网络信息安全最新进展和未来趋势研究报告(编辑修改稿)

网络信息安全最新进展和未来趋势研究报告(编辑修改稿)内容摘要：

充路由控制公证安 全 机 制认 证访 问 控 制数 据 完 整 性数 据 保 密 性抗 否 认安 全 服 务0 三维信息安全体系结构图  安全体系结构所配备的安全服务和有关安全机制在体系中的一般描述  确定体系结构内部可以提供相关安全服务的位置  保证安全准确地配置安全服务，并且一直维持于信息安全的生命中，安全功能必须满足一定强度的要求。  一种安全服务可以通过某种单独的安全机制提供，也可以通过多种安全机制联合提供。 一种安 全机制可用于提供一种或多种安全服务。 在 OSI七层协议中除会话层外，每一层均能提供相应的安全服务。  实际上最适合配置安全服务的是在物理层、网络层、传输层及应用层上。 9 网络信息安全基本技术 网络信息安全领域是一个综合、交叉的学科领域，它综合利用数学、物理、生化、信息技术和计算机技术的诸多学科的长期知识积累和最新发展成果，提出了系统的、完整的、协同的解决信息安全的方案。 网络信息基本技术是研究和实现相关网络安全防护工具和手段的基本技术基础。 网络信息安全基本技术主要包括如下内容： 密码技术：包括对称密码技术、非对称 密码技术、散列密码算法及数字签名技术等。 网络安全协议：可以分为应用层安全协议、传输层安全协议、网络层安全协议和链路层安全协议。 信息对抗技术主要包括：黑客防范体系，信息分析与监控，入侵检测原理与技术，反击方法，应急响应系统，计算机病毒，人工免疫系统在反病毒和抗入侵系统中的应用等。 信息伪装：即信息隐藏（ Information hiding），可以分为隐蔽信道技术、数字水印技术及多媒体信息隐藏技术等。 信息安全管理： 信息安全管理 的内容包括 信息安全政策制定、风险评估、控制目标与方式的选择、制定规范的操作流程、 信息安全培训等。 信息安全管理涉及领域涵盖 安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务连续性、法律符合性等。 信息安全管理技术主要包括风险评估技术 、 信息安全测评和认证 、 信息安全计划与应急 响应、 信息安全策略与组织 、 信息安全模型技术 、 风险管理与控制 、数据备份与恢复技术 、 系统回复与容灾 等。 网络信息安全技术应用 目前，信息安全问题面临着前所未有的挑战，常见的安全威胁有：信息泄露 、完整性破坏、拒绝服务 、 非法使用 、 窃听 、 业务流分析 、 假冒 、 旁路控制 、 授权侵犯 、 特洛伊木马 、 陷阱门 、 否认 、 重放 、 计算机病毒 、 人员不慎 、 媒体废弃 、物理侵入 、 窃取 、 业务欺骗 等。 而事实证明，单纯依赖某种技术手段往往并不能 10 满足安全需求，目前的信息安全体系是对以上所述信息安全基本理论和信息安全基本技术的综合应用。 只有科学有序的管理加上必要的技术手段才能使信息系统安全有更可靠的保证。 目前，典型的网络信息安全技术应用系统有：  DRM：即 内容数字版权加密保护技术  安全的电子支付系统  VPN 技术： Virtual Private Network，虚拟专用网络  OTP：一次性口令技术  IDM：  IPv6 安全  网络信息安全服务技术  终端安全系统 网络信息安全技术应用可为更好的理解网络信息安全防护这一安全应用技术及其相关工具、手段，对安全防护系统建设实践提供指导和帮助。 3 网络信息安全技术研究 密码 技术 密码技术起源 密码技术最早可以上溯到公元前 4000 年前埃及人对密码的原始的，有限的应用。 此后的加密与破解技术一直保持一种靠个人天才引领的艺术性工作的状态。 第二次世界大战中德国的“ Enigma”密码机是密码学发展上重要的事件，机械的加入带来了新的思路，随后图灵对“ Enigma”的破解工作也为密码分析学开创了 新的篇章。 Diffie 和 Hellman 在 1976 年发表了论文 “ New Directions in Cryptography” ，引入了公钥密码学这个革命性的概念，并提供了一种密钥交换的创造性方法。 一般认为这篇论文的发表代表了现代密码学的开始，在此之后，诸如寻找新的公钥方案，改进现有密码体制，证明系统安全等工作都快速的向前发展。 11 密码技术特点 密码技术自身的特点就是能够行之有效地提供信息安全需求的解决方法。 