第一章 绪论 本科生必修课《现代密码学》 主讲教师：董庆宽 副教授 研究方向：密码学与信息安全

Presentation on theme: "第一章 绪论 本科生必修课《现代密码学》 主讲教师：董庆宽 副教授 研究方向：密码学与信息安全"— Presentation transcript:

1 第一章 绪论 本科生必修课《现代密码学》 主讲教师：董庆宽 副教授 研究方向：密码学与信息安全
第一章 绪论 主讲教师：董庆宽 副教授 研究方向：密码学与信息安全 个人主页：

2 课程介绍 一、现代密码学的研究范畴 二、课程学习目的和方法 三、学时安排与课程结构 四、考核方式 五、教材、习题和作业 六、参考书

3 一、现代密码学的研究范畴 密码学是一门古老而神秘的科学，有着非常久远的历史，最早源于军事，现代密码学的发展仅有几十年。
课程介绍 一、现代密码学的研究范畴 密码学是一门古老而神秘的科学，有着非常久远的历史，最早源于军事，现代密码学的发展仅有几十年。 现代密码学(Contemporary Cryptology)属信息安全领域的核心技术，是安全防护构建的基础 密码学又称密码编码学，是对信息进行编码实现隐蔽信息内容的一门学问，是保密学的一个分支。 保密学(Cryptology)是研究信息系统安全保密的科学，包含两个重要分支，密码学(Cryptography)和密码分析学(Cryptanalystics)，二者不可分割 密码分析学是研究分析和破译密码的一门学问 本课程重点学习密码学的相关知识，并简要介绍密码分析学一些必要知识

4 一、现代密码学的研究范畴 密码学所能保护的是关于数据的安全和隐私问题 数据是记录信息的一种形式 (信息也可用文字、图象、实物等来记载)
课程介绍 一、现代密码学的研究范畴 密码学所能保护的是关于数据的安全和隐私问题 数据是记录信息的一种形式 (信息也可用文字、图象、实物等来记载) 信息是事物的运动状态和状态变化的方式 在本课程中，信息不是完全的信息论意义上的信息，信息论中信息一定是未知的，但在信息系统中的数字化信息不一定是未知的，它是指在信息系统中存储、处理、传输的数字化信息，即数据 关于“安全”的四个常用词的区别 Security：针对威胁而言的安全，指不受威胁 Privacy：独处而不受干扰，常指隐私 Assurance：更为全面，指保障，确信，担保，当前信息安全发展处于信息保障(Information Assurance)阶段 Safety：指处于安全的状态，安保装置，如食品/消防/人身安全

5 二、课程学习目的和方法 课程学习的目的 学习方法 了解现代密码学基础问题和应用
课程介绍 二、课程学习目的和方法 课程学习的目的 了解现代密码学基础问题和应用 掌握现代密码学的基本概念、理论、算法、标准和设计方法，具备进行密码学理论研究的知识基础； 了解密码学的发展方向和新兴密码技术； 具备在信息网络系统中分析和应用密码技术的能力。 学习方法 前修课程：信息安全数学基础、计算机网络、概率论 增加课外阅读、关注安全发展、学术讲座交流、提高概念理解 实验、讨论等

6 三、学时安排与课程结构 本课程共48学时，24次课 第1章 绪论 4课时 第2章 流密码 7课时 第3章 分组密码 7课时
课程介绍 三、学时安排与课程结构 本课程共48学时，24次课 第1章 绪论 课时 第2章 流密码 课时 第3章 分组密码 课时 第4章 公钥密码 课时 第5章 消息认证算法 课时 第6章 数字签名算法 课时 第7章 密码协议 课时 第8章 密钥分配与密钥管理 课时 基本概念、发展 三大类加解密算法 认证算法 协议 密钥管理

7 四、考核方式 五、教材、习题和作业 笔试80%：填空、选择、判断、计算、证明、综合 平时20%： 作业：复习题+课后作业，至少交80%的作业
课程介绍 四、考核方式 笔试80%：填空、选择、判断、计算、证明、综合 平时20%： 作业：复习题+课后作业，至少交80%的作业 实验：算法编程 教材：《现代密码学》第2版，杨波著，清华大学出版社 复习题：每一章提供若干习题，覆盖所有知识点，也是考试的范围 作业：从教材上的习题和每一章的复习题中留作业， 习题和作业请登录我的个人主页下载 五、教材、习题和作业

8 六、参考书 《密码学导引》，冯登国，裴定一著，科学出版社 在内容上与教材相似，各有长短
课程介绍 六、参考书 《密码学导引》，冯登国，裴定一著，科学出版社 在内容上与教材相似，各有长短 《应用密码学－协议，算法和C源程序》，美国的Bruce Schneier著，吴世忠，祝世雄，张文政等译，机械工业出版社 几乎囊括了现代密码学所有领域，偏重工程实现，可作为开发手册 《通信网的安全－理论与技术》，王育民，刘建伟著，西电出版社 非常全面，对密码学中各个领域的介绍，比较详细，偏重于学术研究的性质，可作为研究手册 《流密码及其应用》，《密码分析学》，《公钥密码学》等等 都是相对深入的针对密码学某个方面的参考书

9 第一章 绪论 1.1 信息安全面临的威胁 1.2 信息安全的模型 1.3 安全业务和网络加密方式 1.4 密码学基本概念
第一章 绪论 1.1 信息安全面临的威胁 1.2 信息安全的模型 1.3 安全业务和网络加密方式 1.4 密码学基本概念 1.5 密码体制的安全性和实用要求 1.6 密码学发展概述

10 1.1 信息安全面临的威胁 安全威胁(Threaten)是信息及信息系统安全的外因，也称为攻击
第一章 绪论 ：1.1 信息安全面临的威胁 1.1 信息安全面临的威胁 安全威胁(Threaten)是信息及信息系统安全的外因，也称为攻击 是一种对系统及其资产构成潜在破坏的可能性因素或者事件。 无论对于多么安全的信息系统，安全威胁是一个客观存在的事物 对密码系统而言，比如对算法的破译、密文的破坏、中间人攻击、密钥的窃取等等都是现实的威胁 安全漏洞(Vulnerability)是信息及信息系统产生安全问题的内因 安全漏洞也叫脆弱性、缺陷、隐患等 密码算法或协议自身的漏洞，为密码分析提供基础

11 1.1.1 安全威胁及其分类 安全威胁分为：自然威胁和人为威胁 自然威胁： 人为威胁： 人为威胁的攻击方式分为两种：主动攻击和被动攻击
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.1 安全威胁及其分类 安全威胁分为：自然威胁和人为威胁 自然威胁： 各种自然灾害(洪水，雷电等)，恶劣的场地环境(漏水，烟火，粉尘，温湿度失调，害虫)、电磁辐射与干扰，系统故障(网络设备自然老化、电源、软硬件故障、通讯故障)等等。 对信息系统具有摧毁性，故障性，秘密泄漏。 人为威胁： 对信息及信息系统的人为攻击 通过寻找系统的弱点，以便达到破坏，欺骗，窃取数据等目的 人为威胁可区分为有意和无意两种 人为威胁的攻击方式分为两种：主动攻击和被动攻击

12 1.1.1 安全威胁及其分类 被动攻击：也称窃听，以获取信息为目的。 仅攻击信息的保密性，不影响正常的网络通信，不对消息作任何修改
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.1 安全威胁及其分类 被动攻击：也称窃听，以获取信息为目的。 仅攻击信息的保密性，不影响正常的网络通信，不对消息作任何修改 搭线窃听、对文件或程序非法复制、木马、对资源的非授权使用 被动攻击又分为两类：获取消息的内容和业务流分析 获取消息的内容：通过破译密文等手段直接获取机密信息的内容 业务流分析： 敌手虽然可能无法从截获的消息中获取内容，但却有可能获知消息的长度，格式，通信双方的位置和身份，通信次数。在商业环境，用户隐私，以及军网中这些消息可能是敏感的。 手机用户不希望通信对端知道自己现在的位置 司令部和作战兵团的位置容易因频繁的指挥通信而暴露 Web用户可能不愿意让人知道自己喜欢访问的站点。

13 1.1.1 安全威胁及其分类 主动攻击：对数据流进行篡改或产生假的数据流 主动攻击很难完全防止，因为它是不断变化的 可分为3类：
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.1 安全威胁及其分类 主动攻击：对数据流进行篡改或产生假的数据流 可分为3类： 中断：对系统可用性进行攻击 破坏计算机硬件，网络，或文件管理系统。如DoS，病毒等 篡改：对完整性进行攻击 修改文件中的数据(数据修改后存储)，替换某一程序使其执行不同功能 修改网络中传送消息的内容等，比如中间节点对转发的图象进行了压缩 伪造：对真实性进行攻击 在网络中插入伪造的消息冒充消息发送者，在文件中插入伪造记录等 重放、假冒、诽谤、中间人攻击（Man-in-the-Middle，简称“MITM”） 主动攻击很难完全防止，因为它是不断变化的

14 1.1.2 安全威胁的来源 安全威胁主要来自于黑客(又称入侵者)和恶意代码(包括病毒)的非法入侵
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 安全威胁主要来自于黑客(又称入侵者)和恶意代码(包括病毒)的非法入侵 在网络信息系统中，来自于系统内部的安全威胁最多，危害往往也最大。 不同的研究结果表明，大约有70%-85%的安全事故来自内部网 这是因为内部人员相比于外部人员有更多的机会接触信息系统的各类资源和设施，而又缺乏有效的监控手段。 针对网络信息系统的安全威胁在表现形式上多种多样，这与系统中存在的不同种类的安全漏洞有直接的关系

