密文不能泄漏或傳播任何有效信息. 而區分攻擊(Distinguishing Attack) 則專注于分析提取密文間的內在聯系和細微區別, 進而識別其密碼體制. Bhateja 等人[55]利用BP 神經網絡, 結合聯合互信息提取特征, 在RC4 密鑰流中以高識別率區分出隨機序列. De Souza 等人[56]提出了一種唯密文的區分攻擊算法, 利用神經網絡的聚類和分類特性, 研究密文的內在聯系, 進而識別密碼算法. 該方案在MARS, RC6, Rijndael, Serpent 和Two Fish 這五種優秀的基于128 位AES 的算法中高效實現區分攻擊, 可有效分析長度為8192 字節的密文序列, 適用于小批量加密數據的識別. 然而在現代密碼體制中,優秀的密碼算法對隨機性有著較高的要求, 密文之間的差異度小且關聯性弱, 這導致通用的神經網絡方法的識別效率偏低. 因此針對密碼體制的自身特性設計神經網絡結構以提高密文特征提取效率, 可能是潛在方向之一.

整體而言, 基于神經網絡的密碼分析技術在多個方向初現成效. 然而盡管在區分攻擊等領域表現出比統計分析等傳統技術更好的效果, 神經網絡方案所解決的大部分仍是成熟技術可以解決甚至可以更好解決的問題(如古典密碼, DES), 而對于AES 高度非線性變換、哈希單向映射等未解決難題依然束手無策. 但這并不意味交叉研究沒有價值, 正如第1 節中神經密碼學所描述的, 兩者之間有著天然的理論聯系, 大量的研究成果也初步證明了可行性. 如何設計可以準確提取復雜密文特征的詞向量或神經網絡模型, 以及如何在實踐中將神經網絡的非線性特性與密碼學的擴散混淆原則緊密聯系將成為關鍵突破點. 而整體模式的相似性(黑盒、序列到序列), 使得這一交叉研究對機器翻譯等領域同樣有著廣泛的參考價值.

3.3.2 側信道攻擊

傳統意義的密碼分析, 往往是探索密碼算法的數學弱點或結構缺陷, 且近年研究突破非常有限. 而密碼算法在工程實現時, 往往會不可避免地泄漏部分與密鑰相關的物理信息, 這也為密碼分析提供了一種新的思路——側信道攻擊(Side Channel Attack), 即通過對功耗、電磁、時間、聲音、光線、熱成像等泄漏信息進行分析, 進而獲取密鑰或恢復明文. 主要方法包括簡單能量分析(SPA), 差分能量分析(DPA)、相關能量分析(CPA) 與模板攻擊(Template Attack). 然而作為一種學習性的側信道攻擊方法, 它主要包括建立模板和能跡匹配兩部分. 傳統的模版攻擊不僅在攻擊階段通常需要多條能跡, 而在高維空間中使用多元高斯模型容易產生數值計算問題. 而它本質上其實就是一件分類任務: 首先根據從能跡集中提取特征并建立用于識別信息的模板(訓練階段), 隨后將獲取的能跡與模版進行匹配, 提取并識別有用信息進而恢復密鑰(攻擊階段). 作為分類技術的集大成者, 神經網絡自然成為了模板攻擊等側信道攻擊領域的研究熱點.

近年來, 基于神經網絡的側信道攻擊得到廣泛驗證, 具有了豐富的研究成果. Yu 等人[57,58]利用深度神經網絡對功率噪聲與電磁噪聲之間的關系進行建模, 并結合電源攻擊恢復密鑰. 該方案成功利用較少的泄漏數據樣本實現了對AES 加密電路的高效攻擊, 即在經過有限訓練后(500 個無保護模型和10 000 個受保護模型), 即可成功實現AES 密碼電路的密鑰恢復. 而Ometov 等人[59]將使用低成本的聲卡設備,并結合神經網進行信息提取, 恢復存儲在移動設備中的個人數據和敏感信息, 這對真實世界中的數據安全問題帶來更廣泛的挑戰. 但該方案同樣存在處理高隨機、多特征數據的效果低下等缺陷. 于賽[60]則提出了基于深度卷積神經網絡的類模板攻擊方案. 與其他基于SVM 等機器學習方法的模版攻擊方式相比, 該方案在準確率沒有明顯差異的情況下、體現出更快的收斂速度和更低的時間空間復雜度, 并對處理高維度數據集有著巨大優勢. Kong 等人[61]更是從時間、準確率、計算復雜度等角度分析了四種神經網絡結構(FFBP、PNN、CFBP、LVQ) 的性能, 最終結合主成分分析的預處理技術, 提出了一種基于FFBP(前饋反向傳播神經網絡) 的最優側信道攻擊方案, 并在橢圓曲線密碼(ECC) 的FPGA 工程上取得了88% 的高分類準確率.

