安全密钥分发

安全密钥分发（精选3篇）

安全密钥分发 篇1

0引言

轨道交通自动售检票AFC系统是涉及机电一体化、信息知识、信息处理、信息安全、信息管理、网络通信、数据库、智能卡、嵌入式、过程控制、测试、仿真、图像处理、操作系统和集成等多种技术的大型信息系统[1]。轨道交通AFC系统面向乘客, 主要用于自动 (或半自动) 售票、进站检票、出站检票收费 (同时回收单程票) 和超程超时补票等票务自动处理;其控制、处理和管理功能, 主要面向AFC运营管理人员, 包括运营/票务参数下发且自动执行, 售检票交易数据逐层上传及统计汇总、终端设备运营监控、客流监视、交易合法性认证以及票/卡密钥安全分发和使用等。

一个典型的AFC系统的总体架构如图1所示, 一般由五层组成。自下而上依次是:票/卡介质 (Fare media) 层, 由乘客持有;前端层 (Front- end layer) , 通常由半自动售票机POST、自动售票机TVM、便携式验票机PVU和进/出站检票机Gate等AFC专用终端设备组成;车站层 (Station layer) , 由车站处理系统SPS (station processing system) 组成;中央层 (Central layer) , 由中心处理系统CPS (central processing system) 组成;中央清分系统CCHS (central clearing house system) 层, 也可称为中央后台功能CBO (central back office) , 主要由多线路AFC系统票务交易的清、结算处理功能和票/卡密钥管理与应用等功能组成。在实现过程中。可以根据实际需要局部改变图1所示的五层架构。比如, 在各线路投资方和运营方认同情况下, 可以统一建设一个CCHS, 并且该CCHS兼有各线路CPS的各项功能, 这样就可以省却各线路的CPS, 使图1呈四层架构。一般, SPS不能省却, 因为AFC系统是一个基于轨道交通内部通信传输网建设的具有远程通信传输要求的分布式处理系统, 前端层的所有终端设备均部署在车站区域内, 即通过局域网互联, 为保证车站终端设备的实时监控要求及避免被非法入侵等安全原因, 需要在车站范围内部署SPS, 用于监控前端层的所有终端设备和及时接收/转发交易数据、运营参数、票务参数和运营命令等。

在图1所示架构中, 票/卡是旅客乘坐轨道交通的有效凭证, 是AFC系统中不可忽缺的信息载体和信息交互媒介, 具有量大面广、安全性和可靠性要求高的应用特点。在国内现有的轨道交通AFC系统中, 票/卡介质大多采用符合ISO/IEC 14443 A/B/C标准的非接触式智能卡CSC。因为CSC具有交易快速、简单、可重复使用、不易损耗和存储数据量大等优点, 在使用方面还具有加密和认证等安全功能。CSC和票/卡读写器之间的相互身份认证和通信数据加密均基于票/卡密钥实现, 因此本文主要研究和描述如何在AFC系统中建立一套票/卡功能密钥安全分发系统来提高票/卡的防欺诈能力, 保证交易的真实性和票务信息的安全性。关于由一代通用主密钥衍生成功能密钥和票/卡应用密钥, 以及票/卡应用密钥与终端设备票/卡功能密钥通过对称加密算法遵循ISO/IEC7816-8 Authenticate命令实现的相互鉴别过程, 请参阅文献[2,3]。

由于密码学中所有加密算法要求公开, AFC系统票/卡使用的安全性主要由密钥的安全保护、分发和使用保证。关于本文描述的对称和非对称加解密算法3DES和RSA的进一步介绍, 请参阅文献[4]。

1票/卡密钥安全分发技术方案设计

票/卡的功能密钥在CCHS的密钥管理系统KMS (Key Management System) 中被生成, 然后被分发到AFC系统所有车站终端设备上的票/卡读写器并安全保存在票/卡安全模块TSAM (Ticketing Security Access Module) 中。所有票/卡在投入使用之前, 必须在CCHS的编码分拣机上进行初始化, 通过KMS生成的票/卡功能密钥结合票/卡的唯一可读特征衍生成票/卡应用密钥并写入票/卡中。所有成功初始化后的票/卡和AFC系统内的所有票/卡读写器将共享相同的票/卡功能密钥, 如赋值密钥和消费密钥等, 保证合法的票/卡能被读写器成功认证及交互。在KMS中, 对密钥的安全保护和使用的关键之一是如何对票/卡的功能密钥进行安全分发。当一代功能密钥面临被攻破、票/卡应用密钥的安全受到威胁时, 应该在这之前及时、安全地分发新一代的功能密钥, 并通过终端设备 (包括TSAM) 自动透明地更新票/卡的相关应用密钥。