15 Man-in-The-Middle Attack Insider/Outsider Leakage
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 来自于黑客和恶意代码的安全威胁表现形式示意图 物理破坏 后门、隐蔽通道 Back door、Covert Channel 特洛伊木马 Trojan Horse 信息丢失、篡改、销毁 Lose/Tamper/Destroy 网络信息系统 病毒Virus 中间人攻击 Man-in-The-Middle Attack 蠕虫Worm 逻辑炸弹 Logic Bomb 拒绝服务攻击 DoS Attack 非授权访问 Unauthorized Access 内部、外部泄密 Insider/Outsider Leakage 监听Sniffer

16 1.1.2 安全威胁的来源 威胁来源之黑客 入侵信息系统的用户：称为黑客Hacker 起源地：美国 黑客通常分为以下几类： 渴求自由
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 威胁来源之黑客 入侵信息系统的用户：称为黑客Hacker 起源地：美国 黑客通常分为以下几类： 善 恶 渴求自由 白帽子创新者 设计新系统 打破常规 精研技术 勇于创新 没有最好， 只有更好 MS Bill Gates GNU -R.Stallman Linux -Linus 灰帽子破解者 破解已有系统 发现问题/漏洞 突破极限/禁制 展现自我 计算机 为人民服务 漏洞发现 - Flashsky 软件破解 - 0 Day 工具提供 - Glacier 黑帽子破坏者 随意使用资源 恶意破坏 散播蠕虫病毒 商业间谍 人不为己， 天诛地灭 入侵者-K.米特尼克 CIH 陈盈豪 攻击Yahoo者-匿名

17 1.1.2 安全威胁的来源 从黑客性质上又可分为如下几种： 无恶意的人(白帽子、灰帽子) 心怀不轨，有报复心理的人 犯罪分子
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 从黑客性质上又可分为如下几种： 无恶意的人(白帽子、灰帽子) 仅仅是破译和进入一个计算机系统，为了展示自己在计算机网络方面的才能，满足某种心理需求(病毒编写者，黑客软件编写者和使用者) 心怀不轨，有报复心理的人 对计算机系统实施破坏，以达到某种心理平衡。比如不满的雇员，竞争的对手 犯罪分子 非法窃取系统资源，对数据进行未授权的修改或破坏计算机系统。 如盗用信用卡号和密码，银行转帐，网络钓鱼等

18 1.1.2 安全威胁的来源 威胁来源之恶意代码 恶意代码可分为两类：
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 威胁来源之恶意代码 恶意代码指病毒、蠕虫等恶意程序，往往是黑客编写使用的工具或者具有独立执行能力的病毒等软件 恶意代码可分为两类： 一类需要主程序，是某个程序中的一段或片段，不能独立于实际应用程序或系统程序 另一类不需要主程序，是可以被操作系统调度和运行的自包含程序 还可根据能否自我复制分类

19 1.1.2 安全威胁的来源 需要宿主程序的恶意代码 病毒： 现代病毒查杀技术：
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 需要宿主程序的恶意代码 病毒： 把自己的副本嵌入到其它文件(可执行文件，网页脚本等)中的方式来感染计算机系统。 包括潜伏、感染和表现三个模块，当被感染文件加载进内存时，这些副本就会执行去感染其它文件，如此不断进行下去。 大致有如下几种： 引导型病毒、文件型病毒、混合型病毒、宏病毒、Java病毒 、网络病毒、脚本病毒、PE病毒 典型传播方法：邮件、USB传播、漏洞… 现代病毒查杀技术： 特征码+启发式+虚拟机+… 云安全技术

20 1.1.2 安全威胁的来源 特洛伊木马 逻辑炸弹： 陷门 第一章 绪论 ：1.1 信息安全面临的威胁 是隐藏在正常程序中完成恶意功能的代码
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 特洛伊木马 是隐藏在正常程序中完成恶意功能的代码 实现远程控制的黑客工具，需要植入受感染系统，需要激活，不能独立运行 盗号，远程控制，攻击的傀儡机等，现代木马有的和蠕虫融合而可独立运行 逻辑炸弹： 古老的程序威胁之一。是嵌入在某个合法程序里面的一段代码，被设置成当 满足特定条件时就会发作，也可理解为“爆炸”。 一旦触发,可能改变或删除数据或文件,引起机器关机或完成某种特定的破坏 工作。 陷门 后门，进入程序的秘密入口，可绕过安全检查和访问控制而获得访问 陷门产生的原因总结为三条： 程序员在程序开发期间故意插入用于程序调试或恶意目的 为了连接未来的扩展而提供的“钩子”（HOOKS）； 为了在程序出错后，了解模块内部各变量的状况；

21 1.1.2 安全威胁的来源 不需要宿主程序的恶意代码 蠕虫 细菌:
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 不需要宿主程序的恶意代码 蠕虫 一般认为“网络蠕虫是一种智能化、自动化，综合网络攻击、密码学和计算机病毒技术，不需要计算机使用者干预即可运行的攻击程序或代码。它会扫描和攻击网络上存在系统漏洞的节点主机，通过局域网或者国际互联网从一个节点传播到另外一个节点” 一旦在系统中被激活,网络蠕虫可以表现得像计算机病毒或细菌，或者可以注入特洛伊木马程序,或者进行任何次数的破坏或毁灭行动。 网络蠕虫传播主要靠网络载体实现。如:①电子邮件机制；②远程执行能力；③远程注册能力：蠕虫作为一个用户注册到另一个远程系统中去,然后使用命令将自己从一个系统复制到另一系统 细菌: 是一些并不明显破坏文件的程序,惟一目的就是繁殖自己。可能什么也不做，以指数级地复制,最终耗尽了所有系统资源(如CPU,RAM ,硬盘等),从而拒绝用户访问这些可用的系统资源

22 1.1.2 安全威胁的来源 了解信息安全事件和发展态势的典型网站 第一章 绪论 ：1.1 信息安全面临的威胁
第一章 绪论 ：1.1 信息安全面临的威胁 1.1.2 安全威胁的来源 了解信息安全事件和发展态势的典型网站 国家互联网应急响应协调处理中心CNCERT/CC 关于安全事件、病毒、攻击的详细报告 是美国的互联网应急中心CERT/CC CERT: computer emergency response team,计算机应急响应组 国际计算机网络入侵防范中心 安全漏洞（跟踪） 公安部国家计算机病毒应急处理中心 官方的病毒预报 中国信息安全博士网------安全周报 关于信息安全方面的各类新闻 IT技术网站：如 更新及时，全面。还有安全视点网站等 杀毒、防火墙、IDS等网络安全公司 360，瑞星，金山，赛门铁克，绿盟，启明星辰，天融信… 密码网站、黑客网站

23 §1.2.1 安全事件 CNCERT/CC: http://www.cert.org.cn/ 第一章 信息系统安全概述
§1.2 安全事件对信息系统的影响 §1.2.1 安全事件 CNCERT/CC: 80：http ：https(加密传输) ：实时流协议

24 §1.2.1 安全事件 举报中心：http://www.12321.cn/index.php 第一章 信息系统安全概述
§1.2 安全事件对信息系统的影响 §1.2.1 安全事件 举报中心：

25 1.2 信息安全的模型 从信息安全的作用点出发，信息安全可划分为如下的四层次模型 物理（实体）安全：基础设施的安全，硬件
第一章 绪论 ：1.2 信息安全的模型 1.2 信息安全的模型 从信息安全的作用点出发，信息安全可划分为如下的四层次模型 物理（实体）安全：基础设施的安全，硬件 运行（系统）安全：系统的安全，OS，数据库等 数据（信息）安全：信息自身的安全，包括信息在系统中产生、处理、存储和传输过程中的泄漏、仿冒、篡改、抵赖等过程所涉及的安全问题，称之为“数据安全”。 内容安全：信息利用的安全、不良内容的过滤，包括有害信息、垃圾邮件、谣言、暴力宣传等等 这些安全层次与安全属性形成交互网格。 密码学主要通过对信息数据自身进行加解密和对消息的来源及实体身份进行认证等手段实现对信息的防护，因此主要解决的是数据安全问题。 信息所面临的安全威胁是来自于各个层面的，要保证信息的安全性就必须从信息的产生、处理、存取和传输的各个环节施加综合防护

26 1.2.1 信息的安全处理 信息的产生和处理需要一个安全的计算环境(也可称为安全 单元，本节重点关注密码处理环境)
第一章 绪论 ：1.2 信息安全的模型 1.2.1 信息的安全处理 信息的产生和处理需要一个安全的计算环境(也可称为安全 单元，本节重点关注密码处理环境) 一个攻击者可能完全控制计算环境，比如窃取root权限的黑客或者 种植在系统中被激活的木马。 这时即使我们使用最好的密码技术对信息进行保密和认证，由于攻 击者可以直接观察到密钥，以及加解密的每一个步骤，信息也没有 任何安全性可言。 如果攻击者在一次攻击中能够获取密钥，则它能够解密使 用该密钥保护的之前的所有密文以及之后对新消息的伪造， 这将给系统带来灾难，这就是所谓的前向安全和后向安全 的问题

