2017-2018-2 20179223《密码与安全新技术》课程总结报告

Posted 9223lx

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了2017-2018-2 20179223《密码与安全新技术》课程总结报告相关的知识,希望对你有一定的参考价值。

课程:《密码与安全新技术》

班级:2017级92班

学号:20179223

姓名:刘霄

上课教师:谢四江

必修/选修: 必修

课程学习内容总结

第一次课程——量子密码相关知识

信息安全技术备受世人关注,由于现有的加密方法存在着很多弊端,人们将目光转向了量子密码。根据量子力学中的海森堡不确定性原理(这个理论是说,你不可能同时知道一个粒子的位置和它的速度,粒子位置的不确定性,必然大于或等于普朗克常数(Planck constant)除于4π(ΔxΔp≥h/4π),这表明微观世界的粒子行为与宏观物质很不一样),任何窃听者都无法窃听量子密码通信中的信息而不被发现。所以就有了一种更加安全的密码技术——量子密码。

经典密码体制广泛,但其一般是基于大整数分解、离散对数等数学难题,因此,它只是计算上安全的。而随着计算机的发展,它的安全性受到了挑战;尤其是以量子力学为基础的量子算法以及量子技术的出现对经典密码构成了严重的威胁。通过量子测不准原理、量子不可克隆原理、量子不可区分性等原理来保证了量子密码学具有无条件安全性,因此,它可能比经典密码体制具有更好的优越性和更高的安全性。

物理基础

量子的概念:直观上,具有特殊性质的微观粒子或光子。

量子态:量子比符(0,1);而且可以处于不同状态的叠加态上量子态的向量描述。

量子态的可叠加性带来的特殊性质

量子计算的可并行性:强大的计算能力。不可克隆定理:未知量子态不可克隆。测不准定理:未知量子态不可测量。对未知量子态的测量可能会改变量子态。量子比特的测量:力学量,测量基。

BB84量子密码协议是什么?

通过网上查找,对此协议有了大致了解,但还是比较生疏。

BB84量子密码协议是第一个量子密码通信协议,由Bennett和Brassard于1984年创立。它基于两种共轭基的四态方案,用到了单光子量子信道中的测不准原理。BB84也是唯一被商业化实现的量子密钥分发协议.。BB84密钥分发协议用光子作为量子系统。光子有一个固有的称为极化的属性,一个光子或者被+基极化,或者被x基极化。假设通过一个垂直极化的滤光器发送一串光子流,则它们被垂直极化至“|”方向上。之后通过另一个极化滤光器来测量,这个用于测量的滤光器可以改变它与垂直方向的角度,只有当测量滤光器位于水平位置“-”方向时没有光子能通过它,其余角度均有光子通过。实际上,每一个光子都以一个确定的概率穿过这个测量滤光器,这个概率连续地从100%(滤光器处于垂直位置时)变化到50%(滤光器处于45度时)再变化到0%(滤光器处于水平位置时)。

感悟

通过本次课程,使我第一次了解有关量子密码技术的基础知识,对量子密码有了初步认识,不过自己还处于懵懂阶段,希望有机会可以多了解一些量子密码技术的内容。对于目前,我国是国际上最早从事量子密码技术研究的国家之一,我们正在逐步迈进量子信息时代。而且现阶段,量子密码学也是当下最热的学科之一。随着科技的进步,信息交换手段越来越先进,速度也越来越快,信息的内容和形式越来越来丰富,信息的规模也越来越大。由于信息量的集聚增加,保密需求也从军事、政治和外交领域扩展到民用和商用。量子密码学正在逐步渗透到通信、电子政务、金融乃至航天科技。

第二次课程——区块链

比特币是区块链,但是区块链并不是比特币

从百度百科了解到,狭义来讲,区块链是一种按照时间顺序将数据区块以顺序相连的方式组合成的一种链式数据结构, 并以密码学方式保证的不可篡改和不可伪造的分布式账本。广义来讲,区块链技术是利用块链式数据结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用密码学的方式保证数据传输和访问的安全、利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

总结具有以下三个性质的系统,就是区块链。

1.区块链是一个放在非安全环境中的分布式数据库(系统)。

2.区块链采用密码学的方法来保证已有数据不可能被篡改(密码学哈希函数,非对称加密)。

3.区块链采用共识算法来对于新增数据达成共识。

区块链实质上是一种集体式记录方式。特别之处在于它别出心裁地采用一组技术,实现了记录结果的真实可信,难以毁坏也无法篡改。”张孝荣说,“一是人人都有权记录,并且互相认证以辨真假,这叫共识机制;二是人人都无法篡改记录,因为有密码学签名;三是人人都有副本,所以即使有的账本损坏了,整体也不受影响,这叫分布式存储。通过这种方式记录下的信息以区块方式按照时间链条呈现,所以叫做区块链。”