對應于攻擊, 部分學者提出了基于神經網絡的防御策略, 如Shan 等人[62]針對功率補償, 利用神經網絡尋找最優的漢明距離重分配方案, 不僅可抵抗部分側信道攻擊, 還支持低功率和零頻率開銷, 更利于硬件實現. 然而目前針對常規側信道攻擊的通用防御策略主要基于掩碼思想, 即在不改變算法結構的前提下, 將隨機數與中間數據做異或等不同操作, 以掩蓋運算過程中的敏感信息, 具有低開銷低損失、可抵御一階攻擊等優點, 但在面對高階攻擊時無法保證良好的魯棒性. Gilmore 等人[6]首次提出了基于神經網絡的高階能量分析, 使用神經網絡識別掩碼并以高準確率通過少量能跡信息便可恢復密鑰, 該算法可成功攻破基于AES 的智能卡系統并制作偽造卡. 但其前提要求較為苛刻, 如需要擁有能量泄漏位置等先驗知識.對于AES-128 加密算法, Martinasek 等人[63]首先通過模板分析掩碼偏移量offset, 然后用BP 神經網絡對S 盒輸出進行多分類. 同時結合已知明文信息, 僅根據13 條能跡信息即恢復了完整密鑰.

整體而言, 基于算法優化的密碼系統的安全性仍然容易受到側信道攻擊的威脅, 而其本質上又與模式識別問題高度相似. 因此, 結合主成分分析和以神經網絡為代表的機器學習方法的防御策略, 對該領域發展有著重要的應用價值.

4 神經網絡和密碼技術的交叉應用

本節以安全通信、圖像加密、密文處理、身份認證這四個具有廣泛應用意義的交叉領域為例, 通過對代表工作和最新成果的分析, 闡述了交叉應用的特點、價值與前景.

4.1 安全通信

從本質上講, AES、DH 協議等幾乎所有的密碼技術都可應用于安全通信, 但均針對數據加密、密鑰協商等局部場景. 而安全通信模型主要從全局角度, 探索合法通信方Alice、Bob 和惡意監聽方Eve 以及明文P、密鑰K 和密文C 等元素之間的關系. 對此Abadi 等人[8]借鑒對抗思想, 設計了一種全新的安全通信模型(Adversarial Neural Cryptography), 其中Alice、Bob 和Eve 均是神經網絡主體, 使用了卷積層和全連接層以及激活函數實現了大量異或操作, 并在2000 輪的對抗訓練后實現了16 位的安全通信(Alice 和Bob 可穩定加解密, Eve 無法正確恢復密鑰或密文). ANC 模型最大的優點在于無需提前約定某一種密碼算法, 讓神經網絡自己學習加解密方法. 而由于原始ANC 模型僅考慮了唯密文攻擊, 且伴隨著側信道等新型攻擊技術的快速發展, 其真實安全性受到了質疑. Li 等人[64]在經典工作的基礎上, 通過激活函數優化、結構復雜化、激活函數和數據規格化等方法, 使原模型在密鑰泄露高達8 位的情況下仍可限制Eve 的解密能力, 并有效保障Alice 和Bob 之間穩定的安全通信. 而Coutinho 等人[65]設計了選擇明文攻擊下的安全通信模型CPA-ANC, 不僅在一定程度上克服了原模型的安全局限性, 還首次實現了基于神經網絡的無條件安全的一次一密通信模型.

