【正文】 書的時候，需要得到簽名 CA 的公鑰， CA 的公鑰可以由另一個 CA 以證書的形式發(fā)布，但最終總會有一個 CA 的公鑰獲得過程缺乏證明，需要該 CA 的自簽 名證書，同時作為 PKI 系統(tǒng)的信任起點。 證書認證中心（ CA）是 PKI 系統(tǒng)中通信雙方都信任的實體，屬于可信第三方（ TTP）。 目前， 標準將 PKI 定義為支持公開密鑰管理并能支持認證，加密，完 16 整性和可追究性服務(wù)的基礎(chǔ)設(shè)施；美國國家審計總署在報告中把 PKI 定義為由硬件，軟件，策略和人構(gòu)成的系統(tǒng)，當設(shè)施完善后，能夠為敏感 通信和交易提供一套信息安全保障，包括保密性，完整性，真實性和不可否認性。這一概念成為了后來 PKI 的核心部分。 PKI技術(shù) PKI 技術(shù)起源 在 Diffie 和 Hellman 首次公開提出公鑰密碼算法的時候，也設(shè)想了相應(yīng)的解決方案，將每個人的公鑰都儲存在專門的可信資料庫中。有關(guān)混沌序列的研究還在進行，人們還不清楚大部分的混沌序列具有怎樣的復(fù)雜性。尚不清楚量子計算機能正式投入使用的時間，但可以肯定的是未來的這一天也將會是密碼學(xué)新一頁的開始。 15 新密碼技術(shù)的發(fā)展 密碼學(xué)發(fā)展的另一個重要方面是新技術(shù)誕生可能會帶來的沖擊，比如量子計算技術(shù) 。初期的網(wǎng)絡(luò)協(xié)議并沒有考慮安全問題，而現(xiàn)在使用的 VPN， WLAN，網(wǎng)絡(luò)電話等的協(xié)議也不是充分安全的。 4. 更好的基礎(chǔ)安全協(xié)議：密碼學(xué)工作者的工作并不局限于算法的設(shè)計，一套包括密鑰分配，算法使用模式等綜合在一起的基礎(chǔ)安 全協(xié)議方案同樣由對密碼學(xué)有深入掌握的信息安全學(xué)者提供。比如某人希望在證明自己屬于某一群體但又不泄露自己真實身份的前提下向外界發(fā)布消息（在沒有密碼技術(shù)幫助下幾乎不可能做到），應(yīng)運而生的就是環(huán)簽名技術(shù)，它使得一些內(nèi)部人員匿名而可靠的向外散播消息成為可能。另一方面，密碼產(chǎn)品并不總是在計算機上進行運算，在很多場合下所處環(huán)境計算能力較弱，如智能卡，傳感器等，為這種環(huán)境選擇最合適而不是最安全的算法也是提升效率的一個方法。由于底層的安全性數(shù)學(xué)化描述已經(jīng)比較完善，因此密碼學(xué)者的工作就是不斷設(shè)計出更好的滿足這些條件的算法。目前中國在橢圓曲線，流密 碼等的研究上比較有建樹，但限于中國密碼管理體制與國際上的不同，大量國內(nèi)的算法和研究成果并不對外公開，使得很難對國內(nèi)的密碼學(xué)研究有一個較全面的認識。 除了對密碼學(xué)本身的研究之外，對于密碼技術(shù)的實際應(yīng)用也越來越被人們關(guān)注，目前比較熱門的研究方向是傳感器網(wǎng)絡(luò)（ Sensor Net），無線網(wǎng)絡(luò)（ WLAN），Ad Hoc 網(wǎng)絡(luò)等的安全問題，涉及到密鑰協(xié)商與加密等各個方面。 MAC消息認證，偽隨機序列的研究也以對稱密碼的研究為基礎(chǔ)，隨著上面的工作而進行。注意到盡管有些數(shù)學(xué)工作者和計算機學(xué)科的學(xué)者并不直接針對密碼學(xué)，但他們的成果仍然會對密碼學(xué)產(chǎn)生影響。 13 在底層安全性問題上，計算復(fù)雜性和數(shù)論的假設(shè)上很難取得突破，因此越來越少的學(xué)者把主要精力放在這上面。 國外 國際上的密碼研究以美國為絕對中心，同時歐洲，以色列，日本等地都有著很強的實力，高級數(shù)據(jù)加密標準 AES 最終就選取了歐洲學(xué)者的算法。密碼學(xué)現(xiàn)在的發(fā)展仍處于較平穩(wěn)的階段，尚未再次出現(xiàn) 1976 年那種革命性的變化，但可以預(yù)計，這種大的變革幾乎一定會再次發(fā)生。 目前密碼學(xué)在世界上仍然以完善，發(fā)掘，改進現(xiàn)有方案；創(chuàng)造新方案和算法；底層安全性的工作等為主要部分?