NIST AI标准体系最新发展: 密码学视角的深度技术解析
NIST AI标准体系最新发展:密码学视角的深度技术解析
摘要
美国国家标准与技术研究院(NIST)的AI标准体系正在经历从通用框架到深度技术规范的加速演进。本文从密码学专家的视角,系统梳理了NIST AI标准体系中与密码学密切相关的最新发展——包括后量子密码学(PQC)标准的最终确立、机密计算在AI工作负载中的应用、密码密钥生成标准的重大修订、AI Agent身份与授权管理的密码学基础设施,以及合成内容溯源的技术框架。文章深入分析了各项标准的技术原理、密码学基础、实施挑战及其在AI全生命周期中的具体应用场景,旨在为从事AI安全架构设计、密码工程和合规管理的专业人士提供系统性的技术参考。
关键词:NIST AI标准;后量子密码学;机密计算;AI Agent身份;密钥管理;合成内容溯源
一、引言:AI时代的密码学范式重构
1.1 从AES到PQC:NIST密码学标准的历史演进
NIST在密码学标准制定领域拥有逾五十年的深厚积淀。从1977年发布的数据加密标准(DES),到2001年确立的高级加密标准(AES),再到近年来陆续推出的SHA-3哈希标准和各类密钥管理指南(SP 800系列),NIST的密码学标准体系一直是全球信息安全产业的基石。这些标准广泛应用于银行交易、在线购物、身份认证等关键领域,构成了现代数字经济的信任基础设施。
然而,人工智能技术的爆发式发展,正在从根本上改变密码学的应用边界和保护对象。AI系统的独特性在于:训练数据和模型权重具有极长的“半衰期” ——一个基础模型的训练往往耗费数千万美元的计算资源和数年的研发投入,其价值在十年乃至更长时间尺度上依然显著。这种长期价值属性使得AI资产成为“先收集、后解密”(Harvest Now, Decrypt Later, HNDL)攻击的首要目标。
1.2 AI对密码学提出的新挑战
从密码学视角审视,AI系统为密钥管理、数据保护和身份认证带来了三个层面的根本性挑战:
第一,保护对象的长期性。传统企业IT系统中的会话密钥和密码通常在数小时内过期,被截获的加密流量在短时间内即失去价值。但AI模型权重和训练数据集的价值可以持续数十年,这意味着保护它们的加密算法必须在同样长的时间尺度上保持安全——而这恰恰是量子计算威胁的致命之处。
第二,保护范围的完整性。传统密码学主要关注“静态数据加密”(存储加密)和“传输中数据加密”(TLS/SSL)。但AI工作负载在云端运行时,数据在内存中被处理时处于明文状态——这是当前密码学保护的“盲区”。机密计算的出现正是为了填补这一空白。
第三,身份主体的多元化。AI Agent(智能代理)作为能够自主执行任务的软件实体,正在成为企业IT生态中的新型“公民”。它们需要独立的密码学身份、密钥对和数字证书,传统的“用户-系统”二元身份模型正在被“人类身份+机器身份+AI Agent身份”的多层身份体系所取代。
1.3 本文的分析框架
本文将以NIST在2024至2026年间发布的关键密码学相关标准为核心分析对象,从以下五个技术维度展开:
- 后量子密码学(PQC)标准:FIPS 203(ML-KEM)、FIPS 204(ML-DSA)、FIPS 205(SLH-DSA)及其在AI基础设施中的应用
- 机密计算标准:NIST IR 8320E《硬件使能安全:云工作负载中数据的机密计算》
- 密钥生成标准:SP 800-133 Rev.3《密码密钥生成建议》的重大修订
- AI Agent身份与访问管理:NIST AI Agent标准倡议及其密码学基础设施
- 合成内容溯源:NIST AI 100-4中的密码学水印与数字签名技术
每个维度的分析将涵盖标准的技术内容、密码学原理、实施挑战和具体应用场景。
二、后量子密码学(PQC)标准:AI系统的量子安全基石
2.1 标准体系的最终确立
2024年8月,NIST正式发布了首批三个后量子密码学标准,标志着历时八年的PQC标准化项目(始于2016年,共评估69个初始提交方案)进入实质性的部署阶段。这三个标准构成了量子安全时代公钥密码学的核心支柱:
