如何解决物联网设备难以安全部署密码算法？

在我们的日常生活中，大大小小的电子设备随处可见，驱动它们的是一颗颗不起眼的芯片。

这些基于互联网运行的芯片构成了一张“物联网”，带来了第三次世界范围内的信息产业浪潮，广泛应用于移动支付、智能家居、智能医疗、智能电网等场景下。

随着物联网中接入的设备越来越多，它们捕捉、传输、分析的数据量也越来越大，其中不乏人们的隐私数据，甚至是企业和国家的机密数据。

然而受硬件资源、功耗、效率的限制，物联网设备大多不具备完整运行高强度公钥密码算法的能力。在别有用心的攻击者面前，它们很可能被当作“活靶子”，成为窃取机密数据的突破口。

更进一步讲，能够破解 RSA、ECC 等主流加密算法的量子计算机可能在数十年后问世。在那之前，我们最好能实现所谓的“后量子密码算法”，来对抗量子计算机的破解，否则数据安全将面临巨大威胁。

如何在资源受限的物联网芯片上实现轻量化、高性能、高安全的密码算法，如何提高后量子密码算法实现效率并使其有效抵抗物理攻击，这些都是南京航空航天大学刘哲教授的研究方向。

他在密码工程领域耕耘近十年。针对上述难题，他提出了国际标准椭圆曲线的多种优化实现关键技术，基于新型椭圆曲线的密钥交换协议，轻量级 RSA 抗能量攻击实现方案，以及后量子密码算法的高效和抗侧信道攻击实现技术等一系列原创研究成果。

这些成果不仅发表于 ACM CCS、IACR CHES、ACM TRANS、IEEE TRANS 等顶级会议及期刊上，有的还已应用于密码芯片和航空系统等领域。

基于上述贡献，刘哲入选了《麻省理工科技评论》“35 岁以下科技创新 35 人”2020 年中国区榜单。

偶遇密码学，专注物联网

在进入山东大学软件工程学院之前，刘哲对计算机几乎一无所知，但重视教育的家庭环境培养了他浓厚的好奇心，也让他打下了扎实的学习基础。

至于为什么选择这个专业，刘哲告诉 DeepTech，“其实就是自己看到别的同学在用计算机，感到很新奇，也觉得这是未来很有发展的行业，就选择了这行。”

或许是冥冥之中的安排，正因他选择了山东大学，才有机会在本科期间与密码学偶遇。

时间退回到 2004 年 8 月，时任山东大学教授的王小云带领团队破解了国际通用的 MD5 密码算法。次年 3 月，她的团队又破解了 SHA-1 算法。两大国际上广泛应用的密码算法被接连破解，世界密码学界和科技产业界为之震动，直接推动了国际密码算法标准的升级换代。

对于大一的刘哲来说，母校科研团队的世界级成果让他感到既骄傲，又心动。就这样，研究密码学成为了他的兴趣爱好，也顺理成章地成为了他日后的科研方向。

2011 年，在徐秋亮教授的培养下，他拿到了山东大学硕士学位，随后选择前往卢森堡大学攻读博士，师从国际著名密码学家 Jean-Sébastien Coron 教授。

博士期间，他主要研究物联网设备的密码算法高效和安全实现的轻量级解决方案。随着“万物互联”的概念逐渐走进日常生活，这个研究领域目前非常活跃且具有十分重要的价值。

我们都知道，优秀的密码算法是保护用户隐私和保障网络安全的关键，但高安全度通常意味着大量复杂的运算，对芯片的处理速度和能耗提出了很高的要求。

有时候，许多物联网芯片因为尺寸、供电、使用环境等限制，难以使用安全性较高的加密算法，比如椭圆曲线加密算法（该算法是一种基于椭圆曲线数学理论的公开密钥加密算法，其本质是利用离散对数问题实现加密）。

针对这一问题，刘哲设计了基于新型椭圆曲线形式的密码算法和优化技术。

图 | 基于椭圆曲线的密码算法实现分层框架图

他通过将蒙哥马利曲线和爱德华兹曲线的优点结合起来，实现了全新的密钥交换算法。在此基础上，他又针对算法实现过程中的域运算，点运算和标量乘运算提出了多种创新优化技术，比如针对域运算设计了连续操作数缓存方法用于多精度乘法，针对点运算给出了最佳的点加/倍点公式等。

这些措施在无线传感器节点上高效实现了公钥密码算法，而且还能够有效减少 RAM 和 ROM 的占用。优化后的 ECDH（椭圆曲线迪菲-赫尔曼金钥交换）密码算法，在密码库 TinyECC 上实现了 3.4 倍的性能提升，成为了当时领域内最高效的算法实现方法之一。

基于在公钥密码算法和协议的高效和安全实现方向的突出贡献，他的博士毕业论文获得了卢森堡国家自然科学基金委 2016 年颁发的唯一杰出博士毕业论文奖。他也是目前唯一获得该奖项的华人。

回国教书育人，变不可能为可能

完成博士学业后，刘哲先后在滑铁卢大学和卢森堡大学担任博士后研究员，研究方向也拓展到后量子密码学领域。

转眼间，博士后生涯持续了两年多。面对种种选择，刘哲迎来了人生中的关键节点：回国还是留在海外。

“当时除了留在滑铁卢大学，我还可以去微软研究院。但在国外求学这么多年，我还是希望能回到国内高校，因为密码工程是一个很重要的核心研究领域，中国起步较晚，我希望为祖国的发展贡献自己的绵薄之力。而且当教授教书育人，也能培养更多人才。”