，F(xiàn)在幾乎所有的工作都是圍繞著更好的滿足這四個需求而展開的，在此之上發(fā)展出了各種解決方案和密碼學(xué)產(chǎn)品。 由上面列出的特點對比可以看出，對稱密碼與公鑰密碼在許多性質(zhì)上是互補的 ，這使得某些功能只能由兩者之一實現(xiàn)，其他一些功能也很容易在兩者之中做出取舍。 2) 密鑰長度要比對稱密碼大得多。 4) 產(chǎn)生了有效的數(shù)字簽名機制。 2) 密鑰管理只需要一個功能可信的第三方，其并不掌握用戶的密鑰，并且在大型通訊網(wǎng)絡(luò)中，需要管理的密鑰數(shù)量很少。 3) 為了安全起見，通信雙方需要經(jīng)常更換密鑰，在 某些場合甚至是每次通話都需要改變。 2. 對稱密鑰密碼的缺點 1) 密鑰必須在通信雙方的兩端保密，密鑰的安全傳輸是棘手的問題。 3) 許多密碼機制要通過對稱密鑰密碼來構(gòu)造，如偽隨機數(shù)生成器，雜湊函數(shù)。 1. 對稱密鑰密碼的優(yōu)點 1) 適合現(xiàn)在計算機的設(shè)計，具有很高的數(shù)據(jù)吞吐量，即計算快速，速度早已超過了兆字節(jié)每秒的量級。 11 密碼技術(shù)特點 密碼技術(shù)自身的特點就是能夠行之有效地提供信息安全需求的解決方法。 Diffie 和 Hellman 在 1976 年發(fā)表了論文 “ New Directions in Cryptography” ，引入了公鑰密碼學(xué)這個革命性的概念，并提供了一種密鑰交換的創(chuàng)造性方法。此后的加密與破解技術(shù)一直保持一種靠個人天才引領(lǐng)的藝術(shù)性工作的狀態(tài)。 目前，典型的網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用系統(tǒng)有： ? DRM：即 內(nèi)容數(shù)字版權(quán)加密保護技術(shù) ? 安全的電子支付系統(tǒng) ? VPN 技術(shù)： Virtual Private Network，虛擬專用網(wǎng)絡(luò) ? OTP：一次性口令技術(shù) ? IDM： ? IPv6 安全 ? 網(wǎng)絡(luò)信息安全服務(wù)技術(shù) ? 終端安全系統(tǒng) 網(wǎng)絡(luò)信息安全技術(shù)應(yīng)用可為更好的理解網(wǎng)絡(luò)信息安全防護這一安全應(yīng)用技術(shù)及其相關(guān)工具、手段，對安全防護系統(tǒng)建設(shè)實踐提供指導(dǎo)和幫助。 而事實證明，單純依賴某種技術(shù)手段往往并不能 10 滿足安全需求，目前的信息安全體系是對以上所述信息安全基本理論和信息安全基本技術(shù)的綜合應(yīng)用。 信息安全管理技術(shù)主要包括風(fēng)險評估技術(shù) 、 信息安全測評和認證 、 信息安全計劃與應(yīng)急 響應(yīng)、 信息安全策略與組織 、 信息安全模型技術(shù) 、 風(fēng)險管理與控制 、數(shù)據(jù)備份與恢復(fù)技術(shù) 、 系統(tǒng)回復(fù)與容災(zāi) 等。 信息安全管理： 信息安全管理 的內(nèi)容包括 信息安全政策制定、風(fēng)險評估、控制目標與方式的選擇、制定規(guī)范的操作流程、 信息安全培訓(xùn)等 。 信息對抗技術(shù)主要包括：黑客防范體系，信息分析與監(jiān)控，入侵檢測原理與技術(shù)，反擊方法，應(yīng)急響應(yīng)系統(tǒng)，計算機病毒，人工免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。網(wǎng)絡(luò)信息安全基本技術(shù)主要包括如下內(nèi)容： 密碼技術(shù)：包括對稱密碼技術(shù)、非對稱 密碼技術(shù)、散列密碼算法及數(shù)字簽名技術(shù)等。 9 網(wǎng)絡(luò)信息安全基本技術(shù) 網(wǎng)絡(luò)信息安全領(lǐng)域是一個綜合、交叉的學(xué)科領(lǐng)域，它綜合利用數(shù)學(xué)、物理、生化、信息技術(shù)和計算機技術(shù)的諸多學(xué)科的長期知識積累和最新發(fā)展成果，提出了系統(tǒng)的、完整的、協(xié)同的解決信息安全的方案。