FIPS 203——ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism) :基于CRYSTALS-Kyber算法,是密钥封装的黄金标准。ML-KEM用于建立量子安全的对称密钥,替代传统TLS握手过程中的RSA或ECDH密钥交换。其安全性基于模块格上的学习与错误(Module-LWE)问题的计算困难性——这是一个在经典和量子计算下都被认为难以解决的问题。
FIPS 204——ML-DSA(Module-Lattice-Based Digital Signature Algorithm) :基于CRYSTALS-Dilithium算法,用于数字签名。ML-DSA在安全性与性能之间取得了优良的平衡,特别适合对AI模型权重和API调用进行签名验证。
FIPS 205——SLH-DSA(Stateless Hash-Based Digital Signature Algorithm) :基于SPHINCS+算法,是一种无状态哈希基数字签名方案。虽然计算和存储开销较大,但作为“紧急备用”方案,其安全性仅依赖于哈希函数的抗碰撞性,不涉及任何数论假设——即使格密码在未来被攻破,SLH-DSA依然安全。
此外,NIST还标准化了FN-DSA(基于Falcon变体的数字签名方案),其签名尺寸极小,特别适合带宽受限的边缘设备场景。2025年3月,NIST又选择了HQC(Hamming Quasi-Cyclic)作为第五个PQC算法,预计2026年初发布标准草案,2027年正式确定。HQC基于纠错码理论,其安全假设与格密码正交,进一步增强了密码学多样性。
2026年初,NIST对上述标准进行了小幅优化和补充,基本锁定了这三大算法作为主流方向。
2.2 迁移时间表:2030—2035的倒计时
NIST制定了明确的加密算法迁移路线图(NIST IR 8547《向PQC标准过渡》):
| 时间节点 | 要求 |
|---|---|
| 2030年前 | 弃用112位及以下安全强度的传统公钥算法(RSA、ECC等) |
| 2035年前 | 全面禁止使用量子脆弱算法 |
G7国家、欧盟、美国、印度和澳大利亚均已将2030至2035年设定为强制性过渡窗口。美国国家安全局的CNSA 2.0框架进一步要求国防承包商、联邦机构和受监管行业在此时间表内完成全面迁移。行业分析师预测,后量子密码学市场将在2030年前超过150亿美元。
对于AI系统而言,这一时间表具有特殊的紧迫性。AI训练数据和模型参数是典型的长期资产,面临“先收集、后解密”攻击的严重威胁。攻击者目前正在大量窃取加密的AI训练数据和专有模型权重——他们不需要在当下破解加密,只需等待未来量子计算机成熟。如果当前的AI管道仍然依赖RSA或ECC加密,实质上等于将企业的核心竞争优势拱手让给未来的量子解密者。
2.3 密码学原理深度分析
2.3.1 ML-KEM的数学基础
ML-KEM的安全性基于模块格上的带错误学习问题(Module-LWE) 。简而言之,给定一个随机矩阵 A 和向量 s、e(其中 e 是服从特定分布的小误差向量),计算 b = A·s + e 是容易的,但从 A 和 b 中恢复 s 是困难的——即使在量子计算机上也是如此。
ML-KEM的密钥封装过程如下:
- 密钥生成:接收方选择秘密向量 s 和误差 e,计算 b = A·s + e,公钥为 b,私钥为 s
- 封装:发送方选择秘密向量 s’ 和误差 e’、e’',计算 b’ = Aᵀ·s’ + e’ 和 v = bᵀ·s’ + e’',然后从 v 中提取共享密钥 K
- 解封装:接收方使用私钥 s 计算 v’ = b’ᵀ·s,由于 v’ 与 v 的差异很小(仅为一个可纠正的误差项),接收方可以恢复出相同的共享密钥 K
这一机制的核心优势在于:不需要非对称加密操作,仅需矩阵乘法和纠错编码,使得ML-KEM在软件实现中具有极高的效率。
2.3.2 数论变换(NTT)优化
FIPS 203和FIPS 204的底层实现大量依赖数论变换(NTT) 算法来加速多项式乘法。NTT将多项式乘法从O(n²)的计算复杂度降低到O(n log n),使得格密码在CPU和硬件上的性能可以满足实际部署需求。对于AI推理等延迟敏感场景,NTT优化是ML-KEM和ML-DSA能够投入生产环境的关键工程突破。
2.4 AI基础设施中的应用场景
2.4.1 场景一:量子安全的TLS握手
