安全阵列（０８－０１－０８）

#usrbar{padding:4px 10px 3px 0;font-size:12px;height:19px;line-height:19px;color:#000000;font-family:Arial;text-align:right;background:#ffffff;filter:alpha(opacity=65);-moz-opacity:0.5;width:auto !important;width:100%;letter-spacing:normal}#usrbar a,#usrbar a:link,#usrbar a:visited{color:#0000CC;text-decoration:underline}#ft{clear:both;height:20px;line-height:20px;color:#666666;font-size:12px;font-family:Arial;text-align:center}#ft a,#ft a:link,#ft a:visited{color:#7777CC;text-decoration:underline}#usrbar,#usrbar a,#usrbar a:link,#usrbar a:visited,#ft,#ft a,#ft a:link,#ft a:visited{letter-spacing:normal}

<script type="text/javascript"> var myref = encodeURI("http://hi.baidu.com/ftai/blog/category/%B6%FE%2C%B0%B2%C8%AB%D5%F3%C1%D0");</script>ftai08 | 我的消息(0/28) | 我的空间 | 百度首页 | 百度空间<script language="JavaScript" type="text/javascript"> document.write(" | <a href='http://passport.baidu.com/?logout&u=http://hi.baidu.com"+encodeURI("/ftai")+"'>退出</a>"); </script>| 退出

信息安全，流年暗渡

只见锅里煮饭菜，冒见锅里煮文章

 

主页博客相册|个人档案 |好友 |设置

 

文章列表

写新文章

 

您正在查看 "二,安全阵列" 分类下的文章

２００７－１２－２６、ＲＳＡ问题的细分

2007-12-22 20:30

 

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

http://saysecurity.163.net/crypto/rsa.html

作者：王汉强

密钥对的产生。选择两个大素数，p 和q 。计算：

n = p * q

然后随机选择加密密钥e，要求 e 和 ( p - 1 ) * ( q - 1 ) 互质。最后，利用
Euclid 算法计算解密密钥d, 满足

e * d = 1 ( mod ( p - 1 ) * ( q - 1 ) )

其中n和d也要互质。数e和
n是公钥，d是私钥。两个素数p和q不再需要，应该丢弃，不要让任何人知道。

加密信息 m（二进制表示）时，首先把m分成等长数据块 m1 ,m2,..., mi ，块长s
，其中 2^s <= n, s 尽可能的大。对应的密文是：

ci = mi^e ( mod n ) ( a )

解密时作如下计算：

mi = ci^d ( mod n ) ( b )

RSA 可用于数字签名，方案是用 ( a ) 式签名， ( b )
式验证。具体操作时考虑到安全性和 m信息量较大等因素，一般是先作 HASH 运算。

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

罗 米 欧 の 地 盘

http://blog.csdn.net/killerzhu/archive/2007/09/27/1803882.aspx

离散对数公钥加密算法是目前最为热门的公钥加密算法 ，其安全性要远远高于基于大数分解的RSA算法。

离散对数问题可以描述为：给定一个质数p，和有限域Zp上的一个本原元a，对Zp上整数b，寻找唯一的整数c，使得a^c≡b(mod p)。一般的，如果仔细选择p，则认为该问题是难解的，且目前还没有找到计算离散对数问题的多项式时间算法。为了抵抗已知的攻击，p至少应该是150位的十进制整数，且p-1至少有一个大的素数因子。

下面是一个使用离散对数的例子：

Alice和Bob首先商议好p的值，本例假设为p=2579，则本原元为a=2。

假设Alice要发送消息x=1299给Bob，则

1）Bob选择随机数r=765作为自己的私钥，计算q=2^r mod p=2^756 mod 2579=949，作为公钥给Alice；

2）Alice选择随机数k=853，计算y=2^k mod p=2^853 mod 2579=435，作为公钥给Bob；

3）Alice计算密文e=x*q%k mod p=1299*949^853 mod 2579=2396，并传递给Bob；

4）Bob接收到密文后，计算x=e*(y^r)^(-1) mod p=2396*(435^765)^(-1) mod 2579=1299，从而得到原文。

_____________________________________________________________________

_____________________________________________________________________

_____________________________________________________________________

１、Ｐ是素数，Ｐ－１是偶数。

它会有因数序列，这个序列的特性和Ｐ，和Ｐ－１的值，有没有什么规律性。

２、要得到第二个公钥e，一定会用到Ｐ－１，Ｐ是奇数，那么Ｐ－１是偶数；

如果预先存储　一定数量个数的大数　的分解数据，在有限状态自动机被扩展的情况下（在该有限状态自动机上扩充多级不同存取速度的存储器），如何ＬＯＣＡＴＩＯＮ，ＬＯＣＡＴＩＯＮ哪些大数的分解数据。

３、ＲＳＡ算法求公钥和私钥的三个计算公式，

用有限状态自动机来实现。有输入，输出，有控制指令。

４、在大数分解中引入启发式规则。

５、ＲＳＡ算法芯片及验证。比如只具有加密功能。

６、ＲＳＡ计算装置和分析装置阵列。也就是ＲＳＡ算法的并行化。

７、ＲＳＡ计算分析并行装置的可串行化。怎么证明某种并行化有效。步骤、过程、理论、模型、评价、测试、ＢＥＮＣＨＭＡＲＫ程序。

８、ＲＳＡ装置被非法控制时的自撤销机制。是否该装置要有可Ｒ／Ｗ部件。

 

 

９、类似于使用整数加的　背包算法中引入ＴＲＡＰ陷门，大数的乘法分解是否具有同样的性质，如何利用这种性质。

１０、ＲＳＡ算法内部三个计算公式的并行，当然，不一定需要那么多、那么快的密钥对。

１１、ＲＳＡ加解密运算，可以划分出哪些不同的并行性。评价及验证。

１２、能够实现这些并行性的部件、电路要求。及时钟的同步要求。

１３、时钟频率的上限和下限。

１４、基准时钟。

１５、预存一些由小自然数到大数的分解关系序列的选择情况。

１６、分析一些两素数积的大数，并预处理。

１７、随机选取的e和 (p-1)*(q-1)互质，后者是一个大偶数。要与它互质，似乎只要是奇数就行。

１８、离散对数问题为：a^c≡b(mod p)。求c。比较ＲＳＡ的解密表达式，如下：

“解密时作如下计算：mi = ci^d ( mod n ) ”，mi ，ci，d分别是明文，对应密文，和私钥。密码分析时，即求d。

（１）大数分解问题的指向，是求指数d。

（２）离散对数问题的指向，是求指数c。

这两大难题，在这处有共通性。

同时p是一个精心选择的质数, n是两个大质数之积。

１９、把m分成等长数据块 m1 ,m2,..., mi ，块长s，其中 2^s <= n, s 尽可能的大。

为什么尽可能大，怎样尽可能大。其计算时间的上限和下限，以及对整个ＲＳＡ算法的影响因子。

２０、基于离散对数加解密的效率，比较大数分解的加解密效率，ＲＳＡ似乎“出名”的慢。

２１、用于ＲＳＡ计算装置体系结构设计的分解原则、指导原则、界面和接口。

２２、类似于１９的约束和限制，在“非教科书式”的ＲＳＡ应用中还可能有哪些？

怎样使得ＲＳＡ计算装置更难在实际中被分析。要有数量级的性价比改善。

２３、ＲＳＡ加密的指数运算，要提速，那么，比较使用

指数硬件装置、

乘法硬件装置、

加法硬件装置的硬件部分和软件部分……

简单地说，就是不是设计通常的基于二进制加的、有限状态自动机的实现，而是基于乘法运算逻辑和指数运算逻辑。其逻辑特性如何进行初步的分析？

２４、上述的两大难题，都是基于初等代数的……

其它高等数学也有一些特异的属性，比如高次插值的振荡特性，怎样的拟合最佳，代数精确度问题，误差的最优估计，局部误差和全局误差的关系，误差表示的最优表达式获得，等等，即使在硕士的教程中，都有许多相关的数学特性，都是采用数值的逼近，来求原函数、积分、矩阵的一些特别的值。

一个推敲，如果是Ｎ维几何空间，Ｎ也可以是大数。也有类似于单向性，或者是由此某向量，不能达彼某数（离散对数）。

其计算估计。对初始数据和求得结果数据的识别器、分类器、难题定位器和预估和校正。

２５、另一个推敲：通常的、简易的想法，素数就是素数，能整除以１和自身。再没有别的理解。

那么，素数集合是否可以分类？

素数和邻近的数，如Ｐ与Ｐ－１，Ｐ－Ｉ的关系，可以再想一想么，有些什么？

大素数和小素数？

素数的根据大小特性，或其它特性的“界”，而导致数学某些特性的根本变化，有没有？

一个合数，在哪些情况下，会变成素数，反之亦然。以及为什么、有没有必要进行合数和素数的变换。

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(12)

 

０７－１２－２１、《电子商务安全技术》第三章“电子商务的认证”肖和阳，卢嫣，读书日记

2007-12-12 13:13

目录

３、１、身份证明与认证体系

３、１、１、身份认证系统

３、１、２、认证体系

３、２、证书与认证机构

３、２、１、证书

３、２、２、认证机构

３、２、３、一个简单的认证中心设计示例

３、２、４、ＫＥＲＢＥＲＯＳ认证系统

３、２、５、Ｘ·５０９证书

３、３、公开密钥基础设施ＰＫＩ

３、３、１、ＰＫＩ概述

３、３、２、ＰＫＩ的组成部分

３、３、３、ＰＫＩ的功能

３、３、４、ＰＫＩ建设中的注意事项

３、３、５、数字证书的使用

３、４、北京认证中心

３、４、１、北京认证中心的相关技术

３、４、２、北京认证中心的各种证书

３、４、３、北京认证中心的电子商务解决方案

______________________________________________________________________________

______________________________________________________________________________

______________________________________________________________________________

数字对于交易的电子化保证以及保障交易的进行起到了重要的作用。认证通过减少组织内部、组织之间以及个人之间广泛流通的交易数据被窃取、泄露或是伪造，从而保证其安全性，这样使得交易所需的共同信任和依赖成为可能。本章介绍了电子商务的认证体系。

３、１、身份证明与认证体系

３、１、１、身份认证系统

传统交易方式如何证实身份……

部分方式依靠机器的识别。

一个身份证明系统一般由三方组成，示证者（申请者），验证者，攻击者。有时会有第四方，可信赖者。

此类技术也称为实体认证，身份证实。

实体认证和消息认证的差别在于：消息认证本身不提供时间性，而实体认证一般是实时的。另一方面，

实体认证通常证实实体本身，而消息认证除了证实消息的合法性和完整性外，还要知道消息的含义。

对身份证明系统的要求：

·验证者正确识别合法示证者的概率极大。

·不具有可传递性，验证者Ｂ不可能重用示证者Ａ提供给他的信息，伪装示证者Ａ成功骗取其他人的验证，得到信任。

·攻击者伪装示证者欺骗验证者成功的概率小到可以忽略，特别是要能抵抗已知密文攻击，即攻击者在截获到示证者和验证者多次通信的情况下，伪装示证者欺骗验证者。

·计算有效性，为实现身份证明所需通信次数和数据量要小。

·通信有效性，为实现身份证明所需通信次数和数据量要小。

·秘密参数安全存储。

·交互识别，有些应用中要求双方互相进行身份认证。

·第三方的实时性参与，如在线公钥检索服务。

·第三方的可信赖性。

·可证明安全性。

后四条是有些身份识别系统提出的要求。

一些问题：假冒；不可抵赖性；不可替代性；不可反悔性的实现。

____________________________________________________________________________

３、１、２、认证体系

有ＳＥＴ　ＣＡ体系和ＰＫＩ　ＣＡ体系。

·ＳＥＴ　ＣＡ：ＭＡＳＴＥＲ　，ＶＩＳＡ发起。ＳＥＴＣＯ作为ＳＥＴ的根ＣＡ。

可保证Ｂ２Ｃ类型安全。但适用于卡支付。

·ＰＫＩ　ＣＡ：提供公钥加密和数字签名的平台，采用ＰＫＩ框架管理密钥和证书，基于ＰＫＩ的框架结构及在其上开发的ＰＫＩ应用，为建立ＣＡ提供了强大的证书和密钥管理能力，可以建立安全环境。

根据Ｘ·５０９建议，ＣＡ为用户的公开密钥提供证书。用户与ＣＡ交换公开密钥后，ＣＡ用其私密密钥对数据集（包括ＣＡ名、用户名、用户的公开密钥及有效期）　　进行数字签名，并将该签名附在上述数据集的后面，构成用户的证书，存放在用户的目录款项中。

可保证Ｂ２Ｂ，Ｂ２Ｃ类型安全。

____________________________________________________________________________

３、２、证书与认证机构

目前最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书。

证书发放涉及信息加密、证书标准、证书验证、相关信息发布等技术要求，也要求法律法规上的保障。

３、２、１、证书

·数字证书：作为网上交易双方真实身份证明的依据，是一个经证书授权中心（ＣＡ）数字签名的、包含证书申请者（公开密钥拥有者）个人信息及其公开密钥的文件。

基于公开密钥体制（ＰＫＩ）

３、２、２、证书类型

个人，站点，邮件，ＣＡ证书。

３、２、３、证书的内容

证书格式版本，证书序列号码（证书识别号），签名法识别号码（发证机构），证书发行机构名（Ｘ·５００名），使用期限，主体名（Ｘ·５００名），主体公钥信息（算法识别，公钥值），发证者身份识别符，主体者身份识别符。然后由机构数字签名。

３、２、４、证书的有效性

未过期，密钥未改，有权用此密钥，不在ＣＲＬ清单中。

３、２、５、证书使用

·通过Ｓ／ＭＩＭＥ协议实现安全的电子邮件系统。

·通过ＳＳＬ协议实现浏览器与ＷＥＢ服务器之间的安全通信。

·通过ＳＥＴ协议实现信用卡网上安全支付。

·提供电子商务中认证证书标准。

３、２、２、认证机构

ＩＳＯ颁布密钥鉴别架构Authentication Framework ,ISO9594-8

开放系统连接安全架构ISO10181,

存证Non-repudiation,ISO/IEC JTC1/WG2,13888

Public Key Infrasture on X.509,PKIX

Common authentication technology,CAT

authenticated firewall traversal,AFT

simple public key infrasture,SPKI

transport layer security,TLS

web transaction security,WTS

————

认证中心主要有以下几种功能：

·证书的颁发

·证书的更新

·证书的查询

·证书的作废

·证书的归档

在电子商务过程中，ＣＡ担负着身份认证的管理职责，主要包括三个部分：登记服务器ＲＳ，登记管理机构ＲＡ和证书管理机构ＣＡ。它们具备以下功能：

接受用户证书申请，确定是否批准。

颁发证书。

手工或自动更新证书。

接受用户关于证书的查询。

证书撤销清单ＣＲＬ管理。

证书存储，归档，备份管理。

私钥归档，备份，恢复管理。

公钥归档，备份，恢复管理。

作废过期的密钥管理。

历史数据归档。

数字签名管理。

ＣＡ内部管理。

－－－

ＣＡ还要达到一定的管理要求，操作要求，系统要求，设备要求。

____________________________________________________________________________

３、２、３、一个简单的认证中心设计示例

（１）总体要求

服务器包括：安全服务器；注册中心服务器；ＣＡ服务器；ＬＤＡＰ服务器；

人员包括：用户，注册中心操作员，ＣＡ操作员。

·用户的操作内容：用户使用浏览器访问安全服务器，申请数字证书，之后到注册中心注册，出示有效证件。认证中心为用户发行证书以后，用户根据注册中心发来的邮件，到安全服务器上下载自己的数字证书。

·服务器

Ａ、ＣＡ服务器。需要最先设置，ＣＡ首先生成公私密钥对，然后生成数字证书，传给安全服务器。

还负责为操作员、安全服务器和注册中心服务器生成证书。

ＣＡ服务器是整个结构中最为重要的部分，存有ＣＡ的私钥以及发行证书的脚本文件。需要将ＣＡ服务器隔离。

Ｂ、安全服务器。面向用户，提供证书申请、浏览、ＣＲＬ、下载服务。与用户采用ＳＳＬ（不需要对用户认证）。先要得到安全服务器的证书。

Ｃ、注册中心服务器。面向操作员。一方面向ＣＡ由安全服务器来的证书申请请求，另一方面，向ＬＤＡＰ服务器和安全服务器，转发ＣＡ颁发的证书和ＣＲＬ。

Ｄ、ＬＤＡＰ服务器。目录浏览。将注册中心服务器传来的用户信息和证书加入到服务器上，他人可从此得到数字证书。

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(11)

 

07-12-20、《PKI原理与技术》目录，及读书记录，谢冬青，冷健

2007-12-11 21:24

第1章　PKI基础设施
1、1、基础设施
1、1、1、基础设施的地位
1、1、2、网络基础设施
1、2、安全基础设施的概念
1、2、1、安全基础设施的内容
1、2、2、安全基础设施在信息基础设施的地位
1、3、公钥基础设施
1、3、1、认证机构
1、3、2、证书签发
1、3、3、证书撤消
1、3、4、密钥生成、备份和恢复
1、3、5、证书注销列表处理
1、3、6、信息发布
第2章　核心PKI服务
2、1、PKI服务
2、1、1、PKI服务的概念
2、1、2、PKI服务的作用
2、1、3、PKI服务的意义
2、2、PKI服务的内容
2、2、1、PKI服务的认证性
2、2、2、PKI服务的保密性
2、2、3、PKI服务的不可否认性
2、3、PKI服务的操作性
2、3、1、实施PKI服务的实体
2、3、2、认证中心
2、3、3、注册中心
第3章　证书和证书注销列表
3、1、ASN·1
3、1、1、ASN·1概述
3、1、2、ASN·1数据类型
3、1、3、BER编码和DER编码
3、2、证书
3、2、1、X·509证书
3、2、2、基本证书结构和语义
3、2、3、　tbsCertificate
3、2、4、证书扩展项
3、3、证书策略
3、3、1、交叉认证
3、3、2、策略映射
3、3、3、认证路径处理
3、3、4、自签证书
3、4、密钥和策略信息扩展
3、4、1、需求
3、4、2、公钥证书和CRL扩展字段
3、5、主题和签发者信息扩展
3、5、1、需求
3、5、2、证书和CRL扩展字段
3、6、证书路径约束扩展
3、6、1、需求
3、6、2、证书扩展字段
3、7、认证机构和注册机构
3、7、1、CA信任链
3、7、2、注册机构
3、8、证书注销列表
3、8、1、证书注销列表的概念
3、8、2、证书注销列表的内容
3、8、3、增量CRL和CRL发布点
3、8、4、在线证书状态协议
3、9、属性证书和漫游证书
第4章　信任模型
4、1、信任相关的概念
4、1、1、信任
4、1、2、信任域
4、1、3、信任锚
4、2、信任关系
4、3、信任模型
4、3、1、严格层次结构
4、3、2、分布式信任结构
4、3、3、WEB模型
4、3、4、以用户为中心的信任
4、4、交叉认证
4、5、实体命名
4、6、证书路径处理
4、6、1、路径构造
4、6、2、路径确认
4、6、3、信任锚的考虑
4、7、信任计算
4、7、1、可信性和信任的形式定义
4、7、2、信任产生机制
4、7、3、在线社团的信誉报告机制
第5章　公开密钥密码体制标准
5、1、信息对象类
5、2、RSA密码体系标准
5、2、1、RSA标准用到的符号
5、2、2、密钥类型
5、2、3、数据转换原语与密码原语
5、2、4、加解密方案
5、2、5、带附属的签名方案
5、2、6、RSA方案的ASN·1表述
5、3、DIFFIE-HELLMAN密钥约定标准
5、3、1、定义和注记
5、3、2、D-H方案
5、3、3、对象描述符
5、4、基于口令的加密标准
5、4、1、加解密过程
5、4、2、对象描述符
5、5、扩展证书语法标准
5、6、密码信封封装标准
5、6、1、密码信封封闭标准概述
5、6、2、通用语法
5、6、3、内容类型
5、7、私钥信息语法标准
5、7、1、私钥信息语法
5、7、2、加密私钥信息语法
5、8、可选择的对象类和属性类型
5、8、1、辅助对象类
5、8、2、可选择类型
5、9、证书请求语法描述标准
5、9、1、证书请求步骤
5、9、2、证书请求语法
5、10、密码组件接口标准
5、10、1、PKCS#11中用到的数据类型
5、10、2、应用编程接口
5、11、个人信息交换语法
5、11、1、PKCS#12保密模式和完整模式
5、11、2、PFX PDU数据格式
5、11、3、PFX PDUS的产生与使用
第6章　认证中心标准
6、1、简单认证标准
6、1、1、引言
6、1、2、验证数据的明文传送
6、1、3、利用单向散列函数传送随机或时间数据
6、1、4、二次散列与对称加密传送
6、2、强认证标准
6、2、1、引言
6、2、2、获取使用者会话公钥
6、2、3、强认证的认证方式
6、2、4、密钥的保存与令牌控制
6、2、5、生物识别与三因素认证
6、3、证书管理标准
6、3、1、证书管理协议
6、3、2、证书请求消息格式
6、4、PKI动作方式
6、4、1、认证惯例框架
6、4、2、证书策略和认证惯例陈述
6、4、3、规定集的内容
第7章　安全协议
7、1、SSL协议及其应用
7、1、1、引言
7、1、2、SSL协议概述
7、1、3、记录层协议
7、1、4、change_cipher_spec协议
7、1、5、警告协议
7、1、6、握手层协议
7、1、7、密钥管理
7、1、8、SSL安全性
7、1、9、SSL应用
7、2、安全电子交易系统
7、2、1、SET概述
7、2、2、SET的基本概念
7、2、3、支付处理流程
7、2、4、SET安全性分析
7、3、S/MIME
第8章　安全应用概述
8、1、X·509标准与PKIX标准的差异
8、2、电子商务
业务分类
支付网关
业务系统
用户及终端
用户接入
电子商务支付体系功能
SET支付体系
电子商务业务系统
8、3、电子政务概述
电子政务
电子政务总体技术框架
第9章　实施PKI的问题和措施
9、1、CPCA设计（邮政总局）
体系结构
系统设计目标
系统软件结构
软件功能模块概述
证书分类和证书格式
交叉证书
9、2、CA系统结构和功能描述
网络总体结构
全国中心
审核受理中心
业务受理网点
系统主要子系统及其功能
密钥管理
证书管理
9、3、数据和业务流程
系统数据流程
系统业务流程
证书作废状态查询
证书的归档
业务管理
RA管理系统
9、4、CPCA系统安全性设计
网络安全性设计
防火墙系统的功能介绍
密码模块安全性
数据库安全性
程序中间数据的安全性
身份认证安全性
系统管理的安全性
系统操作的可监控性
灾难恢复设计

