国内外信息安全科学技术最新进展综述.docx
《国内外信息安全科学技术最新进展综述.docx》由会员分享,可在线阅读,更多相关《国内外信息安全科学技术最新进展综述.docx(9页珍藏版)》请在冰豆网上搜索。
国内外信息安全科学技术最新进展综述
国内外信息安全科学技术最新进展综述
近两年来,信息安全科学技术的发展速度不断加快,涉及范围愈加扩大,已经与国家战略利益和国民经济发展紧密地结合在一起。
本文简要介绍了国内外信息安全科学技术的最新进展。
1、国外最新进展
1.1可证明安全性方法在密码算法和安全协议的设计中广泛应用
近两年,越来越多的密码算法和安全协议在设计和论证中使用了可证明安全性方法,它们包括面向3G设备设计的KASUMl分组密码、VSH杂凑函数、QUAD流密码、基于身份的签名算法、一些密钥协商协议,等等。
这种设计和论证方法与以前“设计-攻击-改进-再攻击-再改进”的方式不同,它在一定的安全模型下将密码算法和安全协议的安全性归结于伪随机函数、分组密码等已被认可的密码算法或函数的安全性,在一定程度上增强了设计者对安全性的把握和控制,提高了密码算法和安全协议的设计水平。
同时,代数攻击及其预防也发展成为通用的密码分析和设计手段。
1.2特殊或非常规密码算法和数字签名协议的构造较快发展
这类密码算法和数字签名协议在体制或机制上不同于当前常用的密码算法和数字签名,主要包括基于身份的公钥密码、多变量公钥密码、基于格(lattiee)的密码、各类特殊签名等。
基于身份的密码采用公开的有意义信息作为公钥,避免了采用PKI带来的复杂性,这两年研究人员对其安全性的认识有了提高,在不同模型和情况下给出了各种安全性的依据。
多变量公钥密码采用多元的低阶运算,避免了进行大整数的高次模指数运算等造成的时间消耗,但由于其容易遭受代数攻击、小秩攻击、复合分解等的威胁,其安全性一直令人关注。
这两年的研究表明,这类密码在引入一定的随机处理后适合做签名。
继NESSIE采纳了SFLASH后,TTS及其派生算法甚至表现出了更高的效率性。
此外,研究人员在基于格的密码、代理签名、并发签名等方面均提出了新的构造。
1.3信息安全技术标准化工作进一步发展和完善
信息安全技术标准化工作得到世界各国和国际标准化组织的高度重视,无论从深度还是广度上都得到了巨大发展,特别是密码技术标准化工作更是令人瞩目。
至2005年,NIST对AES工作模式的征集活动已经基本完成,在2001年到2005年发布的SP-800系列标准中,NIST陆续推荐了
ECB、C
BC、C
FB、OFB和CTR五种基本加密模式以及CMAC认证模式和CCM认证加密模式。
与此同时,一些被标准化或征集的分组密码、流密码的安全受到广泛研究,除了针对AES外,主要还包括对第3代合作项目(3GPP)规范使用的KASUMl分组密码、无线局域网络IEEE802.11i标准使用的RC4流密码、蓝牙(Bluetooth)使用的E0流密码、NESSIE推荐的Camellia分组密码等的分析。
虽然这些论证可能还需要更长时间,但近两年对这些密码的分析手段逐渐丰富,越来越多地包括了对操作模式、代数性质、侧信道信息、可证明安全性和应用方法等的分析,无疑将有助于今后获得更好的算法。
1.4量子密码的实验网络建成
量子密码利用量子状态传输秘密信息,任何想测算和破译它的人,都会因改变量子状态而造成无意义的信息,信息合法接收者可以从量子状态的改变而知道机密曾被截获过,因此从理论上来说,量子密码加密的通信是不能被成功窃听、分析的。
根据英国NewScientist杂志的系列报道,在美国国防高级研究计划局(DARPA)的资助下,世界上第一个量子密码通信网络已经于
2004年6月在美国马萨诸塞州剑桥市正式投入运行,其目的是建立所谓“不可攻击的”安全网络;至
2005年6月,该网络已经与无线网络实现了互联,有10个连接站点。
另外,位于奥地利、德国和英国等地的欧洲研究机构也于同期完成了类似的实验。
1.5信息隐藏的基础理论逐渐丰富
信息隐藏的一些研究领域长期偏重实验和经验,近两年这些领域在基础理论方面获得了明显的进展。