基于對抗思想的神經網絡模型不僅能實現基礎的安全通信功能, 還可具備一定的抗泄漏能力, 甚至是一次一密的可行性, 這為安全通信的發展開辟了新的思路. 但同時它也暴露出規模小、密鑰短等缺陷. 而相比基于AES、RSA 等成熟技術的保密通信系統, 神經網絡模型所提供的弱安全性無法滿足真實應用的需求. 將上述理論技術與仿真結果轉換為真實應用仍有很長的路要走. 而結合某些特定環境的特殊需求來設計針對性的神經網絡安全通信模型, 可能是潛在方向之一.

4.2 圖像加密

作為圖像處理和密碼學的交叉研究, 圖像加密在醫療、安防、軍事等領域有著重要意義. 然而, 與其他數據不同, 圖像存在數據容量大、像素相關強、信息冗余高等特點, 因此AES、RSA 等傳統密碼算法無法直接應用于圖像加密. 目前的加密方法主要采用三種基礎思想: 基于像素置亂、基于秘密分割/共享和基于現代密碼學體制. 但以上的基礎方案仍然存在一定局限, 特別是無法滿足日益增長的安全性需求. 對此, 如何結合混沌理論[66]和神經網絡[67,68]等新興技術實現安全高效的圖像加密, 正成為該領域的研究熱點.代表工作包括Kassem 等人[69]利用神經網絡設計混沌發生器, 以生成高質量的隨機序列, 并成功將其用于像素位置和像素值的置換. 此外, 混沌神經網絡也被廣泛應用于圖像加密算法的優化, 如Peng 等人[70]在其獲得廣泛認可的工作中提出的利用神經網絡的混沌特性加密圖像的新模型以及Tomas 等人[71]設計的基于Lorenz 混沌神經網絡的圖像加密算法——ChaosNet. 同時神經網絡的其他優勢也在圖像加密中得以發揮, 如Lakshmi 等人[72]在不使用其他混沌圖的情況下, 提出了一種基于Hopfield 吸引子的加密方案, 其結果具有良好的統計特性和安全性, 特別是可抵御廣泛采用的混沌圖攻擊. Ramamurthy 等人[73]創新性將圖像直接嵌入到回聲狀態網絡的可訓練參數中(加密), 并在第二個網絡進行恢復(解密), 可有效提高安全性. 此外, 大量研究探索了神經網絡同步等特性在灰度/彩色圖像加密上的可行性和優越性, 如慣性神經網絡的同步特性[74]、耦合切換神經網絡的滯后同步[75]、反應擴散神經網絡的脈沖同步[76,77]等,并在密鑰空間、密鑰敏感、信息熵、相關系數等指標上表現良好.

除此之外, 目前基于神經網絡的圖像加密算法主要是結合混沌理論和像素置換-擴散機制, 發揮神經網絡的同步、混沌等特性,在密鑰空間、密鑰敏感、信息熵、直方圖、相關系數等指標上均有良好表現,有效改善傳統置換技術的處理量小、統計特性差, 抗攻擊能力低等缺陷. 同時也有部分學者參考了量子技術[78]、DNA 編碼[79]等新技術. 但無論是哪種方案都有一個普遍存在的問題, 即雖然有效提高了安全性, 但復雜度也隨之大幅增加. 如何均衡兩項指標將是這些新型圖像加密算法能否落地于實際應用的關鍵, 在這點上可適當參考Elhoseny 等人[80]提出的GO-PSO 混合優化算法. 此外, 作為一種新型密碼技術, 視覺密碼無需復雜計算的特點使其在圖像加密具有廣闊的應用前景, 并常與神經網絡、圖像隱寫等結合以共同提升加密質量.

