軟件代碼中密碼學(xué)誤用的分析與審查方法研究.pdf

1、密碼學(xué)是計算機(jī)安全的重要組成部分，密碼技術(shù)是解決計算機(jī)信息安全問題的重要技術(shù)之一。密碼算法和密碼協(xié)議確保了信息的機(jī)密性、認(rèn)證性和完整性，在數(shù)據(jù)存儲、安全傳輸和身份認(rèn)證中發(fā)揮重要作用。正確的使用密碼學(xué)能夠提供很強(qiáng)的安全保證，但是現(xiàn)實情況是，將復(fù)雜的密碼學(xué)算法和協(xié)議應(yīng)用于實際系統(tǒng)比較困難，同時由于一般開發(fā)者密碼知識的欠缺，導(dǎo)致了密碼學(xué)誤用現(xiàn)象廣泛的出現(xiàn)在各種應(yīng)用場景中。
　　密碼學(xué)應(yīng)用的場景非常廣泛，包括移動平臺、嵌入式平臺和服務(wù)器平

2、臺，而不同的平臺又有各自相異的特性：
　　1、不同平臺中的應(yīng)用特點是不同的。
　　2、不同場景開發(fā)人員具備的知識背景不同。
　　3、不同場景本身的屬性和功能、特點也不相同。
　　比如Android平臺應(yīng)用市場眾多，來源廣泛，安全檢測也會相對不足，密碼學(xué)誤用現(xiàn)象更為嚴(yán)重。移動平臺的眾多開發(fā)者具備的密碼學(xué)知識參差不齊；另外，嵌入式平臺相比服務(wù)器平臺來說，由于硬件功能有一定的局限性，在隨機(jī)數(shù)產(chǎn)生時會出現(xiàn)問題，而服務(wù)器平

3、臺本身在PKI體系或者web服務(wù)等環(huán)境中也實現(xiàn)了特定的功能。這些平臺特性的差異，直接導(dǎo)致了特定密碼學(xué)誤用問題更多的出現(xiàn)在某類平臺中。如何在現(xiàn)實應(yīng)用中正確的實現(xiàn)密碼系統(tǒng)，如何審查不同場景中密碼學(xué)實現(xiàn)情況已成為當(dāng)務(wù)之急。
　　本文圍繞軟件代碼中密碼學(xué)實現(xiàn)時的誤用問題，綜合討論現(xiàn)有的研究成果，并結(jié)合各類應(yīng)用程序的實際部署場景，從不同應(yīng)用平臺所具備的特性差異出發(fā)，分析密碼學(xué)誤用與平臺的相關(guān)性，同時依據(jù)對誤用問題和攻擊的分析，提出針特定場景

4、中密碼學(xué)執(zhí)行時的安全標(biāo)準(zhǔn)和審計方法，并通過實驗對現(xiàn)實系統(tǒng)中密碼學(xué)實現(xiàn)情況進(jìn)行調(diào)查和評估。本文的主要貢獻(xiàn)如下：
　　1.全面總結(jié)了現(xiàn)有對密碼學(xué)誤用問題的研究工作，包括常用密碼系統(tǒng)和協(xié)議實現(xiàn)時存在的誤用問題、針對密碼學(xué)誤用的典型攻擊、現(xiàn)有的檢測技術(shù)等。
　　2.分析密碼學(xué)所部署的移動平臺、嵌入式平臺和服務(wù)器平臺特性差異，收集密碼學(xué)誤用（CWE-310）相關(guān)CVE(Common Vulnerabilities and Exposu