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(14)

 

０７－１２－１７、《计算机密码学》课程论文提纲

2007-12-09 19:30

一、随机数的生成方法的思路

第一种：通过获取、处理INTERNET网页来生成随机数的思路。

１、类似IE的程序，有两种方法设计：

（１）利用ActiveX 控件“Microsoft Web浏览器”。采用直接操作的方式。

（２）利用MFC的CHTMLView类实现。

CHTMLView的实现是基于COM的，通过IWebBrowser2的接口来实现。

２、几个假设：

（１）网页中都有文本。

（２）开始有一个文本文件T1，根据它来确定待检索的关键字集合和检索顺序。T1作为密码文件。

生成方法的思路：

（１）如要生成一个字节（８位）的随机数数据，需要读取多个网页，各取每页的数据，来参加变换。

 

（２）选取网页的页号、行号、列号，是根据另一个文本文件 T2。T2作为密码文件。

（３）文本文件中，字母、数字和词语有许多相关的特性。可以用来作为信息。可以是采取ONTOLOGY（本体）理论。Studer认为，本体是共享概念模型的明确形式化规范说明。这个定义的具体含义如下，概念化：将客观世界中的一些现象抽象出来得到的模型。它是客观世界的抽象和简化。明确：即显式地定义所使用的概念以及概念的约束。形式化：即精确的数学表述，能够为计算机读取。共享：本体描述的概念应该是某个领域公认的概念集。 如，顶层Ontologies描述的是最普遍的概念及概念之间的关系。

由共享概念模型中的概念，可将任意的INTERNET网页作出相应的解释，作为从中间结果。再由这种中间结果得到随机数。

（４）神经网络具有自学习、分类、非线性、并行性等特性，适合用于本文提到的信息变换的方法。神经网络模型可从以下方面进行描述：处理单元（神经元）、神经网络的状态、传播规则、活跃规则、输出函数、学习算法、互连模式、环境、稳定状态、操作模式。

（５）等量的网页文本信息，生成等量的随机数信息。如果二者不等量，那么需要算法本身提供信息量。这里会涉及《信息论与编码理论》。也就是由源信息，经过信道变换，产生新的信息时，信息的量可能增加或者减少。

例如，源信息是１个二进制位，要经过变换成随机的３个二进制位。如何通过变换算法实现？

或者，源信息是３个二进制位，要经过变换成随机的１个二进制位。如何通过变换算法实现？

这种变换，如果是压缩，有不失真的问题。如果是扩张，会不会对安全分析软件提供冗余的信息，更便于破解？在HASH函数中，经常对数据的量作处理。加密和解密，也有对操作前后的信息的量的分析。

例如HASH函数有四个特性：单向性，即是单向函数；输出固定位数；避免冲突；输入数一位变换，会引起HASH值的巨大变化。这种输入和输出的信息量之间的关系，具有HASH函数特点的界定，是由其本身的客观规定性决定的。

第二种，使用传感器采集环境信号来生成随机数的方法的思路

使用传感器，或者传感器阵列，多个地点，象无线传感器网络，采集光照数据，环境声波数据，能源流体流动数据，来生成随机数。传感器的主要特征是能感知和检测某一形态的信息，并将其转换成另一种形态的信息。

处理方法有几个特点：

１、可按照工作机理分类，可按被测量分类，可按敏感材料分类，可按能量的关系分类。

２、绝大多数传感器都属模拟（连续变化）系统之列。描述一般方法是微分方程。在实际的模型建立过程中，一般采用线性时不变系统理论描述传感器的动态特性，即用线性常系数微分方程，来表示传感器输出量和输入量的关系。

３、需要去掉初始的偏移量，得到的是随机量。

二、由有限状态自动机设计加密算法的思考

从文献[４]中关于LFSR用于序列密码加密的描述可知，是基于有限状态自动机的。在文[９]中引用了使用有限状态自动机设计加密算法的文献。

这需要一步步逆推。有限状态自动机FSM根据输入数据，处理后，变成输出数据。

假设：输入数据是明文，处理过程信息是密文。

（１）FSM根据体系结构策略AS1设计出多任务操作系统计算机C1，（２）C1上运行程序PRO_C1。（３）PRO_C1要完成作业JOB_1。C1同时启动多个任务的进程，来完成上述作业JOB_1。

资源的分配有其策略，资源的访问许可是访问控制权限表的。资源所在，如内存，是不停地根据多个进程的获得和释放，具有不同的值的。C1的输出，一般出现在这些内存资源的最后时间段。内存中的这些值，用作密文。

资源分配策略和访问控制规则，以及计算机C1的FSM的描述，和设计C1的体系结构策略AS1，可作密钥，或者说相当于密钥。解密的过程，相当于程序的输出，逆推出程序的输入。这种程序的设计，是有其限制的，以便保证能够逆推出输入。因为C1的描述，AS1对解密方是已知的。C1相当于是一个虚拟机，按照国防科技大学计算机学院的李勇教授的分层方法，可分为：应用语言虚拟机，汇编语言虚拟机，操作系统虚拟机，机器语言虚拟机，功能块级虚拟机，微电路级虚拟机，毫微电路虚拟机，门电路虚拟机等。例如以功能块为例，由输出可以推出输入。

三、对PKI的理解

　　文件的加密和签名均要用到公钥，如何对公钥进行管理和发布？如何保证个人信息是真实可靠的？解决这些问题就必要采用数字证书。

证书内容包括：版本号、( 唯一) 序列号、算法标识、发布机构、有效期、用户名、用户的公开密钥及算法、发证机构的签名等。

（１）加密算法和签名算法的设计和优化，密钥协议的设计，密钥管理；

（２）LDAP服务器的实现。公钥私钥密钥对分别存储在LDAP目录数据库中。

（３）智能卡USB KEY和读卡器：内置MCU，嵌入式操作系统，RSA和DES算法实现部件，相应的HASH算法和数字签名算法，保存公钥和私钥，保存用户名和口令，实现一次一密的动态口令，实现伪随机数生成。

 

（４）PKI 的CA、RA、CR等关键组件的面向对象模型建立和实现。RA只是一个注册代理，而CA是一个服务器。RA接受对证书的操作请求，并发送给CA。CA和称作CR的LDAP数据库紧密相连。

 

（５）几个协议的实现。OCSP，LDAP，X·５０９，X·５００。

（６）认证。私钥 s 加密明文M，得到Es(M)。对方收到后，用公钥对Es(M)解密得M‘，将M‘和M比较。若二者相等，则可确认发送方拥有s，确定是某用户。

（７）访问控制。

开发技术部分：WEB服务器一般用TOMCAT，支持JSP。而支持J2EE的EJB服务器则用JBOSS。JAVA MVC框架一般STRUTS或SPRING两者中的一个，或者两者都有。可用JBUILDER或者ECLIPSE进行开发。

 

 

四、对访问控制的探讨

1、 现有的复杂访问：虽然可能不会亲历各种复杂访问，但可从对INTERNET的存取和被控制，引伸出一些复杂的访问模式。INTERNET就是为了方便人的操作，所以设计者自然而然会仿照人类一些复杂的访问操作。
2、 如何给访问的复杂性评价：有一个平台，有一些评价的指标，这对各种AC都不一样。如果给访问控制的复杂性进行标准化的评价，在用户使用、设计者设计时，有一个参考。
3、 将来的新增的访问：INTERNET的AC显然是复制了人类的一些活动，又不完全一样。有的INTERNET访问操作，完全是人操作的“极限运动”，并不依照通常人的操作实践。
4、 不同的访问之间：比如多个用户并发访问同一域名的多个网站的多个服务。

5、 访问序列之间：访问序列之间对记录或文件（这时暂提文件，实际上更广泛的是“编程的资源”）进行不同的RAR,RAW,WAR,WAW（读与写）。
6、 访问之后目标变更的记录：还有一个访问操作对多个目标进行访问，形成一个结果，可能是中间的结果。题所指，一是指修改了目标。
7、 访问目标与数据库访问的异同：数据库的访问存取已经非常标准化了，例如基于SQL语言的。那么具体的AC对具体的目标，也可以如DB那样进行理论分层、分视图等。
8、 访问目标的确定：服务器端如何根据访问语句确定目标。

9、 跨安全区访问进程：安全区设定也有好坏。设定安全区后，跨安全区的访问就有各种不同于通常AC的访问控制。
10、 访问进程的生成、就绪、挂起、退出：访问控制是发起者和目标方的共同计算能力作保障的，同时，显然有输入和输出。是一个自动机。或者说，是模拟自动机，或者说，可模拟和类比于自动机。有各种状态。这种状态的表示，是怎样的呢？
11、 访问进程和访问线程：生成线程，不一定是由程序生成。而是设计出类似于线程的、把访问控制细分的“线程”。目的是更好（这个“好”，有哪些指标？）地完成访问控制的目标。
12、 不同的软件工具对访问的实现在底层的区别

首先，“流行”的软件很“牛”，不存在“混合编程”的可能。其次，有数据库的“查询优化”，也就会有通用信息目标的“访问优化”、“控制优化”。又次，对访问时间和空间以及其它开销指标影响比较显著的地方，的代码，要专门衡量、专门比较。比如，比较VC和J2EE在协同设计的图形操作方面的功能。

13、 如何评价访问的有效性

一般现在的情况，都是由发起程序这方的用户（人）来衡量，是否达到了访问控制的目的。显然，有些关于是否达到了存取控制要求的信息，可以由用户编程来实现，即由程序“代理”来判断是否访问控制目的实现了。
14、 访问的中断和现场的恢复

访问操作经常是一个N维空间上的序列。被打断是很可能的。在初初考虑这种技术时，应该可以从数据库上的LOG,ROLLBACK,COMMIT,ABORT借上劲。因为在DDB中，这些技术已经非常成熟，经过了时间和市场的考验。
15、 一揽子访问进程包包含几种几次的访问序列

可以说是前面某点关于“复杂访问控制”的另一种问法。访问进程包：编程，由程序代理自动按照访问序列进行访问。想当然的是，一个两个访问，还好处理，如果是涉及到一个人要掌控成百上千的访问时，就不得不依靠程序代理来实现。为什么称为程序代理呢？一是因为它有相当的智能，二是因为可能是分布的、并行的、如MOBILE AGENT的。
16、 访问策略制定者和访问控制进程本身的控制、监控、审计

策略的制定，是凭经验吗？还是有如软件工程般的规范，有流程，可操作性强。

进程问题，在大规模用户和广域网络上，不对访问控制项目相关因素本身进行监控，那么，所做的，就如空中楼阁，结果也很可能南辕北辙、沿木求鱼。
17、 现有几种资源系统中访问目标的分类

对待访问资源进行分类的必要性是显然的。象华为的矩阵管理，显然此分类越详细越好，可能是多维的，而不是直线思维地认为，要么黑，要么白。具体的资源很多，可能要CLASSIFIED，要抽象。可能要象面向对象一样，把成员函数和成员数据包含在一起。
18、 访问的冲突

争夺同一资源的同一“颗粒”（暂如此称呼，意指资源的更细微的划分，可能是每个指令访问的对象）。
19、 来自本地和异地的访问冲突的确定和控制

这种访问冲突，和CSMA/CD的，和电信号的冲突，都不一样。

在访问控制中，两个或多个不同的访问，是完全可能因多种原因引起冲突的，值得大书特书：-）。
20、 来自同一地的访问冲突的确定和控制
21、 来自不同或相同安全区访问冲突的确定和控制，及策略和算法、模型
22、 访问控制和多级门限

如如何确定访问没有越权。一般是ACL，但现实中的访问，会有多级门限。过了一道，访问资源A，再过一道，才能访问资源B。
23、 访问控制许可的阈值

允许访问程度和范围的量化，不可能凭经验。
24、 访问控制信息在网络安全传输的协议

（1）建立会话密钥。（2）（客体/地址/目录/文件/记录，操作）对。（3）考虑不安全通道。（4）逻辑通道的建立和拆除。（5）协议格式，数据格式，校验格式。（6）发起者发出，客体拥有者发出的。（7）机密性、完整性、真实性、拒否认性、可用性，这些目标能达到。（8）对协议的攻击。（9）对比已有类似协议，所作的改进。
25、 访问控制信息的安全特性保护

由发起端，到CHANNEL，到目标端，信息是PLAIN的，它不能自我保护。一定要设置保护机制，要有安全性评价。
26、 嵌套访问控制

简单的想法，是一段访问代码嵌入了另一段访问代码。还有，有些结果是可以在目标端计算后，只送给最终结果，而不是初始访问数据。
27、 并发访问控制的可串行化、原子性、ASID（I 独立性、D 持续性）

（1）来自于国防科技大学《分布式数据库DDB（影印版教材）》的“事务”的基本属性ASID。

（2）并行操作的效果，可用相应的串行操作实现。

（3）并行访问：多个发起人，多个客体，多个通道，多种AC协议，时间序列，空间阵列，类数据库属性，
28、 访问控制相关的大量的、复杂的时间特性
29、 访问控制相关的大量的、复杂的空间特性

（1）如何用单机模拟？（2）时间特性：访问起止时间，（发起者，客体，访问持续时间），分时间片，

30、访问控制系统的层次划分

31、访问控制系统放到周围环境中的问题（一系列）

32、访问ABORT，COMMIT（提交）的标准及制定的原则

33、自动将访问流程细分成几个步骤，其原则

34、针对具体资源系统（WINDOWS，LINUX，UNIX，XENIX，SCO UNIX，SUN SOLARIS），采用同一访问控制策略，在实现过程中，会有怎样的不同

35、平行的访问控制过程之间的关系，对资源的交叉利用

36、访问控制过程的原语

37、访问控制的设计原则，及评价

38、对访问控制发起者和目标的控制

39、访问控制的基准测试程序BENCHMARK，以验证某个访问控制能否达到预期的结果

40、如何恢复被中断的访问控制过程

41、访问控制过程的状态图，如OS的 套刺 肌Ｊ巧婕暗蕉喾降淖刺 ?/p>

42、访问控制系统的可控性、可观察性、可测试性

43、访问控制系统需要用硬件来部分实现吗？什么情况下，需要使用硬件电路、板卡、ASIC CPU？

44、访问控制并行操作的可串行化，可验证

45、访问控制和其他类似的操作，如分布式存储管理系统、机群存储管理系统，之间的联系

46、使用访问控制系统RUN ANY TIME，ANY WHERE，需要什么保证。如果有非预期的关键操作不能实现，则对访问控制系统本身的价值，会打一个大大的问号。

47、访问控制系统可否实现自调整等计算智能的因素，例如根据需要调整对资源的控制

48、还是计算智能

49、访问控制算法

50、访问控制算法的正确性、完备性、一致性（同样的条件下的访问控制应该获得同样的目标中的资源）证明

51、访问控制用户的优先级划分

52、访问控制的博弈和均衡：对于多个发起者争夺目标方的“临界资源”（Critical resources，套用《操作系统》的术语），是某种博弈，不可能在“限制条件”下，每个参与者的要求都得到满足。虽然，和博弈（决策论）的称呼一样，但具体需要看访问控制系统的智能Intelligence的程度。

53、访问控制中AGENT的使用：有Belief,Desire,Intention信念这些比较玄乎的东西的AGENT可能比较难。

但MAS(Multiple Agent System)之间的协同、协调理论和技术，再加上协同学理论，还是有必要的。

54、访问控制与进化：不说进化吧，发起者和目标方的计算机智能环境在变化，资源方面的问题也在变化，需要自适应。

５５、访问工具

（1）、人对工具编程，按程序完成访问。（2）、有许多不同的信息系统，工具的适应性。工具是提出通用模型，还是专门就自适应性提问。（3）、工具和被访问数据系统之间的通信。（4）、工具的进化。（5）、工具和被访问信息系统的关系。

５６、根据不同的被访问信息系统，访问时作什么不同的限制

 

５７、被访问信息系统的边界的确定

（1）、作为一个系统的其它特性。（2）、系统内部子系统的关系。（3）、系统的输入和输出。不光指访问控制时的输出。4、访问者子系统和被访问者子系统，也构成一个大的访问控制系统A1。而别的可能有访问控制系统A2……AN，它们之间至少在客体上是有交叉的，例如，一个硬盘目录，要针对于不同系统的访问控制。这个概念，和一般意义上的多主体多客体系统有交叉。

５８、何时能进行访问控制，何时不能进行访问控制

５９、并发访问同一信息单元的算法，可从访存算法迁移

６０、基于身份的缺省策略

６１、最小特权原则问题

６２、多重策略问题

６３、否认限制和权限运算

（1）、除了取反，还有各种“权限运算”。（2）、权限运算与集合。（3）、权限运算与数据库？

６４、连续的访问操作

６５、根据CONTEXT的访问控制

６６、访问控制策略规则的冲突，冲突的消解算法。

６７、认证和访问控制的关系

1、是紧邻的两个阶段，如何衔接。

６８、BBS各种权限

６９、访问的可信性

（1）、如何保证正是所要访问的信息。访问的各个阶段。对发起者而言，客体存储在某个目录树下。

（2）、问题可以从几个方面提出。访问控制的置信度。

７０、插入访问控制

在两个安全区域之间的中介点，设置实施组件。不同的安全区域有不同的访问策略。

７１、基于知识的访问控制模型

７２、访问控制模型的机密性评价

７３、访问控制模型的可用性评价

７４、访问控制模型的完备性评价

７５、访问控制模型的完整性评价

７６、访问控制模型的一致性和无二义性评价

７７、访问控制模型的吞吐率估算

７８、访问控制模型的可靠性评价

７９、访问控制模型设计的强制目标和推荐目标

８０、对访问控制的重视与否

８１、访问控制与协同控制

（1）、访问发起者和被访问信息系统需要协调一致。最基本的，就是具有相同的通信协议。（２）、被访问信息系统内部子系统需要协同。（３）、多个访问操作之间的协同，主体和客体之间的协同，协同设计系统的访问控制。可以想见，网络系统的访问控制是大批量、猝发、并发的，需要进行并发控制、协同控制。（４）、小的操作的协同，大的访问的协同，由局部构成整体。局部和整体的评价、优化、自适应。（５）、加锁。（６）、优先级不同的访问，导致需要ROLL BACK机制、CHECKPOINT机制、LOG机制吗？这些机制的实现原理和支撑平台。