信息隐藏的信息论原来一直用于研究数字水印的鲁棒性,但现在已经发展到可以用于衡量隐藏信息的隐蔽性;在鲁棒性之外,数字水印的安全性日益受到重视,可证明安全性的方法在这里也得到了应用,并协助解决了长期困扰水印安全的可反向问题;在软件保护理论方面,B.Lynn和M.Prabhakaran等人证明,迷乱变换在一些情况下存在,这为软件内部的信息保护奠定了基础,Y.Ishai与A.Shai等人发现对执行对象的追踪探测与对共享秘密的发掘或侧信道的探测有联系,他们实际提供了软件内部信息保护的安全性度量方法。
1.6新型网络、计算与应用环境下的信息安全技术迅猛发展
近两年,移动、AdHoc(一种没有有线基础设施支持的移动网络)、传感器和宽带网络迅速发展,推动产生了大量专用、快速的密码算法和安全协议;随着模式识别技术的发展,生物认证也逐渐得到更广泛的研究和应用;此外,当前数字媒体的网络销售与发行逐渐依托数字权限管理系统进行,出现了一些选择广播加密、密钥管理方法和盗版追踪协议,国际标准化组织(1SO/IEC)、开放移动联盟(OMA)和高级内容访问系统(AACS)联盟等标准组织也制定了相应的DRM规范。
以上工作更多地考虑了计算在处理能力、功耗、方便性、带宽、安全的时效性和需求程度、芯片或内存大小等方面的制约,反映了信息安全在更加面向应用和环境的方向上获得了新的发展。
1.7可信计算平台产业化和研究有了坚实的基础
目前,产业界已经提供了数种可信计算平台结构或协处理器,主要包括可信计算工作组(TCG)基于可信平台模块(TPM)的结构、Intel公司的LaGrande结构、ARM公司的TrustZone结构和IBM公司的安全协处理器等,它们促进了这两年可信计算平台的研究。
在系统结构方面,IBM基于TCG提出了以TPM为核心的安全启动框架,开发了TCG-Linux原型系统,R.Lee等人提出将虚拟安全协处理器的功能加入CPU中;在远程证明方面,R.Sailer等人在TCG技术下进行了实验,V.Haldar等人提出了语义远程证明,A.Sadeghi等人提出了基于属性的方法,K.Shi等人还提出了细粒度的技术;在应用方面,R.Sandhu等人提出了基于可信引用监视器(TRM)应用层完成主体对客体的访问控制,J.F.Reid等人对结合TPM和现有操作系统提供DRM功能进行了讨论,W.B.Mao认为可以利用TPM来满足网格安全的要求。
2、国内最新进展
2.1创立了多维xx分式理论
戴宗铎教授等创立了多维连分式理论,并用此理论解决了多重序列中的若干重要基础问题:
针对多重伪随机序列,他们先后提出了可实现最佳有理逼近的多维连分式算法(m-CFA算法)和通用高连分式算法(m-UCFA算法)。
多维连分式理论不仅可作为研究多重伪随序列的有效工具,而且也可以应用于数论、数值计算、通信与编码等领域。
他们利用该理论已经解决了国际上多年来未能解决的一系列难题,如解决了有关d-perfect多重序列的一个猜想,解决了有关二重序列线性复杂度均值的一个猜想,刻画了多重无限长序列线性复杂度的渐进性态,并揭示了m-CFA算法与广义Berlrkamp-Massey算法之间的关系。
2.2杂凑函数分析方法取得重大突破
王小云教授等人在杂凑函数的安全性分析方面做出了创新性贡献,他们提出了一种新的分析杂凑函数的方法——比特跟踪方法,并利用该方法具体分析了广泛使用的SHA-
0、SHA-
1、M
D4、RIPEMD和MD5等杂凑函数,动摇了MD类和SHA类等杂凑函数的设计基础,在国际上产生了重大影响。
2.3PKI关键技术取得重要创新
冯登国教授等人在PKI关键技术方面做出了突出贡献,构建了具有自主知识产权的PKI模型框架,为解决PKI互操作问题和模型复杂问题提供了新的技术途径。
他们提出了双层式秘密分享的入侵容忍证书认证机构(CA),为解决PKI自身安全问题提供了一套国际领先的方案;他们还提出了PKI实体的概念,对现实网络中的人、设备、进程等进行了抽象,将PKI中的所有活动简化为PKI实体之间的交互,解决了PKI概念复杂性的问题,简化了对PKI的理解、设计、实现和应用。
这些成果形成了多项国家标准,为解决PKI系统的互操作和PKI系统的安全等级划分问题提供了科学依据。
2.4量子纠缠的传输距离研究国际领先
近几年来,国际量子信息实验领域取得了一系列突破,但是如何解决量子通信距离短的问题仍然是当今国际上最重要的研究课题之一。
我国学者潘建伟教授等在量子信息的研究方面做出了突出贡献,他在这一领域的工作获得了2005年度欧洲物理学会Fresnel奖。