就这样，他加入了南京航空航天大学，入职计算机学院担任教授兼博士生导师，继续从事密码工程和后量子密码学的相关研究——南航是该领域的顶尖高校之一。

他目前正在进行的工作关乎物联网世界的信息传输安全，对于国家安全来说具有重大战略意义。

刘哲告诉 DeepTech，新型椭圆曲线密码算法在物联网设备上的部署是工业界的一大难题，一家全球顶尖科技公司被该问题困扰一年之多，始终无法将该椭圆曲线密码算法部署到物联网工业场景中。他的团队攻关数月，成功帮助该企业解决了这一技术难题。

在工业界环境中，椭圆曲线密码算法的部署受到高性能、高安全和轻量化这“三大脚镣”的束缚，因此算法的高性能、高安全与轻量化实现工作等同于“带着脚镣跳舞”，如何保证“舞姿”的优美是一大技术难题。

为了解决上述难题，他的团队针对椭圆曲线密码算法做了自上而下的分析，从有限域以及标量乘两个层面上寻找突破口。

具体实现措施包括：有限域层面上，对等效的算子进行复用，如有限域平方运算可复用有限域乘法运算，对性能没有产生大幅度影响的同时，大大降低了空间占用；标量乘层面上，对预计算表进行了裁剪，大量的预计算表使得椭圆曲线密码算法十分“臃肿”，他的团队采用“按需生成，按需分配”的策略对预计算表进行了裁剪，成功实现算法“瘦身”，既保证性能，又大幅优化了空间占用。

高性能、高安全、轻量化的非对称密码解决方案，让原本不可能在资源受限物联网设备上部署的密码算法变为可能，大大降低了企业海量部署物联网设备的成本，提高了资源受限设备的安全性能，具有极高的应用价值。

探索后量子密码理论体系

刘哲从事的另一个研究方向是后量子密码，也就是未来量子计算机普及之后的密码理论体系。

由于量子计算的特性，现有的 RSA、ECC 等主流密钥算法很可能会被轻易破解，因此全球密码学界目前正在未雨绸缪，希望找出并制定能够对抗量子计算机的加密算法。

这不仅关系到个人数据隐私保护，也关乎到国防安全和国家网络空间安全，而且还会像 5G 技术一样涉及到国际标准的制定，因此美国和中国都在积极布局相关研究工作。

刘哲目前正带领团队投身其中，针对高安全、高吞吐、轻量化三大后量子密码算法实现的技术难点进行攻关。

首先，虽然许多密码算法在理论上具备较高的安全性，但如果实现过程中出现漏洞，则很容易成为攻击者的突破口。因此算法的实现方法必须能够抵御时序、功耗、磁场等多种侧信道攻击，把守住最后一道关。

其次，随着互联网用户的增多，再加上未来大量部署的物联网传感器，高吞吐、高并发的场景会越来越多，短时间内出现的海量用户数据对密码算法的高效性提出了挑战。

最后，物联网设备的硬件资源和功耗上限较低，想要实现“前量子密码算法”就已经十分困难，更不用提“后量子密码算法”了。但未来量子计算机普及后，这些物联网设备已经融入生活，因此必须找到保护其通信安全的方法，将“大密码”装进“小芯片”。

针对目前基于同源的后量子密码算法实现效率低，参数占用内存空间大等现实问题，刘哲提出了基于同源的后量子密码算法在 ARM 平台上的高效实现方法，使得同源密钥交换和密钥封装协议的性能提高了 5~6 倍，证明了后量子密码算法在物联网芯片上运行的可行性，在学术界和业界都可以作为后量子时代物联网安全的密码算法依据。

他的团队也因此成为最早在物联网设备上部署能抵抗量子攻击的密码算法的团队之一。

“除了基于同源的后量子密码算法，我们也是国际上比较早在物联网场景下实现格密码算法的研究团队，当然不一定是最早的，也许有些特殊团队早就实现了，就是没发表，”刘哲谦虚地表示，“不过我们提出的优化方案可以为其他团队提供参考。”

图 | 南京航空航天大学密码学与应用安全实验室

未来，他仍将继续研究密码芯片和算法实现的抗量子安全理论体系和实现方法，重点突破面向智联网的抗量子密码算法的轻量级设计以及高效和安全实现技术研究，并且积极与产业界合作，最终打造出一套密码算法设计、实现和应用的全链路安全保障体系。

“密码工程是一个与国防、国家利益密切相关的科研领域，比如后量子密码算法标准是否自主可控，涉及到话语权问题，也关乎到国家未来的网络空间安全，”刘哲补充道，“身处其中，我认为是要有家国情怀的。”

依托南京航空航天大学密码学与应用安全实验室，作为实验室主任的刘哲教授，目前正带领超过 40 名网络安全科研人才，其中不乏多名海外归国人员与博士。该实验室专注于密码工程、人工智能安全、区块链和软件安全四大研究方向，探索和解决相关技术的实现难题，以及实现过程中的隐私保护和安全问题。

原文标题：物联网设备难以安全部署密码算法？南航85后教授实现多种算法优化技术，逆转不可能 | 专访

文章出处：【微信公众号：DeepTech深科技】欢迎添加关注！文章转载请注明出处。

责任编辑：haq