27 1.2.1 信息的安全处理 安全计算环境根据对攻击者能力的假设不同，大致可分为如下几种情况 （一）黑盒攻击与黑盒密码(隔离与非干涉模型)
第一章 绪论 ：1.2 信息安全的模型 1.2.1 信息的安全处理 安全计算环境根据对攻击者能力的假设不同，大致可分为如下几种情况 （一）黑盒攻击与黑盒密码(隔离与非干涉模型) 这是传统的处理模型。攻击者并未实质性地接触到密钥（执行加密或者 解 密的算法）或者任何内部操作，仅仅能观察到一些外部信息或者操作。 这些信息包括 系统内的明文（输入）或者密文（输出），并且认为代码执 行以及动态加密不可被观察。 在现实中，这种理想环境的实现并不容易，当前流行的方法是采用黑盒密 码，主要是靠硬件加密芯片来实现，通过设计一个专用的硬件芯片，将密 钥及加解密运算封闭在硬件中对于用户和任何进程而言它就是一个黑盒 子。 显然该加密芯片与用户的系统是独立的，攻击者即使控制了系统，也无法 对封装的芯片进行攻击。这是目前电子支付领域有卡支付中的典型方法 目前很多实用系统没有采用硬件芯片支持，直接在系统中用软件实现加解 密处理，这要求整个系统必须是安全的，不会被黑客或木马所攻击，当然 很难构成有效的黑盒环境，比如可信计算模块TPM

28 1.2.1 信息的安全处理 （二）灰盒攻击与灰盒密码（屏蔽与置乱模型）
第一章 绪论 ：1.2 信息安全的模型 1.2.1 信息的安全处理 （二）灰盒攻击与灰盒密码（屏蔽与置乱模型） 灰盒方案认为攻击者可以实质性地接触到部分密钥或者泄露的信息（也就是所谓的边信道信息） 边信道分析攻击（Side Channel Analysis, SCA）利用了从密码系统运行过程中泄露的信息。泄露信息是通过被动观察时间信息、功率消耗、电磁辐射等而获 得的。因为边信道攻击速度快且成本低，所以对边信道攻击的防护非常重要。公开的 边信道信息使得黑客们可以有效地破解部分密钥以致密钥的功效大大降低，使密钥保护性能失效。 实际上，灰盒密码技术是传统黑盒应用的副产品。采用内部加密的智能卡即便是被普 遍认为具有很高安全性，仍被证实能向外部泄露信息。因此灰盒攻击是黑盒密码需要解决的一个重要问题 目前灰盒密码的研究一直是个热点，即抗边信道攻击的密码技术， 除了增强屏蔽性能外还需要对加解密过程进行置乱

29 1.2.1 信息的安全处理 （三）白盒攻击和白盒密码（密钥和代换的隐藏）
第一章 绪论 ：1.2 信息安全的模型 1.2.1 信息的安全处理 （三）白盒攻击和白盒密码（密钥和代换的隐藏） 白盒密码技术假定攻击者已经完全控制了整个操作过程且对 此完全 可见，在此情况下来处理面临的更为严重的威胁。黑客们可以自如 地观察动态 密码运行过程（拥有示例密钥），并且内部算法的详细 内容完全可见，可随意更改。尽管白盒密码技术的方法完全透明， 但是它将密码进行了组合使得密钥不容易被提取。 白盒密码技术使得基于纯软件来实现安全的加解密，而不泄露密钥 成为可能。会减少实际部署的成本和复杂性。在无卡电子支付、数 字版权保护等领域都十分重要，能使对称密码变为公钥密码 白盒密码研究尚不成熟，已有方案的基本思想是将密钥和密码算法 中的映射针对所有输入制成一张输出表，加密就是查表，而攻击者 想要从表中恢复密钥是困难的。这里的映射也需要置乱处理。 也有人把单向函数(包括hash函数和陷门单向函数加密)归入白盒密 码

30 1.2.1 信息的安全处理 信息的安全处理模型描述了密码技术的安全计算环境 信息资产的重要性和敏感性，以及攻击者的能力都对采用的方案有影响
第一章 绪论 ：1.2 信息安全的模型 1.2.1 信息的安全处理 信息的安全处理模型描述了密码技术的安全计算环境 信息资产的重要性和敏感性，以及攻击者的能力都对采用的方案有影响 应用中也不是安全性越高越好，够用就行

31 1.2.2 信息安全的访问控制模型 访问控制主要解决的是用户对信息进行权限范围内安全的 存取 信息系统的经典的防护模型
第一章 绪论 ：1.2 信息安全的模型 1.2.2 信息安全的访问控制模型 访问控制主要解决的是用户对信息进行权限范围内安全的 存取 其任务是根据访问者的身份和被授予的权限来决定其是否能够对存 储的数据进行相应的读写或其他操作。 密码技术是实现访问控制的重要组件，如对存储的信息加密，拥有 密钥的人就具有了读写的权限；用户访问信息需要密码技术进行身 份认证等等，在网络环境下，访问控制和安全传输是被同时考虑的 信息系统的经典的防护模型

32 1.2.2 信息安全的访问控制模型 信息系统的访问控制模型，针对主机或文件等，对非授权访问有两道防线： 访问控制模型的更一般的抽象模型
第一章 绪论 ：1.2 信息安全的模型 1.2.2 信息安全的访问控制模型 信息系统的访问控制模型，针对主机或文件等，对非授权访问有两道防线： 第一道防线是守卫者：基于通行字的登录程序和屏蔽程序，分别用于拒绝非授权的访问、检测和拒绝病毒：外部访问控制 第二道防线由一些内部控制部件构成，管理系统内部的各项操作和分析所存有的信息，检查是否有未授权的入侵者。内部访问控制、安全管理和审计 访问控制模型的更一般的抽象模型 实施功能模块执行访问控制机制 决策功能模块表示一组访问控制规则和策略

33 第一章 绪论 ：1.2 信息安全的模型 1.2.3 信息的安全传输模型 通信双方传递某个消息，需要建立一个逻辑信道，如网络中的路由，这需要安全传输技术。如下给出的是信息的安全传输模型。包括两个基本成份和一个可选成份 消息的安全传输：包括对消息的加密和认证，以保证消息的保密性和发送者身份的真实性 并不是所有的通信都需要保密 甚至有的通信不需要认证 通信双方共享的秘密信息，如密钥，算法参数等。需要一个安全通道 必须依靠人工或物理手段初始化该信道，一般依托共享主密钥实现 有时需要一个可信的第三方，分发密钥，建立安全通道，或仲裁

34 1.2.3 信息的安全传输模型 模型给出了安全的网络通信必须考虑的4个要素 密码学的研究主要围绕着这4个方面进行 1）加密、认证算法
第一章 绪论 ：1.2 信息安全的模型 1.2.3 信息的安全传输模型 模型给出了安全的网络通信必须考虑的4个要素 1）加密、认证算法 2）用于算法的秘密信息：密钥，秘密参数等 3）秘密信息的分发与共享：存在秘密信息分发的安全通道（多数情况通过可信第三方来实现或物理手段实现） 4）使用加密算法和秘密信息以获得安全服务所需要的协议：解决如何安全通信，(加密和认证协议) 密码学的研究主要围绕着这4个方面进行

35 第一章 绪论 ：1.3 安全业务和网络加密方式 1.3 安全业务和网络加密方式 密码技术主要是能够对数据提供必要的保护，然而根据安全威胁的多 样性，以及数据敏感性的不同，所需要的安全业务也不同。这里的安 全业务也叫安全服务或者安全属性 ISO提出的OSI安全体系架构ISO 是一个普遍适用的安全体系结 构，建立在OSI开发系统互联七层模型之上，解决互联网络安全问题， 其核心内容是保证异构计算机系统进程与进程之间远距离交换信息的 安全，针对数据信息的保护 系统的提出了数据安全所需的5种安全业 务 同时当我们使用密码技术来保护网络中传输的数据时，如何进行加密 能够尽可能少的造成信息泄露也是本节讨论的一个重要内容。 本节主要介绍三个方面的内容： 1.3.1 OSI开放系统互联模型 1.3.2 OSI开放系统安全体系结构和安全业务 1.3.3网络加密方式

36 1.3.1 OSI开放系统互联模型 可将7层继续分为高层和底层两类
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.1 OSI开放系统互联模型 描述信息如何从一台计算机的应用层软件通过网络媒体传输到另一台计算机的应用层软件 OSI参考模型是由7层协议组成的概念模型，每一层协议分别执行一个任务，各层间相互独立，互不影响，如右图所示 可将7层继续分为高层和底层两类 高层论述的是应用问题，通常用软件实现 最高层（应用层）最接近用户，用户和应用层通过通信应用软件相互作用 低层负责处理数据传输问题，物理层和数据链路层由硬件和软件共同实现，而其他层通常只是用软件来实现。 最底层（物理层）最接近物理网络介质（如网络电缆），其职责是将信息放置到介质上

37 第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.1 OSI开放系统互联模型 物理层 提供为建立、维护和拆除物理链路所需要的机械的、电气的、功能的和规程的特性。如调制方式，带宽，编码方式等 提供有关在物理链路上传输非结构的位流以及故障检测指示 物理联网媒介：电缆，网卡，PC机 数据链路层 MAC 在网络层实体间提供数据发送和接收的功能和过程 提供数据链路的流控 交换机等设备工作在此层，在不可靠的物理链路上进行可靠的物 理传输（解决一跳链路上数据传输的可靠性，如差错） 网络层(如IP协议，非连接的，常见的设备：路由器) (1) 控制分组传送系统的操作、路由选择、拥塞控制、网络互联等 功能，它的作用是将具体的物理传送对高层透明 (2) 根据传输层的要求选择服务质量 (3) 向传输层报告未恢复的差错