８２、访问的过程控制

（１）阶段划分对访问控制目标的实现，有什么贡献。（2）、过程与资源的相关性。（3）、过程的时空特性。

（4）、阶段的自适应性、可调整性、可控制性、可观察性、唯一性、一致性。（5）、阶段性又与并行性紧密相关。根据DDB，并行化又有可串行化的要求。

 

 

８３、访问和访问控制历史的记录、访问控制信息的管理

 

信息与其执行，可作为一个类CLASS的问题。历史数据库的设计和分析，和数据库的日志有什么区别，也有CHECKPOINT,ROLLBACK吗？

８４、AC两端的自适应

可能主体变化，也可能客体变化，AC系统能够自适应。具体是什么类型的变化？

８５、访问控制的转发

（1）、涉及到多个安全区域，其拓扑结构？（2）、传输，中介点，路由，FIREWALL，IDS

 

 

 

 

８６、访问控制协议（包括管理AC信息的）

（1）必须是安全协议。安全协议的内容可参看[1][2]：（2）协议是双方“对话的语言”，合作完成某项工作。（3）访问控制中的“访问”，简单而言，可以说成是“读写的排列和组合”。但被访问的目标，控制和拥有目标的权威机构，发起者，传输通道（连接或无连接，低密级或高密级，还可以有并行通道），它们之间可组合的操作方式，是多种多样的。（4）对上述两本书中的协议修改，应用于访问控制。

 

８７、基于产生式规则知识的访问控制模型

（1）如何对访问进行控制，是知识。即AC知识的内容。（3）怎样按照知识执行访问控制。（4）提升，或称归纳到知识的角度|高度，有什么创新？（5）访问控制的智能化。（6）访问控制本身的安全性。

８８、访问控制与上下文（环境）

借鉴嵌入式系统中的中断关于上下文，借鉴《编译原理》关于上下文相关文法和上下文无关文法的内容。例如，被访问目标不存在了，被权威机构删除，怎样知道？

８９、访问控制中授权的类型研究、授权的实现研究

９０、访问控制与安全区域

（1）动态区域？（2）怎样知道是哪个安全区域？如何标识？如何告知？（3）一般的理解是IP地址范围。（4）概念的界定。（5）空间概念。（6）不安全的表现是什么。（7）安全区域的类别，有很多种吗？即如何分类，根据什么分类。

９１、搭建访问控制实验环境

９２、对访问控制技术的攻击，和对访问控制技术安全性的评价，有哪些安全性内涵比较关键，而根据不同的软件技术，需要选择主要方面和次要方面？

９３、不同技术开发出来的软件访问同一被访问客体，如网络数据库，如网站可有多种软件访问？如果是单一的一个数据库，似乎没有。但对一个服务器而言，可能有多个客体存在。

这里又有协同的问题吗？在这里，主体不同，客体也不同，有D1,D2,D3……。但客体D1,D2,D3间的存储结构和位置不同。是否不同的主体客体使用不同的AC策略。

９４、访问控制阶段：

第一步，客体的权威机构将资源列表。

第二步，建议访问总体策略。

第三步，主体建立申请表。

第四步，批准或拒绝全部或部分权限。

第五步，主体根据ACL进行访问。

９５、原型软件系统平台的设计：基于程控交换机管理模块的访问控制研究

９６、原型软件系统平台的设计：基于LOTUS NOTES/DOMINO的工作流系统的访问控制研究

９７、原型软件系统平台的设计：基于应用网关软件防火墙的访问控制（可用性？）研究

９８、原型软件系统平台的设计：基于IDS系统的访问控制研究

参考文献

[１]Visual C++ 6.0开发网络典型应用实例导航，汪晓平，刘韬等，２００５，９，人民邮电出版社

[２]信息论与编码，姜丹编著，２００１，８，中国科学技术大学出版社

[３]信息论与编码理论，沈世镒，陈鲁生编著，２００２，７，第一版，科学出版社

[４]计算机密码学－计算机网络中的数据保密与安全，卢开澄编著，２００３，１２，第三版，清华大学出版社。

[５]神经网络导论，胡守仁，余少波，戴葵编著，１９９３，１０，国防科技大学出版社

[６]神经网络原理，Ｓｉｍｏｎ　Ｈａｙｋｉｎ著，叶世伟，史忠植译，２００４，１，机械工业出版社

[７]传感器原理与应用，黄贤武，郑筱霞编著，２００４，３，第二版，高等教育出版社

[８]传感器原理及工程应用，郁有文等编著，２００３，７，第二版，西安电子科技大学出版社

[９]信息安全综述，沈昌祥，张焕国，冯登国等，２００７，３７卷，２期，中国科学E：信息科学

[１０]PKI安全认证体系的研究，张仕斌，何大可，代群等，２００５，７，计算机应用研究

[１１]X·５０９证书库的设计与实现，曾凤萍，潘爱民，２００５，４，计算机应用研究

[１２]公钥基础设施的研究与进展，袁卫忠等，２００４，２，计算机科学

[１３]高校校园PKI的设计，沈士根等，２００４，７，计算机应用

[１４]高性能OCSP服务器的实现，余婧，冯登国等，２００５，２，计算机工程

[１５]公钥基础设施与应用软件集成研究，刘淼，郭荷清，２００５，７，计算机应用与软件

[１６]基于PKI技术的认证中心研究，李彦，王柯柯，２００６，２，计算机科学

[１７]王育民，刘建伟，《通信网的安全－理论与技术》，２００１，３，西安电子科技大学出版社

 

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(37)

 

０７－１２－１５、再谈用有限自动状态机于密码学

2007-12-06 21:58

 

只有按设计的机制，并发运行的有限状态自动机，对输入（即明文），处理后，输出数据（即密文）。

即是说，要求是并行机机制。

第一个原因，是自然界和人类社会许多进程，都是并发的。

第二个原因，并发的系统，复杂性高。

第三个原因，并发而有规律。（对比于“混沌学密码”，是否有混沌学密码，书一下没找到。不在有扫描图片的三本书中。字面上的“混沌CHAOS”）。

这样，相当于是POST规则在计算机体系结构加密码算法领域的一种扩展。又相当于是一种非线性的、可编程控制的、并发的、精确的、……的单向HASH函数。

因为，由　A可推出B，反过来推不出。如果A是明文，B是密文。密码分析员是推不出A的。

如果分别考虑(1)已知明文，(2)已知密文，(3)选择明文，(4)选择密文，等等，就比较复杂了。

这里，我想到，对于复杂的加密系统，可能远不止上一行提到的４种分析难度。而是根据不同的加密系统，有不同的密码分析要考虑的难度假设。按毛文波博士的说法，密码学有实践方式和教科书方式。

 

 

——以下有限状态自动机，和并发有限状态自动机，简称FSM，PAPALLEL 　FSM。

唉，又回到２００３年对于安全认证的理解了。当时是基于衡阳和常德流行的字牌游戏，有５０多种，不到６０种规则。知道规则的，就能先“胡牌”（也就是赢本局）；如果知道计算“胡子”（３胡一加，类似于麻将算番），并且最大化“胡数”的，就多赢。

知道规则的，胜出；不知道规则的，就不会打，更谈不到胜出。

２００３年时，也想到了会象FSM一样运算的，就认证通过。

不过，现在是考虑加密的问题。

其实，再想想，FSM有限状态自动机作为计算机的基础和基石，是对人类大脑运算能力和处理能力的模拟而已。

人类也会象复杂的象古典密码一样的“替换”和“置换”。

何况，反过来想一想，算法，包括加密算法，就是人类设计出来的，“想”出来的。

例如，力学是有牛顿的三定律存在于客观现实中。但现在如“中国知网”中的绝大多数的算法和模型，是人类自己，符合逻辑地创造出来的。

FSM模拟人类的大脑的思维活动，也有一定的创造能力。这些能力，该如何运用到包括安全认证、访问控制，和加密解密算法的信息安全中去呢？

在工作中的计算机上面添加多级多台FSM，是否相当于可模拟复杂的智能处理技术呢？

可综合复杂的智能处理技术呢？

从上面对密码学的加密处理来看，多级多台的FSM，直觉似乎会有令人欣喜的功能。

 

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝那么有哪些密码分析手段呢？＝＝＝＝＝＝＝＝＝＝＝

或者说，基于有限状态自动机的加密算法，有哪些攻击手段呢？

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(5)

 

０７－１２－１１、不光是随机数，加密算法也集中到有限状态自动机

2007-12-06 12:17

冯登国博士说，有用它的加密算法。

 

一、《数值分析》教材中可用于生成随机数吗？

非线性方程的折半法求解，落在左部，就输出０，落在右部，就输出１。

问题是，方程的系数和指数哪里来？如方程a*x*x + b*x + c =0。

２、如果是插值，则原函数和插值哪里来？计算误差来决定随机数吗？

３、常微分方程也一样，初始方程哪里来？

４、得到方程系数和指数的第一种考虑：

可以通过检索INTERNET网页数据来。因为INTERNET的网页上的数据，对于我们来说，都是随机的。只对它的主人和对它感兴趣的人有价值。

这是第一大类、基于《数值分析》课程数学方法，来生成随机数的思想。

也可算作可以“随时随地”生成随机数的第二种方法。

所谓“随时随地”，指不需要硬件设备。可作普通人（如上班族）的序列密码生成器。

·几个进程同时运行，都有循环和消息机制。

·消息机制可用面向对象技术实现，也可用共享文件实现，也可用共享内存区域实现。

·当循环中（循环体中对某三个变量a,b,c，进行计算和赋值）收到某个消息时，就暂时中止循环，将当时恰是的三个值作为一元二次方程的系数。

·“收到某个消息”，类似于嵌入式系统中的中断操作。但中断的发生是有原因的，可能是外部中断，也可能是串口中断等，也需要随机产生。那么就是先有鸡还是先有蛋的问题了。由随机数生成随机数。

但是也可以由一些CASE工具的伪随机数中来吧。比如，PHP等网页设计程序就有一些生成随机数的函数。好象是PHP，一般网页，因为要加密，都会有这类函数吧。

·上面提到的INTERNET网页分类，神经网络ANN就有许多种求法吧。意思就是，直到找到用ANN匹配的网页数据为止。这种匹配的过程，会有一些参数，如匹配次数，匹配上的时间，……等，应该不少。

这些参数的估计和带参数的优化（？乱弹一下，呵呵。也许扯不上），应该可以作为随机数。

·但如果通过检索INTERNET网页来产生随机数，其随机数的位的生成速度是否跟得上？还有一系列的问题要解决吧？包括VC编程

·对INTERNET网页检索的启动，可以通过查电子字典。

这种利用人工神经网络检索分类INTERNET网页的方法，也可以算作是“随时随地”获得随机数的第一种方法。

·黄铠博士（Kai Hwang), Faye A. Briggs的《计算机结构与并行处理》Computer Architecture and Parallel Processing，１９９０年６月第一版。

单机的目录如下：

“

１·２、单处理机系统中的并行性

１·２·１、基本的单处理机系统结构

１·２·２、并行处理机构

１·２·３、子系统带宽的平衡

１·２·４、多道程序和分时

”

·这里的随机性利用WINDOWS操作系统对多进程的处理原理。

·还可利用WINDOWS的网络程序不定期的对外部的收发数据操作吗？有哪些信息是随机收发的？哪些又是定期的、周期性的，如程控交换机定期检测用户线？第二大类，这又是一个生成随机数的方法。是可以随时随地生成随机数的第三种方法。可用志愿客户机下载Agent来采集网卡收发的数据、并进行用于随机化的处理的方式实现。

用VC不停地、连续读取网卡中的数据，作为随机数的生成源和参照系。其中与时间的参数，是非常关键的（直觉）。

·WINDOWS对存储设备的管理：有数据要写，包括内存和外存，如何LOCATION？

·可能主要是要利用WINDOWS的非抢占式OS的特点。

···这里突然想到，可以设计一个寄居于WINDOWS应用层的VIRTUAL OS：

（１）它上面可运行应用程序（是否完全由VOS控制和管理？），形成进程。

（２）它控制和管理一定的资源，可以是虚拟的，仅仅是数据区。

进程获得资源和释放资源，是与其程序结构有关的。由于每个进程都可能同时得到多种多个资源，并占用一段时间，可以假设只有具有这种资源特性的两种程序结构的进程A和B。

那么，随机性在哪里呢？除了排队机制，这样想来，应该是跟资源分配机制有关吧。由资源分配机制而得到随机性？

资源分配机制，不是和访问控制机制紧密相关吗？不又是要靠预设的POST产生式规则？

或者，不妨假设有一种一级级控制的主循环到子循环。子循环可能是一个以上分循环。

这样，可能是一个博弈方和其他多个博弈方，根据规则的博弈。来争夺处理机资源和时间片资源。

但并行机制怎么模拟的问题，考虑博弈吧。这种并行机制是分层的。

也就是２００３年开始考虑的嵌套的POST产生式规则。

··综合上面几小段，看来就是一个更大的博弈：“资源分配规则和访问控制规则和博弈规则”。规则的解释程序，如何方便产生随机性？选择什么规则来优先执行，是元规则的事，元规则是关于规则的规则。

这样一级一级的规则控制链，能产生随机性吗？

如CLIPS，是开放源代码的。或者说，我持有其一个版本，２００３年的源代码都是C代码。

－－－－－－

 

虚拟资源包括：

A、处理机资源。主要是占用VOS的时间片。

B、存储资源。通过VOS虚拟机描述的“内存”和VOS虚拟机描述的“外存”。当然，实际上是对PC机的存储资源进行管理。但VOS上的用户程序和用户进程，只看到虚拟的“存储资源”。

C、设备资源。这些VOS控制和管理的“外部设备”，可以有智能的特性。它会象PC机的外设，如键盘和鼠标一样，主动地要求OS处理。这种智能的根本特性，一是要争夺处理机资源和存储资源，二是

D、程序资源和进程资源和线程资源。这些资源不再象PC机的程序资源一样，需要人来规划、启动。

E、更进一步，第一，程序是根据需求来人工编程生成的。第二，需求从哪里来？第三，有移民加拿大的同学，曾经答应别人做采集INTERNET数据的自动程序。那么，

需求就可以从这里来：

一个需求采集程序ReCoProg，

－１－，根据一本电子词典，随机地，比如，从P开头的词条选择句子。

－２－，或者象百度和谷歌一样，随机检索出一段原文p_t。

－３－，又：原有一个对自然语言进行特定翻译的NaTra软件，根据p_t生成特定的需求。

－４－，用于VOS的编程。

－５－，这种编程，要根据资源的限制。不能随意瞎编。

如上所述，这是另一种生成几乎是“真的”的随机数的方法。第三大类。

 

翻译电子词典，是第四大类。因为自然语言，哪怕是左拼右凑的几十个不同句子。只要让NaTra去翻译，ド 沙绦颍 材苌 伞?/p>

第五大类，根据光照的计量，是局部随机的（虽然，总体上是一个概率分布）。光敏传感器，多点采集阳光数据。

第六大类，能源网络的源头，采集能源流数据。如水坝、使用中煤气管道各种指标的测量、电流的波动的精细测量……

第七大类，交通流。

第八大类，各种传感器能连续（一定意义上，随机数的个数够用就行）感知，并能采集到。

……

那么，用于流密码的随机数，要求收发两端都会产生一样的随机数流吗？

二、对前述八大类随机数生成方法的思想，作一个简明扼要的比较分析……

这样《计算机密码学》课程小论文的第一篇，搞掂。

补：为什么随机数的作用很大呢？因为，象各种密钥，都不是人们去自己设置网易VIP邮箱的密码一样设定，在密码学中，一般都是随机数，因为在一方面，这种随机数密码和现实世界、和使用者，没有一点的相关性。

三、使用有限状态自动机用于加密算法的理解和分析

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(12)

 

07-12-10、《计算机密码学》小论文要写了，同属科技计划课题的内容

2007-12-05 22:45

还有一个月零5天（35天）必须收到。挂号信邮寄，假设提前15天。

还剩余20天时间，两篇。

12月10日以前，交《湖南省科技计划项目申请书》，有5天时间，对PKI各方面突击突击。

一、PKI相关的。

按重要性等级来先后排序，每一部分都算是一篇小论文吧：

１、PKI　/　CA中认证的实现。

（１）证书。

·包括密钥对的产生，密钥对可由用户产生，也可由CA产生。

·内容包括：－１－版本号、－２－( 唯一) 序列号、－３－算法标识、－４－发布机构、

－５－有效期、－６－用户名、－７－用户的公开密钥及算法、－８－发证机构的签名等,

证书不可伪造。

·签名算法。

假设有张三要向CA申请李四的证书。CA有张三的私钥，并有对证书内信息的签名算法，此算法是公开的。

CA即可由此将李四的证书签名，发给张三，由于是数字签名，可以保证李四的证书具有不可伪造性。

在课题中准备采用ElGamal数字签名算法。

 

（２）对公开密钥的处理和管理，虽然有些要和如LDAP数据库共同实现，但基本上都要经过CA。

如右链接有关于PKI/CA的描述：http://hi.baidu.com/ftai/blog/item/89a60408023321d263d986cc.html

公钥私钥密钥对分别存储在LDAP目录数据库中。

 

２、安全性的实现。机密性，完整性，可用性，拒否认性。

但要等到对系统有完全的把握之后，才好写。因为系统都是整体的吧。

３、几个部件。CA，RA，CR。

RA只是一个注册代理，而CA是一个服务器。RA接受对证书的操作请求，并发送给CA。

CA和称作CR的LDAP数据库紧密相连。LDAP同时还要储存密钥对。

 

４、几个协议。OCSP，LDAP，X·５０９，X·５００。是否在交叉认证中用到？

５、认证。很自然，私钥 s 加密明文M，得到Es(M)。对方收到后，用公钥对Es(M)解密得M‘，将M‘和M比较。若二者相等，则可确认发送方拥有s，确定是某用户。

６、访问控制。

设置权限。用户ID号和其公钥是一一对应的。

主要是发送方张三对要发送给李四的信息，用李四的公钥加密。

对称加密系统中，N个用户要加密通信，则需要（N,2）个组合数个密钥。

７、BER编码，DER编码。

８、数据库同步。

９、网络控制系统。加上可信网络平台。

二、认证算法的攻击。WENBO MAO的书记录比较详细。

此处文是要根据攻击算法，来分析{中国知网}上发表的论文的漏洞。

三、伪随机数生成算法。搞掂。

四、零知识证明理论和技术的归纳。

五、LFSR及流密码。

１、提出或改进一种基于LFSR的算法，并分析对它和攻击。非线性LFSR。

２、流密码加密和解密过程实现的几种模式，及其安全性分析。

比如，如何同步，来实现加密的实时通信。

六、病毒网站。

有一种的表现：浏览音乐MP3播放网站，结果甚至连[工具－INTERNET选项]中的主页也被修改，而且变灰。只有重装WINDOWS系统后，才能重新设置。

另一种表现，访问某网站后，本地一有某种触发操作，就不时弹出数个网页。

或者用另一句话说：病毒通过网络传播的方式和原理是怎样的。

估计，要对WINDOWS系统的内部结构进行分析和估计。

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(24)

 

07-12-5、信息安全综述，冯登国等

2007-12-03 00:34

中国科学 E 辑: 信息科学
目前, 分组密码的重点研究方向为新型密码的设计、密码体制的软件优化、硬件实现和专
用密码芯片的设计等.
张焕国、覃中平将密码学与演化计算结合起来, 借鉴生物进化的思想, 提出了演化密码
的概念和用演化计算设计密码的方法. 并在分组密码S 盒、Bent 函数、Hash 函数、随机序列
的演化设计方面进行了有意义的研究[16—18].

（计算智能和信息安全的结合）
除分组密码之外, 流密码也是一种重要的私钥密码. “一次一密”密码在理论上是绝对安全
的这一结论使人们感到, 如果能以某种方式仿效“一次一密”密码, 则将得到保密性很高的密码.
长期以来, 人们以流密码仿效“一次一密”密码, 从而促进了流密码的研究和发展. 与分组密码
相比, 流密码的理论与技术相对比较成熟. 流密码是世界各国重要领域的主流密码, 对信息安
全发挥了极大的作用. 在流密码的设计方面, 除了移位寄存器序列、非线性组合序列、非线性
过滤序列和钟控序列等方法外, 近年来人们将混沌序列引入流密码, 并取得了可喜的研究成
果[19]. 国内的丁存生、肖国镇等教授在流密码研究领域做出了突出的贡献[20].