感悟

通过学习了解了区块链,我心中产生疑问,为什么区块链这么火?根据疑问,自己在网上找到相关资料,首先,区块链是种技术,我想这种技术有它的魅力所在,2014年前后,业界开始认识到区块链技术的重要价值,区块链逐渐从数字货币中剥离出来,应用于数字货币外的经济社会各个领域。其次,应用领域广泛,例如在金融领域,金融机构特别是跨境金融机构间的对账、清算、结算的成本一直很高,还有复杂的手工流程,而区块链技术具有数据不可篡改和可追溯性,其应用有助于降低金融机构间的对账成本及争议解决的成本,能显著提高支付业务的处理速度及效率,还使小额跨境支付成为可能。

区块链的劣势是?通过了解得知:1.性能问题有待突破。从目前的情况看,区块链的性能问题主要体现为吞吐量和存储带宽的矛盾。以比特币为例,在公有链中,每秒7笔的处理能力远不能满足整个社会的支付需求;同时,比特币全部交易数据目前已经接近80G,对于普通电脑的存储来说,这是个不小的负担。如果只是简单提高区块大小来提高吞吐量,比特币很快就变成只有少数几个大公司能够运行的系统,有违去中心化的设计初衷。在比特币、以太坊等公有链系统中,上述矛盾是系统设计时面临的最大挑战。

比特币是否可成为真正的货币?比特币在设计上就是模仿黄金,总量限定,而且挖矿越来越难,产量分阶段逐步减少,以期消除人为过多投放的可能性,并为比特币升值创造巨大想象空间。但高度模仿黄金设计货币体系的思路,本身就是货币设计理念上的一种倒退,是不能成立的。黄金等贵金属曾经长时间作为货币,但正因为其强烈的自然属性,使其供应量难以与经济社会发展的实际水平,特别是可交换社会财富的规模相适应,容易造成日益严重的通货膨胀,特别是通货紧缩,币值剧烈波动使货币难以有效发挥价值尺度的功能,最终必然被可以进行数量调控,能够保持货币总量与可交换社会财富规模基本吻合(社会物价综指数相对稳定)的主权货币或法定货币所取代。黄金退出货币舞台是必然选择,不可能再退回去,重新成为货币。同时,比特币尽管模仿黄金,但仍不可能成为真正的“数字黄金”。黄金作为一种受人追崇的自然物质(贵金属),其本身是具有真实使用价值和价值的。但比特币却纯粹是一串网络系统产生的加密数字或数码,并不是自然物质,一旦离开比特币体系,就没有任何价值。所以比特币难以成为真的货币。

第三次课程——跨媒体安全

主要做了包括以下三个方面的介绍:面向安全的跨媒体内容分析、基于跨媒体的信息安全技术和跨媒体自身的信息安全技术

跨媒体安全问题

  • 面向安全的跨媒体内容分析
    —跨媒体安全监控

—有害内容的识别

— 跨媒体内容辨伪

  • 基于跨媒体的信息安全技术
    — 跨媒体信息隐藏

— 跨媒体验证技术

  • 跨媒体自身的信息安全技术
    — 跨媒体版权保护

— 跨媒体安全存储

— 跨媒体安全传输

— 跨媒体安全处理

感悟

本着学习的态度,我从中想到了跨媒体在信息检索中的应用与多媒体有何不同,并根据自己提出的问题,进行了相关资料的查找,以下是自己问题及回答:
基于内容的多媒体和跨媒体信息检索技术有何不同?

信息检索的基本概念

信息检索(IR - Information Retrieval)泛指从包含丰富内容的信息集中找到所需要的或感兴趣的信息或知识的过程,信息检索的主要任务包括对信息项(information items)的表示(representation)、存储(storage)、组织(organization)和访问(access)。

传统信息检索技术主要是面向文本(text)的,今天广泛使用的Google、Yahoo、和百度等搜索引擎主要采用文本检索技术,通常是利用一组关键字或词组成的查询项来搜索定位文本数据库中相关文本文档,如果某个文档中包含较多查询项,那么就认为比其他包含较少查询项的文档更相关,搜索系统将按照这种相关程度对查询结果进行排序,并依次展现给用户,以便用户浏览和进一步查找。