38 1.3.1 OSI开放系统互联模型 第一章 绪论 ：1.3 安全业务和网络加密方式 传输层（可靠的端到端通信服务）
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.1 OSI开放系统互联模型 传输层（可靠的端到端通信服务） (1) 提供建立、维护和拆除传送连接的功能 (2) 在选择网络层提供最合适的服务：收发速率，包分片，序列号… (3) 在系统之间提供可靠的、透明的数据传送，提供端到端的错误恢复和流 量控制 会话层（建立、维护和管理会话） (1) 提供两进程之间建立、维护和结束会话连接的功能 建立通信链接，保持会话过程通信连接的畅通，同步两个节点之间的会 话，决定通信是否被中断以及通信中断时决定从何处重新发送… (2) 提供交互会话的管理功能，如3种数据流方向的控制，即一路交互、两 路交替和两路同时会话模式 表示层 (1) 代表应用进程协商数据表示 (2) 完成数据转换、格式化和文本压缩 应用层（应用程序间通信） 提供OSI用户服务，例如事务处理程序、文件传送协议、邮件、网页和网 络管理等

39 第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.2 TCP/IP分层模型 TCP/IP是Internet的基本协议，是“传输控制协议TCP (transmission control protocol)和互联网协议 IP(Internet protocol)”的简称 TCP/IP是由一系列支持网络通信的协议组成的协议簇集合 TCP/IP可以采用与OSI结构相同的分层方法来建立模型，分为4层 ①应用层：将OSI高层(应用层、表示层和会话层)的功能合并为一层 ②传输层：在功能上，等价于OSI的传输层，传输层协议有两个： TCP和用户数据报协议UDP(user datagram protocol)。 TCP协议是一个面向连接的协议，在建立通信之前收发双方要经 过握手，确认彼此在线和畅通，是为在无连接的网络业务上运行 面向连接的业务而设计的； UDP是无连接传输协议，不需握手，直接发送，语音视频流等， 也常使用存储转发协议，如邮件系统 ③IP层：在功能上，这一层等价于OSI的网络层 ④接口层：在功能上，这一层等价于OSI的数据链路层和物理层

40 TCP/IP 基本逻辑结构，其中ENET仅为网络媒质之一
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.2 TCP/IP分层模型 IPv4协议簇 TCP/IP 基本逻辑结构，其中ENET仅为网络媒质之一 传输层 网络层 应用层 SMTP Telnet FTP HTTP BOOTP TFTP SNMP RPC/NFS TCP UDP IP ICMP IGMP ARP ENET RARP DNS 接口层

41 1.3.3 OSI安全体系结构和安全业务 OSI安全体系结构的基本思想是：
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 OSI安全体系结构的基本思想是： 为了全面而准确地满足一个开放系统的安全需求，必须在七个层次中提供必需的安全服务、安全机制和技术管理，以及它们在系统上的合理部署和关系配置。 该体系结构具体提出 设计安全信息系统的基础架构中应该包含的五类安全业务(安全服务/功能)； 能够对这五类安全服务提供支持的八类安全机制和五种普遍安全机制； 三种OSI安全 管理方式 该体系还将这些服务和机制与七层协议进行映射

42 1.3.3 OSI安全体系结构和安全业务 OSI安全体系结构中定义了5大类安全业务，也称安全服务或安全防护措施，包括：
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 OSI安全体系结构中定义了5大类安全业务，也称安全服务或安全防护措施，包括： 鉴别、访问控制、数据机密性、数据完整性、抗抵赖性(不可否认性) 1. 鉴别业务，也称认证业务，Authentication 鉴别是最基本的安全服务，是对付假冒攻击的有效方法，以保障通信的真实性，鉴别可以分为对等实体鉴别和数据源鉴别 (1) 对等实体鉴别， 即身份认证，如主机和终端，主机和服务器等。保障身份的真实性，通信双方都相信对方是真实的，这种服务可以是单向的，也可以是双向的，可以带有有效期检验，也可以不带。 (2) 数据源鉴别，保障通信连接的真实性，通信连接不能被第三方介入，以假冒其中的一方而进行非授权的传输或接受。单向通信：认证业务功能是使接收者相信消息确实是由它自己所声称的那个信源发出的。

43 1.3.3 OSI安全体系结构和安全业务 2. 访问控制 Access Control
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 2. 访问控制 Access Control 访问控制用于防止资源的未授权使用，控制的实现方式是认证，检查用户是否有对某一资源的访问权。 在OSI安全体系结构中，访问控制的安全目标是： (1) 通过进程（可以代表人员或其他进程行为）对数据、不同进程或其他计算资源的访问控制 (2) 在一个安全域内的访问或跨越一个或多个安全域的访问控制 (3) 按照其上下文进行的访问控制。如根据试图访问的时间、访问者地点或访问路由等因素的访问控制 (4) 在访问期间对授权更改做出反应的访问控制 通常的，访问控制与授权紧密联系，并且由认证服务来实现

44 1.3.3 OSI安全体系结构和安全业务 3. 数据机密性业务，防止被动攻击，Confidentiality
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 3. 数据机密性业务，防止被动攻击，Confidentiality 机密性就是保护信息（数据）不泄露或不泄露给那些未授权掌握这一信息的实体，如防止消息内容泄漏，被窃听。 在信息系统安全中需要区分两类机密性服务： 数据机密性服务：使攻击者想要从某个数据项中推出敏感信息是十分困难的 业务流机密性服务：使攻击者想要通过观察通信系统的业务流来获得敏感信息是十分困难的如防止敌手进行业务流分析，以获得信源，信宿，次数，消息长度等 按保护范围的大小可分为若干级 高级保护：一段时间内保护用户之间传输的所有数据 低级保护：包括对单个消息的保护和一个消息的某个域的保护(网络数据包)

45 1.3.3 OSI安全体系结构和安全业务 在机密性业务中有一类特别的分支被称为隐私Privacy
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 在机密性业务中有一类特别的分支被称为隐私Privacy 1890年, Samue lW arren等将隐私定义为保持个人独处的权利 一般地, 网络隐私是指网络用户隐藏个人信息以及控制个人信息被他人共享的权利。其中, 网络用户的个人信息主要包括: 1) 个人数据, 如姓名、职业、通讯地址、电话、Em a il地址等; 2)数字行为, 如浏览了哪些网站、停留了多长时间、看了哪些网页以及订购了哪些商品等; 3) 通信内容, 包括电子邮件、公告牌留言、在线选举等。4) 用户位置，包括用户当前所在的位置、通信频次和对象、是否在某个预定区域等等。 概括起来隐私主要包括：位置、数据、身份、缺席等几个方面 作为安全概念，保密和隐私之间的本质区别是，保密试图将可以通过简单观察和分析从别人那里获得的信息隐藏起来，它是敏感的但不一定是个人的隐私，比如一个企业的核心技术。而隐私则试图防止人们之间的交流信息被截获。它的泄漏会给个人的名誉、喜好等独立的属性受到损失。由于隐私采用的安全技术，包括访问控制、加密和验证也经常应用在保密领域，所以两者有时很容易被混为一谈 如位置这一敏感信息，对于司令部而言，位置是一种保密属性而不是隐私范畴，而某个移动用户当前所在的位置就可以看成是一种隐私属性。

46 1.3.3 OSI安全体系结构和安全业务 4. 数据完整性业务，Integrity
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 4. 数据完整性业务，Integrity 完整性服务用于对抗数据在存储、传输等处理过程中受到的非授权修改 ，如用于消息流：保证所接收的消息未经复制、插入、篡改、重排、或重放。即保证接收的消息和发送的消息完全一样 和机密性一样可以实现不同粒度的完整性保护 还能用于一定程度上对已经毁坏的数据进行恢复。 注意： 完整性业务主要针对消息流的篡改和业务拒绝(重放)，用于单个消息或一个消息某一选定域的完整性时仅用来防止对消息的篡改。 满足完整性业务，不一定同时满足认证性，因为敌手可以假冒合法用户发送满足完整性的数据包 如发送者可以用公钥加密消息给接收方，接收方可以验证消息的完整性，但不能确知是谁发的

47 1.3.3 OSI安全体系结构和安全业务 5. 抗抵赖业务，即不可否认性业务，Non-Repudiation
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.3 OSI安全体系结构和安全业务 5. 抗抵赖业务，即不可否认性业务，Non-Repudiation 用于防止通信双方中的某一方对所传送的消息的否认，保护通信实体免遭来自其他合法实体的威胁 一个消息发出后，接收者能够证明消息的真实来源，发送者能够证明接收者确已接收了该消息 OSI定义的抗抵赖服务有两种类型： (1) 有数据原发证明的抗抵赖：为数据的接收者提供数据的原发证据，使发送者不能抵赖这些数据的发送或否认\发送内容 (2) 有交付证明的抗抵赖：为数据的发送者提供数据交付证据，使接收者不能抵赖收到这些数据或否认接收内容。 以上这五种数据安全业务是信息安全的重要需求，它们几乎都是依赖于密码学实现 通过适当的密码算法和密码协议，以及相关密码管理设施来实现