（流密码我还有许多要研讨、学习）
2.3 公钥密码的研究
对于一个密码体制来讲, 如果加密和解密的能力是分开的, 即加密和解密分别使用两个
不同的密钥实现, 并且不可能由加密密钥(公钥)推导出对应的解密密钥(私钥), 那么这个密码
体制称为非对称密码, 又称为公钥密码.

自从1976 年公钥密码的思想提出以来[21], 国内外密码学家设计了许多优秀的公钥密码体
制, 其中著名的体制包括: 1978 年Rivest 等提出的RSA 公钥体制[22]; 1978 年Merkle 与Hellman
提出的基于背包问题的MH 背包体制[23], 1979 年Rabin 提出的Rabin 体制[24], 1985 年ElGamal
提出的ElGamal 公钥体制[25], 1987 年Koblitz 和Miller 提出椭圆曲线密码公钥体制[26], 以及基
于代理编码理论的MeEliece 体制[27]和基于有限自动机理论的公钥密码体制[28]等等. 公钥密码
除了公钥密码体制之外, 还包括数字签名技术[29]. 著名的数字签名有RSA 签名、Rabin 签名、
ElGamal 签名、Schnorr 签名[30]和美国国家数字签名标准DSS[31]. 由于数字签名可以提供信息
的鉴别性、完整性和不可否认性, 因此, 随着实际应用的需要, 特殊的数字签名也被广泛的提
出. 主要包括: 代理签名[32]、盲签名[33]、可验证的加密签名[34]、不可否认签名[35]、前向安全
签名[36]、密钥隔离签名[37]、在线/离线签名[38]、门限签名[39]、聚合签名[34]、环签名[40]、指定验
证者签名[41]、确认者签名[42], 以及它们各种变型签名等等[43].

公钥密码虽然具有许多优点, 但是公钥密码的公钥认证和证书管理相当复杂. 例如目前
流行的基于目录的公钥认证框架X.509 证书框架的建立和维护异常复杂, 且成本昂贵[44]. 1984
年, Shamir 为了简化证书管理, 绕开了基于目录的公钥认证框架的束缚, 建设性地提出了基于
身份的公钥密码系统的思想[45]. 在这种公钥密码体制的密钥生成过程中, 公钥直接为实体的
身份信息, 例如唯一的身份证号码、电子邮件地址等等, 因此基于身份的公钥密码体制可以很
自然地解决公钥与实体的绑定问题. 在Shamir 提出基于身份的签名方案后, 基于身份的加密
方案却在很长时间内没有被提出. 直到2001 年, Boneh 和Franklin 基于双线性配对技术提出第
一个实用的基于身份的公钥密码体制[46]. 此后, 双线性配对技术成为构造基于身份密码体制
和基于身份数字签名方案的主流, 出现了许多优秀的成果[47].
虽然基于身份的密码简化了CA 公钥证书的管理, 但是由于它需要一个可信的私钥生成
器(PKG)为所有用户生成私钥, 一旦PKG的安全性出现问题, 那么整个基于身份的密码系统将
会处于瘫痪状态. 因此, 研究PKG 的安全性以解决密钥托管问题是基于身份密码中的一个亟
待解决的问题. 目前, 为了保证PKG 的安全性, 通过门限密码技术提出了分布式PKG 密钥生
成[48]; 为了解决密钥托管问题, 无证书的密码体制也在2003 年正式提了出来, 并在近几年得
到了广泛的研究[49]. 南湘浩教授提出的组合公钥(CPK)方案[50]具有一定的优势, 已经得到广泛
的关注.
公钥密码学是一种复杂的系统, 其工作环境充满了敌意, 很容易遭受来自外部、内部的各
种攻击. 然而在公钥密码的初期, 人们对于各种攻击方式缺乏理性的认识, 使得人们对于公钥
密码体制的安全性的认识受到了很大的局限. 例如, 人们最初考虑的攻击都带有典型的“教科
书式”的形式. 之后, 人们逐渐意识到了通过形式化的方法去设计和分析公钥密码的重要性.
当前, 研究可证安全的公钥密码方案已经成为现代密码学的一个主流课题[7, 9].
2.4 可证明安全的研究
可证明安全性(主要从计算复杂性理论的角度来考虑密码方案的安全性)是近年来公钥密
码学领域里的一个研究热点. 简单地说, 可证明安全其实是一种“归约”的方法, 它首先确定密
码方案所需要达到的安全目标, 然后根据攻击者的能力去定义一个攻击者模型, 并指出这个

攻击者模型与密码方案安全性之间的归约关系. 比如某个密码方案是基于RSA 问题假设的,
那么可以通过攻击者模型去分析方案的安全性: 如果攻击者可以在多项式时间里以一个不可
忽略的概率去攻击密码方案, 那么通过归约推导, 可以构造出另外一个攻击者以另外一个不
可忽略的概率去解决RSA 问题. 由于RSA 问题在选取一定安全参数条件下是安全的, 因此我
们可以从归约矛盾中反推出这个密码方案是安全的. 可证明安全性目前主要涉及公钥密码体
制、数字签名以及密钥协商协议三方面.
对于公钥密码体制来讲, 攻击者模型中攻击者的攻击目标主要有以下几种: 我们最容易
想到的是公钥密码体制的单向性安全, 即仅知道一些公开信息, 攻击者不能对一个给定的密
文c 恢复其对应的明文m. 然而在很多应用场合, 仅仅考虑密码体制的单向性是不够的, 我们
需要对密码体制的安全性提出更高的要求. 1982 年Goldwasser 和Micali 在这方面做出了开创
性工作, 将概率引入了密码学, 提出了“语义安全”的定义[51]. 语义安全又称多项式时间不可区
分安全性, 它主要基于以下场景: 考虑一个二阶段的攻击者A=(A1, A2), 刚开始的时候A1 在明
文空间里挑选出长度相等的两个消息m0 和m1. 之后, 通过随机抛币得到比特b∈{0,1}, 加密
其中的消息mb, 并将加密的密文c 交于A2. A2 猜测密文c 所对应的明文消息并返回比特b 的
猜测结果b′. 通过定义Adv(A)=2Pr[b′=b]−1 为任何多项式时间攻击者A 的猜测优势, 如果
Adv(A)是可忽略的, 那么密码体制为语义安全的. 除语义安全之外, 1991 年Dolev 等提出另外
一个安全性概念——非延展安全性[52]. 对于这种安全性的攻击是指, 当给定一个密文c 时, 攻
击者试图构造出一个新的密文c′ 使得密文c 和c ′所对应的明文m 和m′是意义相关的. 非延展
安全性无疑是重要的. 然而, 由于非延展问题的计算本质, 对它们进行形式化处理非常困难.
另外, 在攻击者模型中, 根据攻击者在攻击过程中所获取的不同有用信息, 攻击者的攻击方式
可分为选择明文攻击、有效性检验攻击、明文检验攻击、选择密文攻击等[53].
对于数字签名方案来讲, 在攻击者模型中, 攻击者根据实际应用的场合主要考虑3 种攻击
目标: (1)完全攻击. 攻击者经过攻击之后可以获得签名者的私钥, 显然, 这种攻击最为严重,
危害最大; (2)通用性伪造. 攻击者经过攻击之后可以构造出一个有效的算法以很高的成功概
率对消息进行伪造签名; (3)存在性伪造. 攻击者经过攻击之后可以提供一个新的消息-签名
对[54]. 存在性伪造所对应的安全级别称为存在性不可伪造. 虽然在大多数场合下, 由于输出的
消息很有可能是没有任何意义的, 存在性伪造似乎看起来并不显得那么危险. 然而, 一个数字
签名方案如果是存在性可以伪造的, 那么它本身就不可以保证签名者的真实身份. 2002 年, 更
高要求的强存在性不可伪造概念被提出[55]. 另一方面, 在攻击者模型中, 对于一个攻击者来讲,
他可以利用尽可能多的信息资源去进行签名伪造, 因此, 根据攻击者所掌握的信息不同, 攻击
者的攻击方式有: 已知公钥攻击、已知消息攻击和适应性选择消息攻击[53].
对于密钥协商协议来讲, 攻击者模型中定义的攻击者可以通过预先定义的一些预言机询
问以控制所有的通信, 其中Execute 预言机询问用于建模被动攻击; Send 预言机询问用于建模
主动攻击; Reveal 预言机询问建模已知会话密钥攻击; Corrupt 预言机询问建模前向安全和密钥
泄露伪造攻击. 最后, 通过Test 询问建模密码协商的语义安全性. 协议的安全性模型BR93 最
初由Bellare 和Rogaway 在1993 年提出[56]. 随后, 其他的安全性模型, 包括BR95[57],
BPR2000[58]和CK2001[59]等. 在亚洲密码2005 会议上, Choo 对这些模型之间的关系进行了深入
的研究[60]. 关于可证安全的协议可参见文献[61].
在当前公钥密码学可证安全性研究领域里, 最为流行的证明方法为在随机预言机模型下

的安全性证明. 随机预言机模型是由Bellare 和Rogaway[62]在1993 年基于Fiat 和Shamir 建
议[63]的基础上提出的, 它是一种非标准化的计算模型. 在这个模型中, Hash 函数作为随机函数,
对于每一个新的查询, 将得到一个均匀随机的应答. 随机预言机模型在构建可证安全密码方
案时, 系统中的各个角色共享随机预言机完成操作. 当体制设计完成之后, 再用实际的Hash
函数将此随机预言机替换. 虽然随机预言机模型下的安全性证明非常有效, 但是随机预言模
型证明的有效性还存在争议. 比如, 1998 年Canetti 等[64]给出了一个在随机预言机模型下证明
是安全的数字签名方案, 但在随机预言机的实例中却并不安全, 因此, 当前的可证安全性证明
研究一方面继续基于随机预言模型进行证明, 另一方面也追求在不基于随机预言机条件下的
标准模型下的证明. 1998 年, Cramer 和Shoup[65]设计了第一个在标准模型下可证明安全的实际
有效的公钥密码体制. 2004 年开始, 其他基于双线性配对技术在标准模型下可证安全的公钥密
码体制[66,67]被不断地深入研究与发展.
除了现在广泛使用的基于数学的密码外, 人们还向非数学密码领域进行探索, 如量子密
码[68]和DNA 密码[69]等. 目前国内外在量子密钥分配实验方面的通信距离已突破100 公里.
2006 年我国政府公布了自己的商用密码算法, 这是我国密码发展史上的一件大事. 这必
将促进我国商用密码科学研究和应用的繁荣.
3 可信计算的研究与发展
在信息安全的实践中, 人们逐渐认识到, 大多数安全隐患来自于微机终端, 因此必须确保
源头微机的信息安全. 而这必须从微机的芯片、硬件结构和操作系统等方面综合采取措施. 由
此产生出可信计算的基本思想.
3.1 可信计算的发展
3.1.1 可信计算的出现
(1) 彩虹系列. 1983 年美国国防部制定了世界上第一个《可信计算机系统评价准则》TCSEC
(trusted computer system evaluation criteria)[70]. 在TCSEC 中第一次提出可信计算机(trusted
computer)和可信计算基TCB (trusted computing base)的概念, 并把TCB 作为系统安全的基础.
1984 年美国国防部在推出了TCSEC 之后, 作为补充又相继推出了可信数据库解释TDI
(trusted database interpretation)[71]和可信网络解释TNI (trusted network interpretation)[72].
这些文件形成了彩虹系列信息系统安全指导文件.
(2) 彩虹系列的意义和局限. 在彩虹系列中第一次提出可信计算机和可信计算基的概念.
多年来彩虹系列一直成为评价计算机系统安全的主要准则, 至今对计算机系统安全有重要的
指导意义.
然而由于历史的原因, 随着信息科学技术的发展, 彩虹系列也呈现出如下的局限性:
(a) 主要强调了信息的秘密性, 而对完整性、真实性考虑较少;
(b) 强调了系统安全性的评价, 却没有给出达到这种安全性的系统结构和技术路线.
3.1.2 可信计算的高潮
(1) TCPA 和TCG 的出现. 1999 年, IBM, HP, Intel 和微软等著名IT 企业发起成立了可信计

算平台联盟TCPA (trusted computing platform alliance). TCPA 的成立, 标志着可信计算高潮阶
段的出现. 2003 年TCPA 改组为可信计算组织TCG (trusted computing group), 标志着可信计算
技术和应用领域的进一步扩大. TCPA 和TCG 的出现形成了可信计算的新高潮. TCPA 和TCG
已经制定了关于可信计算平台、可信存储和可信网络连接等一系列技术规范[73].
(2) TCG 可信计算的意义.
(a) 首次提出可信计算机平台的概念, 并把这一概念具体化到服务器、微机、PDA 和手机,
而且具体给出了可信计算平台的体系结构和技术路线.
(b) 不仅考虑信息的秘密性, 更强调了信息的真实性和完整性.
(c) 更加产业化和更具广泛性. 目前国际上(包括中国)已有200 多家IT 行业著名公司加入
了TCG. IBM, HP, DELL, NEC, GATEWAY, TOSHIBA, FUJITSU, SONY 等公司都研制出自己
的可信PC 机(台式机或笔记本机). ATMEL, INFINEON, BROADCOM, NATIONAL SEMICONDUCTOR
等公司都研制出自己的可信平台模块(TPM)芯片.
(3) 欧洲的可信计算. 欧洲于2006 年1 月启动了名为“开放式可信计算(open trusted
computing)”的可信计算研究计划[74],有23 个科研机构和工业组织参加研究.
(4) 可信计算的其他流派. 目前, 除了TCG 的可信计算外, 还有另外两个可信计算流派.
① 微软流派. 尽管微软是TCG 的发起单位, 但是微软却又独立提出了代号为Palladium
的可信计算计划[75]. 微软用的是Trustworthy computing, 而没有使用Trusted computing. Intel
对微软的Palladium 计划给予支持, 宣布了支持Palladium 计划的LaGrande 硬件技术, 并计划
推出采用LaGrande 技术的新一代奔腾处理器[76]. 后来, 微软又将这一计划改名为NGSCB
(next generation secure computing base).
微软将推出新一代操作系统VISTA. VISTA 支持可信计算机制, 这将掀起可信计算的新高
潮.
② 容错流派. 容错计算是计算机领域中一个重要的分支. 1995 年法国Jean-Claude Laprie
和美国Algirdas Avizienis 提出可信计算(dependable computing)的概念. 容错专家们自1999 年
将容错计算会议改名为可信计算会议(PRDC)后, 便致力于可信计算的研究. 他们的可信计算
更强调计算系统的可靠性、可用性和可维性, 而且强调可信的可论证性[77].
我们认为在可信计算发展过程中, 不同的团体和学者从不同的角度来研究问题, 是很正
常的事情, 是学术研究繁荣的表现. 随着可信计算技术的发展, 不同学派将会逐渐融合趋同.
3.2 中国的可信计算事业
我国在可信计算领域起步不晚, 水平不低, 成果可喜[78].
2000 年6 月武汉瑞达公司和武汉大学合作, 开始研制安全计算机, 2004 年10 月通过国家
密码管理局主持的技术鉴定. 鉴定指出: 这“是我国第一款自主研制的可信计算平台”. 它在系
统结构和主要技术路线方面与TCG 的规范是一致的, 在有些方面有所创新, 在有些方面也有
差异. 这一成果获得2006 年国家密码科技进步二等奖. 这一产品被国家科技部等四部委联合
认定为“国家级重点新产品”. 目前, 已在我国政府、银行、军队等领域得到实际应用[79,80].
2004 年6 月在武汉召开了中国首届TCP 论坛. 2004 年10 月在解放军密码管理委员会办公
室和中国计算机学会容错专业委员会的支持下, 在武汉大学召开了第一届中国可信计算与信
息安全学术会议. 2006 年10 月, 在河北大学召开了第二届中国可信计算与信息安全学术会议.

2005 年联想集团的“恒智”芯片和可信计算机相继研制成功. 同年, 北京兆日公司的TPM
芯片也研制成功. 这些产品也都通过国家密码管理局的鉴定和认可.
此外, 同方、方正、浪潮、天融信等公司也都加入了可信计算的行列. 武汉大学、中国科
学院软件研究所等高校和研究所也都开展了可信计算的研究.
武汉大学、华中科技大学与HP 公司合作进行了基于可信计算平台增强网格安全的研究,
其研究成果得到国际同行的好评[81].
我国各级政府都大力支持可信计算的研究、开发和应用.
至此, 中国的可信计算事业进入了蓬勃发展的阶段.
3.3 可信计算的基本思想与主要技术路线
3.3.1 可信计算的目标和基本思想
TCG 认为, 可信计算平台应具有数据完整性、数据安全存储和平
台身份证明等方面的功能. 一个可信计算平台必须具备4 个基本技术特
征: 安全输入输出(Secure I/O)、存储器屏蔽(memory curtaining)、密封
存储(sealed storage)和平台身份的远程证明(remote attestation). 可信计
算产品主要用于电子商务、安全风险管理、数字版权管理、安全监测与
应急响应等领域[73].
可信计算的基本思想是: 首先构建一个信任根, 再建立一条信任
链, 从信任根开始到硬件平台, 到操作系统, 再到应用, 一级认证一级,
一级信任一级,把这种信任扩展到整个计算机系统, 从而确保整个计算
机系统的可信.
一个可信计算机系统由可信根、可信硬件平台、可信操作系统和
可信应用系统组成(如图1 所示).
3.3.2 可信的概念与属性
(1) 可信的概念. 关于可信目前尚未形成统一的定义, 不同的组织机构有不同的解释.
主要有以下几种说法:
TCG 用实体行为的预期性来定义可信: 一个实体是可信的, 如果它的行为总是以预期的
方式达到预期的目标[73]. 这一定义的优点是抓住了实体的行为特征, 符合哲学上实践是检验
真理的唯一标准的基本原则.
ISO/IEC 15408 标准定义可信为: 参与计算的组件、操作或过程在任意的条件下是可预测
的, 并能够抵御病毒和物理干扰. IEEE Computer Society Technical Committee on Dependable
Computing 认为, 所谓可信是指计算机系统所提供的服务是可以论证其是可信赖的, 即不仅计
算机系统所提供的服务是可信赖的, 而且这种可信赖还是可论证的[77].
我们给出自己的观点: 可信≈安全+可靠. 可信计算系统是能够提供系统的可靠性、可用
性、信息和行为安全性的计算机系统[78].
IEEE 编辑出版了专门的可信计算汇刊: IEEE Transactions on Dependable and Secure
Computing. 可见我们的观点与IEEE 可信计算汇刊的观点是一致的.
图1 可信计算机系统