如图1所示功能密钥的分发通路为:CBO→CPS→SPS→FE→FM。其中FE涉及相关的终端设备, FM为乘客持有的票/卡介质。为了实现票/卡功能密钥的安全分发需要两方面的技术结合:①需要在这条通路上的每两个相邻的通信节点之间建立端对端的信任关系;②通过传输密钥对票/卡功能密钥加密后再进行传输。

端对端的信任关系可以通过对称加密算法 (如DES、AES) , 也可以通过非对称加密算法 (如RSA、ECC) 的相互认证机制实现。后者需基于公共密钥基础设施PKI (Public Key Infrastructure) 实现。PKI能够为身份认证、数字签名、数据加/解密和防篡改等提供一系列的处理机制和安全保证。

AFC系统的PKI架构如图2所示, 其中:

1) 证书授证中心CA (Certificate Authority) 。部署在CCHS的CA负责为CBO、CPS、SPS和FE的每台AFC设备生成RSA密钥对并颁发公钥数字证书, 此外还负责证书的撤销及发布证书撤销列表CRL (Certificate Revocation List) 。

2) 证书注册中心RA (Registration Authority) 。部署在CPS的RA负责为每台AFC设备向CA申请证书并接收来自CA的CRL然后分发给每台AFC设备。

3) 硬件加密模块PKI SAM。每台AFC设备上都会安装一个PKI SAM。所有PKI SAM由CA颁发, 用以生成RSA密钥对并安全存放作为每台AFC设备身份标识的证书以及CA的证书。

在图2架构中, PKI承载票/卡功能密钥分发通路中主体认证关系为CA↔RA、RA↔SPS、SPS↔FE终端设备之间的数字签名。在KMS和CA之间, 只有在传输功能密钥时才建立RS232的临时私有连接, 密钥传输完成后即断开连接, 所以不需要相互认证。

选择对称加密算法3DES对欲被传输的票/卡功能密钥进行加密后传输。票/卡功能密钥的加密传输过程如图3所示, 具体传输步骤如下:

1) KMS生成票/卡功能密钥 (不妨记作Ticketing keys) 后, 用传输密钥KTRn进行加密, 得到[ Ticketing keys ]KTRn, 通过临时私有连接传输给CA。

2) CA收到[Ticketing keys]KTRn后, 用传输密钥KEKp再次加密, 得到[[Ticketing keys]KTRn ]KEKp, 经RA、SPS传输给FE终端设备。

3) FE终端设备收到[[Ticketing keys]KTRn]KEKp 后用KEKp解密, 然后用FE终端设备和票/卡读写器之间相互认证过程中生成的本次会话密钥Ksession加密得到[[Ticketing keys]KTRn]Ksession, 传输给票/卡读写器。

4) 票/卡读写器收到[[Ticketing keys]KTRn]Ksession后, 用Ksession和KTRn解密, 得到Ticketing keys。

在上述过程中, 用到了两个3DES传输密钥:KTRn和KEKp (其中n、p是版本号) 。初始的KTRn 即KTR0由票/卡读写器厂商管理, 在票/卡读写器出厂时KTR0被存入到读写器的存储区Flash中。并且, 票/卡读写器厂商将KTR0拆分成两个部分 (两个密码信封, 任何一个都是不完整的) 提交给AFC系统运营商, 由两个不同的KMS安全管理员依次分别单独地输入到KMS中, KMS通过异或算法得到完整的KTR0。KTRn的更新过程在本文2.3节描述。KEKp由CA生成 (保存在CA的PKI SAM中) , 然后在CA为FE终端设备颁发证书时, KEKp被存入到FE终端设备的PKI SAM中。

上述技术方案使票/卡功能密钥的安全分发得到了极大的保证, 但是在AFC系统运营的过程中, 所使用的票/卡功能密钥仍然有被破解的可能[5]。因此, AFC系统的票/卡功能密钥应该在需要时能够被定期或不定期地进行更新, 而这样的更新必须不会对已经发行的票/卡的使用带来任何影响。票/卡应用密钥的更新过程如下:

1) KMS负责票/卡功能密钥的版本管理。假设AFC系统中当前被使用的票/卡功能密钥的版本为n。

2) KMS在安全管理员的请求下生成了一个新的票/卡功能密钥, 其版本为n+1, 由版本n的功能密钥不能推出版本n+1的功能密钥。

3) n+1版的票/卡功能密钥被安全地分发到FE终端设备上票/卡读写器的PKI SAM中, 而且n+1版的票/卡功能密钥需要在与n版功能密钥的票/卡交互时通过票/卡读写器自动更新票/卡的应用密钥为n+1版。票/卡读写器PKI SAM拥有n和n+1版的票/卡功能密钥, 因此能够正确处理拥有n和n+1版应用密钥的票/卡。

4) 当自动更新票/卡n版应用密钥为n+1版应用密钥的规定期限截止后, 从系统中移除n版票/卡功能密钥。具有n版应用密钥的过期票/卡可以经换卡手续更换为具有n+1版应用密钥的票/卡。

2实现票/卡密钥安全分发的关键技术

在上述技术方案中, 保证票/卡功能密钥能被安全分发的主要关键技术是:①PKI SAM卡;②相互身份认证;③传输密钥更新。

2.1PKI SAM卡

SAM卡是一种具有特殊性能的CPU卡。用于存放密钥和加密算法, 可完成交易中的相互认证、密码验证和加、解密运算。

在上述方案中, 不管是票/卡功能密钥分发通路中端对端的信任关系还是票/卡功能密钥的加密传输, 关键问题是如何保证认证密钥 (RSA私钥和读写器认证密钥Kabi) 和传输密钥 (KTRn和KEKp) 的机密性。而把认证密钥和传输密钥存放在PKI SAM卡中, 是对这一问题目前的最佳解决方案。因为, ①AFC设备访问PKI SAM卡之前, 必须先通过基于PIN (Personal Identification Number) 的CHV (Card Holder Verification) 验证;②PKI SAM卡中有RSA密钥对生成器, 用于CA为AFC设备颁发证书时, 能够生成AFC设备专属的RSA算法的公钥和私钥;③ISO 7816-4/8[3]标准规定了SAM卡的行业间使用的交互命令, 包括SAM卡与设备之间的传送命令和应答信息;在SAM卡中的文件、数据结构及访问方法;定义在SAM卡中的文件和数据访问权限及其安全结构。

PKI SAM卡还可以存放AFC设备的证书和CA的证书, 因而可以作为AFC设备的身份标识。PKI SAM卡中的文件组织结构大致如图4所示。

2.2相互身份认证

为了建立票/卡功能密钥分发通路中端对端的信任关系, 根据应用环境, 可以应用不同的相互身份认证技术。如图5所示。

1) RA和CA之间的相互认证委托给VPN完成。

2) SPS和RA之间的相互认证通过Windows 2000的鉴别机制 (Kerberos) 完成。

3) FE终端设备和SPS之间的相互认证通过基于RSA密钥对的数字签名机制 (ISO 9798-3[6]) 完成。

4) 票/卡读写器和FE终端设备之间的相互认证通过对称密钥加密算法的机制 (ISO 9798-2[7]) 完成。该相互认证过程为基于共享3DES读写器认证密钥Kabi的三次传送认证, Kabi为票/卡读写器和FE终端设备所共享。初始的Kabi即Kab0由票/卡读写器厂商管理, 在票/卡读写器出厂时Kab0被存入到读写器的存储区Flash中。并且, 票/卡读写器厂商将Kab0拆分成两个部分 (两个密码信封, 任何一个都是不完整的) 提交给AFC系统运营商, 由两个不同的KMS安全管理员依次分别单独地输入到KMS中, KMS通过异或算法得到完整的Kab0。然后在CA初始化的过程中Kab0经传输密钥KEKp加/解密后传输给CA, 然后在CA为FE终端设备颁发证书时, Kab0被存入到FE终端设备的PKI SAM中。此后Kabi的更新需在KMS安全管理员的请求下, 生成Kabi+1, 其分发过程类似图3所示, 经Kab0和KEKp加密后传输。在票/卡读写器和FE终端设备之间的相互认证完成后, 由认证过程中产生的Text2和Text4可得到会话密钥Ksession (Text2//Text4) , 用于随后的票/卡读写器和FE终端设备之间的数据传输的加/解密。关于上述的三次传送认证以及Text2和Text4的进一步说明请参阅文献[7]。