基于内容的多媒体信息检索 :面向单一媒体

对图像和视频等多媒体信息集来说,目前绝大多数检索系统仍采取文本搜索技术,例如Google的图像和视频检索功能仍是基于文本关键词(keyword)的,这些关键词可能来源于图片周围的文本、文件名等,其中少量的也可能来源于人工标注。由于多媒体信息制作者的文化背景不同、专业知识迥异,这些与图片关联的文本信息往往是极不可靠的,我们都能够体会到。对于图像和视频等多媒体信息,一般难以用自然语言进行有效的、精确的描述,无法表达其实质内容和语义关系,所以这种依据文本信息检索图片和视频的解决方案很难满足人们的查询需要,搜索精度很低。

基于内容的跨媒体检索 :面向多种媒体

随着计算机、互联网和数字媒体等进一步普及,以文本、视频、音频、图形与图像为主体的多媒体信息急剧增加,通过互联网实现全球多媒体信息的共享成为可能,用户查询多媒体信息也变得越来越普遍,各种新的应用需求也随之而来。

对于希望利用多媒体数据资源的用户来说,一般要求他们具备一定的知识背景,才能提交符合IR系统要求或IR系统可以理解的查询。但是,在实际应用中,大量用户对于某些概念语义的精通程度并不足以明确叙述其查询意愿,此时如果IR系统允许用户能够以多种媒体信息来描述方式输入查询意愿,那么将检索到更多符合心愿的查询结果。于是,新的需求提出一个非常重要的、富有挑战性的研究问题 —— 以某一种或多种媒体表达方式描述的用户查询与以不同类型媒体表达方式描述的媒体信息之间的相关匹配问题,即基于内容的跨越媒体的信息检索(Content-based Cross-media Information Retrieval - CMIR),它从单一媒体检索走向各种媒体的综合检索。

更具体一点来说,跨媒体信息检索是指根据媒体内容及其上下文联系在大规模多种媒体共存的数据库中进行检索,系统组成主要有:(1)多媒体和跨媒体信息建模和表示;(2)对多媒体信息(如视频、图像、文本、音频、动画等)的智能处理与识别;(3)复合媒体信息中各媒体之间融合方法;(4)支持海量媒体数据快速相似检索的数据组织和索引结构;(5)支持多模态用户信息需求的查询处理和相关反馈技术;(6)海量多媒体与跨媒体内容的管理和检索系统。限于文章篇幅,这里不能一一展开。

第四次课程——分组密码的侧信道分析相关内容

侧信道背景与意义
  • 密码设备应用广泛,与金融、身份认证等关键信息密切相关;

  • Paul Kocher 1996年提出;

  • 目前侧信道攻击防御手段已经列入各种安全准则和标准。

侧信道分析技术简介

技术分享图片

侧信道分析分类

时序分析,功耗分析,电磁分析和激光错误注入

侧信道分析技术与其他密码分析技术结合
侧信道分析与常规密码分析有很多共同的方法,例如以下几个方面:

选择明文输入,差分分析,抽样、统计等

寻找它们的共同规律是密码学研究趋势。

感悟

本次课程让我首次了解了侧信道相关知识,从侧信道分析的半导体物理基础,侧信道分析分类,侧信道分析技术与其他密码分析技术结合等方面都对侧信道攻击做了详细的表述,从中使我收获很大,希望在以后的学习中,可以更深入的研究侧信道攻击方面相关知识。引发了自身的一点思考:对于侧信道攻击,互联网金融中,信息是否安全?在网上查找侧信道相关资料发现,国内安全圈子中很少看到有关侧信道有关的内容。我们的身边有很多密码学设备,比如大家的银行卡,门禁卡手机卡等等,侧信道攻击原来主要是针对这些设备的,可是随着人们对侧信道攻击的重视,密码学设备都增加了对侧信道攻击的防护(当然,有一些没有防护),侧信道攻击和信息安全的其他技术一样,都是一个动态发展的过程。我想侧信道攻击虽然严重威胁了密码设备的安全性,但是我们还是有办法做到对信息的保护。

第五次课程——基于模糊测试的漏洞挖掘及攻防技术

漏洞挖掘示例
路由器协议漏洞挖掘
系统架构
技术分享图片

常见漏洞挖掘技术

手工测试
定义:由测试人员手工分析和测试被测目标,发现漏洞的过程,是最原始的漏洞挖掘方法。

优点:人—主观能动性—显而易见和复杂不易见明显没有、没有明显
缺点:人—无规律可循、不可大规模等

补丁对比
定义:一种通过对比补丁之间的差异来挖掘漏洞的技术。文本(难定位,输出难理解),汇编指令(易理解,输出范围大,难定位),结构化(迅速直观,流行)