(2) 信任的属性. 信任是一种二元关系, 它可以是一对一、一对多(个体对群体)、多对一(群
体对个体)或多对多(群体对群体)的.
信任具有二重性, 既具有主观性又具有客观性.
信任不一定具有对称性, 即A 信任B 不一定就有B 信任A.
信任可度量. 也就是说信任的程度可以测量, 可以划分等级.
信任可传递, 但不绝对, 而且在传播过程中有损失.
信任具有动态性, 即信任与与环境(上下文)和时间等因素相关.
(3) 信任的获得方法. 信任的获得方法主要有直接和间接两种方法. 设A 和B 以前有过交
往, 则A 对B 的可信度可以通过考察B 以往的表现来确定. 我们称这种通过直接交往得到的
信任值为直接信任值. 设A 和B 以前没有任何交往, 在这种情形下, A 可以去询问一个与B 比
较熟悉的实体C 来获得B 的信任值, 并且要求实体C 与B 有过直接的交往经验, 我们称之为
间接信任值, 或者说是C 向A 的推荐信任值. 有时还可能出现多级推荐的情形, 这时便产生了
信任链.
3.3.3 信任的度量与模型
目前, 关于信任的度量理论与模型主要有基于概率统计的信任模型[82,83]、基于模糊数学的
信任模型[84]、基于主观逻辑的信任模型[85]、基于证据理论的信任模型[86]和基于软件行为学的
信任模型[87]等. 但是目前的这些模型都还需要进一步优化, 朝着既能准确刻画客观事实, 又尽
量简单实用的方向发展. 值得特别提出的是, 应当着重研究软件可信性的度量模型, 可信计算
迫切需要这方面的理论支持.
3.3.4 信任根和信任链
信任根和信任链是可信计算平台的最主要的
关键技术之一.
信任根是系统可信的基点. TCG 认为一个可
信计算平台必须包含3 个信任根: 可信测量根
RTM(root of trust for measurement)、可信存储根
RTS(root of trust for storage) 和可信报告根
RTR(root of trust for reporting). 而信任根的可信性
由物理安全和管理安全确保.
信任链把信任关系从信任根扩展到整个计算
机系统. 在TCG 的可信PC 技术规范中, 具体给出
了可信PC 中的信任链, 如图2 所示. 我们可以看
出: 这个信任链以BIOS Boot Block 和TPM芯片为
信任根, 经过BIOS→OSloader→OS. 沿着这个信任链, 一级测量认证一级, 一级信任一级, 以
确保整个平台的系统资源的完整性.
3.3.5 可信测量、存储、报告机制
可信测量、存储、报告机制是可信计算的另一个关键技术. 可信计算平台对请求访问的实
体进行可信测量, 并存储测量结果. 实体询问时平台提供报告.
图2 TCG 可信PC 的信任链
138 中国科学 E 辑 信息科学 第37 卷
应当指出, 根据图2 所进行的可信测量只是系统开机时的系统资源静态完整性测量, 因此
只能确保系统开机时的系统资源静态完整性. 这不是系统工作后的动态可信测量, 因此尚不
能确保系统工作后的动态可信性. 然而, 由于软件可信测量理论与技术的限制, 目前, 无论是
国外还是国内的可信计算机都还未能够完全实现动态可信测量、存储、报告机制.
3.3.6 可信计算平台
TCG 不仅提出了可信服务器、可信PC 机、可信PDA 和可信手机的概念, 而且具体给出
了技术规范.
可信PC 是已经产品化的可信计算平台, 其主要特征是在主板上嵌有可信构建模块TBB.
这个TBB 就是可信PC 平台的信任根, 它包括用于可信测量的根核CRTM (core root of trust for
measurement)和可信平台模块TPM (trusted platform module)以及它们同主板之间的连接.
3.3.7 可信平台模块TPM
可信平台模块TPM 是一种SOC 芯片, 它是可信计算平台的信任根(可信存储根和可信报
告根), 其结构如图3 所示. 它由CPU、存储器、I/O、密码协处理器、随机数产生器和嵌入式
操作系统等部件组成. 完成可信度量的存储、可信度量的报告、密钥产生、加密和签名、数据
安全存储等功能.
必须注意: TPM 是可信计算平台的信任根.
中国的可信计算机必须采用中国的根芯片, 中国
的根芯片必须采用中国的密码.
3.3.8 支撑软件
TSS (TCG software stack)是可信计算平台上
TPM 的支撑软件. TSS 的作用主要是为操作系统
和应用软件提供使用TPM 的接口.
TSS 的结构可分为内核层、系统服务层和用
户程序层.
内核层的核心软件是可信设备驱动TDD 模块,
它是直接驱动TPM 的软件模块, 由其嵌入式操作
系统所确定. 系统服务层的核心软件是可信设备
驱动库TDDL 和可信计算核心服务模块TCS, 其中TDDL 提供用户模式下的接口, TCS 对平台
上的所有应用提供一组通用的服务. 用户程序层的核心软件是可信服务提供模块TSP. TSP 给
应用提供的最高层的API 函数, 使应用程序可以方便地使用TPM.
工作的流程如下: 应用程序将数据和命令发给应用API 函数TSP, TSP 处理后通过TCS
再传给TDDL. TDDL 处理后传给TDD. TDD 处理并驱动TPM. TPM给出的响应, 反向经TDD,
TDDL, TCS, TSP 传给应用.
有了TSS 的支持, 不同的应用都可以方便地使用TPM 所提供的可信计算功能.
图3 TCG 的TPM 框图

3.3.9 可信网络连接TNC
TNC (trusted network connect)的目的是确保网络访问者的完整性. TNC 的结构分为3 层.
网络访问层: 从属于传统的网络互联和安全层, 支持现有的如VPN 和802.1X 等技术, 这一层
包括NAR (网络访问请求)、PEP (策略执行) 和NAA (网络访问管理) 3 个组件. 完整性评估层:
这一层依据一定的安全策略评估AR(访问请求者)的完整性状况. 完整性测量层: 这一层负责
搜集和验证AR 的完整性信息.
TNC 通过网络访问请求, 搜集和验证请求者的完整性信息, 依据一定的安全策略对这些
信息进行评估, 决定是否允许请求者与网络连接, 从而确保网络连接的可信性.
虽然TNC 可确保网络连接的可信性向可信网络方面迈出了重要的一步, 但是网络根本目
的在于数据交换和资源共享, 没有数据交换和资源共享方面的可信是远远不够的.

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(58) | 该文章为私有

 

07-12-4、信息安全综述-2，冯登国等

2007-12-03 00:33

3.4 目前可信计算发展中存在的一些问题
目前可信计算已经成为国际信息安全领域中的一个新潮流. 但是, 目前可信计算发展中
还存在一些必须研究解决的问题[78].
1. 理论研究相对滞后.
无论是国外还是国内, 在可信计算领域都处于技术超前于理论, 理论滞后于技术的状况.
可信计算的理论研究落后于技术开发. 至今, 尚没有公认的可信计算理论模型.
可信测量是可信计算的基础, 但是目前尚缺少软件的动态可信性的度量理论与方法.
信任链技术是可信计算平台的一项关键技术, 然而信任链的理论, 特别是信任在传递过
程中的损失度量尚需要深入研究, 以便把信任链建立在坚实的理论基础之上.
理论来源于实践, 反过来又指导实践. 没有理论指导的实践最终是不能持久的. 目前可信计
算的技术实践已经取得长足的发展, 因此应当在可信计算的实践中丰富和发展可信计算的理论.
2. 一些关键技术尚待攻克.
目前, 无论是国外还是国内的可信计算机都没能完全实现TCG 的PC 技术规范. 如, 动态
可信度量、存储、报告机制, 安全I/O 等.
3. 缺少操作系统、网络、数据库和应用的可信机制配套.
目前TCG 给出了可信计算硬件平台的相关技术规范和可信网络连接的技术规范, 但还没
有关于可信操作系统、可信数据库、可信应用软件的技术规范. 网络连接只是网络活动的第一
步, 连网的主要目的是数据交换和资源公享, 这方面尚缺少可信技术规范. 只有硬件平台的可
信, 没有操作系统、网络、数据库和应用的可信, 整个系统还是不安全的[88,89].
4. 缺少安全机制与容错机制的结合.
安全可靠是用户对可信计算的希望, 因此必须坚持安全与容错相结合的技术路线, 目前
这方面的研究还十分缺乏.
5. 可信计算的应用需要开拓.
可信计算的应用是可信计算发展的根本目的. 目前可信PC 机、TPM 芯片都已经得到实际
应用, 但应用的规模和覆盖范围都还不够, 有待大力拓展.
3.5 可信计算的研究领域
现阶段的可信计算热潮是从可信PC 平台开始的, 但是它涉及的研究和应用领域却要广泛
得多. 可信计算的理论、关键技术和应用应当是研究的重点[78].

1. 关键技术.
① 可信计算的系统结构: 可信计算平台的硬件结构, 可信计算平台的软件结构.
② TPM 的系统结构: TPM 的硬件结构, TPM 的物理安全, TPM 的嵌入式软件.
③ 可信计算中的密码技术: 公钥密码, 对称密码, HASH 函数, 随机数产生.
④ 信任链技术: 完整的信任链, 信任链的延伸.
⑤ 信任的度量: 信任的动态测量、存储和报告机制.
⑥ 可信软件: 可信操作系统, 可信编译, 可信数据库, 可信应用软件.
⑦可信网络: 可信网络结构, 可信网络协议, 可信网络设备, 可信网格.
2. 理论基础.
① 可信计算模型: 可信计算的数学模型, 可信计算的行为学模型.
② 可信性的度量理论: 软件的动态可信性度量理论与方法.
③ 信任链理论: 信任的传递理论, 信任传递过程中的损失度量.
④ 可信软件理论: 可信软件工程方法学, 可信程序设计方法学, 软件行为学.
3. 可信计算的应用.
4 网络安全的研究与发展
网络安全主要包括两部分, 即网络自身的安全性和网络信息的安全性, 本节主要关注网
络信息的安全性. 国内外学术界和企业界围绕网络的安全需求主要对网络内容安全、网络认证
授权、防火墙、虚拟专用网、网络入侵检测、网络脆弱性检测、安全接入、安全隔离与交换、
安全网关、安全监控与管理、网络安全审计、恶意代码检测与防范、垃圾邮件处置、应急响
应等方面进行了研究, 并研发了大量的相关网络安全产品, 初步形成了一个产业. 可以预测,
基于网络的安全技术是未来信息安全技术发展的大趋势. 本节主要从公开密钥基础设施、入侵
检测系统、网络应急响应、网络可生存性、可信网络5 个方面概述了网络安全的研究现状及
发展趋势[90—96].

4.1 公开密钥基础设施
公开密钥基础设施(PKI)技术是一种能够解决网络环境中信任与授权问题的重要技术, 包
括身份的真实性、数据的机密性、文件的完整性、行为的不可否认性等. 近几年, 产业界、学
术界和政府部门对PKI 技术的研究与应用都给予了高度关注.

世界大型信息产业公司如IBM,MICROSOFT, BALTIMORE, CERTCO, RSA, FUJITSU, MITSUBISHI 等都有PKI 产品. 中国的很多信息产业公司如吉大正元、上海维豪、济南得安等也都有自主的PKI 产品.

我国学术界如信息安全国家重点实验室也对PKI 标准、PKI 体系结构、PKI 自身安全技术、交叉认证技术等
进行了系统研究并取得了一批先进的技术成果. 我国国家标准化组织积极推进PKI 标准的研究与制定, 并已经发布了一批相关标准和规范.

国内外学术界和产业界已经在

信任及信任验证机制(包括信任模型、信任策略、验证机制等)、

密钥管理技术(包括CA 及用户的公、私密钥对产生、存储、备份、恢复等技术)、

证书管理技术(包括证书库技术、证书和密钥对的作废和自动更换技术)、

PKI 安全核心部件(包括不同规模的CA 系统、RA 系统和KM 系统等)、

PKI 技术产品(包括各种各样的PKI 应用终端系统,如电子钱包、电子邮件、电子公章等应用终端)、

CA 交叉认证技术和弹性、入侵容忍CA 技术等方面取得了一批创新性和实用性成果.

值得一提的是, “十五”期间中国在PKI 关键技术研究与应用方面也取得了突破性进展, 取得的技术成果能够满足在大型网络环境下对PKI 技术的实际需求, 并成功应用于政府、军队和金融等国家重要部门.

PKI 是解决网络环境下信任与授权问题的关键, 特别是在电子商务和电子政务系统中有
着广阔的应用前景. PKI 的发展呈现出以下四大趋势:
1) 应用化趋势. 随着电子政务和电子商务的应用, 在当前情形下, PKI 仍是解决不信任的
网络环境下的信任与授权问题的最佳选择, 必然会得到广泛应用. 但对应用和验证模式等问
题仍需进行进一步研究和探讨.
2) 标准化趋势. PKI 的广泛应用必将造成互连、互通和互操作问题, 除了技术解决方案外,
标准是解决互连、互通和互操作问题的重要措施.
3) 集成化趋势. 与生物特征识别、基于身份的公钥密码、可信计算平台、入侵容忍CA
和自适应CA 等新技术和新应用的融合.

4.2 网络入侵检测系统

入侵检测系统(IDS)包括基于网络的IDS 和基于主机的IDS 两大类, 本节主要关注基于网
络的IDS. 网络IDS 能够帮助网络系统快速发现网络攻击的发生, 扩展了系统管理员的安全管
理能力, 提高了信息安全基础结构的完整性. 它从网络系统中的若干关键点收集信息, 并分析
这些信息, 观察网络中是否有违反安全策略的行为和袭击的迹象.
国内外产业界和学术界对IDS 进行了大量系统深入的研究, 并形成了大量的实用产品,
我国很多信息产业公司如联想、启明星辰、南大苏富特等都有自主的IDS 产品, 很多研究机构
都研制了IDS 原型系统并发表和出版了大量学术论文和著作.
1990 年在分布式系统上开始采用入侵检测技术, 网络入侵检测技术诞生. 加州大学戴维
斯分校的Heberlein 等人开发出了NSM(network security monitor). 该系统第一次直接将网络流
作为审计数据来源.
1992 年由美国空军、国家安全局和能源部共同资助的分布式入侵检测系统(DIDS)的研究
取得了进展. DIDS 集成了Haystack 和NSM 两种已有的入侵检测系统, 综合了两者的功能,
并在系统结构和检测技术上进行了改进. DIDS 由主机监视器、局网监视器和控制器组成, 分
析引擎是基于规则的专家系统. DIDS 采用分布的数据采集和分布的数据分析, 但核心数据分
析是集中控制的.
1994 年, Crosbie 和Spafford 提出利用自治代理(autonomous agents)以便提高IDS 的可扩展
性、可维护性、效率和容错性.
1996 年Stanford-Chen 为了解决入侵检测系统的可扩展性提出了GRIDS(graph-based intrusion
detection system)系统, 该系统对大规模自动或协同攻击的检测很有效. GRIDS 使用图
形描述大规模网络中网络行为, 针对大范围的网络攻击比较有效. 其缺陷在于只是给出了网
络连接的图形化表示, 而具体的入侵判断仍需人工完成.
1998 年至今, 这一阶段在检测方向上的新理论不多, 更偏重于检测算法的改进. 检测算
法的改进集中在基于网络的入侵检测、分布式入侵检测、基于智能代理的入侵检测、神经网
络和基因算法等几个领域. 为了提高IDS 产品、组件及与其他安全产品之间的互操作性, 这一
阶段人们开始高度重视IDS 的标准化工作.
1998 年, 美国国防高级研究计划署(DARPA)制定了通用入侵检测框架(CIDF), 其最早由
加州大学戴维斯分校安全实验室主持起草工作. CIDF 主要介绍了一种通用入侵说明语言
(CISL), 用来表示系统事件、分析结果和响应措施. 为了把IDS 从逻辑上分为面向任务的组件,
CIDF 试图规范一种通用的语言格式和编码方式以表示在组件边界传递的数据. CIDF 所做的工
作主要包括4 部分: IDS 的体系结构、通信体制、描述语言和应用编程接口(API). 同时, CIDF
定义了通用入侵规范语言(CISL), 描述入侵行为. CIDF 在系统扩展性和规范性上比较有优势.
IDS 经过20 多年的发展, 虽然已经取得了很大的进展, 但面对网络技术的迅猛发展和攻
击行为的日益复杂, 暴露出许多不足, 仍需进一步深化和拓展.

IDS 的发展呈现出以下三大趋势:
1) 迎合实际应用的发展趋势. 大量高速网络技术如ATM、千兆以太网等相继出现, 如何
实现宽带高速网络环境下的实时入侵检测已经成为面临的现实问题; 为了适应大规模分布式
的检测需求, 仍需进一步研究大规模分布式检测技术与方法.
2) 标准化趋势. IDS 的大规模应用必然要求提高IDS 产品、组件及与其他安全产品之间的
互操作性, 标准化是未来IDS 发展的必然趋势.
3) 向入侵防御系统(IPS)方向发展的趋势. IPS 是IDS 的一个发展方向, 产业界已经从2003
年开始陆续推出了IPS 产品, 而把IDS 功能当作IPS 运行时可选的一种模式, 从而IPS 逐渐替
代了IDS, 成为入侵检测类产品的主打产品. IPS 是对IDS 的包容和覆盖, 同时具备了像防火墙
一样的保护能力. IPS 可以有效解决与防火墙联动时延的问题, 减少联动产生的副作用.

4.3 网络应急响应

随着网络技术及相关技术的发展, 原先采取的传统的、静态的安全保密措施已不足以抵御
计算机黑客入侵及有组织的信息手段的攻击, 必须建立新的安全机制, 于是在1989 年美国国
防部资助卡内基-梅隆大学, 为其建立了世界上第一个“计算机应急小组(CERT)”及其协调中心
(CERT/CC). CERT 的成立标志着信息安全由静态保护向动态防护的转变.
1989 年美国国防部成立CERT/CC 之后不久, 美国陆海空三军和国防部、国家安全局及国
防通信局相继成立了应急组织, 接着美国联邦调查局、能源部、商业部、航空航天局等重要部
门也陆续成立了应急处理机构. 到目前为止, 美国国防部、联邦政府各部门及各大企业, 已经
建立了50 多个计算机应急组织, 在美国国家基础设施保护委员会及其协调委员会的协调下,
已经形成覆盖全国的应急网络.
欧洲、大洋洲、北美和亚洲许多国家和地区, 特别是发达国家都已相继建立了信息安全应
急组织. 根据美国和澳大利亚应急组织的提议, 于1990 年11 月成立了国际“计算机事件响应
与安全工作论坛”(FIRST)组织. 此外, 亚太国家和地区也成立了“亚太事件响应协调组
织”(APSIRC). 建立信息安全应急组织, 完善信息安全保障体系, 加强国际合作, 已成为信息
安全领域的国际潮流.
我国已经从各种层面建立了很多应急处理组织, 如1999 年5 月成立的中国教育和科研网
计算机应急小组(CCERT), 2000 年10 月组建的“国家计算机网络应急技术处理协调中心”(简称
CNCERT/CC). CNCERT/CC 是在信息产业部互联网应急处理协调办公室的直接领导下, 组织
国内计算机网络安全应急组织进行国际合作和交流的机构. 它负责协调我国各计算机网络安
全事件应急小组(CERT), 共同处理国家公共电信基础网络上的安全紧急事件, 为国家公共电
第2 期 沈昌祥等: 信息安全综述 143
信基础网络、国家主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、
应急、防范等安全服务和技术支持, 及时收集、核实、汇总、发布有关互联网安全的权威性信
息. 目前, 国内很多科研机构、大专院校、以及企事业单位也都积极参与到网络应急响应的研
究行列. 在体系结构方面已经形成了经典的PDCERF 方法学, 即准备、检测、抑制、根除、恢
复和跟踪6 个阶段; 在核心工具方面已经开发了大量的实用产品与系统.
虽然学术界和产业界都对应急响应进行了广泛深入的研究, 也取得了很多优秀成果, 但
有许多问题仍需要深化研究.
1) 应急响应体系研究. 包括应急响应组织体系、应急响应技术体系和应急响应支援体系
等.
2) 技术标准研究与制订. 应急响应标准化工作是应急响应体系通信协调机制的基础, 同
时也是应急响应联动系统正常运作的基础. 应急响应标准化工作是围绕着安全事件流进行的,
即安全事件从发生一直到消除的整个过程, 包括网络安全事件的发现、上报, 对安全事件分
析、归类, 安全事件的传递、分析、决策, 联动响应, 安全事件备案等. 如应急响应流程标准、
安全事件分类标准、网络安全事件报告格式标准, 安全事件描述和交换格式标准.
3) 实验环境建设. 建设实验环境是解决应急响应体系实际应用研究的必然需求, 一个典
型的小型化并能充分模拟和描述大规模网络特征的硬件实验环境再配合以相应的软件模拟,
可以提供一个理论研究的实践平台和应用研究的验证环境.
4) 核心工具开发. 应急响应核心工具开发是建设应急响应体系的关键技术环节, 主要包
括: 信息共享与分析中心ISACISAC, 大型网络安全事件协同预警定位与快速隔离控制, 安全
事件预案系统, 大规模网络安全状态模拟平台, 联动系统, 备份与恢复系统.