2.3传输密钥的更新

就像票/卡功能密钥在AFC系统运营过程中有被破解的可能一样, 传输密钥KTRn也有同样的问题, 并对票/卡功能密钥的安全分发产生危险, 所以同样需要提供对KTRn进行更新的机制。如上所述, 初始的KTRn即KTR0由票/卡读写器厂商管理, 在票/卡读写器出厂时KTR0被存入到读写器的存储区Flash中, 并需由KMS安全管理员分别输入到KMS后生成完整的KTR0。此后KTRn的更新需在KMS安全管理员的请求下, 生成KTRn+1, 其分发过程类似图3所示, 经KTRn和KEKp加密后传输。

3结束语

本文从轨道交通AFC系统实际需求出发, 结合实践, 设计了一个在AFC系统中对票/卡功能密钥进行安全分发的技术方案。在该方案中, 应用了PKI、对称密钥加密算法3DES、非对称密钥加密算法RSA并构建在此基础上的多种相互身份认证机制, 利用PKI SAM卡来安全存放3DES传输密钥、RSA私钥和3DES读写器认证密钥, 极大地保证了票/卡功能密钥由清分中心密钥库分发到车站终端设备上票/卡读写器的TSAM中这一过程的安全性。此外, 为保障AFC系统长期运营中票/卡功能密钥和应用密钥的安全, 给出票/卡应用密钥更新和传输密钥更新的技术步骤, 充分体现了本文所描述技术方案的完整性和前瞻性, 具有很好的参考价值。

本文设计和描述的技术方案已在荷兰全国轨道交通AFC系统中得到了成功实施和应用。

参考文献

[1]赵时?, 王绍银, 苏厚勤, 等.轨道交通自动售检票系统[M].同济大学出版社, 2007.

[2]王桌人, 王峰.智能卡大全——智能卡的结构、功能、应用[M].电子工业出版社, 2002.

[3]ISO/IEC7816-8:2004Identification cards--Integrated circuit cards--Part8:Commands for security operations.http://www.iso.org/iso/catalogue-detail?csnumber=37989.

[4]Wilian Stallings.密码编码学与网络安全——原理与实践 (第四版) [M].电子工业出版社, 2006.

[5]Annabelle Mclver Carroll Morgam, 著.程序设计方法学[M].田玉敏, 等译.中国水利水电出版社, 2007.

[6]ISO9798-3:Information Technology-Security techniques-Entity authenti-cation-Part3:Mechanisms using digital signature techniques (second edi-tion:1998-10-15) .http://www.iso.org/iso/search.htm?qt=+ISO+9798-3&published=on&active-tab=standards.

[7]ISO9798-2:Information Technology-Security techniques-Entity au-thentication-Part2:Mechanisms using symmetric encipherment algo-rithms (second edition:1999-07-22) .http://www.iso.org/iso/search.htm?qt=+ISO+9798-2&published=on&active-tab=standards

新型量子确定性密钥分发协议 篇2

本文提出的QDKD协议采用量子隐形传态以及纠缠交换传递预先确定所需要的密钥。量子隐形传态允许发送者A发送量子态给接收者B而保持最初的粒子在原来的地方。在收到A的信息之后, B根据A的信息对自己的粒子执行局域幺正操作来实现A的量子态。在量子系统里正交量子比特会被区分, 如和, 由量子隐形传态远距离传输给B, 接收者B将会获得A量子比特的所有有效信息。设A和B共享的EPR关联对处于量子隐形传态:

其中, 下标1和2代表A和B的粒子。

基于量子隐形传态的QDKD协议如图1, A持1粒子和3粒子, B持2粒子。1粒子和2粒子将处于量子态, 3粒子将处于量子态。

由 (2) 可知, 若A的测量结果为, B无需操作即可保持量子比特, 且B的量子比特直接用作自身的密钥;若A的结果为, 则A告诉B哪些比特需要翻转, B则仅仅对相应的粒子2执行比特翻转操作就能获得确定的密钥。

2 纠缠交换

纠缠交换是使没有直接相互作用的两个量子系统纠缠在一起的方法, 在量子网络、通信中有着重要的地位。设两个通信者A、B共享的EPR关联对处于量子纠缠态。A持有粒子1和3, B拥有粒子2和4。

其中, 基于纠缠交换的QDKD协议方案如图2:

若是A对粒子1和粒子3执行纠缠交换, 粒子2和粒子4将会纠缠, 包含粒子1、2、3和粒子4的整个系统的量子态为:

由 (4) 可看出, B的粒子2和4最后将以等概率1/4处于下

面Bell态之一, 将对应于A的测量结果。

A和B将四个Bell态分别编码为00、01、10、11, 即。若要传递A的确定性密钥给B, A将确定的密钥与测量结果进行比较, 然后将比较信息发送给B。在收到A传送的信息之后, B则会依照A的信息以及自身结果推断出所要的密钥。

3 结语

如果A的确定性密钥比特为00, 且A的自身结果是, A将会获得比较信息比特10, 然后将密钥比特和测量结果发送给B。要知道, 比较信息比特0代表确定性密钥比特与A的自身结果之间的关系为相同, 而1代表为不同。通过 (5) , B的粒子2和4处于。在收到A的信息比特10之后, 假设B收到A的信息比特为1, B将翻转测量结果来获得密钥比特。否则的话, B将使用他测量结果比特作为密钥比特。所以, B将获得了确定性的密钥比特为00。

摘要：将研究量子确定性密钥分发, 基于量子隐形传态以及纠缠交换提出新的QDKD协议, 然后用信息论对提出的协议进行全面系统的分析。基于隐形传态的QDKD协议能够传递预定的密钥给指定目标, QDKD协议产生随机密钥的QDKD协议的补充, 所以对密钥的管理有非常重要的意义。

关键词：QDKD协议,量子隐形传态,量子纠缠交换,确定性密钥,量子通信

参考文献

[1]曾贵华.量子密码学[M].北京:科学出版社, 2006

[2]张永德.量子信息物理原理[M].北京:科学出版社, 2006

[3]陈进建, 韩正甫, 赵义博, 桂有珍, 郭光灿.平衡零拍测量对连续变量量子密钥分配的影响[J].物理学报, 2007 (1)

[4]陈进建, 韩正甫, 赵义博, 桂有珍, 郭光灿.平衡零拍测量对连续变量量子密钥分配的影响[J].物理学报, 2007 (1)

[5]师瑞娟, 朱畅华, 陈南, 裴昌幸.基于纠缠的BB84协议仿真研究[J].计算机仿真, 2008 (6)

[6]王金东, 秦晓娟, 魏正军, 刘小宝, 廖常俊, 刘颂豪.一种高效量子密钥分发系统主动相位补偿方法[J].物理学报, 2010 (1)

[7]余旺科, 马文平, 王淑华.基于部署信息的无线传感器网络密钥预分配[J].华中科技大学学报 (自然科学版) , 2010 (11)

基于纠缠交换的量子密钥分发方案 篇3

1、协议描述

假设Alice和Bob是密钥协商的双方, 协议由以下几步组成:

(s 1) 准备粒子。A l i c e产生一组EPR纠缠对, 它们的状态均为

Alice保留每一对中的一个粒子, 另一个发给Bob。

(s 2) 检测窃听。

(1) 收到Alice发来的粒子后, Bob随机选出一组粒子, 并两两做Bell测量。

(2) 测量后Bob把他所测量粒子的序列号和测量结果告诉Alice。

(3) Alice根据这些序列号对自己手中相应的粒子 (两两) 做Bell测量, 并把所得结果与Bob的结果相比较。例如, 考虑Bob测量的一对粒子, 其序列号分别为x和y。则Alice也用Bell基对手中的第x个和第y个粒子进行测量, 并比较两个测量结果。如果这些粒子没有被窃听, Alice和Bob将得到相同的结果。于是Alice可以根据错误率的大小来判断是否存在窃听。如果信道中没有窃听, Alice和Bob继续进行下面的步骤。

(s3) 得到密钥。Bob对他剩下的粒子两两做Bell测量。Bob记录所有这些粒子对的序列号并把这些序列号告诉Alice。然后Alice用Bell基测量她手中相应的粒子。如上所述, 他们将得到相同的测量结果。这样, Alice和Bob可以根据这些测量结果得到原始密钥 (raw key) 。

例如可分别编码为00, 01, 10和11。经过纠错和保密放大后, 这些原始密钥就变成理想的安全密钥。

本协议中用作为初始态。本协议以确定性的方式来执行, 因此从传送一个粒子得到一个密钥比特的意义上说它已经达到最高效率。也就是说, 除了检测粒子外, 用户每传送一个粒子可以得到1 bit原始密钥。这个效率高于BB84协议。