传统的TLS 1.3握手使用椭圆曲线迪菲-赫尔曼(ECDHE)进行密钥交换。在PQC时代,标准做法是采用混合模式:同时运行ECDHE和ML-KEM,将两者的共享密钥通过密钥派生函数(KDF)组合成最终的会话密钥。这种方式确保即使其中一个方案被攻破,通信仍然安全。
对于AI推理服务,这种混合握手带来的“密码学税”(Cryptographic Tax)——即额外的计算延迟——需要仔细权衡。当AI Agent需要在毫秒级从向量数据库拉取上下文时,一个缓慢的量子安全握手是不可接受的。因此,在实际部署中需要优化NTT实现、使用硬件加速,或采用会话复用等技术来降低握手开销。
2.4.2 场景二:AI模型的分发与完整性验证
在开源模型生态和联邦学习场景中,模型发布者可以使用ML-DSA对模型权重文件进行数字签名。终端用户在加载模型前验证签名,确保:
- 模型确实来自声称的发布者(来源真实性)
- 模型在传输过程中未被篡改(完整性)
- 模型未被替换为带有后门的恶意版本(防替换)
考虑到AI模型的规模动辄数百GB,对完整模型进行签名可能开销过大。实践中可以采用分层签名策略:对模型的哈希值(而非完整文件)进行签名,或者对模型的各个分片分别签名以实现流式验证。
2.4.3 场景三:AI训练数据的长期机密性保护
训练数据中可能包含个人隐私信息、商业机密或国家安全敏感数据。使用ML-KEM封装的对称密钥对这些数据进行加密存储,可以确保即使数据被窃取,在未来量子计算机出现之前也无法被解密。
对于已经使用经典加密(如RSA或ECC)保护的存量数据,组织应优先采用混合加密迁移策略:在现有加密基础上叠加PQC加密层,或者在新数据写入时直接使用PQC方案。
2.4.4 场景四:边缘AI设备的轻量级签名
对于资源受限的边缘AI设备(如物联网传感器、移动端推理芯片),FN-DSA的小签名尺寸(远小于ML-DSA和SLH-DSA)使其成为理想选择。这些设备可以使用FN-DSA对推理结果进行签名,确保结果在传输到云端过程中未被篡改。
三、机密计算:AI数据“使用中”的密码学保护
3.1 NIST IR 8320E:填补密码学保护的最后一个空白
2026年5月29日,NIST发布了内部报告NIST IR 8320E(初版草案) 《硬件使能安全:云工作负载中数据的机密计算》。公众意见征集期至2026年7月13日。该报告由NIST国家网络安全卓越中心(NCCoE)的Michael Bartock、Murugiah Souppaya与Intel的Timothy Knoll共同撰写。
机密计算的核心突破在于:实现了数据在内存中被处理时的加密,将加密保护范围从“静态”和“传输中”扩展到了“使用中” 。这是密码学保护在数据生命周期中的最后一块拼图——数据在CPU/GPU内存中处理时始终保持加密状态,即使是云服务提供商也无法访问明文。
NIST IR 8320E描述了一种保护云基础设施上AI工作负载所处理数据的示例方法,确保数据集免受恶意软件、数据窃取和其他安全相关漏洞的威胁。该报告旨在作为安全社区可以用于验证和利用所描述实现的蓝图。
3.2 密码学技术架构
从密码学视角看,NIST IR 8320E所描述的机密计算架构依赖于以下核心技术的协同:
3.2.1 可信执行环境(TEE)
TEE是基于硬件的隔离执行环境,在CPU内部创建一个与主操作系统隔离的安全区域。代码和数据在TEE内部运行时,即使操作系统或虚拟机监视器被攻破,攻击者也无法访问TEE内的明文数据。TEE的典型实现包括Intel SGX、AMD SEV和ARM TrustZone。
对于AI工作负载,TEE需要支持大规模内存访问和GPU计算——这是当前技术的主要挑战。NIST IR 8320E正是在这一背景下,为AI工作负载的TEE部署提供了具体的技术指引。
3.2.2 基于硬件的隔离与远程证明(Attestation)
远程证明是机密计算的关键密码学机制。它允许TEE向远程方证明:
- 该TEE是真实的(基于硬件信任根)
- TEE中运行的代码是预期的版本(通过度量值比对)
- TEE的配置是安全的(通过平台配置寄存器PCR值)
证明过程通常涉及数字签名——TEE使用硬件绑定的私钥对度量值进行签名,远程方使用对应的公钥验证签名。
3.2.3 硬件安全模块(HSM)与机器身份管理