2005年4月,潘建伟教授的课题组发表了关于13公里自由空间纠缠光子分发的研究成果,这是目前国际上自由空间纠缠光子分发的最远距离,也是目前国际上量子密钥分发的最大距离,这一成果为最终实现实用的量子保密通信奠定了实验基础。
2.5宽带无线网络WAPI安全技术标准引起国际高度关注
WAPI意为“无线局域网认证与保密基础设施”,代表了我国这两年在无线局域网信息安全技术及其标准化方面的新成果。
这项主要由西安西电捷通无线网络通信有限公司张变玲等完成的工作实现了无线IP网络认证和保密的基础架构,使终端和网络接入点进行完整的双向认证,通过接入控制、加密、数据完整性校验和数据源认证等措施,构成了完整的无线局域网认证与保密协议,弥补了同类国际标准的安全缺陷。
WAPI协议通过了ISO/IEC授权机构的审查,获得了批准的以太类型号和TCP/UDP端口,我国也为该协议颁布了两项国家标准并正
在努力争取ISO/IEC全面接受其作为国际标准。
当前,与WAPI协议相关的标准符合检测系统、厂商辅助开发系统和IP核已经研制成功,5个型号的产品获得了3C认证,初步形成了新的产业链。
2.6全国电力二次系统安全防护体系的研究与建设取得重要进展
由国家电力调度通信中心等单位完成的该项工作首次提出了“安全分区、网络专用、横向隔离、纵向认证”的安全策略,建立了全国电力二次系统安全防护体系,推进了我国网络信启、安全技术的行业应用。
该项目自主开发了多种电力专用安全防护产品,实现了生产控制与管理信息系统的有效隔离、电力调度数据网络与其他网络在物理上的安全隔离,研制了具有自主知识产权的安全防护监控平台,利用PKI技术实现了管理信息系统的强身份认证,制定了一系列的技术规范和管理制度,将电力二次系统安全防护纳入日常的安全生产过程。
该技术已经应用于全国省级以上电力调度和电力生产企业实施,显著提高了我国电力控制系统抵御网络攻击的能力。
2.7国家信息安全应用示范工程取得重要进展
近两年,由上海交通大学等单位完成的“信息安全应用示范工程(S219工程)”为我国信息安全保障体系建设进行了积极的探索与实践。
针对我国政府、金融、网络媒体领域急需解决的一些信息安全问题,“S219工程”通过对PKI、大规模网络安全综合管理与监控、网络媒体内容安全管理与监控、信息系统安全检测与评估等信息安全共性关键技术的研究与应用,在单项技术突破、系统集成创新的基础上,构建了政府上网安全应用支撑系统、金融数据交换与安全防御系统、网络媒体内容安全监管与综合防御系统以及证券行业安全在线系统,该项目成果在银行、政务、公安、电力等系统的建设中获得了应用。
3、信息安全科学技术面临五大挑战
尽管当前信息安全科学技术得到了很大的发展,但是,信息技术和应用的不断发展变化也给其带来了巨大挑战,这些挑战主要有五个方面:
(1)通用计算设备的计算能力越来越强带来的挑战
当前的信息安全技术特别是密码技术与计算技术密切相关,其安全性本质上是计算安全性,由于当前通用计算设备的计算能力不断增强,对很多方面的安全性带来了巨大挑战。
如,DNA软件系统可以联合、协调多台空闲的普通计算机,对文件加密口令和密钥进行穷搜已经能够以正常的代价成功实施多类攻击;又如,量子计算机的不断发展向主要依赖数论的公钥密码算法带来了挑战,而新型的替代密码算法尚不成熟。
(2)计算环境日益复杂多样带来的挑战
随着网络高速化、无线化、移动化和设备小开支化的发展,信息安全的计算环境可能附加越来越多的制约往往约束了常用方法的实施,而实用化的新方法往往又受到质疑。
例如,传感器网络由于其潜在的军事用途,常常需要比较高的安全性,但由于节点的计算能力、功耗和尺寸均受到制约,因此难以实施通用的安全方法。
当前,所谓轻量级密码的研究正试图寻找安全和计算环境之间合理的平衡手段,然而尚有待于发展。
(3)信息技术发展本身带来的问题
信息技术在给人们带来方便和信息共享的同时,也带来了安全问题,如密码分析者大量利用信息技术本身提供的计算和决策方法实施破解,网络攻击者利用网络技术本身设计大量的攻击工具、病毒和垃圾邮件;由于信息技术带来的信息共享、复制和传播能力,造成了当前难以对数字版权进行管理的局面。
因此,美国计算研究协会认为,创建无所不在安全网络需求是对信息安全的巨大挑战。