2、安全性分析

一般情况下, Eve有两种常见的窃听策略。一种称为“截获-重发”攻击, 即Eve截取合法粒子并用假冒粒子替换掉。Eve产生同样的EPR粒子对并从每对中选出一个发送给Bob, 这样她可以像Alice在第三步中那样判断出Bob的测量结果。但这种情况下Alice的粒子和假冒粒子间没有关联, 当Alice和Bob在检测窃听时他们会得到随机的测量结果。假设用S对粒子来检测窃听, 他们得到相同结果的概率仅为 (1/4) s。也就是说, 当s足够大时, E v e将会以很高的概率被检测到。所以这种窃听策略很容易被检测到。

Eve的第二种窃听策略是把附加粒子纠缠进Alice和Bob所用的2粒子态中, 并在接下来的某个时间通过测量此附加粒子来得到关于Bob测量结果的信息。这种攻击测量看起来比第一种策略威胁更大。但实际上, 这种策略对本协议来说是无效的, 证明如下。

假设将被Alice和Bob做ES的任意两对EPR粒子, 例如和, 其中粒子1, 3和粒子2, 4分别属于Alice和Bob。当Alice和Bob对这些粒子做Bell测量时, 测量结果的边缘概率统计与测量顺序无关。假设Alice先于Bob进行测量, 粒子2, 4将被投影到一个Bell态。由于Eve的介入, 这两个粒子将与Eve的附加粒子纠缠在一起, 因此态变成一个混合态ρ。Bob可以从ρ中提取到的信息量受Holevo量x (ρ) 限制。用IEve表示Eve可以提取到的信息量, 则有IEve<x (P) (很明显, Eve可以得到的关于Bob的测量结果的信息量必然不大于Bob) 。由

可知S (ρ) 是χ (ρ) 的上届。“保真度越高意味着熵越低”。假设

其中F (, ρ) 是态和ρ的保真度, 0≤γ≤1。因此, ρ的熵有上界, 达到上界的ρmax为对角密度矩阵, 且其对角元分别为1-γ, γ/3, γ/3, γ/3。ρmax的熵为

于是有

Alice和Bob在检测窃听时, 只有是正确的结果, 而其他Bell态都被认为是错误。因为F (, ρ) 2=1-γ, 所以检测概率d=γ。由 (式4) 可得

从以上关系可以看出, 当d=0即Eve不引入任何错误时, 她将得不到任何信息, 这与前面的分析相一致。当γ>0时, Eve可以得到Bob的部分信息, 但此时她必须面对一个非零的概率d=γ被检测到。当γ=3/4时, 有S (ρmax) =2, 这意味着Eve有机会窃听到Bob的所有信息。但是这种情况下, 对于每个用于检测窃听的ES, 检测概率不小于3/4。例如, 如果Eve截获所有粒子并用自己产生的EPR粒子代替它们发送给Bob, 她将得到关于Bob的密钥的所有信息, 同时平均对每个ES引入3/4的错误率。

综上所述, 本协议可以抵抗有附加粒子的窃听。

3、结论

本文基于ES提出了一种能够达到最高效率的密钥分配方案。它对于文献[4]中攻击方法的安全性由RG技术来保证, 而不再依靠随机选取测量基或旋转Bell态。此外, 此技术还带来另外一个好处, 即不必把初始Bell态随机化, 这使得我们的协议只需要较少的Bell测量。

另一方面, 必须承认本协议有一个缺点, 即它利用一串纠缠态而不是一个单个量子系统来分发密钥。但是, 这个缺点并不严重。许多QKD方案都以这种方式工作, 例如著名的E9 1协议。

参考文献

[1]B.Schneier.Applied cryptography:protocols, algorithms, and source code in C, Second Edition. (Wiley, 1996) .吴世忠, 祝世雄, 张文政等译.应用密码学:协议、算法与C源程序.北京:机械工业出版社.2000) .

[2]X.Y.Wang, D.G.Feng, X.J.Lai, et al.Collisions for hash functions MD4, MD5, HAVAL-128and RIPEMD.http://eprint.iacr.org/2004/199 (2004) .

[3]C.H.Bennett, G.Brassard, and N.D.Mermin.Quantum cryptography without Bell Theorem.Physical Review Letters68 (1992) 557.

[4]Y.S.Zhang, C.F.Li, and G.C.Guo.Comment on“quantum key distribution withour alternative measurements”[Phys.Rev.A61, 052312 (2000) ].Physical Review A63 (2001) 036301.