其中两大分支：对称密钥方案和公钥加密方案，又分别有各自的特点，两者某些特点是相同的，而在一些显著特点上是 相反的。 1. 对称密钥密码的优点 1) 适合现在计算机的设计，具有很高的数据吞吐量，即计算快速，速度早已超过了兆字节每秒的量级。 2) 对称密码的密钥相对较短。 3) 许多密码机制要通过对称密钥密码来构造，如伪随机数生成器，杂凑函数。 4) 对称密码可以通过复合成为更强的密码，如 3DES。 2. 对称密钥密码的缺点 1) 密钥必须在通信双方的两端保密，密钥的安全传输是棘手的问题。 2) 大型通信网络中需要储存管理大量的密钥对，这必然会导致引入一个无条件可信的第三方，其掌握用户的密钥，而大部分用户并不希望如此。 3) 为了安全起见，通信双方需要经常更换密钥，在 某些场合甚至是每次通话都需要改变。 3. 公钥密码的优点 1) 只有私钥需要保密。 2) 密钥管理只需要一个功能可信的第三方，其并不掌握用户的密钥，并且在大型通讯网络中，需要管理的密钥数量很少。 3) 一个公 /私钥对可以长时间保存使用。 4) 产生了有效的数字签名机制。 4. 公钥密码的缺点 12 1) 吞吐量低，运算速度慢，由于大都要在大的域或群上进行指数运算，大多数流行的公钥加密方法比对称算法慢若干数量级。 2) 密钥长度要比对称密码大得多。 3) 没有被证明安全， 尚存在着被从底层摧毁的可能。 由上面列出的特点对比可以看出，对称密码与公钥密码在许多性质上是互补的 ，这使得某些功能只能由两者之一实现，其他一些功能也很容易在两者之中做出取舍。 密码技术现状 密码学致力于满足四个最基本的信息安全需求：机密性，数据完整性，认证，以及不可否认性。 现在几乎所有的工作都是围绕着更好的满足这四个需求而展开的，在此之上发展出了各种解决方案和密码学产品。 同时，设计密码学的各种标准和基础设施也在陆续的推出。 目前密码学在世界上仍然以完善，发掘，改进现有方案；创造新方案和算法；底层安全性的工作等为主要部分。 由于计算机仍然按照“摩尔定律”向前发展，可以想象所有的密码学问题都需要随时审视，比如 DES 由于其密钥长度对于现在的计算能力已经不安全而步入了生命周期的最后阶段， RSA 算法也从诞生初期 512 比特的建议密钥长度，发展到建议 2020 年之后使用 2048 比特的密钥。 密码学现在的发展仍处于较平稳的阶段，尚未再次出现 1976 年那种革命性的变化，但可以预计，这种大的变革几乎一定会再次发生。 比如如果量子计算机的研制与实现取得了突破，将必定会对密码学产生重大的影响。 国外 国际上的密码研究以美国为绝对中心，同时欧洲，以色列，日本等地都有着很强的实力，高级数据加密标准 AES 最终就选取了欧洲学者的算法。 国际上的密 码研究相关工作分布于各个大学的计算机系和数学系，大型实验室，密码与信息安全类的公司以及国家研究机构等，同时各种标准的制定主要由各个标准组织和实验室完成。 13 在底层安全性问题上，计算复杂性和数论的假设上很难取得突破，因此越来越少的学者把主要精力放在这上面。 这种底层假设的研究一旦产生某些成果，将对现在的密码学根基产生重大影响，但幸运的是目前来看这方面取得突破的可能性并不大。 注意到尽管有些数学工作者和计算机学科的学者并不直接针对密码学，但他们的成果仍然会对密码学产生影响。 在 算法设计方面 ， DES 尽管即将告别历史舞台 ，但其对密码设计的影响是深远的，一些试图延长其生命，以及对它更深层次的研究还在进行，同时对 AES的安全性分析，以及其他对称算法如 IDEA,RC 系列的设计和分析也在进行。 MAC消息认证，伪随机序列的研究也以对称密码的研究为基础，随着上面的工作而进行。 公钥密码是现在研究的热点， ElGamal,、 RSA、 Rabin 算法等已经被人们大量的分析过，而 ECC 椭圆曲线密码学已经成为大量学者最关心的方向，椭圆曲线的理论已经被数学工作者较深入的研究过，现在一些相应的产品和成果已经推出，而以公钥密码学为基础的数字签名与认证 的研究也是重点。 除了对密码学本身的研究之外，对于密码技术的实际应用也越来越被人们关注，目前比较热门的研究方向是传感器网络（ Sensor Net），无线网络（ WLAN），Ad Hoc 网络等的安全问题，涉及到密钥协商与加密等各个方面。 