48 1.3.4 网络加密方式 1．基本方式 网络加密的基本方式有两种：链路加密和端到端加密
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 1．基本方式 网络加密的基本方式有两种：链路加密和端到端加密 (1) 链路加密是指每个易受攻击的链路两端都使用加密设备进行加密 在网络中仅在相邻节点之间加密，数据在该通信链路上的传输是 安全的。 缺点是在交换机中数据报易受到攻击。原因是交换机必须读取数 据报报头以便为数据报选择路由，因此数据报每进入一个分组交 换机后都需要一次解密 链路加密时，每一链路两端的一对结点都应共享一个密钥，不同 结点对共享不同的密钥。因此需提供很多密钥，每个密钥仅分配 给一对结点。

49 1.3.4 网络加密方式 (2) 端到端加密是指仅在一对用户的通信线路两端(即源节点和终端节点)进行加密 可防止对网络上链路和交换机的攻击
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 (2) 端到端加密是指仅在一对用户的通信线路两端(即源节点和终端节点)进行加密 可防止对网络上链路和交换机的攻击 还能提供一定程度的认证，因为源节点和终端节点共享同一密钥，所以终端节点相信自己收到的数据报的确是由源节点发来的。链路加密方式不具备这种认证功能 端到端加密的缺点：IP包的报头和路由选项等所有不具有端到端特性的数据无法加密，主机只能对数据报中的用户数据部分加密而报头则以明文形式传送，这样虽然用户数据部分是安全的，然而却容易受业务流量分析的攻击

50 第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 (3) 两种加密方式结合使用 主机用端到端加密密钥加密数据报中用户的数据报部分，然后用链路加密密钥对整个数据报再加密一次。可以提高安全性 数据包每经过一个交换机或路由器，要进行一次链路解密，读取IP报头和路由选项，再用下一链路的密钥重新加密发给下一跳的交换机。所以当两种加密方式结合起来使用时，除了在每个交换机内部数据报报头是明文形式外，其它整个过程数据报都是密文形式

51 1.3.4 网络加密方式 2．端到端加密的逻辑位置 第一章 绪论 ：1.3 安全业务和网络加密方式
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 2．端到端加密的逻辑位置 是指将加密功能放在OSI参考模型的哪一层，可有几种选择 (1) 同一网络内，最低层的端到端加密可在网络层进行 任意两个终端如果共享同一密钥和加密方案，就可进行保密通信。在两个终端之间的所有实体之间的通信都将被同一密钥所保护。 这里实体是指用户或进程、而一个终端中可能运行多个不同的实体 (2) 一种特例是当两个用户是同一网络内的相邻节点时，链路加密也可以称为端到端加密 (3) 跨两种不同网络或需要存储转发网关时，端到端加密只能在应用层(TCP/IP协议中的应用层)数据进行加密。 比如IPv4网络实体和IPv6网络实体通信、 OSI结构和TCP/IP结构网络互连、电子邮件(需要邮件服务器进行存储转发) 这些情况均需要网关的支持，比如协议转换网关、邮件服务器等，在网关中，必须提取应用数据重新打包传输

52 第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 如图：用电子邮件网关沟通两个互联网，分别使用OSI结构和TCP/IP结构。则两个互联网之间的应用层以下不存在端到端协议 从一个端系统发出传输和连接到邮件网关后即终止，邮件网关再建立一个新的传输并连接到另一端系统。即使两个互联网使用同一结构，也是如此 因此对诸如电子邮件这种具有存储转发功能的应用，只有在应用层才有端端加密功能 一条链路 在一个网络内部范围 可跨网

53 1.3.4 网络加密方式 应用层加密的缺点是需考虑的实体数目将显著地增加
第一章 绪论 ：1.3 安全业务和网络加密方式 1.3.4 网络加密方式 应用层加密的缺点是需考虑的实体数目将显著地增加 比如网络中有数百个主机，则需考虑的实体（用户和进程）可能有数千个，不同的一对实体需产生一个不同的密钥，因此需要产生和分布更多的密钥。 改进的方法是在分层结构上，越往上层则加密的内容越少 需要说明的是，多数应用在网关中需要处理TCP连接，所以网关可以解密数据，它当然要知道密钥，这时的网关是源或目的节点 网关也可看做是一种存储转发设备，比如邮件网关

54 第一章 绪论 ：1.4 密码学基本概念 1.4.1保密通信理论 1948和1949年，信息论之父Shannon分别发表了“通信中的数学理论”和“保密学的通信理论”两篇划时代意义的论文，分别为通信和保密技术的发展奠定了基础 保密通信系统可以隐蔽和保护需要发送的消息，使未授权者不能提取信息，如图所示

55 1.4.1保密通信理论 明文：发方将要发送的消息m， 密文：明文被变换成看似无意义的消息c 加密：将明文变换成密文的过程
第一章 绪论 ：1.4 密码学基本概念 1.4.1保密通信理论 明文：发方将要发送的消息m， 密文：明文被变换成看似无意义的消息c 加密：将明文变换成密文的过程 密码员：对明文进行加密操作的人员 加密算法：密码员对明文加密时所采用的一组规则 解密：由密文恢复出原明文的过程 接收者：传送消息的预定对象(授权者) 解密算法：接收者对密文解密时所采用的一组规则 密钥：加密和解密算法的操作都是在一组密钥下控制进行的，分别称为加密密钥k1和解密密钥k2， K1和K2分别表示加密和解密的密钥空间，k1K1，k2K2

56 1.4.1保密通信理论 单钥密码体制：传统密码体制所用的加密密钥和解密密钥相同k1＝k2，称为单钥密码体制，也称为对称密码体制
第一章 绪论 ：1.4 密码学基本概念 1.4.1保密通信理论 单钥密码体制：传统密码体制所用的加密密钥和解密密钥相同k1＝k2，称为单钥密码体制，也称为对称密码体制 双钥密码体制：加密密钥和解密密钥不相同，称为双钥密码体制，也称为非对称密码体制或公钥体制 截收者：在信息传输和处理系统中，还有非授权者，采用窃听(搭线，电磁，声音)的方式窃取机密信息 密码分析： 截收者不知密钥，但通过分析可能从截获的密文中推断出原来的明文或密钥，这一过程称为密码分析 密码分析员：从事密码分析的人员 密码分析学：与密码学相对应的，研究如何从密文推演出明文、密钥或解密算法的学问――研究分析和破译 对保密通信系统采用截获密文进行分析的这类攻击称为被动攻击 主动攻击：非法入侵者、攻击者或黑客主动向系统窜扰，采用删除，增添，重放、伪造等手段向系统注入假消息

57 1.4.1保密通信理论 如图所示的保密通信系统 M表示明文消息空间、C表示密文消息空间
第一章 绪论 ：1.4 密码学基本概念 1.4.1保密通信理论 如图所示的保密通信系统 M表示明文消息空间、C表示密文消息空间 密钥空间为K1和K2，单钥密码下K1＝K2＝K，密钥K需经过安全的秘密信道发送给接收方 加密变换EK1：M→C，用加密器来实现 解密变换DK2：C→M，用解密器来实现 称总体(M,C, K1, K2, EK1, DK2,)为保密通信系统或密码体制

58 1.4.1保密通信理论 加解密变换过程 密码分析过程 密码算法是指一组变换规则，密码体制还包括参数要求，对称或非对称等等更全面的信息
第一章 绪论 ：1.4 密码学基本概念 1.4.1保密通信理论 加解密变换过程 对于给定的明文消息mM，密钥k1K1，加密变换将明文m变换为密文c，即 c＝f(m,k1)=EK1(m) 接收方利用通过安全信道送来的密钥k(kK,单钥体制下)或用本地密钥发生器的解密密钥k2(k2K2，双钥下)控制解密操作D，对密文变换得到恢复的明文消息 m＝DK2(c), mM，k2K2 密码分析过程 密码分析者，用其选定的变换函数h，对截获的密文c进行变换，得到明文，是明文空间的一个元素 计算m=h(c)，一般的m≠m，如果相等，则分析成功 密码算法是指一组变换规则，密码体制还包括参数要求，对称或非对称等等更全面的信息

59 1.4.2 密码体制分类 按密钥对密码体制分类：对称密码体制和非对称密码体制 如图所示： 还有一类是无密钥体制 hash函数(单向函数)
第一章 绪论 ：1.4 密码学基本概念 1.4.2 密码体制分类 按密钥对密码体制分类：对称密码体制和非对称密码体制 如图所示： 还有一类是无密钥体制 hash函数(单向函数) 对称密码体制： 加解密密钥相同。也称为单钥密码体制、秘密钥密码体制 功能：数据加密，消息认证(如消息认证码) 特点：加解密或认证的速度快，无密文扩展，硬件实现资源消耗低 密钥产生和管理是该类体制研究的主要问题之一 按明文消息的加密方式，对称密码体制又可分为两类： 明文消息按字符或比特逐位加密，称之为流密码 需要一个至少和明文一样长的密钥流 将明文消息分组(含有多个字符)，逐组进行加密，称之为分组密码 用同一个密钥分别对不同的分组按照一定的运行模式加密