在 OSI七層協(xié)議中除會話層外，每一層均能提供相應(yīng)的安全服務(wù)。 ? 一種安全服務(wù)可以通過某種單獨的安全機制提供，也可以通過多種安全機制聯(lián)合提供。 《 GB/ 信息處理系統(tǒng) 開放系統(tǒng)互連 基本參考模型 第二部分：安全體系結(jié)構(gòu)》給出了 OSI 參考模型的七層協(xié)議之上的信息安全體系結(jié)構(gòu)，這 8 是一個普遍使用的安全體系結(jié)構(gòu)，對具體網(wǎng)絡(luò)環(huán)境的信息安全體系結(jié)構(gòu)具有重要的指導(dǎo)意義，其核心內(nèi)容是保證異構(gòu)計算機進程與進程之間遠距離交換信息的安全。 安全體系結(jié)構(gòu)的形成主要是根據(jù)所要保護的信息系統(tǒng)資源，對資源攻擊者的假設(shè)及其攻擊的目、技術(shù)手段以及造成的后果來分析該系統(tǒng)所受到的已知的、可能的和該系統(tǒng)有關(guān)的威脅，并且考慮到構(gòu)成系統(tǒng)各部件的缺陷和一環(huán)共同形成的風(fēng)險，然后建立起系統(tǒng)的安全需求。網(wǎng)絡(luò)信息安全理論主要包括安全模型、安全體系結(jié)構(gòu)、安全理論等方面的內(nèi)容，是指導(dǎo)網(wǎng)絡(luò)信息安全技術(shù)研究、應(yīng)用和實踐的綱要。 網(wǎng)絡(luò)信息安全 技術(shù)概述 網(wǎng)絡(luò)信息安全基本理論 網(wǎng)絡(luò)信息安全的概念在 20 世紀經(jīng)歷了一個漫長的歷史階段， 20 世紀 90 年代以來得到了深化，從信息的保密性，拓展到信息的完整性、可用性、不可否認性等。 網(wǎng)絡(luò)安全管理。 網(wǎng)絡(luò)的數(shù)據(jù)安全。 軟件 安全。 從技術(shù)角度看，網(wǎng)絡(luò)信息安全的內(nèi)容大體包括四個方面： 網(wǎng)絡(luò)實體安全?？煽啃灾饕ㄋ膫€方面：硬件可靠性、軟件可靠性、人員可靠性和環(huán)境可靠性。 5）可靠性是指網(wǎng)絡(luò)系統(tǒng)能夠在規(guī)定條件下和規(guī)定的時間內(nèi)完整規(guī)定的功能。 3)可用性就是要保障網(wǎng)絡(luò)資源無論在何時 ， 無論經(jīng)過何種處理 ， 只要需要即可使用 ， 而不因系統(tǒng)故障或誤操作等使資源丟失或妨礙對資源的使用。 2） 完整性指網(wǎng)絡(luò)中的信息安全、精確與有效 ， 不因人為的因素而改變信息原有的內(nèi) 容、形式與流向 ， 即不能為未授權(quán)的第三方修改。 1）機密性是指網(wǎng)絡(luò)中的數(shù)據(jù)的 擁有者的要求保證一定的秘密性 ， 不會被未經(jīng)授權(quán)的第三方獲知。這些信息如廣告、公共信息等是開放的，而有些是保密的，如私人間的通信、商業(yè)及政府、軍事部門機密等。 網(wǎng)絡(luò)信息包括靜態(tài)信息和動態(tài)信息。 網(wǎng)絡(luò)信息安全的內(nèi)涵 網(wǎng)絡(luò)信息安全是一個涉及計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息 論 、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種技術(shù)的邊緣性綜合學(xué)科。這就是通常所 6 說的保證 網(wǎng)絡(luò)系 統(tǒng)運 行的 可 用性 (Availability) ，信 息的 信 息的 機密 性(Confidentiality)、完整性 (Integrity)、真實性 (Authenticity)和可控性 (Controllability)。 網(wǎng)絡(luò) 信息安全的概念和內(nèi)涵 網(wǎng)絡(luò)信息安全的 概念 常見的有關(guān)信息安全的名詞有：信息安全、網(wǎng)絡(luò)安全、信息系統(tǒng)安全、網(wǎng)絡(luò)信息安全、網(wǎng)絡(luò)信息系統(tǒng)安全、計算機系統(tǒng)安全、計算機信息系統(tǒng)安全等。 我國信息安全技術(shù)雖然起步較晚，但發(fā)展很迅速，與國際先進國家的差距正在縮小。 