NIST IR 8320E明确将硬件安全模块(HSM) 和机器身份管理列为关键技术要素。HSM为TEE中的密钥生成、存储和使用提供了物理级别的保护,而机器身份管理则确保每个TEE实例具有唯一的、可验证的密码学身份。
3.3 AI工作负载中的应用场景
3.3.1 场景一:云端AI推理的隐私保护
当企业将包含敏感客户数据的推理请求发送至云端AI服务时,传统模式下数据在云服务器的内存中以明文存在——云服务提供商的理论管理员可以访问这些数据。通过机密计算,推理请求在TEE内被处理,数据在内存中始终保持加密状态。即使云服务提供商被攻破,攻击者也无法获取明文数据和推理结果。
3.3.2 场景二:联邦学习中的安全梯度聚合
在联邦学习场景中,各参与方在本地训练模型,将模型梯度更新发送至中央服务器进行聚合。梯度信息本身可能泄露训练数据的特征——已有研究表明,可以从梯度中反推出训练样本的某些属性。机密计算使得梯度聚合可以在TEE内完成,中央服务器运营商无法访问聚合过程中的明文梯度,从而保护了各参与方的数据隐私。
3.3.3 场景三:多方AI模型的安全协作
多个组织可以将其专有模型部署在共享的机密计算环境中进行联合推理或集成,而无需暴露各自的模型权重。每个模型的参数在TEE内保持加密状态,只有被授权的推理请求能够触发模型的计算——且计算结果在离开TEE前被加密。这为跨组织的AI协作提供了密码学层面的信任基础。
四、密码密钥生成标准:SP 800-133 Rev.3的重大修订
4.1 修订背景与发布时间
2026年4月17日,NIST发布了SP 800-133 Rev.3(初版草案) 《密码密钥生成建议》,公众意见征集期至2026年6月16日。这是该标准自2012年首次发布以来的第三次修订,由Quynh Dang、Dustin Moody、Andrew Regenscheid和Hamilton Silberg共同撰写。
此次修订在密码学层面具有里程碑意义——它标志着NIST的密钥生成指南正式进入后量子时代,并为AI系统中的密钥管理实践提供了全新的技术框架。
4.2 核心密码学更新
4.2.1 非对称密钥对生成的扩展
Rev.3最显著的更新是扩展了非对称密钥对的生成方法,增加了在密钥对生成过程中派生随机性的多种方式。这一变化直接回应了PQC算法(特别是基于格的方案)对随机数质量和派生方式的特殊要求。
传统RSA和ECC密钥生成主要依赖高质量的物理随机数源。而ML-KEM和ML-DSA的密钥生成涉及从种子(seed)扩展出大量多项式系数——这要求随机性派生机制既要保证统计随机性,又要保证确定性(即相同种子产生相同密钥对,以便于密钥备份和恢复)。
4.2.2 种子扩展(Seed Expansion)方法
Rev.3正式引入了**“种子扩展”(seed expansion)** 方法,允许有限使用SHAKE(可扩展输出函数,基于SHA-3)和确定性随机位生成器(DRBG)。
这一方法的技术意义在于:
- 存储效率:仅需存储一个短种子即可在需要时重新生成完整的密钥对,而非存储完整的密钥材料
- 备份便利性:密钥备份只需备份种子,而非整个密钥对
- 确定性派生:在联邦学习等需要多方协同的场景中,确定性密钥派生确保了密钥的一致性
4.2.3 密钥封装机制(KEM)的正式纳入
Rev.3将密钥封装机制(KEM) 正式讨论为对称密钥生成的密钥建立选项。这是对FIPS 203(ML-KEM)标准化的直接响应。KEM与传统密钥传输(Key Transport)和密钥协商(Key Agreement)的核心区别在于:
- 密钥传输(如RSA-OAEP):发送方生成对称密钥,用接收方公钥加密后传输
- 密钥协商(如ECDH):双方通过交互计算共享密钥
- 密钥封装(如ML-KEM):发送方封装一个随机秘密,接收方使用私钥解封装——无需交互,且具有量子安全性
4.2.4 全面的PQC引用
Rev.3在全文范围内增加了对PQC的引用,包括新的PQC签名算法(ML-DSA、SLH-DSA、FN-DSA)。文本还被重新措辞以与SP 800-90C(随机数生成标准)保持一致。
4.3 对AI系统的关键影响
NIST特别就以下两个方面征求公众意见:
HSM设计:要求如何与现有使用根种子/秘密值的系统及常规实践保持一致?这对于在HSM中安全存储AI系统的根密钥和种子值至关重要。
