信息安全的发展简史

信息安全的发展简史

·通信保密科学的诞生

人类很早就在考虑怎样秘密地传递信息了。文献记载的最早有实用价值的通信保密技术是古罗马帝国时期的Caesar密码。它能够把明文信息变换为人们看不懂的称为密文的字符串，当把密文传递到自己伙伴手中的时候，又可方便地还原为原来的明文形式。Caesar密码实际上非常简单，需要加密时，把字母A变成D、B变为E、······、W变为Z、X变为A、Y变为B、Z变为C，即密文由明文字母循环移3位得到。反过来，由密文变为明文也相当简单的。

1568年L.Battista发明了多表代替密码，并在美国南北战争期间由联军使用，Vigenere 密码和Beaufort密码是多表代替密码的典型例子。1854年Playfair发明了多字母代替密码，英国在第一次世界大战中采用了这种密码，Hill密码是多字母代替密码的典型例子。多表、多字母代替密码成为古典密码学的主流。

研究密码破译（也称为密码分析）的技术也在发展，并以1918年W.Firedman关于使用重合指数破译多表代替密码技术为重要里程碑。其后，各国军方对密码学进行了深入研究，但相关成果并未发表。1949年C.Shannon的《保密系统的通信理论》文章发表在贝尔系统技术杂志上。这两个成果为密码学的科学研究奠定了基础。学术界评价这两项工作时，认为它们把密码技术从艺术变为科学。实际上这是通信保密科学的诞生，其中密码是核心技术。

·公钥密码学革命

在C.Shannon的文章发表之后的25内，密码学的的公开研究几乎是空白。直到20世纪70年代初，IBM公司的DES和1976年Diff-Hellman公开密钥密码思想的提出，以及1977年第一个公钥密码算法RSA的提出，才为密码学的发展注入了新的活力。

对传统密码算法的加密密钥和脱密密钥来说，从其中的任一个容易推出另一个，从而两个必须同时保密。而公钥密码的关键思想是利用计算难题构造密码算法，其加密密钥和脱密密钥两者之间的相互导出在计算上是不可行的。

公钥密码掀起了一场革命，因为它对信息安全来说至少有3个方面的贡献。其一，它首次从计算复杂性上刻画了密码算法的强度，突破了Shannon仅关心理论强度的局限性。其二，它把传统密码算法中两个密钥管理中的保密性的要求，转换为保护其中一个的保密性及另一个的完整性要求。其三，它把传统密码算法中密钥归属从通信两方变为一个单独的用户，从而使密钥的管理复杂度有了较大下降。

公钥密码提出后的几年中，有两件事值得注意。一是密码学的研究已经逐步超越了数据的通信保密范围，开展了对数据的完整性、数字签名技术的研究。另一件事是随着计算机及其王阔的发展，密码学已逐步成为计算机安全、网络安全的重要支柱，使得数据安全成为信息安全的核心内容，超越了以往物理安全占据计算机安全主导地位的状态。

·访问控制技术与可信计算机评估准则

20世纪70年代，在密码技术应用到计算机通信保护的同时，访问控制技术的研究取得了突破性的成果。

1969年，mpson提出了访问控制的矩阵模型。模型中提出了主体与客体的概念，客体是指信息的载体，主要指文件、数据库等，主体是指引起i性能系在客体之间流动的人、进程或设备。访问是指主体对客体的操作，如读、写、删除等，所有可允许操作的集合称为访问属性。这样，计算机系统中全体主体作为航指标、全体客体作为列指标，取值为访问属性的矩阵就可以描述一种访问策略。可以设想随着计算机所处理问题的复杂性的增强，不可能显式地表示一个计算机的访问控制矩阵，所以用访问控制矩阵来实施访问控制是不现实的。

1973年，D.Bell和padula取得突破，创立了一种模拟军事安全策略的计算机操作模型，这是最早，也是最常用的一种计算机多级安全模型。该模型把计算机系统堪称是一个有限状态机，为主体和客体定义了密级和范畴，定义了满足一些特性的安全状态概念。然后，证明了系统从安全状态出发，经过限制性的状态转移总能保持状态的安全性。模型使得人们不需要直接管理访问控制矩阵，而且可以获得可证明的安全特征。

1985年，美国国防部在Bell-Lapadula模型的基础上出了可信计算机评估准则（TCSEC），通常称为橘皮书。按照计算机系统的安全防护能力，分成8个等级。它对军用计算机的安全等级认证起了关键作用，而且对后来的信息安全评估标准的简历起了重要参考作用。

由于Bell-Lapadula模型主要是面向多密级数据的机密性保护的，它对数据段完整性或系统的其他安全需求刻画不够。所以，1977年提出的针对完整性保护的Biba模型、1987年提出的侧重完整性和商业应用的Clark-Wilson模型，可以看成在不同程度上对Bell-Lapadula 模型进行的扩展。基于角色的访问控制模型（RBAC）、权限管理基础设施（PMI）则使得访问控制技术在网络环境下能方便地实施。

·网络环境下的信息安全

在冷战期间，美国想要建立一种有多个路径的通信设施，一旦发生战争，因为网络有路径备份，不易被炸断。从而在1968年就开始设计一种叫做APANET的网络。APANET诞生后，经历了军事网、科研网、商业网等阶段。经过30多年的发展，APANET逐步发展成了现在的互联网。目前互联网正从IPv4相IPv6跨越，在技术上仍然保持着强劲的发展态势。

在20世纪80年代后期，由于计算机病毒、网络蠕虫的广泛传播，计算机网络黑客的善意或恶意的攻击，DDoS攻击的强大破坏力，网上窃密和犯罪的增多，人们发现自己使用的计算机及网络如此脆弱。与此同时，网络技术、密码学、访问控制技术的发展使得信息及其过滤等过滤技术，虚拟专用网（VPN）、身份识别器件等新型密码技术，这不仅引起了军界、政府的重视，而且引起了商业界、学校、科研机构的普遍研究热情。近年来，社会上已经开发出一系列相关的信息安全产品，它们被广泛应用到军方、政府、金融及企业中，标志着网络环境下的信息安全时代的到来，信息安全产业的迅速崛起。

·信息保障

1998年10月，美国国家安全局颁布了信息保障技术框架（IATF）1.1版，2002年9月，又颁布了3.1版本。另一方面，美国国防部于2003年2月6日颁布了信息保障的实施命令8500.2，从而信息保障成为美国军方组织实施信息化作战的既定指导思想。

美国信息保障技术框架的推进，使人们意识到，对信息安全的认识不要停留在保护的框架之下，同时还需要注意信息系统的检测、响应能力。该框架还对保障的实施提出了相当细致的要求，从而对信息安全的概念和相关技术的形成将会产生深远影响。