国内 可以想象国内必然也会紧跟国际步伐进行研究，目前比较有实力的研究机构有清华大学，中国科学院，山东大学，国防科技大学等的相关院系所与实验室，和一些军队的研究机构，其中包括获得过图灵奖的计算机专家姚期智教授，和在Hash 算法分析上世界领先的王小云教授等。 目前中国在椭圆曲线，流密 码等的研究上比较有建树，但限于中国密码管理体制与国际上的不同，大量国内的算法和研究成果并不对外公开，使得很难对国内的密码学研究有一个较全面的认识。 14 密码技术发展趋势 传统密码技术的发展 传统密码技术目前已经发展出了一套较完善的体系，从算法到协议到安全框架，以下是可能的但不是全部的发展方向： 1. 更安全的密码算法：每一个算法都不是能够永久为人服务的，每个算法都有其生命周期，有些算法在公布之后被人很快指出漏洞，但并不意味着这种算法设计的彻底失败，在漏洞上改进的工作具有同样重要的意义，比如从 SHA1 到SHA256， SHA512 这种工作。 由于底层的安全性数学化描述已经比较完善，因此密码学者的工作就是不断设计出更好的满足这些条件的算法。 2. 更高效的设计：计算机的设计特点使得某些计算很快，如 2 的指数运算和一定长度的异或运算，而有些计算相对较慢，如域上指数运算，提升某些计算的速度将给特定的算法带来巨大的好处。 另一方面，密码产品并不总是在计算机上进行运算，在很多场合下所处环境计算能力较弱，如智能卡，传感器等，为这种环境选择最合适而不是最安全的算法也是提升效率的一个方法。 3. 更细化的需求促成的技术：密码技术已经 不再只是为消息加解密服务，它的功能已经足够，或者可能应对人们在各种特殊场合的需求。 比如某人希望在证明自己属于某一群体但又不泄露自己真实身份的前提下向外界发布消息（在没有密码技术帮助下几乎不可能做到），应运而生的就是环签名技术，它使得一些内部人员匿名而可靠的向外散播消息成为可能。 由于现在电子社会的复杂性，这种看似很独特的场合实际上很有可能经常出现，而密码学者将致力为这种场合创造安全的解决方案。 4. 更好的基础安全协议：密码学工作者的工作并不局限于算法的设计，一套包括密钥分配，算法使用模式等综合在一起的基础安 全协议方案同样由对密码学有深入掌握的信息安全学者提供。 例如 WEP 标准的失败，就是由于设计者并不具备对所用密码技术的了解所致。 初期的网络协议并没有考虑安全问题，而现在使用的 VPN， WLAN，网络电话等的协议也不是充分安全的。 密码学工作者需要一方面完善现有的基础安全协议，另一方面开发面向未来的新的安全协议，并对安全协议的基础进行持续的研究。 15 新密码技术的发展 密码学发展的另一个重要方面是新技术诞生可能会带来的冲击，比如量子计算技术。 目前已经有试图生产量子密码学产品的公司问世，各国的研究机构也有很大的精力在致力于 量子密码和量子计算机的研究，但由于物理实现的困难和人们思维的局限性，量子技术应该还没有展现出它的全部实力。 尚不清楚量子计算机能正式投入使用的时间，但可以肯定的是未来的这一天也将会是密码学新一页的开始。 混沌是一种复杂的非线性动力过程，是另一种未来可能对密码学产生影响的方向，严格的说它并不是提供一种新的密码方案，而是通过混沌系统获得一个混沌线路，从而在两端产生混沌序列作为流密码的密钥。 有关混沌序列的研究还在进行，人们还不清楚大部分的混沌序列具有怎样的复杂性。 以上工作目前大都还是物理学者的领域，尽管有人由此误认 为密码学正在向物理领军转化，但事实上密码学的根基并没有改变，不管是量子计算技术还是混沌理论，在理论上都仍是数学指导的，而两者在密码技术上的应用也完全服从于传统密码技术构建的框架，区别只是在于提供了一种更先进的样本。 PKI技术 PKI 技术起源 在 Diffie 和 Hellman 首次公开提出公钥密码算法的时候，也设想了相应的解决方案，将每个人的公钥都储存在专门的可信资料库中。 1978 年 Kohnfelder 提出了数字证书（ certificate）的概念，由证书认证中心（ certificate center, CA） 签发证书来解决公钥属于谁的问题。 这一概念成为了后来 PKI 的核心部分。 PKI 真正起源于 1995 年，当时的企业和政府机构开始以公钥加密的想法为基础，准备开发一组公共的标准来支持 Inter 上的安全基础架构，其目的就是要建立一组全面的安全标准和工具，使用户和企业可以在私有以及公共领域安全的创。