PQC实现与协议:要求如何适配将密钥存储为种子(如ML-KEM)的方式?如何进行混合(即经典与后量子组合)实现?这直接关系到AI系统如何在PQC迁移过渡期内安全地部署混合加密方案。
对于AI系统架构师和密码工程师而言,SP 800-133 Rev.3提供了明确的密钥生成指引。AI系统中的每一个密码学身份——无论是用于TLS的服务器证书、用于模型签名的代码签名密钥,还是用于AI Agent身份认证的客户端证书——都应遵循这一标准进行密钥生成。
五、AI Agent身份与授权:密码学基础设施的重构
5.1 AI Agent标准倡议
2026年2月17日,NIST旗下的AI标准与创新中心(CAISI)正式宣布启动 “AI Agent标准倡议”(AI Agent Standards Initiative) 。该倡议的目标是推动可互操作、可被信任、可被验证的行业标准与协议,使AI Agent真正能在企业与关键行业里规模化落地。
AI Agent被定义为“能够自主执行任务的软件系统”,它们使用数据和算法在复杂场景中自主完成工作。该倡议确立了AI Agent安全部署的三大战略支柱:互操作性、安全性和身份基础设施。
从密码学视角看,这实质上要求为每个AI Agent建立独立的密码学身份体系——包括唯一的密钥对、数字证书和基于公钥基础设施(PKI)的完整生命周期管理。
5.2 身份与授权的密码学框架
2026年2月5日,NIST国家网络安全卓越中心(NCCoE)发布了概念文件《加速软件与AI Agent身份和授权的采用》。该文件提出了AI Agent身份管理的核心问题:
- 用例(Use Cases) :组织目前如何使用或计划使用AI Agent?
- 挑战(Challenges) :与其它软件相比,AI Agent带来了哪些新的独特问题?
- 标准(Standards) :哪些当前或新兴标准被用于指导AI Agent身份与访问管理?
- 技术(Technologies) :正在使用或计划使用哪些技术来支持AI Agent?
5.2.1 身份形态的统一
NIST倡议强调需要为Agent、工具、连接器定义统一的身份形态(服务身份/设备身份/代理身份),避免“脚本=匿名”的安全漏洞。从密码学角度看,这意味着:
- 每个AI Agent必须拥有唯一的密码学身份标识(如X.509证书或符合FIPS 201的PIV凭证)
- 身份绑定到调用链:每一次跨边界调用都携带可验证身份,而不是只在入口登录一次
- 身份可撤销:一旦发现异常,能快速吊销某个Agent的能力
5.2.2 授权裁决的密码学支撑
NIST倡议提出授权必须能被机器判定、能被拒绝、能被解释。这要求授权决策基于密码学可验证的凭证:
- 权限拆解到动作级(读取/写入/支付/发布/删除等分开授予)
- 引入独立裁决点:在动作执行前做策略检查
- 保留可解释证据:授权为什么通过/为什么拒绝,要能回放
这些要求本质上指向了基于属性的访问控制(ABAC) 与密码学凭证的结合——AI Agent的每次操作请求都携带经过数字签名的属性声明,授权服务器验证签名后根据属性做出决策。
5.2.3 证据的可追溯性
NIST倡议强调让每个关键动作都“有据可查”。这要求:
- 每个关键操作生成密码学审计日志(包含操作者身份、时间戳、操作内容、结果)
- 日志条目经过数字签名以防止篡改
- 建立不可否认性(Non-repudiation) 机制
5.3 与PIV标准和PQC的衔接
2026年6月12日,NIST发布了SP 800-78-6(草案)《个人身份验证的密码算法和密钥长度》。该草案提出了对个人身份验证(PIV)标准的更新建议,以支持后量子密码学(PQC)的使用。这一更新虽然主要针对人类身份,但其技术框架同样适用于AI Agent身份——未来的AI Agent数字证书将使用ML-DSA等PQC算法进行签名,确保证书的长期有效性。
5.4 应用场景分析
5.4.1 场景一:AI Agent的企业级身份生命周期管理
在企业环境中,AI Agent应被视为需要完整生命周期管理的独立非人类身份。这意味着:
- 注册:每个AI Agent在部署时生成唯一的密钥对,并向企业的PKI注册数字证书
- 运行:Agent使用私钥对每次API调用进行签名,接收方验证证书和签名