60 1.4.2 密码体制分类 非对称密码体制：也称为公钥密码体制或双钥密码体制 每个用户有一对密钥，加密秘钥和解密密钥不同
第一章 绪论 ：1.4 密码学基本概念 1.4.2 密码体制分类 非对称密码体制：也称为公钥密码体制或双钥密码体制 每个用户有一对密钥，加密秘钥和解密密钥不同 加密密钥是公开的，像电话号码一样进行注册公布，称为公开密钥 Public key，简称公钥；Pk 解密密钥是秘密的，称为秘密密钥private key，由用户私有，简称 私钥Sk 功能：数据加密、身份的认证等 可以实现由多个用户加密的消息，只能有一个人解读，可用于公 网中实现保密通信； 或由一个用户加密的消息，可由多个用户解读，可用于实现对用 户的认证 特点：加解密能力分开，由公钥推导私钥很难，反之则容易 运算量大，速度慢，通常有密文扩展，硬件实现成本高

61 1.4.3 针对密码系统的典型攻击 这里的攻击类型主要是针对各类密码体制的攻击而非对安全协议的攻击 有4种主要对密码系统的攻击类型
第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 这里的攻击类型主要是针对各类密码体制的攻击而非对安全协议的攻击 有4种主要对密码系统的攻击类型 在下面我们把使用加密算法对明文进行加密的装置称为加密机 相应的对密文解密的装置称为解密机，这两个概念可以是抽象的概念 攻击类型 攻击者掌握的内容 惟密文攻击 加密算法，截获的部分密文 已知明文攻击 加密算法，截获的部分密文， 一个或多个明密文对 选择明文攻击 自己选择的明文消息及由密钥产生的相应密文 选择密文攻击 自己选择的密文消息及相应的被解密的明文

62 1.4.3 针对密码系统的典型攻击 惟密文攻击 一般采用穷搜索技术，对截获密文用所有可能密钥去试
第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 惟密文攻击 一般采用穷搜索技术，对截获密文用所有可能密钥去试 这种方式最困难，如果有足够的计算时间和存储容量，原则上可成功，但实用密码算法在设计上都会使穷搜索实际上不可行 如果一个密码算法不能抵抗惟密文攻击，则就被彻底破译了，比如56比特密钥的DES算法 另外仅知道很少量的密文要实现惟密文攻击是不现实的，因为对任何一个密文，采用任何一个密钥都可以解密出一个所谓的明文，如果我们不知道明文的特征的话是无法确定解密的正确性的，因此必须知道明文的特性或者统计特性。因为有时明文本身就是随机数。无条件安全的算法也是一个例子 所以仅根据密文和算法的全盲破译是无法实现的 比较有效的方式是截获一个明密文对，或知道明文的范畴

63 第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 已知明文攻击 在很多情况下，敌手可能有更多的信息，也许能够截获一个或多个明文及其对应的密文，或消息中将出现某种明文格式，这时的攻击称为已知明文攻击，敌手也许能从已知的明文被变换成密文的方式得到密钥 一种相关的攻击方法称为可能字攻击：对一篇散文加密，敌手对消息含义知之甚少，然而对非常特别的消息加密，敌手也许能知道消息中的一部分。例如发送一个加密的帐户文件，某些关键字在包头的位置敌手可能知道。如ps格式文件开始位置总是相同的 如果被加密的消息空间很小的话，也可实现可能字攻击 比如公钥密码中，如果被加密的消息是DES的56bit的密钥，那么攻击者可疑用公钥对所有可能的DES密钥加密，然后看哪一个密钥的密文和要攻击的密文相同，则可实现破译

64 1.4.3 针对密码系统的典型攻击 选择明文攻击CPA 选择密文攻击CCA
第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 选择明文攻击CPA 如果攻击者能在加密系统中插入自己选择的明文消息，则通过该明文消息对应的密文有可能确定出密钥的结构，明文可以是精心选择的 这时可以假设攻击者暂时控制的加密机，但不知密钥 选择密文攻击CCA 攻击者利用解密算法，对自己所选的密文解密出相应的明文，有可能确定出密钥信息 这时可以假设攻击者暂时控制的解密机，但不知密钥

65 1.4.3 针对密码系统的典型攻击 对密码攻击的三种重要方法 穷举攻击法(Exhaustive Attack method),
第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 对密码攻击的三种重要方法 穷举攻击法(Exhaustive Attack method), 又称为强力法(Brute-force method)，蛮力攻击，暴力破解，完全试凑法(complete trial-and –error method) 对密文用各种可能密钥去试译，直至得到有意义的明文 对所有可能的明文加密直到与截获的密文一致为止，这时攻击者不知道密钥，但能够控制加密机加密 只要有足够的时间和存储空间，原则上都会成功的

66 1.4.3 针对密码系统的典型攻击 统计分析法 数学分析法 利用明文的已知统计规律进行破译
第一章 绪论 ：1.4 密码学基本概念 1.4.3 针对密码系统的典型攻击 统计分析法 利用明文的已知统计规律进行破译 密码破译者对截获的密文进行统计分析，总结期间的统计规律，并与明文的统计规律进行对照比较，从中提取出明文和密文之间的对应或变换信息。 因此在算法设计时明文的统计特性充分扩散到密文中去是一个非常重要的指标 数学分析法 针对密码算法设计的数学规律，通过数学求解方法来破解

67 1.5 密码体制的安全性和实用要求 密码体制的安全性与攻击者的计算能力具有密切关系 而攻击者的计算能力常用时间复杂度和空间复杂度来描述
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 密码体制的安全性与攻击者的计算能力具有密切关系 而攻击者的计算能力常用时间复杂度和空间复杂度来描述 首先，一个理想的攻击者，我们常常假设其具有无限计算资源和存储资源(时间、空间、金钱、设备等)，可称为无限计算能力敌手 指数复杂度 O(2n)，随着输入长度的增加，呈现指数增长， 在经典计算机下，指数复杂度的计算是困难的，因此一个密码算法的破译复杂度达到指数级，则认为是安全的，尤指一些基于大数分解和离散对数的公钥密码算法 在量子计算机下，有些指数复杂度的计算则相当于经典计算机下的多项式时间/空间复杂度，因此如果量子计算成功的话，一些密码算法则会被轻易破译 多项式复杂度O(na)，该类计算一般被认为是容易的 还有一类是概率多项式时间的，如millar-rabin素性检验，PPT 以充分大的概率在多项式时间内完成，认为是计算上容易的

68 1.5 密码体制的安全性和实用要求 根据敌手的不同能力，密码体制有如下几种安全性
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 根据敌手的不同能力，密码体制有如下几种安全性 (1) 无条件安全 unconditional security 一个加密算法是无条件安全的，如果算法产生的密文不能给出惟一决定相应明文的足够信息。此时无论敌手截获多少密文，花费多少时间，都不能解密密文，即使解出也无法验证结果的正确性(One-Time-Pad) 。即对算法的破译不比猜测有优势 Shannon指出仅当密钥至少和明文一样长时，才能达到无条件安全，即除了一次一密(one time pad)外，再无其它方案是无条件安全的 因此无条件安全的密码体制，即使无限计算能力的理想敌手也不能破译，得不到任何密文所对应的明文的信息，这种密码体制被称为完善保密性(perfectly secret)密码体制 或者说一个加密算法是完善保密的，当且仅当敌手即使具有无限的计算能力也无法区分两个被加密的明文，及正确区分的概率至多是1/2

69 1.5 密码体制的安全性和实用要求 (2) 计算安全 computational security
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 (2) 计算安全 computational security 利用已有的最好方法破译该密码系统所需要的努力超过了破译者的破译能力(时间、空间、金钱、设备等) 加密算法只要满足以下两个准则就行了 价值有效性：破译密文的代价超过被加密信息的价值 20万元花费来破译价值10万的秘密 时间有效性：破译密文所花的时间超过信息的有用期 被加了密的考试题和答案 满足这两个准则的加密算法称为计算上安全的。 一个加密算法是计算保密的，如果敌手在概率多项式复杂度情况下成功区分两个加密的明文的概率大于1/2的情况是可以忽略的

70 1.5 密码体制的安全性和实用要求 (3) 可证明安全 provably security 是计算安全中的一种
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 (3) 可证明安全 provably security 是计算安全中的一种 通过理论证明，破译算法的计算量不低于求解该算法所基于的数学难题(密码原型)的计算量。 可证明安全是一种规约的概念，即对于可证明安全的算法，如果能以不可忽略的概率将其破译，则加密者也相应的能以不可忽略的概率求解数学难题 比如，RSA公钥加密体制是基于大整数分解困难问题设计的，那么一个可证明安全的RSA密钥加密体制，如果能以不可忽略的概率破译之，则加密者也能够以不可忽略的概率解决大整数分解困难为难题。 只要这些数学问题是困难的，比如在经典计算机上求解复杂度是指数级的，那么密码算法就是可证明安全的

71 1.5 密码体制的安全性和实用要求 实用的密码系统应当满足下述要求： 1）计算安全性： 2）Kerchhoff原则:(基尔霍夫原则)
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 实用的密码系统应当满足下述要求： 1）计算安全性： 系统即使达不到理论上是不可破的，即pr{m=m}=0,也应当是实际上不可破的，即从截获密文或某些已知明文密文对，要决定密钥或任意明文在计算上是不可行的。 2）Kerchhoff原则:(基尔霍夫原则) 系统的保密性不依赖于对加密体制或算法的保密，仅依赖于密钥 3）完备性： 加密和解密算法适合于所有密钥空间中的元素。 4）可行性： 系统便于实现和使用。