(4)网络与系统攻击的复杂性和动态性仍较难把握
信息安全发展到今天,在对网络与系统攻击防护的理论研究方面仍然处于相对困难的状态,这些理论仍然较难完全刻画网络与系统攻击行为的复杂性和动态性,直接造成了防护方法主要依靠经验的局面,“道高一尺,魔高一丈”的情况时常发生。
(5)理论、技术与需求的差异性
随着计算环境、技术条件、应用场合和性能要求的复杂化,需要理论研究考虑更多的情况,这在一定程度上加大了研究的难度。
在应用中,当前对宽带网络的高速安全处理还存在诸多困难,处理速度还很难跟上带宽的增长,此外,政府和军事部门的高安全要求与技术能够解决的安全问题之间尚存在差距。
4、信息安全科学技术十大重点发展方向
(1)可信计算平台及其安全关键技术
在“可信化”的发展趋势下,需要重点研究可信计算平台的理论与技术,形成多样化的可信计算硬件平台(包括可信P
C、可信服务器以及可信移动终端等)、支持可信计算的安全操作系统和应用软件;以电子政务和电子商务为突破口,基于可信计算平台和相关协议构建安全、高效的应用。
(2)信息安全新技术开发与安全测试评估的模型和工具
为了弥补理论、技术与需求之间的差异,需要研究各类信息安全新技术开发所需的模型,研制一批信息安全技术开发所需的基础工具,包括高性能安全芯片开发模型和工具、信息安全算法研制原形工具、安全协议开发和分析工具等。
还需要研究面向信息系统的安全测试评估,研制基础性的测试评估工具,包括信息安全产品及其安全性的测试评估方法和工具、信息系统安全测试评估工具、网络信息系统安全态势与预测系统等。
(3)网络监控、应急响应与安全管理关键技术
为加强信息网络的可控性和自主防御能力,需要研究国家信息安全监控和应急响应所需要的关键技术,研制新一代安全监控、应急响应与管理系统,需要重点研究的具体领域包括网络安全分析、网络行为分析、内窜识别与过滤、大流量安全处理、网络攻击预警技术、网络安全危机控制与应急支援、主动实时防护模型和技术、入侵容忍和主动攻击技术、数据恢复与备份、安全管理技术,等等。
(4)网络信任保障的理论、技术和体系
为在更大的范围实现授权和认证,需要研究新一代网络信任保障的理论、技术和体系,突破一批网络信任核心理论和技术,开发新一代网络信任保障原形系统。
重点需要研究的领域包括可信网络环境支撑技术、新一代认证授权、访问控制与责任认定技术、新型安全审计技术、可信和权限管理技术、高保障可证明安全的原形系统和体系结构等。
(5)密码与安全协议的新理论与新方法
应对通用计算设备的计算能力越来越强、安全计算环境日益复杂多样以及网络带宽不断增长的挑战,需要重点研究密码与安全协议的新机制、新设计和新的分析方法,研究高速、低功耗密码运算模块的设计、分析和实现技术,研究非常规的密码和协议设计方法,也包括研究各类环境下的安全协议设计等。
(6)网络可生存性理论和技术
为进一步加强网络及其服务在安全异常情况下的可用性,需要重点研究网络可生存性系统和体系结构、设计原理和关键技术,以及研究基于关键服务的可生存性系统的模型和实现方法,也需要获得网络可生存性的分析和评测方法。
(7)逆向分析与可控性技术
为加强对平台系统和软件系统本身的保护,需要重点研究操作系统、网络设备系统和软件系统的自我保护技术。
而从相反的方向,为了实现对信息安全相关产品的控制,需要研究逆向分析的原理和技术。
(8)网络病毒与垃圾信息防范技术
为了实现对网络病毒和垃圾邮件的管理和清除,需要研究网络病毒的传播机理、模型、预警机制和综合防治技术,并研究垃圾信息的产生、分类、识别、传播与阻隔的机理和技术。
(9)新型网络、计算和应用下的信息安全技术
可以预见,随着信息处理的下一代网络技术的进展,新型的网络组织、计算环境和电子事务模式还会出现,这将继续为信息安全提出新的问题。
因此,在这些应用的推动下,信息安全在这一领域仍将会有快速的发展。
(10)主动实时防护模型和技术
亟需研究保障网络和信息系统安全的主动实时防护模型和关键技术,开发主动实时防护原型工具和系统,突破一批主动实时防护关键技术。
应重点研究支撑构建高柔性免受攻击的网络与信息系统的安全关键技术和方法、故障容忍和弹性原型系统、攻击与攻击防护模型和关键技术、可组合与可升级的安全技术和原型系统以及主动实时防护的新模型、新技术和新方法等。
升级会员 