信息安全安全前沿技术都有哪些？

Posted 2023-05-08

信息安全领域的研究方向和代表人物，这个题目本身非常大。有偏向于应用的有偏向于理论的，且互相之间并不重叠。

密码学理论的最新研究方向可以从三大密码学会议的论文中体现，这三个会议分别为CRYPTO，EUROCRYPT以及ASIACRYPT。接下来根据不同的理论方向还有不同的顶级会议，如纯密码学理论的TCC(Theory of Cryptography)，公钥密码学的PKC(Public Key Cryptography)，应用密码学的ESORICS，快速加密的FSE，物理安全的ACSAC等等了。

密码学应用的最顶级会议是CCS，Security and Privacy以及Usenix Security.。往下根据不同的应用需求，在不同计算机领域的会议中也存在安全相关的论文。如通信领域的INFOCOM，MOBICOM，SIGCOMM这三大会议；数据库领域的SIGMOD，VLDB，ICDE等等。毕竟现在信息安全包罗万象，计算机涉及到数据的领域都逐渐出现了安全类的研究方向了。

下面回到正题：公钥密码学的研究方向和代表人物。公钥密码学的基础理论现在基本已经被几个人垄断了，而且他们互相之间还有各种各样的合作。在此我不准备介绍各个领域的基础概念，因为定义起来太麻烦，而且很抽象。我只给出名词，有兴趣的朋友可以展开进行搜索。

传统公钥密码体制，即我们知道的RSA，ElGamal加密和签名，已经是三十年前的研究成果了。传统公钥密码学现在的研究内容，主要集中在选择密文安全(chosen ciphertext security)的加密方案构造。这一领域的祖师爷是Cramer和Shoup。随后，各种各样满足这样的安全方案被提了出来。近期，大约是2007年开始，学者们的方向是selective opening security的公钥加密方案。因为这个名词还没有权威的翻译，我也不敢乱翻了。这一个领域的权威是Bellare。值得注意的是，在这个领域，中国的学者Junzuo Lai在EUROCRYPT 2014上发表了论文，这是国内密码学界很值得庆祝的一个事情。

接下来是函数加密(Functional Encryption)。函数加密以前的基础是双线应对(bilinear map)，现在已经扩展了，这点我后面会说。函数加密的领导者是我非常崇拜的斯坦福大学的Boneh教授。Boneh基本统领了公钥密码学，后面的很多代表人物都是他的学生或者是学生的学生。他首先提出了身份基加密(identity-based encryption)，随后他和他的学生一起研究了很多具有多种功能的加密方案，最终将他们统一起来，定义为了函数加密。在函数加密中，有一种有趣的加密方案是属性基加密(attribute-based encryption)，这是一个在现有云存储安全中比较实用的一类加密方案，因此单独列举出来。这个子领域的代表人物是Waters。

可搜索加密(searchable encryption)。这种加密分为单钥可搜索加密和公钥可搜索加密。单钥方面我了解的不多，公钥可搜索加密是函数加密的特例，称作密文属性隐藏加密(ciphertext attribute hiding encryption)，因此我也不单列方向了。值得注意的是，公钥可搜索加密的提出者也是Boneh。

随后是同态加密。这是一个可能会改变计算机发展的加密模式。我的导师人为同态加密的构造者有可能是图灵奖的候选人。同态加密的提出者是Gentry，他是Boneh的一个学生，但我感觉他已经青出于蓝而胜于蓝了。同态加密现在的基础是格密码学(lattice based cryptography)。现在，研究者一方面进一步构造效率更高的同态加密方案，另一方面也转向了演化而来的新密码学工具：多线性对(multilinear map)的构造和应用中。这个是公钥密码学现在最热的研究方向。

有些人会说为何没有提签名(signature)呢？现在签名方案已经被融合到了函数加密中。实际上，已经有基于函数加密的签名方案的一般性构造。即满足条件的函数加密都可以转化成等价的签名方案。

至于量子密码学，其并不是我的研究方向，因此也不太敢给出具体的热点。

其他方面还有很多，如安全多方计算，多方密钥协商等等。

参考技术A

信息安全基本上都是都是攻与防的对抗，正是这种对抗促使了信息安全的发展，因此攻也属于信息安全非常重要的一块。因而前沿的东西都在攻防这一块儿，这也是为什么各大安全公司都有攻防实验室的原因。由于种种原因，攻击技术远远超前于防护技术，最近几年流行的威胁情报也是为了解决如何更快的发现攻击并做情报共享，堵住同类型攻击。