72 1.5 密码体制的安全性和实用要求 基尔霍夫准则：
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 基尔霍夫准则： 早在1883年荷兰密码学家A.Kerckhoffs就在其《军事密码学》中提出如下密码设计准则： a. 密码系统应该是计算安全的； b. 密钥由通信双方事先约定好，并根据一定协议进行更换； c. 密码系统应该易于使用； d. 密码系统应该精确而有效； e. 除了密钥，密码系统的所有细节都为对手所知。 在一个系统中算法要被长时间大范围使用，因此为所有用户所知，所以算法保密是没有意义的 还提出了一次一密的密码设计方法，直接促进了流密码研究

73 1.5 密码体制的安全性和实用要求 一个密码系统要实际可用，必须满足如下特性 软件加密和硬件加密
第一章 绪论 ：1.5 密码体制的安全性和实用要求 1.5 密码体制的安全性和实用要求 一个密码系统要实际可用，必须满足如下特性 （1）加密和解密运算应该是容易的，多项式时间的 （2）破译者无法在有效的时间内破译密钥和明文，或者说破译复杂度是指数级的 （3）密钥空间足够大以抗击穷举搜索攻击 软件加密和硬件加密 具体的加密手段有软件加密和硬件加密 硬件加密效率和安全性高，且易于实现黑盒密码，但需要专用芯片，成本较高 软件加密灵活和成本低，但安全性不如硬件高，需要对计算环境实施严密的防护，或者使用白盒密码技术

74 1.6.1 密码学发展概况 (1)起源：密码学的起源可能要追溯到人类刚刚出现。
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 (1)起源：密码学的起源可能要追溯到人类刚刚出现。 隐写术(steganography):通过隐藏消息的存在来保护消息，如藏头诗、隐形墨水、蓄发再生等等 密码技术自古有之。保密学(Cryptology)一字源自希腊文“kryptos”及“logos”两字，直译为”隐藏”及”讯息”之意 密码学的发展从艺术到科学，密码学中的协议和算法的设计、分析、应用是一门高深的艺术和学问，是一门高度综合的学科，数学，统计，网络，计算机等等

75 1.6.1 密码学发展概况 (2)1949年之前----古典密码(classical cryptography)阶段 概况：
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 (2)1949年之前----古典密码(classical cryptography)阶段 古典密码都是对称密码，由安全信道传递；技术方式主要是手工密码和机械密码 1、手工密码。以手工或者简单器具辅助完成加密作业，叫做手工密码。第一次世界大战前主要是这种作业形式。 2、机械密码。以机械密码机或电动密码机来完成加解密作业的密码，叫做机械密码。这种密码从一战出现到二中得到普遍应用。 概况： 密码学还不是科学，而是艺术；用于军用和专门的机构 出现一些简单密码算法和加密设备 密码算法的基本手段代换和置换(substitution &permutation)出现，针对的是字符，较多的运用了模运算 出现多轮加密的概念 简单的密码分析手段出现，提出了Kerckhoff原则 古典密码时期，数据安全基于算法的保密

76 1.6.1 密码学发展概况 古典密码分类：代换密码和置换密码
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 古典密码分类：代换密码和置换密码 代换密码(substitution cipher)：是将明文的每一字母代换为字母表中的字母。代换前首先将明文字母用等价的十进制数代替，再以代替后的十进制数字进行运算，从az依次对应025，共26个字母。 根据代换是对每个字母逐个进行还是对多个字母同时进行，古典密 码又可分为：单字母代换密码和多字母代换密码 单字母代换密码又分为：单表代换密码和多表代换密码 单表代换密码：所有字母都用一个固定的从明文到密文的映射表，见<通 信网的安全－理论与技术>（表 定义了一个映射） 将介绍恺撒密码、移位变换、仿射变换… 多表代换密码： 以一系列代换表依次对明文消息的字母进行代换的加密 方法：多采用周期多表代替密码。每个字母依次用不同的映射 维吉尼亚（Vigenere)密码、 博福特（Beaufort）密码、 滚动密钥 (running-key)密码、 弗纳姆(Vernam)密码、 转子机(rotor machine) 多字母代换密码：Hill密码，多字母仿射变换密码

77 第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 置换密码(Permutation cipher)，又称换位密码（transposition cipher)：明文的字母保持相同，但顺序被打乱了。 例:明文abcde 置换： 31254 密文cabed 逆置换 23154 如置换中第1个位置是第3个字母，则逆置换中第3个位置是第1个字母

78 1.6.1 密码学发展概况 单表代换密码 恺撒(Caeser)密码(据传是古罗马恺撒大帝用来保护重要军情的加密系统)
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 单表代换密码 恺撒(Caeser)密码(据传是古罗马恺撒大帝用来保护重要军情的加密系统) 加密代换：c=E3(m)m+3 (mod 26), 0m25 解密代换：m=D3(c)c－3 (mod 26), 0c25 其中3是加解密所用的密钥，模26循环移位，相当于字母移位 移位变换 加密变换：c=Ek(m)m+k (mod 26), 0m,k25 解密变换：m=Dk(c)c－k (mod 26), 0c,k25 仿射变换 加密变换：c=Ea,b(m)am+b (mod 26) 解密变换：m=Da,b (c)a-1(c－b) (mod 26) 其中a,b是密钥，是满足0m,k25和gcd(a,26)=1的整数 注意这里a,b不是两个密钥，而总称为算法的一个密钥

79 第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 多字母仿射代换密码 教材中有错误，不是多表，是单表 多字母仿射代换密码首先将明文M分为由n个字母构成的分组M1,M2,…,Mj，对每个分组Mi的加密为 CiAMi+B (mod N), i=1,2,…j 其中(A,B)是密钥，A是n×n的可逆矩阵，满足gcd(|A|,N)=1(|A|是行列式)。 B＝(b1,b2,…,bn)T, Ci＝(c1,c2,…,cn)T, Mi＝(m1,m2,…,mn)T 对密文分组Ci的解密为 MiA-1(Ci－B) (mod N), i=1,2,…j

80 1.6.1 密码学发展概况 (3)1949－1975：近代密码 计算机使得基于复杂计算的密码成为可能 为DES标准的提出做了充分准备
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 (3)1949－1975：近代密码 计算机使得基于复杂计算的密码成为可能 1949年Shannon的“The Communication Theory of Secret Systems”提出熵和破译密码需要的信息量；计算安全和无条件安全；扩散和混淆概念 50年代，移位寄存器的出现大大促进了流密码的发展 1967年David Kahn的《The Codebreakers》破译者 年IBM Watson实验室的Horst Feistel等的几篇技术报告 Smith,J.L.,The Design of Lucifer, A Cryptographic Device for Data Communication, 1971 Smith,J.L.,…,An Expremental Application of Cryptogrphy to a remotely Accessed Data System, Aug.1972 Feistel,H.,Cryptography and Computer Privacy, May 1973 为DES标准的提出做了充分准备 密码学仍然主要用于军事用途，数据的安全基于密钥而不是算法的保密

81 1.6.1 密码学发展概况 (4)1976年以后：现代密码学 对称密钥密码算法进一步发展，逐渐开始商用
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 (4)1976年以后：现代密码学 对称密钥密码算法进一步发展，逐渐开始商用 1977年DES正式成为商用国际标准 80年代出现“过渡性”的“post DES”算法,如IDEA, RCx, CAST等 90年代对称密钥密码进一步成熟Rijndael,RC6,MARS, Twofish, Serpent等出现 2001年Rijndael成为DES的替代者AES； 公钥密码使得发送端和接收端无密钥传输的保密通信成为可能 1976年Diffie & Hellman的“New Directions in Cryptography”提出非对称密钥密码的概念，并提出了著名的DH密钥交换协议 1977年Rivest, Shamir & Adleman提出了第一个比较完善的公钥密码体制RSA公钥算法，基于大数分解困难性 而Merkle-Hellman的背包密码，很快被破解了

82 1.6.1 密码学发展概况 (5)新的研究领域和未来发展 后量子密码学post-quantum cryptography，用于抵抗量子计算
第一章 绪论 ：1.6 密码学发展概况 1.6.1 密码学发展概况 80年代出现了基于离散对数的密码算法 1984年C.H.Bennett和G.Brassard首次提出量子密码技术(BB84协议)，利用量子纠缠态和测不准原理，有望实现一次一密的无条件安全密码体制 1989年R.Mathews等首次将混沌理论用于序列密码中，称为混沌密码 90年代逐步出现基于椭圆曲线离散对数问题的公钥算法 91年提出DSA签名算法标准 95年提出安全散列函数SHA (5)新的研究领域和未来发展 后量子密码学post-quantum cryptography，用于抵抗量子计算 量子计算，对于一些指数级复杂度的困难问题，量子计算只相当于多项式时间，是容易的，可破译RSA，DSA，ECDSA 2006年在比利时鲁汶天主教大学召开了第一次后量子密码学的国际会议 Hash、基于编码、格、多变量二次方程等的公钥密码，以及对称密码可以抵抗量子计算

83 1.6.2 密码学发展的源动力 随着信息时代的来临，现代密码学正以前所未有的速度向前发展，在这一点上，有以下几个原因值得关注
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 随着信息时代的来临，现代密码学正以前所未有的速度向前发展，在这一点上，有以下几个原因值得关注 国家安全和军事需求的推动，这也是密码学起源的直接原因 人类的计算能力在近60年中得到了长足的进步，电子器件不断更新，这将使已有的密码算法越来越不安全，必须设计新的密码算法 现代通信网络技术的发展，催生了大量的网络应用，对密码技术所能提供的功能和安全强度也不断提出新的要求 1. 电子技术高速发展，电子器件不断更新换代 电子管→晶体管→微电子技术(IC/VLSI)→量子器件→纳米器件 未来，人类将进入量子计算时代

