新形势下密码研究的思考--郑建华.ppt

新形势下密码研究的思考 2015.11 * 信息安全的基本要求 “没有信息化就没有现代化，没有信息安全就没有国家安全。” 信息安全的目标：对信息的使用和处理均经过所有权人的授权、严格按所有权人要求、真实地顺畅地合理地进行。 必威体育官网网址性、完整性、可用性、可控性、不可抵赖性 身份识别、数据加密、完整性保护、数字签名 * * 信息安全的基本要求 信息采集：控制 信息传输：必威体育官网网址、真实、可靠(抗干扰) 信息处理：权限、签名 信息使用：权限、追溯 * * 密码是信息安全保障的核心技术 三个重要里程碑： 第一次世界大战，无线电通信的兴起; 第二次世界大战，密码编码与破译的对抗； DES与RSA的诞生. 密码概况 * * 密码的基本概念 密码是以密钥为参数、以明文为输入、以密文为输出的可逆函数，其逆变换即为脱密。密码函数也可以称为密码变换、密码算法、密码逻辑或者密码编制。 C=Sk(M)、M=Sk-1 (C) 算法+密钥 * 密码的推动力 基础理论与实现技术 应用需求（近三十年来尤为重要） 编码与破译的对抗 * 早期密码依据的主要是经验，密码技术成为挑战人类智力的技艺，相关学科主要是语言学、组合数学。 二次世界大战中，数学的统计分析、群论等理论和方法以及大型计算引入密码破译，密码破译由纯粹的逻辑推演的智力活动发展为国家级大型研究工程。 二十世纪七十年代，随着基于数学难题的公钥密码体制的建立，数学中的代数数论和代数几何等被应用的现代密码学中。 * 密码的理论基础 Shannon（1916-2001）的信息论奠定了近代和现代密码学的理论基础，主要是一次一密的理想（完美）必威体育官网网址思想，基于代数学和统计学的拟一次一密和伪随机性。 * Alan Turing(1912-1954)计算理论的奠基者，密码破译专家。二战时，利用专用机Bombe破译了德军密码恩尼格玛。 第一台计算机CO-LOSSUS（巨人）机的诞生源于密码破译对大规模计算的需求。 * 计算机科学与密码学 * * 密码的分类 现代密码的分类： 序列密码与分组密码 公钥密码与对称密钥 基于生物学的密码技术 基于物理学的密码技术 密码：算法+密钥 密码系统：多个密码+安全协议 秘密途径传递密钥+密码算法 公开密钥密码保护对称密钥+对称密钥密码 密码系统 面向移动互联的密码技术 移动终端--移动通信终端，手机、笔记本电脑、平板电脑、POS机等等。 移动终端的处理能力有了极大提高，成为综合信息处理平台。 我们需要认真思考面向移动应用的密码技术。 当前密码研究需要关注的问题1 移动终端安全提出了新的课题 ---密钥没地方放了。 以往的密码技术遇到了挑战、以往的安全理念遇到了挑战 算法固定、公开，密钥必威体育官网网址 重硬件、轻软件 当前密码研究需要关注的问题1 分析一下我们熟悉的身份认证密码技术： PKI OTP 固定口令 基于生物特征等等均存在问题。 条形码、二维码等等只是信息载体。 SE实行有困难。 当前密码研究需要关注的问题1 需要突破传统思维，创新--SOTP 新型密码体制 OTP--〉SOTP S-- strong 、 soft、 super、 safe 一种新型密码体制：密码算法与密钥融合， 一人一密+一次一密 可用于分组密码、序列密码及带密钥的哈希函数 当前密码研究需要关注的问题1 SOTP包含可重构的算法和相应的一套双向认证、加密、数字签名协议，用于解决无硬件条件下的身份识别、数据加密、完整性验证和不可抵赖性检查。 当前密码研究需要关注的问题1 当前密码研究需要关注的问题1 用户密钥--〉算法生成服务器=客户端个性化算法 （SOTP安全插件） 用户密钥+统一算法=验证服务器端 单向密码函数 当前密码研究需要关注的问题1 密钥和算法的融合： 算法的架构、时序、密码模块的种类和尺寸、 密码模块的参数等等。 * 当前密码研究需要关注的问题1 利用SOTP可以进行身份认证、会话密钥同步、 数据加密、数字签名。 可以生成存储保护密钥，进行本地的数据保护。 可以进行分布式部署，建立类似PKI的层次体系。 优势：系统安全性 个体难度增加 可定期或不定期更新 当前密码研究需要关注的问题1 SOTP解决有中心应用场景的信息安全需求； 对无中心的应用需求可用较小代价解决； 从密码技术发展轨迹看SOTP的必然性； 从HCE，已经看出迹象； 当前密码研究需要关注的问题1 主要应用：