优点:发现速度快
缺点:已知漏洞
常见工具:PatchDiff2、bindiff

模糊测试
定义:通过向被测目标输入大量的畸形数据并检测其异常发现漏洞。

关键:测试用例构造,自动化。

优点:无须源码、误报低、自动化程度高
缺点:覆盖低
工具:Peach、Sulley、Autodafe、SPIKE等

感悟

本次课程的学习,本人也是第一次了解模糊测试的漏洞挖掘及攻防技术相关内容,通过课堂老师的视频演示,此项技术应用在手机上时,我们怎么通过手机上照的照片,及时传输在电脑上,使我对更容易理解课堂内容。
模糊测试能够说明 bug 在程序中的出现。并不证明不存在这样的 bug。而且,通过模糊测试会极大地提高我们对应用程序的健壮性及抵御意外输入的安全性的自信心。如果我们用 24 小时对程序进行模糊测试而其依然无事,那么随后同种类型的攻击就不大可能再危及到它(并不是不可能,提醒只是可能性很小)。如果模糊测试揭示出程序中的 bug,就应该进行修正,而不是当 bug 随机出现时再对付它们。模糊测试通过明智地使用校验和、XML、垃圾收集和/或基于语法的文件格式,更有效地从根本上加固了文件格式。

模糊测试是一项用于验证程序中真实错误的重要工具,也是所有意识到安全性问题且着力于程序健壮性的程序员们的工具箱中所必备的工具。

第六次课程——模式识别

一、模式识别的概念

  • 人的模式识别能力
    人通过视觉、嗅觉、听觉、味觉、触觉接收外界信息、再经过人脑根据已有知识进行适当的处理后作出的判别事物或者划分事物性质(类别)的能力

  • 模式识别
    用各种数学方法让计算机(软件和硬件)来实现人的模式识别能力,即用计算机实现人对各种事物或现象的分析、描述、判断、识别

模式或者模式类:可以是研究对象的组成成分或影响因素之间存在的规律性关系,因素之间存在确定性或随机性规律的对象、过程或者事件的集合。

识别:对以前见过的对象的的再认识(Re-cognition)

模式识别:对模式的区分与认识,将待识别的对象根据其特征归并到若干类别中某一类

二、模式识别的主要方法

划分的原则

问题的描述方式

基于知识的模式识别方法:以专家系统为代表,根据人们已知的(从专家那里收集整理得到的)知识,整理出若干描述特征与类别间关系的准则,建立一定的计算机推理系统,再对未知样本决策其类别。
基于数据的模式识别方法:制定描述研究对象的描述特征,收集一定数量的已知样本作为训练集训练一个模式识别机器,再对未知样本预测其类别(主要研究内容)

感悟

第一,在研究模式识别课题之前,一定要选择好研究的图像目标。其实也可以是大家都在研究的一类物体,并不需要标新立异。

第二,多尝试从数学的角度去理解图像的机理,从美术家的角度去理解图像的构造。

第三,学习模式识别,我发现很多数学知识都用上了,比如统计学和矩阵理论,还要未接触过的如图论(比如DAG),集合论等等,所以学习这门课需要很强的数学运算与思考能力。

报告总结

第一组报告总结——郭永建,李栋

题目:简单的连续工作证明

内容简介:
试图通过「空间证明」(Proof of Space)来保证比特币及其他加密货币的安全。「空间证明」是Bram Cohen之前提出的一种取代PoW的工作证明方式。

工作量证明:简单理解就是一份证明,用来确认你做过一定量的工作。工作量证明系统主要特征是客户端需要做一定难度的工作得出一个结果,验证方却很容易通过结果来检查出客户端是不是做了相应的工作。这种方案的一个核心特征是不对称性:工作对于请求方是适中的,对于验证方则是易于验证的。

比特币中的工作量证明:工作量证明的算法可以大概描述为:在一个时间段同时有多台服务器对这一段时间的交易进行打包,打包完成后连带区块Header信息一起经过SHA256算法进行运算。在区块头以及奖励交易coinbase里各有一个变量nonce,如果运算的结果不符合难度要求,那么就调整nonce的值继续运算。如果有某台服务器率先计算出了符合难度值的区块,那么它可以广播这个区块。其他服务器验证没问题后就可以添加到现有区块链上,然后大家再一起竞争下一个区块。这个过程也称为挖矿。
比特币网络中任何一个节点,如果想生成一个新的区块并写入区块链,必须解出比特币网络出的工作量证明的迷题。这道题关键的三个要素是工作量证明函数、区块及难度值。工作量证明函数是这道题的计算方法,区块决定了这道题的输入数据,难度值决定了这道题的所需要的计算量。