84 1.6.2 密码学发展的源动力 2. 计算机及其处理器技术不断升级，破译能力不断加强
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 2. 计算机及其处理器技术不断升级，破译能力不断加强 计算机是早期电子信息系统的主要载体，随着处理器的不断升级，处 理能力越发强大 (1) 电子管： ，第一台计算机诞生 (2) 晶体管/微电子技术 Z80，8086，Pentium，双核技术，多核技术 低端的C51、ARM、国产的有中科院计算所推出的龙芯系列 (3) 量子计算机，基于量子计算(Quantum Computation) 依照量子力学理论进行的新型计算，量子比特的叠加性使其可以同时处于 0,1或者之间的某个值，使量子计算机具有内在并行性 典型的，可解决一些NP问题 (4) 超级计算机(Super Computer) 由数百数千甚至更多的处理器（机）组成的，每秒几十亿次以上运算能 力，可用于核物理、天气预报、经济决策等。目前我国“天河二号”速度 居首

85 1.6.2 密码学发展的源动力 3. 网络技术及应用的发展对密码学不论从安全性上还是功能上都提出了新的要求
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 3. 网络技术及应用的发展对密码学不论从安全性上还是功能上都提出了新的要求 网络是计算机技术和通信技术结合的产物，随着网络信息系统的发展，特别是物联网和泛在网的发展，提出了对海量数据的存储、计算和处理的需求，人类的计算、存储和处理能力将大幅度上升： 目前基础通信网络已经成熟，正在向全IP网络过渡 通信网络与IP网络有本质的不同，前者属于电路交换，在通信过程中，双方要独占一条逻辑链路，利用率极低，这也是目前3G以内的移动通信网络普遍的情况 IP网络属于分组交换，多个用户的数据包共享信道，极大的提高资源利用率，未来的移动网络爆款4G的骨干网和5G全IP网络都使用IP技术。IP技术是未来网络的主要发展方向。 现代智能手机均支持对两类网络的接入，其中移动通信网通过WAP接入互联网

86 1.6.2 密码学发展的源动力 (2) 互联网 Internet 任何人在任何时间，任何地点可随意接入(3A化通信)
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 (2) 互联网 Internet 任何人在任何时间，任何地点可随意接入(3A化通信) TCP/IPv4协议，支持各种应用，由于地址耗尽逐渐向TCP/IPv6过渡 全球性，高度分布式，开放性，共享性，拓扑动态性 人类已经进入大数据时代：过去两年内产生了整个人类文明全部数 据中的90%，这要求人类的计算、存储和处理能力必须大幅度上升 云计算(Cloud Computing) 是一种基于互联网的计算方式，通过这种方式，共享的软硬件(空 闲)资源和信息可以按需提供给计算机和其他设备，还能有效存储 和处理大数据(海量数据)，如云存储、网络云盘

87 1.6.2 密码学发展的源动力 (3) 物联网(The Internet of things)
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 大数据时代 截止到2012年，数据量已经从TB（1024GB=1TB）级别跃升到PB（1024TB=1PB）、EB（1024PB=1EB）乃至ZB(1024EB=1ZB)级别 社交网络(The Social Network) 如QQ群，人人网，微博，Facebook等 社交网站鼓励个人用户创建含有个人各类信息的说明文件 (3) 物联网(The Internet of things) 物联网是通过RFID、全球定位等信息传感设备，按约定的协议，把任何物品与互联网相连接，进行信息交换和通信，以实现智能化识别、定位、跟踪、监控和管理的一种网络。向4A化过渡 传感器网是物联网的感知层部分，RFID等是物联网的静态识别部分

88 1.6.2 密码学发展的源动力 (4) 泛在网(Ubiquitous Network)
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 (4) 泛在网(Ubiquitous Network) 是“4A”化通信，即在任何时间(anytime)、任何地点(anywhere)，任何人(anyone)、任何物(anything)之间进行通信 传感器网是泛在/物联网的组成部分，物联网是泛在网发展的物联阶段 基础通信网、互联网、物联网之间相互协同融合是泛在网发展的目标 IP技术是这种融合的必由方向 普适计算(Pervasive Computing或Ubiquitous Computing) 强调和环境融为一体的计算，计算设备的尺寸将缩小到毫米甚至纳 米级 而计算机本身则从人们的视线里消失 在普适计算的模式下，人们能够在任何时间、任何地点、以任何方 式进行信息的获取与处理。 泛在网络是普适计算的基础

89 1.6.2 密码学发展的源动力 然而计算能力的提升和网络应用的不断发展给信息安全及密码技术提出了新的挑战
第一章 绪论 ：1.6 密码学发展概况 1.6.2 密码学发展的源动力 然而计算能力的提升和网络应用的不断发展给信息安全及密码技术提出了新的挑战 自20世纪80年代以来，Internet充斥着大量的计算机犯罪和网络入侵事件 异构网络的不断融合使得网络中的实体在资源等方面存在严重差异，极其复杂，安全和信任问题的解决越来越困难 信息安全技术在未来的泛在无线网络时代将成为首要的核心技术 充满希望和挑战，成为重要的经济增长点，成为新的战场 密码技术作为保护数据安全和隐私的基本手段将凸显其核心地位

90 1.6.3 国内发展现状 国家将信息安全作为大力推动，重点扶植的高新技术领域 之一，为国防、经济、社会等保驾护航。
第一章 绪论 ：1.6 密码学发展概况 1.6.3 国内发展现状 国家将信息安全作为大力推动，重点扶植的高新技术领域 之一，为国防、经济、社会等保驾护航。 信息安全和密码技术受到多个主管部门的监管 常被称为“宫爆鸡丁加一把铲子” “宫爆鸡丁”是指公安部、国家保密局、中共中央办公厅机要局 和国家安全部(丁) 公安部：主管刑事和民事案件，打击违法犯罪行为 国家保密局：主管全国的保密工作 中共中办机要局 ：管理机要文件和机要事件的单位 国家安全部：针对国内外的情报机关 总参机要局：军事机要电讯、军事情报、密码管理和破译… 一把铲子是指工信部(工业与信息产业部） 此外还有：商密办，科技部等 2014年2月份 中共成立网络安全领导小组 网络安全与信息化国家战略

91 1.6.3 国内发展现状 着重发展自主知识产权的产品 中国提出的信息安全及密码算法的国际标准，仅有IDEA、WAPI、CGA等少数几个
第一章 绪论 ：1.6 密码学发展概况 1.6.3 国内发展现状 着重发展自主知识产权的产品 许多信息系统仍依赖国外IT产品，特别是OS、芯片等核心产品。 芯片生产企业，龙芯处理器，非微软的OS等均得到扶植 中国提出的信息安全及密码算法的国际标准，仅有IDEA、WAPI、CGA等少数几个 西电捷通的WAPI IDEA国际加密标准，来学嘉； 王小云破译MD5，SHA-1； 吴建平的RFC CGA

92 1.6.3 国内发展现状 企事业单位加大投入和发展 政府机关、电信运营商、金融等部门和行业对信息安全的投入加大
第一章 绪论 ：1.6 密码学发展概况 1.6.3 国内发展现状 企事业单位加大投入和发展 政府机关、电信运营商、金融等部门和行业对信息安全的投入加大 高等院校和研究所形成大规模的信息安全团队 西电、武大、中科院、山大、清华(吴建平) 中山大学、上海交大、北邮 整体上仍然是安全意识淡薄，电信和银行网络漏洞严重，网络基础设施脆弱，安全问题十分严重

93 1.6.3 国内发展现状 专门从事信息安全产业的机构和公司发展快速 知名的IT企业几乎都涉及到信息安全方面的业务和需求
第一章 绪论 ：1.6 密码学发展概况 1.6.3 国内发展现状 专门从事信息安全产业的机构和公司发展快速 知名的IT企业几乎都涉及到信息安全方面的业务和需求 各类安全测评、安全认证和培训机构 杀毒：360，金山，瑞星，江民，瑞星，赛门铁克，卡巴斯基，趋势 网安：天融信、绿盟、启明星辰、清大信安、中兴、华为、腾讯、思科、三零卫士、联想、东软、方正、中科网威、冠群、得实… 认证培训：CISSP(Certified Information Systems Security Professional), 国际注册信息系统安全专家,是全球普遍认可的信息安全从业人员最高水平专业资质 产品和业务 从“防火墙、IDS、防病毒”老三样，逐渐增加垃圾邮件过滤、内容安全、VPN、信息加密、访问控制、身份认证、日志审核、安全评估、存储安全等 信息安全是永远的朝阳产业

94 1.6.3 国内发展现状 作业：p13，1，2，4 复习题中 (四、1, 2, 5) 西电 每章交一次作业
第一章 绪论 ：1.6 密码学发展概况 1.6.3 国内发展现状 西电 从七十年代开始，历经三十多年，以密码学为主，享誉世界 最早拥有密码学学科点的非军事单位 典型成果：肖-massy定理，WAPI国际标准 … … 培养了大批专家和高技术人才，国内很多大学和单位密码学的骨干人才均来自西电 随着信息系统安全综合防御需求的提高，信息安全各个方面的技术都在发展，西电在信息安全方面的发展速度不够快，发展不全面，需要我们努力 作业：p13，1，2，4 复习题中 (四、1, 2, 5) 每章交一次作业

95 谢谢！