4.3 密文處理(隱私保護)

加解密技術可以在一定程度上保障敏感信息的機密性, 但同時也降低了信息的可用性. 然而在多方協作、遠程服務器、云計算等真實應用環境中, 通常要求在不泄露機密信息的前提下, 對密文進行分類[81]、檢索[82]、訓練[83,84]、協同計算[85]等處理操作. 而以深度學習為代表的神經網絡模型通常需要依靠強大的云計算資源來提升學習和預測的效率, 由此帶來的隱私問題(Privacy-Preserving Deep Learning) 也是神經網絡應用需要解決的關鍵問題之一.

對于傳統的加密數據處理, 絕大多數方案主要以同態加密(Homomorphic Encryption) 為底層機制,但這些策略并不能直接套用于神經網絡的隱私保護問題. 目前的解決方案主要包括兩種思路: 結合安全多方計算(Secure Multi-Party Computation) 與尋找近似算法. 前者支持正確計算和獨立輸入, 但需要消耗大量的時間和資源, 代表工作包括Barni 等人[86]結合Paillier 加法同態密碼和混淆電路結構而設計的隱私保護神經網絡模型, 可對加密后的醫療圖像等機密數據進行高效分類. 而后者無需復雜計算, 卻只能在小型神經網絡上提供較高的準確率, 其代表工作包括Bachrach 等人[87]提出的基于全同態加密FHE 的CryptoNets 模型, 將深度為1 的平方函數作為ReLU 激活函數的近似多項式, 在MINIST 上的識別準確率可達99%. 而Mishra 等人[88]則將多方計算與近似算法相結合, 在GAZELLE 系統[89]的基礎上提出了更高效的用于卷積神經網絡隱私保護的DELPHI, 該系統主要包括兩個部分——混合密碼協議和規劃器, 前者在預處理期間使用線性同態加密LHE 創建線性層模型權重的秘密共享, 并在非線性層用多項式近似替換激活函數ReLU, 進而大幅降低通信和計算成本, 后者則自動生成神經網絡結構配置以權衡性能與準確度.

由此可見, 該交叉領域的未來熱點應包括深入研究神經網絡結構與原理, 探索可適用于同態加密的近似算法, 以及推動同態密碼和安全多方計算等密碼技術的自身發展, 解決密文膨脹、隨機噪聲、高復雜度等關鍵問題進而更好適應神經網絡結構并減少對其性能的影響.

4.4 身份認證

作為密碼學的主要功能之一, 身份認證是鑒別真人用戶、計算機系統、網絡主機等主體的真偽的過程,其中真人用戶與后兩者之間的認證主要有三種形式, 包括口令、RFID 智能卡等硬件以及生物特征密碼.而神經網絡在該領域的應用可分為兩種: 一是利用神經網絡攻擊現有的身份認證方案, 如Hitaj 等人[90]提出的基于生成對抗網絡的PassGAN, 與HashCat、Ripper 等基于規則的口令生成方法相比, 可生成更逼近泄漏數據集的密碼. Xia 等人[91]首次將LSTM 神經網絡與PCFG (Probabilistic Context Free Grammar) 結合, 提出了高效且通用的密碼生成模型GENPass. 而Liu 等人[92]通過獲取可穿戴設備的側信道信息, 并結合神經網絡等機器學習方法成功推斷出用于身份認證的銀行PIN 碼、POS 機密碼等鍵盤輸入. 二是通過神經網絡對現有方案提出優化設計, 如基于神經網絡的隨機數生成方法可用于口令加鹽,而Wang 等人[93]設計了基于Hopfield 神經網絡的身份認證方案, 不僅無需驗證表, 還支持更高的準確率和更低的處理時間, 此外, 神經網絡強大的分類識別功能也被廣泛用于人臉[94,95]、指紋[96,97]、擊鍵行為[98,99]等生物特征密碼中模板匹配的優化和保護[100,101].

由以上的研究內容可知, 目前基于神經網絡的研究主要集中于口令密碼、生物特征密碼等真人用戶與計算機系統之間的身份認證, 而缺乏對如ISO/IEC9798-3、Needham-Schroeder、Kerberos 等網絡環境下基于公鑰密碼體制的身份認證協議的探索. 考慮到神經密碼學在密鑰協商領域的突出優勢, 這也可能是神經網絡與密碼學交叉研究的可行思路之一, 如Narad 等人[102]結合BP 神經網絡提出了基于Shamir秘密共享的(n,n) 組認證方案.