- 更新:Agent的证书在到期前自动续期
- 撤销:当Agent被废弃或发现异常时,证书被立即吊销
5.4.2 场景二:零信任架构中的AI Agent
NIST网络安全框架AI配置文件(Cyber AI Profile)草案明确建议,零信任原则将同时适用于人类和机器。在零信任架构中:
- 每次AI Agent的API调用都需要基于密码学身份进行认证(而非依赖网络位置)
- 每次数据访问都需要经过授权检查(基于最小权限原则)
- 所有操作都生成可审计的密码学日志
5.4.3 场景三:AI供应链的密码学溯源
Cyber AI Profile草案反复强调完整性验证、来源与可追溯性检查以及认证与授权的必要性。这要求AI供应链中的每一个组件——训练数据、模型权重、微调脚本、部署配置——都具备密码学签名的“物料清单”(SBOM)。每个组件的哈希值经过数字签名,形成一条从源头到部署的不可篡改的信任链。
六、合成内容溯源:密码学水印与数字签名
6.1 NIST AI 100-4的技术框架
NIST AI 100-4《降低合成内容带来的风险:数字内容透明度技术方法概述》阐述了检测、认证和标记合成内容的方法。该报告是2023年拜登总统AI行政令的交付成果之一。
NIST AI 100-4涵盖的技术手段包括:
- 数字水印(Digital Watermarking) :将表示内容来源或历史的信息嵌入到图像、录音等内容中
- 元数据记录(Metadata Recording) :在内容文件中附加结构化的来源信息
该报告的每一章节都以一种技术方法的概述开始,并概述当前的使用方法,最后指出NIST专家建议进一步研究的领域。
6.2 密码学视角的深度分析
6.2.1 内容来源的密码学签名
从密码学角度看,最可靠的内容溯源方法是对内容和元数据进行数字签名:
- AI内容生成时,系统使用生成者的私钥对内容及其元数据(生成时间、模型版本、提示词哈希、参数设置等)进行签名
- 元数据和签名附加到内容文件中(或作为独立清单文件发布)
- 消费者使用生成者的公钥验证签名的真实性和完整性
- 如果签名验证通过,消费者可以确信内容确实来自声称的生成者,且未被篡改
随着PQC标准的落地,这一签名机制需要迁移至ML-DSA或SLH-DSA等量子抗性算法,以确保签名在数十年后仍然可信。
6.2.2 抗篡改水印的密码学考量
数字水印需要在保持内容质量的同时抵抗各种去除攻击——包括裁剪、压缩、旋转、噪声添加等。从密码学视角,水印面临的核心挑战是:
- 鲁棒性(Robustness) vs 不可见性(Imperceptibility) 的权衡
- 抗伪造性:防止攻击者嵌入伪造的水印
- 抗去除性:防止攻击者在不显著降低内容质量的情况下移除水印
NIST AI 100-4同时指出了当前水印技术的局限性——这恰恰是密码学与水印技术交叉领域的研究前沿。
6.2.3 深度伪造检测的密码学局限
需要注意的是,纯技术手段(水印、签名、检测算法)无法完全解决深度伪造问题。原因在于:
- 并非所有AI生成内容都包含水印或签名(开源模型、恶意生成者不会自愿添加)
- 水印可以被去除或伪造
- 检测算法的准确率有限
因此,NIST AI 100-4的技术框架需要与政策、法律和流程手段相结合,形成一个综合性的合成内容治理体系。
6.3 应用场景分析
6.3.1 场景一:新闻媒体与信息真实性
在新闻媒体场景中,可信的新闻机构可以对其发布的AI辅助生成内容进行数字签名,读者可以通过验证签名来确认内容的来源真实性。这有助于在信息过载的时代重建公众对媒体的信任。
6.3.2 场景二:司法证据的完整性
在司法和执法场景中,AI生成的证据(如监控视频的AI增强、语音转录等)需要严格的来源证明和完整性保护。密码学签名提供了法庭可接受的证据链证明。
6.3.3 场景三:AI生成内容的责任追溯
当AI生成的内容造成损害时(如虚假信息传播、诽谤、侵权等),密码学签名提供了可追溯的责任链条——谁、在什么时间、使用什么模型、基于什么输入生成了该内容。这对于法律追责和AI治理至关重要。
七、框架整合:AI RMF、CSF 2.0与密码学的交汇
7.1 AI RMF的演进