4.4 网络可生存性

网络可生存性(survivability)的目标是在网络系统遭受攻击、失效或出现事故时, 能够及时
地完成其任务的能力. 可生存能力的基本思想是即使在入侵成功后, 系统的重要部分遭到损
害或摧毁时, 系统依然能够完成任务, 并能及时修复被损坏的服务能力. 网络可生存性理论的
研究已成为网络安全的一个新的研究热点, 许多组织和研究机构都在进行着这方面的工作.
弗吉尼亚大学和Portland 大学正在合作开展“关键基础设施保护的信息可生存性”工程研究, 包
括关键基础设施的可生存性评测、军用和民用基础设施研究及可生存性体系结构工程等. 目前
该理论还很不成熟, 许多问题没有解决, 缺乏深入的理论研究和可实施性研究.
网络可生存性主要突出系统必须具有4 个关键特性: 抵抗能力(resistance)、识别能力
(recognition)、恢复能力(recovery)以及自适应能力(adaptation). 网络可生存能力的提出, 突破了
狭隘的传统安全观念, 使人们意识到安全不是靠纯粹的技术打造, 它将计算机安全与风险管
理结合在一起, 共同来保护系统, 最大限度地减少来自攻击、失效和事故对系统的影响. 可生
存能力有一个很明确的、以服务为核心的保护对象, 即使攻击已造成网络系统一定程度上的损
害, 仍然要保证网络系统基本服务的持续.
网络可生存性理论的核心是对无边界系统的可生存性理论的研究. 无边界系统强调的是
一个系统中的所有参与者都无法获得关于这个系统的完整、准确的信息. 现实中的计算机大规
模互联网络, 乃至电信网、电力网等均符合这个条件. 网络计算环境的趋势是向无限网络基础
结构发展. 无限网络中没有统一的管理机构控制它的组成部分. 在这个网络中, 每个参与者对
144 中国科学 E 辑 信息科学 第37 卷
整体的看法是不全面的, 必须信任和依赖于临近的参与者提供的信息, 而且不能在它的范围
外行使控制权. 这就要求我们突破传统的方法, 建立起一整套适应于在信息不全面、不准确的
条件下, 对系统的生存性进行分析的方法, 以及在缺乏相互间协调的情况下, 进行相互间合作
的方法.
目前, 网络可生存性理论的主要研究内容有:
1) 可生存网络分析方法. 对大规模网络系统生存能力进行分析, 包括分析对系统生存能
力的威胁, 进而找出降低风险的方法, 如系统中的敏感的服务; 具有强抵抗力、识别能力和恢
复能力的构架元素; 具有强生存能力的系统架构等.
2) 紧急算法(emergent algorithms). 紧急算法是用来研究无边界系统在平时和受到各种类
型的攻击和破坏时, 其生存性的表现情况. 应当具有不同于传统意义下的分级或者分布式算
法的特征, 算法的研究方式应当类似于自然过程的研究方法, 如生物系统、经济系统等. 紧急
算法应当适应于无法获得完全的和准确的信息, 没有中央控制部分、分级结构以及单独的、可
区分的漏洞信息的情形. 同时, 紧急算法还要考虑到在没有相互协调的基础上的相互合作. 这
些都是传统理论所无法解决或是难以解决的.
3) 可生存系统模拟研究. 由于无边界系统的特殊性, 现有的模拟方法将不能够完全适用
于无边界网络, 需要我们进一步开发新的模拟方法.
4) 相应软件及工具的开发. 包括能够在网络中采集信息的代理软件和硬件, 网络安全事
件预警、定位和隔离的软件, 系统环境模拟工具.
总体来讲, 我国政府部门、学术界和产业界都高度重视网络安全的研究, 形成了系列实用
化成果, 但仍有许多问题需要进一步深化和拓展, 应特别加强以下几个方面的研究:
1) 网络应急响应. 从实际出发, 加强网络应急响应体系和技术标准的研究, 实验环境的
建设, 核心工具的开发.
2) 网络可生存性(survivability). 网络可生存性理论已成为网络安全的一个新的研究热点,
目前该理论还很不成熟, 许多问题没有解决, 缺乏深入的理论研究和可实施性研究.
3) 移动和无线网络安全. 研究移动和无线网络的安全体系结构、安全策略、安全机制、
安全管理、安全监控和安全评估方法等.

4.5 可信网络

随着网络的广泛应用和攻击技术的发展, 使得分散、孤立、单一的网络安全防御技术已无
法对付越来越狡猾的攻击. 如果说过去的网络以追求高效率为主要目标的话,今天的网络则应
能提供高可信的服务. 可信性成为衡量网络服务质量的重要标准. 于是, 近年来在国际上出现
了可信网络这一新的研究方向. 可信网络的主要特征是具有安全性、可生存性和可控性[88].
TCG 提出了可信网络连接的技术规范TNC, 向网络可信迈出了可喜的一步[73]. 可信网络是一
个具有挑战性的研究课题, 必定会吸引众多的学者加入研究.

5 信息隐藏的研究与发展

信息隐藏(information hiding)是一门既古老又年轻的学科. 信息隐藏可以分为隐蔽信道技
术和多媒体信息隐藏技术.
第2 期 沈昌祥等: 信息安全综述 145
5.1 隐蔽信道
隐蔽信道可以进一步分为阈下信道(sbliminal channel, 也称为潜信道)[97]和隐信道(covert
channel). 阈下信道是建立在公钥密码体制的数字签名和认证上的一种隐蔽信道, 其宿主是密
码系统. 在阈下信道中的发送端, 阈下信道信息在一个密钥的控制下进行随机化, 然后在嵌入
算法的作用下嵌入公钥密码系统的输入或输出参数. 在接收端, 系统在实现数字签名中的签
名验证过程后, 提取算法完成了收方对阈下消息的提取. 除接收者外, 任何其他人均不知道密
码数据中是否有阈下消息存在[98].
至今, 人们已经提出了多种阈下信道的构造办法. 这些方法基本上是建立在基于离散对
数困难问题和椭圆曲线离散对数问题的数字签名系统上的. 研究的焦点主要集中在阈下信道
的容量、阈下信道的安全性和新的阈下信道的设计上.
隐信道是在公开信道中建立起来的一种进行隐蔽通信的信道, 为公开信道的非法拥有者
传输秘密信息. 隐信道可以分为隐蔽存储信道(covert storage channel)和隐蔽时间信道(covert
timing channel)[99]. 在隐蔽存储信道中, 一个进程将信息写入存储点而通过另一个进程从存储
点读取. 在隐蔽时间信道中, 一个进程将自身对系统资源(例如CPU时间)的使用进行调制以便
第二个进程可以从真实反应时间中观察到影响, 以此实现消息的传递. 二者的主要区别是信
息调制的方式的不同. 隐信道的主要研究问题包括: 隐信道的构造、隐信道的识别方法、隐信
道的带宽估计方法、隐信道的消除等.
5.2 多媒体信息隐藏
多媒体信息隐藏[100]是以多媒体信号作为宿主载体, 利用多媒体数据的数据冗余
(redundancy)和人们的听/视觉冗余来隐藏秘密信息的技术. 从听、视觉科学和信号处理的角度,
信息隐藏可以视为在强背景(原始图像/语音/视频等)下叠加一个弱信号(隐藏的信息). 由于人
的听觉系统(HAS)和视觉系统(HVS)分辨率受到一定的限制, 只要叠加的信号幅度低于
HAS/HVS的感知门限, HAS/HVS 就无法感觉到信号的存在. 因此, 通过对原始图像/语音/视频
做有限制的改变, 就有可能在不改变听觉/视觉效果的情形下嵌入一些信息. 由于待嵌入的信
息总可以转化为二进制序列, 因此, 嵌入的秘密信息的形式可以是多种多样的, 包括随机序
列、数据、文字、图像/图形、语音/音频、视频等.
根据应用场合对隐藏信息的不同需求, 信息隐藏技术可分为隐写术(steganography)[101]和
数字水印(digital watermarking)[102]两个主要分支. 隐写术可以进一步分为秘密隐写和普通隐写.
前者着重于信息伪装以实现秘密信息的传递, 后者解决信息的隐含标识. 类似地, 数字水印也
可以分为鲁棒水印和脆弱水印. 前者用于多媒体的版权保护而后者用于内容认证. 依据隐藏
协议, 信息隐藏还可分为无密钥信息隐藏、私钥信息隐藏、公钥信息隐藏.
对信息隐藏的基本要求包括: 稳健性(robustness)、不可检测性(undetectability)、信息隐藏
容量(capacity)、计算复杂性等. 其中, 稳健性、不可检测性(包括听/视觉系统的不可感知性和
统计上的不可检测性)和信息隐藏容量是信息隐藏的3 个最主要的因素. 从技术实现的角度,
这3 个因素互相矛盾, 因此, 对不同的应用需求, 需要有所侧重. 对于秘密隐写, 需要重点考
虑不可检测性; 普通隐写则要求有较大的信息隐藏容量; 鲁棒水印对稳健性有特别高的要求;
脆弱水印对稳健性的要求则有双重性: 对恶意篡改脆弱而对正常的信号处理过程鲁棒. 除了
可见水印外, 不可检测性应该是多媒体信息隐藏技术的共同要求.
安全性和稳健性将是目前多媒体信息隐藏走向应用的关键问题. 对于秘密隐写, 其安全
性体现在如何对抗统计检测; 而隐写分析[103]则是如何有效检测低隐藏量下的秘密信息. 对于
数字水印, 防止非法检测/篡改等安全问题和水印抵抗以几何攻击为代表的恶意攻击是急需解
决的技术.
秘密信息的隐藏空间和隐藏方式是多媒体信息隐藏算法的两个基本要素. 秘密信息的隐
藏空间称为嵌入工作域. 根据工作域, 多信息隐藏算法主要可分为两类: 时域/空域的方法[104]
和变换域的方法[105]. 时域/空域方法把(处理后的)秘密信息直接嵌入到多媒体信号的时域/空
域格式中. 由于听/视觉系统的特点, 直接嵌入时域/空域的信号幅度相对较低, 因而隐藏信号
的稳健性通常较差. 变换域的方法是先对作为宿主载体的多媒体信号进行某种形式的数学变
换(通常采用正交变换), 再将(处理后的)秘密信息嵌入到变换系数中, 之后再完成反变换. 常
用于信息隐藏的正交变换有离散小波变换(DWT)、离散余弦变换(DCT)、离散Fourier 变换(DFT)
等. 由于正交变换/反变换具有将信号能量进行重新分布的特点, 变换域的方法可以将嵌入到
变换系数的隐藏信号能量在时域/空域中进行扩散, 从而有效解决隐藏信息不可检测性与稳健
性的矛盾. 类似于其他的压缩域处理技术, 可以把秘密信息直接嵌入到压缩域系数中而避免
解压缩-再压缩运算, 这称为压缩域信息隐藏方法, 它是变换域方法的一种特殊形式.
不论是时域/空域的方法还是变换域的方法, 都需要进行数据的嵌入. 这由嵌入公式来实
现. 有两种经典的嵌入方法: 叠加嵌入[105]和映射嵌入. 在叠加嵌入中, 待嵌入的数据作为弱
信号用叠加的方式嵌入到宿主的时域/空域或变换域系数中. 在检测端, 通过最优检测和估值
理论来设计检测器, 以提取隐藏的信号. 在映射嵌入中, 宿主信号的系数被映射函数映射到由
嵌入比特确定的特征值, 隐藏数据的提取通过映射函数来确定. 最低有效位(LSB)替换和量化
索引调制(QIM)[106]是典型的映射嵌入方式. 映射嵌入在实现隐藏信息的盲检测方面具有明显
的优点.
至今, 在多媒体信息隐藏领域开展的研究工作包括信息隐藏基本理论与方法、信息隐藏的
数字水印算法、隐写分析和数字水印攻击方法、信息隐藏协议、信息隐藏的应用等. 信息隐藏
的应用领域包括隐蔽通信、多媒体版权保护、多媒体认证、信息的隐含标注等. 由于其在军事、
安全、工业界广泛的应用前景, 它作为一类新的信息安全技术, 正在得到人们越来越密切的关
注.

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(82) | 该文章为私有

 

07-12-3、国内外密码学研究现状及发展趋势，冯登国，通信学报

2007-12-02 23:45

第23 卷 第5 期 JOURNAL OF CHINA INSTITUTE OF COMMUNICATIONS May 2002
2002 年5 月 通 信 学 报 Vol.23 No.5
国内外密码学研究现状及发展趋势1
冯登国
（中国科学院 软件研究所 信息安全国家重点实验室，北京 100080）
摘 要：本文概括介绍了国内外密码学领域的研究现状，同时对其发展趋势进行了分析。
关键词：密码学；密码算法；密码协议；信息隐藏；量子密码
中图分类号：TN913 文献标识码：A 文章编号：1000-436X（2002）05-0018-09
Status quo and trend of cryptography
FENG Deng-guo
（Institute of Software of Academia Sinica，State Key Lab of Information Security，Beijing 100080, China）
Abstract：In this paper, status quo of cryptography is outlined，and trend of cryptography is analysed.
Key words：cryptography; cryptographic algorithm; cryptographic protocol; information hinding;
quantum cipher
1 引言
密码技术是信息安全技术的核心，它主要由密码编码技术（明文如何变换到密文）和密码分析技术（研究出变换算法）两个分支组
成。密码编码技术的主要任务是寻求产生安全性高的有效密码算法和协议，以满足对消息进
行加密或认证的要求。密码分析技术的主要任务是破译密码或伪造认证信息，实现窃取机密
信息或进行诈骗破坏活动。这两个分支既相互对立又相互依存，正是由于这种对立统一关系，
才推动了密码学自身的发展。目前人们将密码理论与技术分成两大类，一类是基于数学的密
码理论与技术，包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash 函数、身份
识别、密钥管理、PKI 技术、VPN 技术等；另一类是非数学的密码理论与技术，包括信息隐
藏、量子密码、基于生物特征的识别理论与技术等。本文主要介绍了这些理论和技术的研究
现状和发展趋势。
收稿日期：2002-02-07；修订日期：2002-02-27
基金项目：国家973 基金资助项目（G1999035802）；国家杰出青年基金资助项目（60025205）
作者简介：冯登国（1965-），男，陕西靖边人，博士后，中国科学院软件研究所研究员，博士生导师，国家
信息化专家咨询委员会委员，主要研究方向是信息与网络安全。
特约专稿
第5 期 冯登国：国内外密码学研究现状及发展趋势 ·19·
2 公钥密码
自从1976 年公钥密码的思想提出以来，国际上已经提出了许多种公钥密码体制，如基
于大整数因子分解问题的RSA 体制和Rabin 体制、基于有限域上的离散对数问题的
Diffie-Hellman 公钥体制和ElGamal 体制、基于椭圆曲线上的离散对数问题的Diffie-Hellman
公钥体制和ElGamal 体制、基于背包问题的Merkle-Hellman 体制和Chor-Rivest 体制、基于
代数编码理论的MeEliece 体制、基于有限自动机理论的公钥体制

（1、时序电路难以进行VLSI测试，要分析成等价的组合电路。2、复杂软件难以自动测试生成ATGS。3、复杂软件的状态及迁移众多。4、代码的形式化生成困难。5、自动机处理“输入-处理-输出”，当有众多的数据类型；或者自动机的智能化程度和模糊程度相关时。6、只能编译报错语法和极简单的语义错误，与代码的形式化生成相关。操作语义，公理语义，指称语义。7、AI-BI-CI，计算机智能的发展的多样性，可类比于人类智能、认知、思维、情感、语言的多样性。8、逆向工程的困难。难于从外部表现和数据，分析设计出和原机一样的系统设备。9、问题求解。智能软件要“学习”来应付新问题。）

等等。
用抽象的观点来看，公钥密码体制就是一种陷门单向函数。我们说一个函数f 是单向函
数，若对它的定义域中的任意x 都易于计算f（x），而对f 的值域中的几乎所有的y，即使当
f 为已知时要计算f –1（y）在计算上也是不可行的。若当给定某些辅助信息（陷门信息）时易
于计算f –1（y），就称单向函数f 是一个陷门单向函数。公钥密码体制就是基于这一原理而设
计的，将辅助信息（陷门信息）作为秘密密钥。这类密码的安全强度取决于它所依据的问题
的计算复杂性。
目前比较流行的公钥密码体制主要有两类：一类是基于大整数因子分解问题的，其中最
典型的代表是RSA 体制。另一类是基于离散对数问题的，如ElGamal 公钥密码体制和影响比
较大的椭圆曲线公钥密码体制。由于分解大整数的能力日益增强，（如何增强？什么理论和技术？）因此为保证RSA 体制的安
全性总是要增加模长。目前768bit 模长的RSA 体制已不安全。一般建议使用1024bit 模长，
预计要保证20 年的安全性就要选择2048bit 的模长，增大模长带来了实现上的难度。而基于
离散对数问题的公钥密码在目前技术下512bit 模长就能够保证其安全性。特别是椭圆曲线上
的离散对数的计算要比有限域上的离散对数的计算更困难，目前技术下只需要160bit 模长即
可保证其安全性，适合于智能卡的实现，因而受到国际上的广泛关注。国际上制定了椭圆曲
线公钥密码标准IEEEP1363。
目前，公钥密码的重点研究方向为：
1）用于设计公钥密码的新的数学模型和陷门单向函数的研究；

（背包算法的陷门好理解。RSA的陷门是个好题目。改造DES的S盒，引入陷门，也是个好题目。在各种加密算法中引入陷门TRAP，都是好题目吧。流密码有陷门吗？）
2）针对实际应用环境的公钥密码的设计；
3）公钥密码的快速实现研究，包括算法优化和程序优化、软件实现和硬件实现；
4）公钥密码的安全性评估问题，特别是椭圆曲线公钥密码的安全性评估问题。