由此可見 ， 保證網(wǎng)絡(luò)安全運行已提升到維護國家主權(quán)、保護國家安全的高度。 還有 ， 網(wǎng)絡(luò)不安全 ， 文化信息就不安全。 再次 ， 網(wǎng)絡(luò)不安全 ， 軍事信息就不安全。信息技術(shù)與信息產(chǎn)業(yè)已成為當今世界經(jīng)濟與社會發(fā)展的主要驅(qū)動力。國家信息系統(tǒng)往往成為敵對國家和不法分子攻擊和竊取國家信息情報的重要途徑。典型標志是美國國家安全局制定的《信息保障技術(shù)框架》 (IATF)。 第三階段： 信息安全保障（ IA）時代 ， 20 世紀 90 年代后期至今，不僅是對信息的保護，也包括信息系統(tǒng)的保護和防御，包括了對信息的保護、檢測、反應(yīng) 5 和恢復(fù)能力。主要信息安全技術(shù)包括 安全操作系統(tǒng) (TCB)、防火墻、防病毒軟件、漏洞掃描、入侵檢測、 PKI、 VPN 和安全管理等。 第二階段： 信息安全（ INFOSEC）時代 ， 20 世紀 7090 年代，重點是確保計算機和網(wǎng)絡(luò)的硬件、軟 件和傳輸、存儲和處理的信息的安 全。 信息安全技術(shù)自誕生起，經(jīng)歷的三個階段： 第一階段：通信保密（ COMSEC）時代， 19 世紀 70 年代前，重點是通過密碼技術(shù)解決通信保密問題，主要安全威脅是搭線竊聽和密碼分析，采用的信息安全技術(shù)就是加密技術(shù)，確保信息的機密性和完整性。然而 ,隨著計算機網(wǎng)絡(luò)的廣泛應(yīng)用和網(wǎng)絡(luò)空間的逐步開放 ， 為自身系統(tǒng)的安全運行埋下了隱患 ， 使網(wǎng)絡(luò)極易受黑客、惡意軟件和計算機病毒的攻擊。 網(wǎng)絡(luò)信息安全最新進展和未來趨勢 研究報告 （初稿） 主管單位： 中國網(wǎng)通集團 技術(shù)部 編制單位 ： 中國網(wǎng)通集團寬帶業(yè)務(wù)應(yīng)用國家工程實驗室有限公司 完成時間 ： 2020 年 12月 2 目錄 1 概述 .......................................................................................................................... 4 2 網(wǎng)絡(luò)信息安全技術(shù)框架 .............................................................................................. 4 網(wǎng)絡(luò)信息安全問題的由來 ................................................................................ 4 信息和網(wǎng)絡(luò)安全問題的重要性 ......................................................................... 5 網(wǎng)絡(luò)信息安全的概念和內(nèi)涵 ............................................................................ 5 網(wǎng)絡(luò)信息安全的概念 ............................................................................ 5 網(wǎng)絡(luò)信息安全的內(nèi)涵 ............................................................................ 6 網(wǎng)絡(luò)信息安全技術(shù)概述 ................................................................................... 7 網(wǎng)絡(luò)信息安全基本理論 ......................................................................... 7 網(wǎng)絡(luò)信