把信息安全划分为北向和南向，北向偏理论，务虚；南向偏技术，务实。当然本人属于南向。

北向前沿：机器学习和深度学习在信息安全中的运用，威胁情报的识别，大数据和云技术在信息安全领域的运用等。
南向前沿：关注blackhat吧，目前都在研究智能硬件设备的安全，物联网安全，智能家居安全，车联网安全，工控安全等等。这些领域目前还都处于攻击技术领先的状态。
至于代表人物，没有，谁敢来代表一个方向的前沿，有也是吹牛瞎忽悠的人。

参考技术B

量子通信.
代表机构:University of Cambridge, University Of Bristol还有与其合作的Toshiba.国内的中科大那也是无比强悍的存在.
因为这块主要跟物理相关,所以跟现代物理研究一样,都附属于研究所,不再是个人的单打独斗.
研究成果:部分成果看 QCI UoB - Bristol Quantum Computation and Information Group
价值所在:理论上讲,如果量子通讯小型化和可靠性达到一个程度,现代密码学的一大问题,在"不安全的公开信道的安全通信"这块就完全解决了,复杂的多方安全协议用于密码交换和协商,就不再需要了.目前可靠性仍然在提高中.

我们国家都有哪些信息安全标准

写在前面

早年刚参加信息安全工作更多的学点皮毛技术，到处找安全工具，跟踪poc，拿到一个就全网扫一遍，从来没有想过，系统化的安全工作应该怎样搞?我做的工作在安全体系中处于哪个阶段?
后来有机会做企业安全建设，才发现整体的安全观，安全体系建设知识针对是少之又少，总在头疼医头，脚痛医脚，没有办法帮助服务的公司，做整体的、全面的提升。
最近因为杨过，才来思考怎样帮助我们公司全面提升安全防御能力，查找了大量的信息安全资料，发现非常不系统，没有全面的介绍材料，最后请教朋友，给我发了一份材料 信息安全国家标准列表思维导图
如下图所示

我觉得这是我正在寻找的，是每个信息安全从业人员都应该看看的，这是一份被我们忽略的宝藏。
我写一下我的读后感，主要从信息安全国家标准非常重要、我们国家都有哪些信息安全标准、哪里可以订阅到信息安全国家标准

国家标准介绍

中华人民共和国国家标准，简称国家标准，是包括语编码系统的国家标准码，由在国际标准化组织（ISO）和国际电工委员会（或称国际电工协会，IEC）代表中华人民共和国的会员机构：国家标准化管理委员会发布。在1994年及之前发布的标准，以2位数字代表年份。由1995年开始发布的标准，标准编号后的年份，才改以4个数字代表。
国家标准化管理委员会发布 是咱们国家的标准管理机构，其下设置了很多技术委员会，每个行业基本上都有专门的技术委员会负责本行业标准的编写。
咱们国家的信息安全行业是由国家标准化管理委员会筹建的全国信息安全标准化技术委员会编号TC260 负责编写。

信息安全标准重要性

标准是一个行业的统一规范，是实践参考标准。同样，信息安全标准是信息安全专家智慧的结晶，是安全最佳实践的概括总结，是非常好的入门/参考手册，是信息安全建设的理论基础和行动指南。

统一管理机构

咱们国家是由全国信息安全标准化技术委员会编号TC260 ，这个机构由包括秘书长和联系人在内的100位信息安全行业专家组成(队伍非常的大)，大部分专家都是各方向的领军人物。

行业专家编写

标准的编写除TC260委员专家外，每个标准还会公开邀请相关行业专家参与编写，大部分都是各大安全公司的专家，基本都是业内人士。

内容实际可用

行业专家编写的标准，编写组委会都是经过多次修改，最终形成征求意见稿，然后面向社会发布征求意见稿，积极听取任何人对新标准的建议，然后进行修改，最终形成终稿，送审。

我们国家都有哪些信息安全标准

那么我们国家都有哪些信息安全标准，从信息安全国家标准列表思维导图上看，咱们国家每个安全方向都有相关的国家标准，主要包括 术语/导则 、关键信息基础设施、等级保护、风险评估、应急响应、业务连续性 灾难恢复、系统安全工程、电子政务、风险管理、信息安全管理体系、安全保障评估、应用系统安全、数据中心、可信计算、IT服务 安全服务 运维、信息技术安全性评估、 漏洞管理、渗透测试 、云计算安全、数据安全、工业控制安全、物联网安全、车联网安全、智慧城市安全、移动安全、个人信息安全、商用密码等方向

哪里能够找到完整的信息安全标准

其实很难找到比较全的信息安全标准，这也是为什么大部分从业人员不太了解我国的标准主要原因，目前找到比较好的是这份信息安全标准列表，是比较全的，而且作者还在不断的更新和维护。

好了今天就写道这里，总结一下:

信息安全行业从业人员要重视国家发布的相关标准
一份比较便于查找的和检索的信息安全标准列表http://ab.github5.com大家可以从这个网站上查看