（有哪些安全特性？）
3 分组密码
美国早在1977 年就制定了自己的数据加密标准—DES。随着DES 的出现，人们对分组
密码展开了深入的研究和讨论。现已有大量的分组密码，如DES 的各种变形、IDEA 算法、
SAFER 系列算法、RC 系列算法、Skipjack 算法、Rijndael 算法、FEAL 系列算法、REDOC
系列算法、LOKI 系列算法，CAST 系列算法、Khufu、Khafre、MMB、3-WAY、TEA、MacGuffin、
SHARK、BEAR、LION、CA.1.1、CRAB、Blowfish、GOST、SQUARE、MISTY，等等。
用抽象的观点来看，分组密码就是一种满足下列条件的映射E： m
K
F2m S F2 ´ ® ：对每个
kÎSK, E ( ·, k)是从F2m 到F2m 的一个置换。可见，设计分组密码的问题在于找到一种算法，能
在密钥控制下从一个足够大且足够“好”的置换子集合中，简单而迅速地选出一个置换。一
个好的分组密码应该是既难破译又容易实现，即加密函数E ( ·, k)和解密函数D ( ·, k)都必须
容易计算，但是至少要从方程y=E (x, k)或x=D (y, k)中求出密钥k 应该是一个困难问题。
在分组密码设计技术发展的同时，分组密码分析技术也得到了空前的发展。已有很多分
·20· 通 信 学 报 2002 年
组密码分析技术，如强力攻击（包括穷尽密钥搜索攻击、字典攻击、查表攻击、时间-存储权
衡攻击）、差分密码分析、差分密码分析的推广（包括截段差分密码分析、高阶差分密码分析、
不可能差分密码分析）、线性密码分析、线性密码分析的推广（包括多重线性密码分析、非线
性密码分析、划分密码分析）、差分-线性密码分析、插值攻击、密钥相关攻击、能量分析、
错误攻击、定时攻击等等。（还不知）
穷尽密钥搜索攻击是一种与计算技术密不可分的朴素密码分析技术，也是最常用的一种
密码分析技术。DES 一经公布人们就认为它的密钥太短，仅为56bit，抵抗不住穷尽密钥搜索
攻击，事实已证明了这一点。1997 年1 月28 日，美国的RSA 数据安全公司在RSA 安全年
会上悬赏一万美金破译密钥长度为56bit 的DES算法。美国克罗拉多州的程序员Verser从1997
年3 月13 日起，用了96 天的时间，在Internet 上数万名志愿者的协同工作下，于1997 年6
月17 日用穷尽密钥搜索方法成功地找到了DES 的密钥。这一事件表明依靠Internet 的分布式
计算能力，用穷尽密钥搜索攻击方法破译DES 已成为可能。1998 年7 月17 日，电子边境基
金会(EFF)使用一台25 万美元的电脑用穷尽密钥搜索攻击方法在56 小时内破解了56bit 数据
加密标准(DES)。1999 年，在RSA 的会议期间，电子边境基金会在不到24 小时的时间里用
穷尽密钥搜索攻击方法找到了一个DES 密钥。可见，寻找DES 的替代者已刻不容缓。
美国国家标准技术研究所（ NIST）在1997 年1 月2 日正式宣布了NIST 计划，该计划公
开征集和评估新的候选标准，新的标准称之为AES。作为进入AES 程序的一个条件，开发
者必须承诺放弃被选中算法的知识产权。许多个人和公司积极响应，到1998 年8 月20 日，
NIST 指定了15 个候选者。1999 年8 月，NIST 从中筛选出5 个候选者。人们为了比较出最
终算法发表了许多论文，公布了大量的统计数据，每个算法都有它的优点和弱点。在2000
年10 月2 日，NIST 宣布获胜者为一个称之为Rijndael 的算法，这是比利时学者Vincent Rijmen
和Joan Daemen发明的。2001 年11 月26 日，NIST 正式公布了新标准AES，其编号为FIPS PUBS
197。如同DES 一样，人们期望AES 也能成为世界性的标准。预期过不了多久，只要有人有
密码系统，就肯定有AES。
AES 活动使得国际上又掀起了一次研究分组密码的新高潮。继美国征集AES 活动之后，
欧洲（称之为Nessie 计划）和日本也不甘落后启动了相关标准的征集和制定，这些计划看起
来比美国的计划更宏伟。同时美国等一些国家为适应技术发展的需求也加快了其他密码标准
的更新，比如SHA-1 和FIPS140-1。我国在国家“863”计划中也将制定密码的标准化问题列
入了议程。
目前，分组密码的重点研究方向为：
1）新型分组密码的研究；
2）分组密码安全性综合评估原理与准则的研究；
3）分组密码的实现研究，包括软件优化、硬件实现和专用芯片等；
4）用于设计分组密码的各种组件的研究；
5）AES 的分析及其应用研究。
4 序列密码
序列密码虽然主要用于政府、军方等国家要害部门，而且用于这些部门的理论和技术都
是保密的，但由于一些数学工具（比如代数、数论、概率等）可用于研究序列密码，其理论
和技术相对而言比较成熟。从20 世纪80 年代中期到90 年代初，序列密码的研究非常热，特
第5 期 冯登国：国内外密码学研究现状及发展趋势 ·21·
别是在序列密码的设计方法、序列密码的安全性度量指标、序列密码的分析方法、用于设计
序列密码的各种组件（如密码布尔函数的构作与分析、非线性资源的生成和分析）等方面取
得了一大批有理论和应用价值的成果。
在序列密码的设计方法方面，人们将设计序列密码的方法归纳为4 种，即系统论方法、
复杂性理论方法、信息论方法和随机化方法；将同步流密码的密钥流生成器分解成驱动部分
和非线性组合部分，这样做不仅结构简单，而且便于从理论上分析这类生成器；提出了非线
性组合生成器、非线性滤波生成器和钟控生成器等多种具体设计方法。
在序列密码的安全性度量指标方面，人们提出了线性复杂度轮廓、跃复杂度、K-错误复
杂度（球复杂度）、球周期、非线性复杂度等多种度量序列随机性和稳定性的指标，并对指标
进行了深入研究。
在序列密码的分析方法方面，提出了分别征服攻击方法、线性攻击方法、线性伴随式攻
击方法、线性一致性攻击方法、快速相关攻击方法、线性时序逻辑逼近方法、熵漏分析方法
等多种有效的分析方法。
在密码布尔函数的构作与分析方面，提出了构造布尔函数的多种设计准则，如相关免疫
性、线性结构、严格雪崩特性、扩散特性、平衡性、非线性性、差分均匀性等，构造了一大
批满足上述若干准则的布尔函数，同时，对这些准则之间的关系也进行了深入研究。
在非线性资源的生成和分析方面，对环上序列的生成和结构进行了深入研究和刻画，诱
导出的二元序列具有良好的密码学特性。
在研究方法方面，将谱技术、概率统计方法、纠错编码技术、有限域理论等有效地用于
序列密码的研究。
近年来，序列密码的研究虽然不像原来那么热，但有很多有价值的公开问题需要进一步
研究，比如自同步流密码的研究、有记忆前馈网络密码系统的研究、多输出密码函数的研究、
混沌序列密码和新研究方法的探索等。另外，虽然没有制定序列密码标准，但在一些系统中
广泛使用了序列密码比如RC4，用于存储加密。事实上，欧洲的NESSIE 计划中已经包括了
序列密码标准的制定，这一举措有可能导致序列密码研究热。
5 认证码
认证码最早是由Gilbert 提出的，但Simmons 于1984 年首次系统地提出了认证码的信息
理论。其主要研究目标有两个，一个是推导欺骗者欺骗成功的概率的下界；另一个是构造欺
骗者欺骗成功的概率尽可能小的认证码。20 世纪80 年代中期以来，在认证码的构造和界的
估计等方面已经取得了一大批研究成果。但目前认证码的应用非常有限，几乎停留在理论研
究上。当然，仍有许多理论问题需要进一步研究，如具有保密功能的认证码的研究、仲裁认
证码的研究、认证码的实用化研究，等等。
6 数字签名
数字签名是对电子形式的消息签名的一种方法，一个签名消息能在一个通信网络中传
输。基于公钥密码体制和私钥密码体制都可以获得数字签名，特别是公钥密码体制的诞生为
数字签名的研究和应用开辟了一条广阔的道路。关于数字签名技术的研究，目前主要集中于
基于公钥密码体制的数字签名技术的研究。数字签名的研究内容非常丰富，包括普通数字签
名和特殊数字签名。普通数字签名算法有RSA 数字签名算法、ElGamal 数字签名算法、
·22· 通 信 学 报 2002 年
Fiat-Shamir 数字签名算法、Guillou-Quisquarter 数字签名算法、Schnorr 数字签名算法、
Ong-Schnorr-Shamir 数字签名算法、美国的数字签名标准/算法（DSS/DSA），椭圆曲线数字
签名算法和有限自动机数字签名算法等。特殊数字签名有盲签名、代理签名、群签名、不可
否认签名、公平盲签名、门限签名、具有消息恢复功能的签名等，它与具体应用环境密切相
关。显然，数字签名的应用涉及到法律问题，美国联邦政府基于有限域上的离散对数问题制
定了自己的数字签名标准（DSS），部分州已制定了数字签名法。一些国家如法国和德国已经
制定了数字签名法。
7 Hash 函数
Hash 函数（也称杂凑函数或杂凑算法）就是把任意长的输入消息串变化成固定长的输出
串的一种函数。这个输出串称为该消息的杂凑值。一个安全的杂凑函数应该至少满足以下几
个条件：
1）输入长度是任意的；
2）输出长度是固定的，根据目前的计算技术应至少取128bit 长，以便抵抗生日攻击；
3）对每一个给定的输入，计算输出即杂凑值是很容易的；
4）给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值是计算上不可行的，
或给定杂凑函数的描述和一个随机选择的消息，找到另一个与该消息不同的消息使得它们杂
凑到同一个值是计算上不可行的。
攻击杂凑函数的典型方法是生日攻击。理论上，安全的杂凑函数的存在性依赖于单向函
数的存在性，已形成一套理论。
Hash 函数主要用于完整性校验和提高数字签名的有效性，目前已有很多方案。这些算法
都是伪随机函数，任何杂凑值都是等可能的。输出并不以可辨别的方式依赖于输入。在任何
输入串中单个比特的变化，将会导致输出比特串中大约一半的比特发生变化。
目前，设计杂凑函数的基本方法有以下几种：
1）利用某些数学难题比如因子分解问题、离散对数问题等设计杂凑函数。已设计出的
算法有Davies-Price 平方杂凑算法、CCITT 建议、Jueneman 杂凑算法、Damgard 平方杂凑算
法、Damgard 背包杂凑算法、Schnorr 的FFT 杂凑算法等。
2）利用某些私钥密码体制比如DES 等设计杂凑函数。这种杂凑函数的安全性与所使用
的基础密码算法有关。这类杂凑算法有Rabin 杂凑算法、Winternitz 杂凑算法、
Quisquater-Girault 杂凑算法、Merkle 杂凑算法、N-Hash 算法等。
3）直接设计杂凑函数，这类算法不基于任何假设和密码体制。这种方法受到人们的广
泛关注和青睐，是当今比较流行的一种设计方法。美国的安全杂凑算法（SHA）就是这类算
法，此类算法还有MD4、MD5、MD2、RIPE-MD、HAVAL等。
美国国家标准技术研究所与美国国家安全局共同设计了一个与美国数字签名算法
（DSA）一起使用的安全杂凑算法（SHA），标准是安全杂凑标准（SHS），SHA 是用于该标
准的算法。SHA 于1992 年1 月31 日在联邦记录中公布，1993 年5 月11 日起采纳为标准。
1994 年7 月11 日作了一次修改，1995 年4 月17 日正式公布。SHA 的设计原则与MD4 算法
的设计原则极其相似，它很像是MD4 算法的一种变形，但SHA 的设计者没有公开SHA 的
详细设计准则。SHA 的输入的长度限制在264bit 之内，输出长度为160bit。由于技术的原因，
美国目前正准备更新其Hash 标准，加之欧洲也要制定Hash 标准，这必然导致Hash 函数的
第5 期 冯登国：国内外密码学研究现状及发展趋势 ·23·
研究特别是实用技术的研究将成为热点。
8 身份识别
在身份识别的研究中，最令人瞩目的识别方案有两类：(1)1984 年Shamir 提出的基于身
份的识别方案；(2)1986 年Fiat 等人提出的零知识身份识别方案。随后,人们在这两类方案的
基础上又提出了一系列实用的身份识别方案，如Schnorr 识别方案、Okamoto 识别方案、
Guillou-Quisquater 识别方案、Feige-Fiat-Shamir 识别方案等。目前人们关注的是身份识别方
案与具体应用环境的有机结合。
9 密钥管理
在密钥管理方面，国际上都有一些大的举动，也制定了一些标准。比如1993 年美国提
出的密钥托管理论和技术、国际标准组织制定的X.509 标准（已经发展到第4 版本）以及麻
省理工学院开发的Kerboros 协议(已经发展到第5 版本)等，这些工作影响很大。密钥管理中
还有一种很重要的技术就是秘密共享技术，它是一种分割秘密的技术，目的是阻止秘密过于
集中，自从1979 年Shamir 提出这种思想以来，秘密共享理论和技术达到了空前的发展和应
用，特别是其应用至今人们仍十分关注。
密钥分配是密钥管理中的一个关键因素，目前已有很多密钥分配协议，但其安全性分析
是一个很重要的问题。除了经验分析之外，最重要的分析方法是形式化分析方法，它的研究
始于20 世纪80 年代初，目前正处于百花齐放、充满活力的状态之中。许多一流大学和公司
的介入，使这一领域成为研究热点。随着各种有效方法及思想的不断涌现，这一领域在理论
上正在走向成熟。
目前，在密钥管理方面讨论最多的、最热的是密钥管理基础设施（KMI）。
10 PKI 和VPN
公开密钥基础设施PKI（public key infrastructure）技术和虚拟专用网VPN（virtual private
network）技术是目前最为人们所关注的两种基于密码的技术。所谓PKI 就是一个用公钥概念
和技术实施和提供安全服务的具有普适性的安全基础设施。但PKI 的定义在不断地延伸和扩
展。PKI 涉及到多个实体之间的协作过程，如CA、注册机构（RA）、证书库、密钥恢复服务
器和终端用户。国外的PKI 应用已经开始，开发PKI 的厂商也很多。许多厂家，如Baltimore、
Entrust 等推出了可以应用的PKI 产品，有些公司如VerySign 等已经开始提供PKI 服务。网
络许多应用已经在使用PKI 技术以保证网络的认证、不可否认、加解密和密钥管理等。尽管
如此，总的说来PKI 技术仍在发展中。PKI 系统仅仅还是在做示范工程。人们认为PKI 技术
将成为所有应用的计算基础结构的核心部件，包括那些越出传统网络界限的应用。
VPN 是利用接入服务器（access server）、广域网上的路由器或VPN 专用设备在公用的
WAN上实现虚拟专网的技术。也就是说，用户觉察不到他在利用公用WAN获得专用网的服
务。这里所说的公用网包括Internet、电信部门提供的公用电话网、帧中继网及ATM网络等。
如果强调其安全性，可以认为VPN 是综合利用了认证和加密技术，在公共网络（比如Internet）
上搭建只属于自己的虚拟专用安全传输网络，为关键应用的通信提供认证和数据加密等安全
服务。如果将VPN 的概念推广一步，我们可以认为凡是在公共网络中实现了安全通信（主要
包括通信实体的身份识别和通信数据的机密性处理）的协议都可以称之为VPN 协议。到目前
·24· 通 信 学 报 2002 年
为止，VPN 已经在网络协议的多个层次上实现，从数据链路层、网络层、传输层一直到应用
层。特别是IPSec 标准的制定，对实施VPN 奠定了坚实的基础。
从应用的角度讲，与密码技术相关的、比较热门的概念还有PMI、PGP、TLS（SSL）、
SET 等。
11 信息隐藏
信息隐藏将在未来网络中保护信息不受破坏方面起到重要作用，信息隐藏是把机密信息
隐藏在大量信息中不让对手发觉的一种方法。主要侧重于隐写术、数字水印、潜信道、隐匿
协议、可视密码等方面的理论与技术的研究。1996 年以来，国际上召开了多次有关信息隐藏
的专业研讨会。国内近两年也召开了多次有关信息隐藏的研讨会。在隐写术、数字水印和可
视密码技术等方面已有很多成果。
隐写术就是将秘密信息隐藏到看上去普通的信息（如数字图像）中进行传送。现有的隐
写术方法主要有利用高空间频率的图像数据隐藏信息、采用最低有效位方法将信息隐藏到宿
主信号中、使用信号的色度隐藏信息的方法、在数字图像的像素亮度的统计模型上隐藏信息
的方法、Patchwork 方法，等等。
数字水印就是向被保护的数字对象嵌入某些能证明版权归属或跟踪侵权行为的信息。目
前主要有两类数字水印，一类是空间数字水印，另一类是频率数字水印。空间数字水印的典
型代表是最低有效位（LSB）算法，其原理是通过修改表示数字图像的颜色或颜色分量的位
平面，调整数字图像中感知不重要的像素来表达水印的信息，以达到嵌入水印的目的。频率
数字水印的典型代表是扩展频谱算法，其原理是通过时频分析，根据扩展频谱特性，在数字
图像的频率域上选择那些对视觉最敏感的部分，使修改后的系数隐含数字水印的信息。
可视密码技术是Naor 和Shamir 于1994 年首次提出的，其主要特点是恢复秘密图像时不
需要任何复杂的密码学计算，而是以人的视觉即可将秘密图像辨别出来。其做法是产生n 张
不具有任何意义的胶片，任取其中t 张胶片叠合在一起即可还原出隐藏在其中的秘密信息。
其后，人们又对该方案进行了改进和发展。主要的改进办法有：使产生的n 张胶片都具有一
定的意义，这样做更具有迷惑性；改进了相关集合的构造方法；将针对黑白图像的可视秘密
共享扩展到基于灰度和彩色图像的可视秘密共享。
目前，信息隐藏的重点研究方向为：
1）信息隐藏技术的实用化研究；
2）信息隐藏的相关基础理论和方法学研究；
3）信息隐藏分析和检测技术的研究；
4）信息隐藏理论与技术体系的研究。
12 量子密码
美国科学家威斯纳首先将量子物理用于密码学的研究之中，他于1970 年提出可利用单
量子态制造不可伪造的“电子钞票”。但这个设想的实现需要长时间保存单量子态，不太现实。
贝内特和布拉萨德在研究中发现，单量子态虽然不好保存但可用于传输信息。1984 年，贝内
特和布拉萨德提出了第一个量子密码方案，称为BB84 方案。1992 年，贝内特又提出一种更
简单但效率减半的方案，即B92 方案。
目前，在量子密码实验研究上进展最快的国家为英国、瑞士和美国。英国国防研究部于
第5 期 冯登国：国内外密码学研究现状及发展趋势 ·25·
1993 年首先在光纤中实现了基于BB84 方案的相位编码量子密钥分发，光纤传输长度为
10km。这项研究后来转到英国通信实验室进行，到1995 年，经多方改进，在30km 长的光
纤传输中成功实现了量子密钥分发。与偏振编码相比，相位编码的好处是对光的偏振态要求
不那么苛刻。在长距离的光纤传输中，光的偏振性会退化，造成误码率的增加。然而，瑞士
日内瓦大学1993 年基于BB84 方案的偏振编码方案，在1.1km 长的光纤中传输1.3μm 波长的
光子，误码率仅为0.54％，并于1995 年在日内瓦湖底铺设的23km 长民用光通信光缆中进行
了实地表演，误码率为3.4％。1997 年，他们利用法拉第镜消除了光纤中的双折射等影响因
素，大大提高了系统的稳定性和使用的方便性，被称为“即插即用”的量子密码方案。美国
洛斯阿拉莫斯国家实验室创造了目前光纤中量子密码通信距离的新纪录。他们采用类似英国
的实验装置，通过先进的电子手段，以B92 方案成功地在长达48km 的地下光缆中传送量子
密钥，同时他们在自由空间里也获得了成功。1999 年，瑞典和日本合作，在光纤中成功地进
行了40km 的量子密码通信实验。目前，瑞士日内瓦大学创造了光纤中量子密码通信距离为
67km 的新纪录。在中国，量子密码的研究刚刚起步，1995 年，以BB84 方案和B92 方案在
国内做了演示性实验，是在距离较短的自由空间里进行的。2000 年，在850nm 的单模光纤
中完成了1.1km 的量子密码通信演示性实验。总的来说，与国外相比，我国还有较大差距。
到目前为止，主要有三大类量子密码实现方案：一是基于单光子量子信道中测不准原理
的；二是基于量子相关信道中Bell 原理的；三是基于两个非正交量子态性质的。但有许多问
题还有待于研究。比如，寻找相应的量子效应以便提出更多的量子密钥分配协议、量子加密
理论的形成和完善、量子密码协议的安全性分析方法研究、量子加密算法的开发、量子密码
的实用化、量子攻击算法的研究（包括Shor 的大数因子分解算法和Grover 搜索算法的改进
和新算法的提出）等。总的来说，量子密码密码理论与技术还处于实验和探索之中。
13 基于生物特征的识别理论与技术
基于生物特征（比如手形、指纹、语音、视网膜、虹膜、脸形、DNA 等）的识别理论与
技术已有所发展，已形成了一些基本理论和技术，也开发出了一些产品。但有待于解决的问
题很多，如生物特征提取、匹配和分类算法的研究，生物特征数据库管理技术的研究，实时
生物特征处理技术研究，数字识别与生物识别的集成技术研究等。
14 结束语
前面对密码学所涉及的各个方面的国内外研究现状和发展趋势做了概括介绍，这
里主要谈谈作者的几点研究体会和看法：
1）必须正确理解密码学在网络和信息安全中的地位。密码技术仅仅是解决信息
和信息系统安全的关键技术之一，单靠密码技术不能彻底解决信息和信息系统的安全
问题，安全问题涉及到人、技术、管理和操作等多方面的因素。安全遵循“木桶”原
理，取决于其最薄弱的环节。总而言之，在解决信息和信息系统安全这个问题上，密
码技术不是万能的，但离开密码技术是万万不能的。作为一个密码学研究者必须了解
这一点。
2）必须注重和推进密码的标准化进程。标准化是工业社会的一个基本概念，它意味
着生产规模化、降低成本、方便维修和更换。任何一个国家的关键基础设施中不可能引进
或采用别人的密码技术，只能自主开发。因此，为了抵抗国外的冲击，必须要有我们自
·26· 通 信 学 报 2002 年
己的算法和自己的一套标准。与此同时，通过标准化的研究来推动密码学的研究。
3）必须持之以恒地坚持和加强密码基础理论研究。实用密码技术的基础是密码基础理
论，没有好的密码理论不可能有好的密码技术，也就谈不上先进、自主和创新。
4）尽量与国际密码研究的主流融合。关注国际上密码学研究的热点，力争融入国际密
码学研究的主流之中。目前应注重和加强理论密码学（用概率或信息论的观点研究密码学）
和计算密码学（用复杂性理论的观点研究密码学）的研究。
5）以实际应用驱动密码理论与技术的研究。密码学除了自身发展之外，很重要的驱动
因素是其实际应用。目前，尽管我国在密码技术的应用水平方面与国外还有一定的差距，
但我们必须注重其实际应用，一方面，推动密码学的研究；另一方面，促进密码应用。
参考文献：
[1] MENEZES A J, VAN OORSCHOR P，VANSTONE S. Handbook of Applied Cryptography[M].New York: CRC Press,1996.
[2] SCHNEIER B. Applied Cryptography, Protocols, Algorithms and Source Code in C[M]. New York: John Wiley and Sons, 1996.
[3] 冯登国，裴定一.密码学导引[M].北京：科学出版社，1999.
[4] 王育民，刘建伟. 通信网的安全—理论与技术[M].西安：西安电子科技大学出版社，1999.
[5] AES[EB/OL].http://www.nist.gov/aes.
[6] NESSIE[EB/OL].http://www.cryptonessie.org.
[7] ADAMS C, LLOYD S. Understanding Publickey Infrastructure:Concepts,Standars,and Deployment Consideratiods [M]. Indiana:
Macmillan Technical Publishing,1999.
[8] KATZENBEISSER S, PETITCOLAS F A P. Information Hinding Techniques for Steganography and Digital Watermarking [M].
Boston: ARTECH HOUSE,2000.
[9] STEVE B, STEPHEN B.Cryptography[M]. New York: McGraw-Hill,2001.