NIST AI风险管理框架(AI RMF)于2023年1月正式发布1.0版本。2025至2026年间,AI RMF经历了从基础指导向更具操作性、行业特定性和实施就绪性资源的转变。2026年,NIST继续将AI RMF与NIST网络安全框架(CSF 2.0)对齐。
2026年4月7日,NIST发布了关于关键基础设施中可信AI的AI RMF配置文件的概念说明。该配置文件将为关键基础设施运营者提供在引入AI能力时需考虑的具体风险管理实践指南。
7.2 Cyber AI Profile:密码学要求的系统化
NIST的网络安全框架AI配置文件(Cyber AI Profile,NIST IR 8596) 于2025年12月发布初版草案,2026年1月14日举办专题研讨会征集反馈。该配置文件旨在帮助组织在战略性地采用AI的同时,解决和优先处理因AI进步而产生的网络安全风险。
从密码学视角看,Cyber AI Profile提出了以下关键要求:
- 控制框架更新:更新组织的控制框架以纳入AI,从法律法规和合同义务中引入要求
- 身份导向的安全模型:草案建议,身份导向的安全模型在AI的隔离和保护中将发挥越来越重要的作用
- 完整性验证:反复强调完整性验证、来源与可追溯性检查的必要性
7.3 密码学在NIST AI标准体系中的核心地位
纵观NIST AI标准体系的整体架构,密码学已经从AI安全的“可选组件”上升为“基础设施支柱”:
| NIST AI标准组件 | 密码学相关要求 |
|---|---|
| AI RMF(AI 100-1) | 安全性与弹性、可问责与透明性、隐私增强 |
| 生成式AI配置文件(AI 600-1) | 400多项行动中包含密码学安全措施 |
| Cyber AI Profile(IR 8596) | 完整性验证、身份认证、授权、审计日志 |
| AI Agent标准倡议 | 密码学身份、数字证书、PKI、不可否认性 |
| PQC标准(FIPS 203/204/205) | 量子安全的密钥封装、数字签名 |
| 机密计算(IR 8320E) | TEE、远程证明、HSM、机器身份管理 |
八、总结与展望
8.1 核心发现
本文从密码学专家的视角,系统分析了NIST AI标准体系在2024至2026年间的关键发展,得出以下核心结论:
第一,后量子密码学的强制性迁移已经启动。 NIST FIPS 203(ML-KEM)、FIPS 204(ML-DSA)和FIPS 205(SLH-DSA)的标准化,以及2030/2035年迁移时间表的确定,要求所有AI系统在未来五年内完成密码学基础设施的量子安全升级。这不是可选项,而是生存性问题——AI训练数据和模型参数的长期价值使其成为“先收集、后解密”攻击的首要目标。
第二,加密保护的边界正在向“使用中”数据扩展。 NIST IR 8320E将机密计算技术正式引入AI工作负载的保护框架,实现了数据在内存处理过程中的加密。这标志着密码学保护已覆盖AI数据的全生命周期——静态、传输中和使用中。
第三,AI Agent正在催生全新的密码学身份体系。 NIST的AI Agent标准倡议要求为每个自主AI实体建立独立的密码学身份、数字证书和PKI生命周期管理。传统的“用户-系统”二元身份模型正在被“人类身份+机器身份+AI Agent身份”的多层密码学身份体系所取代。
第四,密钥生成标准已进入后量子时代。 SP 800-133 Rev.3的修订将PQC算法(ML-KEM、ML-DSA等)全面纳入密钥生成框架,引入了种子扩展、KEM等新机制。
8.2 对密码学从业者的建议
基于上述分析,我向从事AI安全架构设计、密码工程和合规管理的专业人员提出以下建议:
立即启动PQC迁移规划。 AI系统的训练数据和模型参数具有长期价值,应优先采用混合加密方案(经典+PQC)保护新数据。不要等到2030年——到那时再开始迁移将为时已晚。
关注NIST SP 800-133 Rev.3的最终定稿。 该标准涉及AI系统中密钥生成的核心实践,直接影响AI Agent身份体系的密码学安全性。特别是其中的种子扩展和KEM相关指引,应成为AI密钥管理架构的设计依据。
积极参与NIST IR 8320E的公众意见征询。 机密计算在AI工作负载中的应用仍处于早期阶段,密码学社区的反馈将直接影响这一领域的技术路线。截至2026年7月13日的意见征集期是影响标准走向的关键窗口。