5 總結

本文探索了神經網絡和密碼學之間的內在聯系, 從密碼學原語與技術應用角度綜述并歸納該交叉領域的經典工作和最新進展, 進而深入分析其相互作用, 具體總結如下:

(1) 對于密碼編碼, 神經網絡對密碼學的影響主要體現在三方面: 一是對傳統密碼學的補充, 即在AES/RSA/SHA 等經典密碼算法與以隨機數為代表的密碼生成方法的基礎上加以優化, 實現加解密速度、安全性等性能的提升; 二是對傳統密碼學的顛覆, 部分工作結合神經網絡特性, 從新的角度考慮密碼學問題. 最具有代表性的是基于神經網絡的密鑰協商模型, 安全性理論基礎和豐富實驗探索使其在密碼協商領域開拓出了新的方向; 三是作為一種高效且普適的科學工具, 神經網絡不僅適用于基于數學問題的密碼技術, 還對量子、混沌、生物、視覺等基于非數學問題的新型密碼技術有著重要參考意義和應用價值.

(2) 對于密碼分析, 相比窮舉、統計等傳統方法, 神經網絡則為其注入了全新的血液. 基于神經網絡的密碼分析技術不僅可以有效攻擊DES 等傳統密碼算法, 還能結合區分攻擊、側信道攻擊、高階攻擊等技術, 突破掩碼等常規防御策略, 對密碼系統進行有效攻擊, 這為密碼系統的安全性和魯棒性帶來了極大挑戰.

(3) 神經網絡和密碼學的交叉研究在通信、認證等經典的密碼應用領域有著廣泛參考價值, 特別是在圖像加密和生物特征識別方向已有相對較成熟的技術方案并展現出比傳統技術更好的應用效果.

(4) 作為安全的基石, 密碼學對神經網絡的安全性問題發揮著關鍵作用. 如同態密碼、差分隱私、安全多方計算等密碼學技術為神經網絡的數據隱私保護問題提供了理論支撐和路線指導, 相關方案被廣泛研究并已在實際應用收獲初步成功.

6 展望

目前, “神經網絡與密碼學的交叉研究” 這項富有機遇和挑戰的工作在理論和實踐上都已有一定積累,特別是結合混沌理論所發展的隨機數生成和密鑰協商技術. 但其大多都具有局限性, 且缺乏被大規模成功應用的成果, 同時神經密碼學的潛力也并未得到完全發揮. 希望本文能有助于推動更多學者結合神經網絡等人工智能技術的優勢, 為密碼研究翻開新的篇章, 共同促進密碼學的長足發展. 現結合前文, 提出三個潛在研究方向:

(1) 雖然近年來以深度學習為代表的神經網絡為各領域帶來了顛覆性變化, 但技術自身的內部運作機制和復雜動態過程并不能被人們理解, 仍然存在可解釋性差等瓶頸問題. 神經網絡自身發展將有利于其在密碼學等領域的進一步研究.

(2) 目前神經網絡正處于行業風口, 部分研究人員過于追求神經網絡的作用而在未考慮真實需求的情況下進行交叉研究, 其結果只能適得其反. 因此深入探索密碼學和神經網絡的關聯性以最大化其技術優勢, 同時尋找更多的類似密鑰協商、模板匹配、密碼體制識別等適合神經網絡的密碼學問題至關重要.

(3) 相對于神經網絡在密碼學上的豐富成果, 如何利用密碼學優化設計神經網絡仍是小眾方向. 目前的研究主要集中于結合密碼學技術解決訓練過程的隱私保護問題, 但神經網絡的安全性問題遠不止于此, 可利用密碼學知識對輸入恢復(Input Recovery)[103]、對抗攻擊(Adversarial Attacks)[104]等安全問題加以適當拓展. 此外, 同態密碼、安全多方計算等密碼學技術目前并未成熟, 仍需不斷完善, 從而進一步推動密碼學與神經網絡等其他領域的交叉研究.