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(140) | 该文章为私有

 

07-12-1、《现代密码学理论与实践》目录，WENBO MAO

2007-12-02 11:44

 

 

 

 

 

 

 

 

 

 

 

 

 

 

这本书没有冯登国博士点校过，但是由王育民老师点校，又是中国人写的，容易看。

并且，正在研读“零知识证明”的内容，这本书有整整一章的内容介绍。

还有计算复杂性理论，北京大学也有一本小书，是专讲这个的。

卢开澄老师的《计算机密码学》和《计算机算法导引--设计与分析》，课程中也讲了相当一部分的计算复杂性。

1987年左右，买过一本字典《电子数字计算机算法手册（好象是这个书名）》，上海计算所出版的。用的是类PASCAL语言。

还有国防科技大学的《网络算法与复杂性理论》。

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(6)

 

07-11-14、《计算机密码学》课程小论文的写法

2007-12-01 17:11

一、宽度：

提出一种加密方法，对教材中涉及的主要问题，有个一揽子解决方案。

二、深度：

对某个算法或协议，进行纵向的设计、安全性分析、优点缺点对比、和相近算法对比

三、综述：

如对分组加密算法中的某一类进行综述。

·以上这些小论文的写法，一定要参考国内外的学术论文。

==============================================================================

涉及到的概念：

一、密码分析、非法攻击。无论是《计算机密码学》的哪个环节，都有被非法攻击的问题。

二、安全属性的实现。如认证中就有重用、中间人、抵赖、冒充、偷听……主动攻击和被动攻击的问题。

三、算法分析：不同于《数据结构》中的关于时间复杂性和空间复杂性的分析。当然，还是有这两方面的问题，但已经不是主要方面。
四、评价优劣。已有算法和自创的算法。优劣对比是学术论文中永恒的话题。

五、算法来源的理解和融会贯通。如通常的加密算法来源于几大类的难题：离散对数，大数分散，椭圆曲线，背包问题。

六、两基的掌握，天才的发挥。掩卷沉思，有时能够迅速把零散片断的思维打成一片。

 

 

=================================================================================

困难所在：打开一个加密算法，就吓住了。这是常态。

一个可能是这种算法需要铺垫 嗨朴?ldquo;引理”一类，比如数论的知识，数学难题的知识。

在已经掌握这些前导知识的基础上，才看得懂。

第二个可能是密码学的理论和算法，如果书中有某点利用了“大家的一般理解”这种说法，而新学者还没有形成对密码学的一般常识，这时就容易遇到研读中的绊脚石，看不下去。

第三个可能，好象都可以看，都是重点。这样，DES算法研读中阻碍了，就跳去看背包算法，结果背包算法没研读明白，就又去研读椭圆算法。

所以，在大致了解各种典型算法之后，就要有的放矢地研读。

第四个可能，某个算法要从完全陌生开始研读，到“掌握”，要花几十分钟的时间。

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(22)

 

07-11-13、看Schneier书后，对序列密码和LFSR的理解之一

2007-11-30 21:00

 

曾芷德老师的《数字系统测试与可测性》中也有介绍LFSR。比较系统地介绍了LFSR的原理。

·LFSR的两个特征：

1、下一状态唯一地取决于前一状态。

2、LFSR状态转换的最大周期是2^k -1。

·Galois（伽罗瓦吧）给出了两条判断LFSR是否具有最大循环周期的准则：

1、如果LFSR的状态变化周期为2^k - 1，则表示其特征多项式是既约多项式（不可分解因式的）。

2、如果LFSR的特征多项式是既约多项式，且2^k - 1是素数，则LFSR的状态转换周期最大。

·LFSR的递推公式：

　　　　yn = epsilon（i从1到k)　Ci * y(n-i)，式（1）

y(n-i)表示各移位寄存锁存器的状态,n表示时帧，n=0表示初态。Ci表示反馈线。

·令　　G1(X)=epsilon（j从0到无穷大） yj *Xj，式（2）

G1(X)为描述LFSR左起第一位状态变化的函数，它是X的多项式。

X代表移位操作，Xj表示执行 j+1次移位操作，j=0表示第1次移位操作。

yj为执行j+1次移位操作之后，第一位的状态值，即

yj=0，表示经j+1次移位后，第一位为0

yj=1，表示经j+1次移位后，第一位为1。

把式（1）代入式（2），所得分母1+epsilon(i from 1 to k)Ci*Xi称为LFSR的特征多项式。

·计算G1(X)除以特征多项式，可得生成多项式，可得状态重复周期。

 

 

 

==============================================================================

卢开澄老师的《计算机密码学》

Shannon证明了一次一密密码体制是不可破的。这一结果给密码学研究以很大的刺激。若能以一种方式产生一随机序列，这一序列由密钥所确定，则利用这样的序列就可以进行加密。

密钥流产生器，产生密钥流（通常是0-1数据流），加到明文M上，生成密文C。

这样的密码体制称为序列密码体制，有时也称为流码，是密码学中最重要的加密方式之一。

希望密钥流有尽可能大的周期，至少应和明文的长度相等，并且具有随机性，使得密码分析者无法分析。

一般是伪随机序列。

例如0-1序列，00110111，前两个数字是00，称为0的2游程；接着11，是1的2游程，最后是1的3游程。

·Golomb提出了0-1序列的随机性公设如下：

（1）若r（周期）是奇数，则0-1序列{si}的一个周期内0的个数比1的个数多一个或者少一个；

若是偶数，则0的个数和1的个数相等。

（2）在长度为r的周期内，1游程的个数为游程总数的1/2，2游程的个数占游程总数的1/4，……c游程的个数占游程总数的1/(2^c)。

（3）异相自相关函数是一个常数。其中，（相同位的个数-不同位的个数）/　周期，称为自相关数。

·若N级线性反馈移位寄存器的输出序列的周期达到最大 (2^n - 1)，则称为m序列。

·LFSR也可有输入和输出，输出级作输出，输入数和f异或作初级输入。

·反馈函数 f(a1,a2,……an)=cn^a1异或c(n-1)^a2……c1^an，是a1,a2,……，an的线性函数。这样的线性函数有2^n种，而n元BOOL函数有2 ^(2^n)种。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(23)

 

07-11-11、零知识证明的用法

2007-11-30 06:49

一、零知识证明zero-knowledge proof

第一、3 SAT方法的函数与真值，可能有重点问题可研究。毕竟，对BOOL函数和真值表接触了那么多年。

实际上即是说，自变量集合根据两个算符组成一个函数表达式，要使函数的值为1。

问表达式中各自变量的取值。看起来又有点象背包函数。

f = c1 ^ c2 ^   …… ^ ct，ci由3个变量或其非的 或 运算组成。3个变量取自x1,x2,……xn。

3 SAT问题：如何给X以指派，以满足 f =T。属于可满足性问题，是NPC问题。

第二、零知识证明似乎着重用在身份证明方面。目前也是感兴趣，而没有大的起色的方面。只要是身份认证，总该认真了解。

第三、稍微看了看，零知识证明也似乎（感觉）有许多问题可想一想。

第四、书中原话介绍如下：“设计证明者P掌握某些秘密信息，可以是某些长期没有解决的猜想问题的证明。如FERMAT最后定理，图的三色问题，也可以是缺乏有效算法的难题解法，如大整数因数分解等，信息的本质是可以验证的，即可通过具体的步骤来检测它的正确性。V是验证者，P设法让V相信他确实掌握这些信息。以假定P掌握了大数n的因数p和q为例，当然P可以直截了当地把p和q告诉V，但是，这样V也可以向他人宣布他也掌握了大数n的因数。这样就不是零知识证明。”

 

二、SCHNEIER书的零知识证明协议：

假设PEGGY知道一部分信息而且这部分信息是某个难题的解法，基本的零知识协议由以下几轮组成：

（1）PEGGY用她的信息和一个随机数将这个难题转变成另一个难题，新的难题和原来的难题同构。然后她用她的信息和这个随机数解这个新的难题。

（2）PEGGY利用位承诺（？）方案提交这个新的难题的解法。位承诺即承诺其中的几位肯定是什么，象扑克魔术的猜牌。

（3）PEGGY向VICTOR透露这个新难题。VICTOR不能用这个新难题得到关于原难题或其解法的任何信息。

（4）VICTOR(验证者）要求PEGGY：

·向他证明新、旧难题是同构的，或者：

·公开她在第（2）步中提交的解法并证明是新难题的解法。

（5）PEGGY同意。

（6）PEGGY, VICTOR重复第（1）至第（5）步N次。

三、国际象棋特级大师问题

类似于中间人，中间人并没有“知识”。

这里面可以催生许多问题吧？

四、果然，黑手党骗局是两个中间人

五、恐怖分子骗局

第五、第四的成功可用FARADAY CAGE屏蔽无线电通信来防止。第八、第九假设中间人是通过无线电通信的。

六、出租护照

是经常见到的取巧情节。

从上面七、八、九、十看来，模拟现实中人用智能会做的一些事，可能有帮助吧？

 

七、身份的零知识证明

例一、可信赖的机构公开宣布n=2773。

1、P（P是证明者）的秘密　I(P)　包含有

c1=1901,c2=2114,c3=1509,c4=1400,c5=2001,c6=119.

c1^2 mod n=582， c2则=1693，c3则=448，c4则=2262，c5则=2562，c6则=296。

2、P选择他的公开身份有：

d1=81,d2=2678,d3=1207,d4=1183,d5=2681,d6=2595。

3、c和d之间满足，即公开身份和秘密身份之间有以下的关系：

dj*（cj^2）　模n等于正负1。

4、P选一随机数r，计算+|-r^2对n取模。P取其中一个告诉V，称之为x。

假定P选 r=1221，P计算

-r^2模n等于1033。

5、令x=1033，P（证明者）将x告诉V(验证者）。

6、V选子集S={1，4，5，6}，告诉P。

P计算：Tc=1901*1400*2001*119模n=96。

y=r*Tc 模n=750。

V收到y后计算，Td=81*1183*2681*2595模n=1116,

(y^2)*Td模n=1033。

这样，验证通过。

因为dj*cj^2= +|-1 mod n,

(y*y) *Td =r*r* Tc*Tc *Td=r*r*(cj*cj*dj在S（即1，4，5，6）范围内连乘)=+|-r*r=+|- x mod n。

八、Fiat-Shamir协议适合于网上身份验证

假定证明者（准备证明身份者）P身份有k个秘密的数xp1,xp2,xp3,……,xpk。令n=p*q，作

ypi = xpi*xpi mod n，

公开文件上在P的姓名后面记录上

ID :yp1,yp2,yp3,……，ypk。

第一阶段：

P随机选择一个数　r　属于整数，计算：r　*　r mod n，

P给V（验证者，验证P者）送去（P，r　*　r）。

第二阶段：

V给P送去b=(b1,b2,……，bk)，bi属于{0,1}。

第三阶段：

P计算

y=r　*　c1*c2*……*ck，（若bi=0,then ci=1; bi=1,then ci=0），这一句理解有点问题。只要CI是0，则Y就是0了。

并将y送给V。

第四阶段：

V检验，若

y * y = （r * r *（(ypi^bi)的连乘））　对m取模，则接受，否则拒绝。

注：实际上，

y * y = r * r *（(xpi*xpi)^bi）的连乘）。

以下的图形可按鼠标右键另存，再打开放大。不会失真，很清晰。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(11)

 

０７－１１－９、密钥协议 与 零知识证明 中能否找到论题

2007-11-27 10:40

一、ＳＨＡＭＩＲ协议

类似于双方寄一个箱子，

Ａ加一把锁，寄给Ｂ；

Ｂ再加一把锁，寄给Ａ；

Ａ解开自己的锁，寄回Ｂ；

Ｂ解开锁，获取箱中信息。

有什么不足呢？

二、用ＲＳＡ公钥密码的密钥协议

１、Ａ用Ａ的解密密钥对信息Ｍ签名得Ｓ：

２、Ａ再用Ｂ的加密密钥对Ｓ加密，得密文C，送给B：

3、B用B的解密密钥，对C解密得S。

4、B再用A的加密密钥对S进行加密。

其中，1-4，2-3是对应的反操作（即一个加密，一个是对应的解密）。

三、与（二）相关，判断B是否收到完整的信息

1、A给B

c1=Eb(Da(m))

2、B收到C1后，作：Ea(Db(c1))=Ea(Da(m))=m。

进行解密。即先作 Db（Eb(Da(m))）。再对Db（Eb(Da(m))）作Ea运算。Eb和Db可交换。

3、B送给B下面密文C2：c2=Ea(Db(m))。

4、A收到C2后，作：Eb(Da(c2))=m'。

Ea和Da可交换。

其中第1步和第4步的运算是相同的，第2步和第3步的运算是相同的。

四、一种基于读银行卡的认证协议

银行给用户A发放信用卡时，在卡上存储：（1）A的身份号码IDA，（2）A的密钥kA。

其中kA=Ek(IDA)。Ek的k是银行用密钥，由银行掌管，在每一台读卡机上都存储有k。

1、读卡机算出kA后，产生一随机数 r。

2、信用卡向读卡机送去

R*=EkA(r)。

3、读卡机同样计算

R=EkA(r)。

4、若R*=R，则说明信用卡上有kA。

五、认证

实际上，书中所述，以HASH函数为重点。

仿照设计一个类似于DES，IDEA， SHA，MD5的HASH函数当然可以，但要在安全性方面有其特色。

而且如果设计思想精巧，通常是核心期刊的选择。而且，这几个算法已经被太多地深入研究了。并且根据它们设计出来的HASH算法，要符合HASH函数的特性（忘记有哪些了，但肯定有）。

六、零知识证明zero-knowledge proof

第一、3 SAT方法的函数与真值，可能有重点问题可研究。毕竟，对BOOL函数和真值表接触了那么多年。

实际上即是说，自变量集合根据两个算符组成一个函数表达式，要使函数的值为1。

问表达式中各自变量的取值。看起来又有点象背包函数。

f = c1 ^ c2 ^   …… ^ ct，ci由3个变量或其非的 或 运算组成。3个变量取自x1,x2,……xn。

3 SAT问题：如何给X以指派，以满足 f =T。属于可满足性问题，是NPC问题。

第二、零知识证明似乎着重用在身份证明方面。目前也是感兴趣，而没有大的起色的方面。只要是身份认证，总该认真了解。

第三、稍微看了看，零知识证明也似乎（感觉）有许多问题可想一想。

第四、书中原话介绍如下：“设计证明者P掌握某些秘密信息，可以是某些长期没有解决的猜想问题的证明。如FERMAT最后定理，图的三色问题，也可以是缺乏有效算法的难题解法，如大整数因数分解等，信息的本质是可以验证的，即可通过具体的步骤来检测它的正确性。V是验证者，P设法让V相信他确实掌握这些信息。以假定P掌握了大数n的因数p和q为例，当然P可以直截了当地把p和q告诉V，但是，这样V也可以向他人宣布他也掌握了大数n的因数。这样就不是零知识证明。”

 

六、SCHNEIER书的零知识证明协议：

假设PEGGY知道一部分信息而且这部分信息是某个难题的解法，基本的零知识协议由以下几轮组成：

（1）PEGGY用她的信息和一个随机数将这个难题转变成另一个难题，新的难题和原来的难题同构。然后她用她的信息和这个随机数解这个新的难题。

（2）PEGGY利用位承诺（？）方案提交这个新的难题的解法。位承诺即承诺其中的几位肯定是什么，象扑克魔术的猜牌。

（3）PEGGY向VICTOR透露这个新难题。VICTOR不能用这个新难题得到关于原难题或其解法的任何信息。

（4）VICTOR(验证者）要求PEGGY：

·向他证明新、旧难题是同构的，或者：

·公开她在第（2）步中提交的解法并证明是新难题的解法。

（5）PEGGY同意。

（6）PEGGY, VICTOR重复第（1）至第（5）步N次。

七、国际象棋特级大师问题

类似于中间人，中间人并没有“知识”。

这里面可以催生许多问题吧？

八、果然，黑手党骗局是两个中间人

九、恐怖分子骗局

第八、第九的成功可用FARADAY CAGE屏蔽无线电通信来防止。第八、第九假设中间人是通过无线电通信的。

十、出租护照

是经常见到的取巧情节。

从上面七、八、九、十看来，模拟现实中人用智能会做的一些事，可能有帮助吧？

 

十一、身份的零知识证明

例一、可信赖的机构公开宣布n=2773。

1、P（P是证明者）的秘密　I(P)　包含有

c1=1901,c2=2114,c3=1509,c4=1400,c5=2001,c6=119.

c1^2 mod n=582， c2则=1693，c3则=448，c4则=2262，c5则=2562，c6则=296。

2、P选择他的公开身份有：

d1=81,d2=2678,d3=1207,d4=1183,d5=2681,d6=2595。

3、c和d之间满足，即公开身份和秘密身份之间有以下的关系：

dj*（cj^2）　模n等于正负1。

4、P选一随机数r，计算+|-r^2对n取模。P取其中一个告诉V，称之为x。

假定P选 r=1221，P计算

-r^2模n等于1033。

5、令x=1033，P（证明者）将x告诉V(验证者）。

6、V选子集S={1，4，5，6}，告诉P。

P计算：Tc=1901*1400*2001*119模n=96。

y=r*Tc 模n=750。

V收到y后计算，Td=81*1183*2681*2595模n=1116,

(y^2)*Td模n=1033。

这样，验证通过。

因为dj*cj^2= +|-1 mod n,

(y*y) *Td =r*r* Tc*Tc *Td=r*r*(cj*cj*dj在S（即1，4，5，6）范围内连乘)=+|-r*r=+|- x mod n。

 

类别：二,安全阵列 | 编辑 | 删除

| 评论(0) | 浏览(7)

 

[首页] 1 [2] [3] [下一页] 

     

 

 

文章分类

编辑

 

默认分类(1)

 

一,访问控制与认证,ids,硕士课题(29)

 

二,安全阵列(32)

 

三,计算机及科学学(36)

 

四,譬如朝露,去日无多(5)

 

五,心理学,法律,注册会计师(7)

 

六,冲刺正高(2)

 

     

 

文章存档

 

2008年01月(8)

 

2007年12月(33)

 

2007年11月(11)

 

2007年10月(23)

 

2007年09月(10)

 

2007年08月(4)

 

2007年07月(5)

 

2007年06月(4)

 

2007年05月(14)

 

     

 

最新评论

   

千心源
来你的博客逛逛，祝你的博客人气越来越旺！
能够在茫茫的百度博客中相遇就是一种缘分...

 

<script type="text/javascript"><!--writecmt("http://hi.baidu.com/damaxiaoyi","大蚂小蚁");//--></script> 大蚂小蚁
Maximum Segment Size 的作用是什么啊

 

<script type="text/javascript"><!--writecmt("http://hi.baidu.com/nengke110","nengke110");//--></script> nengke110
能在自己的专业，拼搏，很是羡慕，预祝你成功！

 

<script type="text/javascript"><!--writecmt("http://hi.baidu.com/wenren12345","wenren12345");//--></script> wenren12345
高手啊！
崇拜得五体投地，
以后有问题还希望先生指点一二。
呵呵～虽然我是学文的。...

 

     

  什么是RSS？

");

©2008 Baidu

<script src="http://msg.baidu.com/ms?ct=18&amp;cm=3&amp;tn=bmSelfUsrStat&amp;mpn=13227114&amp;un=ftai08" type="text/javascript"></script>