建立密码学敏捷性(Crypto-Agility)能力。 在PQC迁移和AI Agent身份管理的双重挑战下,能够在不中断业务的情况下更换密码学算法和密钥的能力将成为核心竞争力。这要求架构设计时就将算法可替换性作为一等公民考虑。
将AI Agent纳入企业身份与访问管理(IAM)体系。 参照NIST NCCoE的概念文件,为AI Agent建立独立的密码学身份、证书生命周期管理和基于属性的访问控制。
8.3 未来展望
展望2027年及以后,NIST AI标准体系中的密码学维度将继续深化发展:
HQC标准的最终确定预计在2027年完成,为PQC算法组合增加基于纠错码的多样性。
AI Agent安全指南的正式发布将为企业提供更具体的密码学身份管理实践指引。
后量子TLS的大规模部署将使得AI推理服务的端到端量子安全成为现实。
机密计算与AI工作负载的深度融合将推动“加密计算”(Encrypted Computing)成为AI云服务的默认安全模式。
NIST的AI标准体系正在为AI时代的密码学实践划定新的边界——这既是挑战,也是密码学学科在新时代焕发价值的重大机遇。对于每一位从事密码学和AI安全交叉领域工作的专业人员而言,此刻正是定义未来的时刻。
参考文献
[1] NIST, “AI Risk Management Framework (AI RMF 1.0),” NIST AI 100-1, Jan. 2023.
[2] NIST, “Module-Lattice-Based Key-Encapsulation Mechanism Standard,” FIPS 203, Aug. 2024.
[3] NIST, “Module-Lattice-Based Digital Signature Standard,” FIPS 204, Aug. 2024.
[4] NIST, “Stateless Hash-Based Digital Signature Standard,” FIPS 205, Aug. 2024.
[5] NIST, “Hardware-Enabled Security: Confidential Computing of Data in Cloud Workloads,” NIST IR 8320E (Draft), May 2026.
[6] NIST, “Recommendation for Cryptographic Key Generation,” SP 800-133 Rev.3 (Draft), Apr. 2026.
[7] NIST, “Reducing Risks Posed by Synthetic Content: An Overview of Technical Approaches to Digital Content Transparency,” NIST AI 100-4, 2024.
[8] NIST, “A Plan for Global Engagement on AI Standards,” NIST AI 100-5, Jul. 2024.
[9] NIST, “Generative Artificial Intelligence Profile,” NIST AI 600-1, Jul. 2024.
[10] NIST, “Cybersecurity Framework Profile for Artificial Intelligence (Cyber AI Profile),” NIST IR 8596 (Draft), Dec. 2025.
[11] NIST, “Transition to Post-Quantum Cryptography Standards,” NIST IR 8547, Nov. 2024.
[12] NIST, “AI Agent Standards Initiative,” Feb. 2026.
[13] NIST NCCoE, “Accelerating the Adoption of Software and AI Agent Identity and Authorization,” Concept Paper, Feb. 2026.
更多推荐



所有评论(0)