详见:https://www.cnblogs.com/lidong20179210/p/9153067.html

体会

通过本组的同学,让我再一次了解区块链技术,在他们的论文中让我学习到了对“挖矿”的一种工作量证明
对于现在,区块链方向的研究也是当下热门的研究方向之一。
本着学习的态度,我想之后我会了解多一些关于区块链的内容,希望能对自己的研究方向有些帮助。

####第二组报告总结——李鹏举,任逸飞

题目:基于PrT网络与RBAC模型测试

内容简介:
访问控制定义:指系统对用户身份及其所属的预先定义的策略组限制其使用数据资源能力的手段。通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。

访问控制功能和分类,RBAC优点:RBAC具有更好的政策管理,在一个加强内部控制的时代,增强了安全性和完整性,提高了组织的生产力。RBAC问题:由于编程错误、遗漏、对需求的误解等各种原因有可能会使RBAC策略错误的实现。不正确的实现会导致安全问题,比如未经授权的访问和升级等。

详见:http://www.cnblogs.com/20179203li/p/9221588.html

体会

访问控制也是我的研究方向,这学期开始,也对访问控制的各个属性,模型,分类等有了大致了解。
通过对访问控制相关论文的学习发现,访问控制方向也只是个大致方向,因为在生活中,比如,微信群,银行,医疗等等方面,都能与访问控制相关,所以大家都知道,研究访问控制方向好发论文。
所以我也希望,自己通过多看论文,把握对文章的主体框架,寻找每篇论文的创新之处,具体它好在哪,哪些方面值得我注意,为自己今后的研究,起到帮助作用。

第三组报告总结——刘胜楠,袁琳

题目:对MEMS加速度计的声学注入攻击

内容简介:

微机电系统(MEMS, Micro-Electro-Mechanical System),也叫做微电子机械系统、微系统、微机械等,指尺寸在几毫米乃至更小的高科技装置。
微机电系统其内部结构一般在微米甚至纳米量级,是一个独立的智能系统。
微机电系统是在微电子技术(半导体制造技术)基础上发展起来的,融合了光刻、腐蚀、薄膜、LIGA、硅微加工、非硅微加工和精密机械加工等技术制作的高科技电子机械器件。

微机电系统是集微传感器、微执行器、微机械结构、微电源微能源、信号处理和控制电路、高性能电子集成器件、接口、通信等于一体的微型器件或系统。MEMS是一项革命性的新技术,广泛应用于高新技术产业,是一项关系到国家的科技发展、经济繁荣和国防安全的关键技术。

MEMS侧重于超精密机械加工,涉及微电子、材料、力学、化学、机械学诸多学科领域。它的学科面涵盖微尺度下的力、电、光、磁、声、表面等物理、化学、机械学的各分支。

常见的产品包括MEMS加速度计、MEMS麦克风、微马达、微泵、微振子、MEMS光学传感器、MEMS压力传感器、MEMS陀螺仪、MEMS湿度传感器、MEMS气体传感器等等以及它们的集成产品。在汽车里作为加速规来控制碰撞时安全气囊防护系统的施用;在汽车里作为陀螺来测定汽车倾斜,控制动态稳定控制系统;在轮胎里作为压力传感器,在医学上测量血压。

详见:http://www.cnblogs.com/yl-930/p/9247157.html

体会

本组同学对论文的讲解中,给我们演示了微机电系统在机器人等一些方面的作用,帮助我们更好理解此项技术。
之前对此项技术不是很了解,有机会能了解一些我们平时上课没有的内容,对自身知识进行了拓展,使我从中起到了帮助的作用。
在我以后的学习中,希望能了解一些自己没有关注过的内容,丰富内涵。

课程总结和建议

1.《密码与安全新技术》这个课程的形式,还是很新颖,每节课带我们了解了目前有关密码,计算机等人们热门讨论的技术话题。
起码对于我自己,我有真正学习了老师讲解的有关知识,对于细节把握虽然有些难理解,但是对整体大致有了了解。

2.同学讲解论文还是分开讲解,这样我们可以了解更多不同领域的内容,还可提高每个人参与度。

































以上是关于2017-2018-2 20179223《密码与安全新技术》课程总结报告的主要内容,如果未能解决你的问题,请参考以下文章

2017-2018-2 20179223《密码与安全新技术》 第三次作业

2017-2018-2 20179223《密码与安全新技术》第五次作业

2017-2018-2 20179223《网络攻防技术》第七周作业

2017-2018-2 20179223《网络攻防技术》第八周作业

2017-2018-2 20179223《网络攻防技术》第一周作业

2017-2018-2 20179223《网络攻防技术》第十周作业