信息化觀察網(wǎng)

1、“密碼”和“口令”

現(xiàn)實(shí)生活中提到的“密碼”一詞，比如人們?nèi)粘Ｊ褂玫拈_(kāi)機(jī)“密碼”、微信“密碼”、銀行卡支付“密碼”等，這些“密碼”實(shí)際上是口令?？诹钪皇沁M(jìn)入個(gè)人計(jì)算機(jī)、手機(jī)、電子郵箱或者個(gè)人銀行賬戶的“通行證”，它是一種簡(jiǎn)單、初級(jí)的身份認(rèn)證手段。這些口令與《密碼法》草案中的“密碼”不同，真正的“密碼”，藏在安全支付設(shè)備中、藏在網(wǎng)絡(luò)系統(tǒng)內(nèi)，默默守護(hù)國(guó)家秘密信息安全、守護(hù)我們每個(gè)人的信息安全。

《密碼法》中的密碼指的是使用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的產(chǎn)品、技術(shù)和服務(wù)?！睹艽a法》共五章四十四條，對(duì)密碼分為核心密碼、普通密碼和商用密碼進(jìn)行分類(lèi)管理。其中，核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息，核心密碼保護(hù)信息的最高密級(jí)為絕密級(jí)，普通密碼保護(hù)信息的最高密級(jí)為機(jī)密級(jí)。核心密碼、普通密碼屬于國(guó)家秘密。密碼管理部門(mén)依照本法和有關(guān)法律、行政法規(guī)、國(guó)家有關(guān)規(guī)定對(duì)核心密碼、普通密碼實(shí)行嚴(yán)格統(tǒng)一管理。商用密碼用于保護(hù)不屬于國(guó)家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護(hù)網(wǎng)絡(luò)與信息安全。

02、商用密碼

我國(guó)自行研發(fā)的自主可控商用密碼算法主要包括：ZUC，SM2，SM3，SM4和SM9等，這些密碼算法涵蓋了對(duì)稱(chēng)密碼中的序列密碼，分組密碼，非對(duì)稱(chēng)密碼中的橢圓曲線密碼，以及密碼雜湊算法，把它們組合起來(lái)可以為各種需要密碼技術(shù)作為支撐的行業(yè)應(yīng)用提供堅(jiān)實(shí)可靠的基礎(chǔ)。

1.對(duì)稱(chēng)密碼算法

序列密碼ZUC（祖沖之）算法和分組密碼（SM4）算法都屬于對(duì)稱(chēng)密碼算法，也就是說(shuō)，加密一方和解密一方使用完全相同的密鑰來(lái)分別進(jìn)行加密和解密，從而提供保密性（機(jī)密性）保證。

ZUC算法目前主要用于通信領(lǐng)域。2011年9月，我國(guó)以ZUC算法為核心的加密算法128-EEA3和完整性保護(hù)算法128-EIA3，與美國(guó)AES、歐洲SNOW 3G共同成為了4G移動(dòng)通信密碼算法國(guó)際標(biāo)準(zhǔn)。

SM4算法最初作為我國(guó)自主無(wú)線局域網(wǎng)安全標(biāo)準(zhǔn)WAPI的專(zhuān)用密碼算法發(fā)布，后成為分組密碼算法國(guó)家行業(yè)標(biāo)準(zhǔn)。由于SM4算法最初用于無(wú)線局域網(wǎng)芯片WAPI協(xié)議中，支持SM4算法的WAPI無(wú)線局域網(wǎng)芯片已超過(guò)350多個(gè)型號(hào)，全球累計(jì)出貨量超過(guò)70億顆。在金融領(lǐng)域，僅統(tǒng)計(jì)支持SM4算法的智能密碼鑰匙出貨量已超過(guò)1.5億個(gè)。

2.非對(duì)稱(chēng)密碼算法

非對(duì)稱(chēng)密碼算法又稱(chēng)公鑰密碼算法，公鑰密碼算法包括公鑰加密和私鑰簽名（即數(shù)字簽名，可提供真實(shí)性、不可否認(rèn)性保證）兩種主要用途，打破了對(duì)稱(chēng)密碼算法加密和解密必須使用相同密鑰的限制。公鑰加密算法加密和解密使用不同的密鑰。其中加密的密鑰被公開(kāi)，稱(chēng)為公鑰；解密的密鑰被保密，稱(chēng)為私鑰。公鑰、私鑰是密切關(guān)聯(lián)的，從私鑰可推導(dǎo)出公鑰，但從公鑰推導(dǎo)出私鑰是計(jì)算上不可行的。SM2算法（橢圓曲線公鑰密碼算法）和SM9算法（標(biāo)識(shí)密碼算法）是我國(guó)頒布的商用密碼標(biāo)準(zhǔn)算法中的公鑰密碼算法，常見(jiàn)的國(guó)外公鑰密碼算法有RSA、ECDSA算法等。

基于SM2算法的數(shù)字簽名技術(shù)已在我國(guó)電子認(rèn)證領(lǐng)域廣泛應(yīng)用。SM2算法于2017年被國(guó)際標(biāo)準(zhǔn)化組織（ISO）采納，成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 14888-3的一部分。SM9算法將用戶的標(biāo)識(shí)（如郵件地址、手機(jī)號(hào)碼、QQ號(hào)碼等）作為公鑰，不需要數(shù)字證書(shū)、證書(shū)庫(kù)或密鑰庫(kù)，省略了交換數(shù)字證書(shū)和公鑰過(guò)程，使得安全系統(tǒng)變得易于部署和管理，非常適合端對(duì)端離線安全通訊、云端數(shù)據(jù)加密、基于屬性加密、基于策略加密的各種場(chǎng)合。同SM2算法一起，SM9數(shù)字簽名算法也在2017年被ISO采納，成為國(guó)際標(biāo)準(zhǔn)ISO/IEC 14888-3的一部分。

3.密碼雜湊算法

密碼雜湊算法又稱(chēng)雜湊函數(shù)、哈希(hash)算法、哈希函數(shù)，是把任意長(zhǎng)的輸入串轉(zhuǎn)化成固定長(zhǎng)的輸出串的一種函數(shù)。我國(guó)商用密碼標(biāo)準(zhǔn)中的密碼雜湊算法是SM3算法，并于2018年10月成為國(guó)際標(biāo)準(zhǔn)。SM3算法的輸出長(zhǎng)度固定為256比特。輸入長(zhǎng)度在理論上是無(wú)限制的。在實(shí)踐中根據(jù)填充規(guī)范的要求，輸入長(zhǎng)度不能超過(guò)264比特。只使用SM3算法不能提供完整性保護(hù)，而是需要配合密鑰使用，即帶密鑰的雜湊算法（HMAC）：利用雜湊算法，將一個(gè)密鑰和一個(gè)消息作為輸入，生成一個(gè)消息摘要作為輸出。HMAC可用作數(shù)據(jù)完整性檢驗(yàn)，檢驗(yàn)數(shù)據(jù)是否被非授權(quán)地改變；也可用作消息鑒別，保證消息源的合法性等。

SM3算法應(yīng)用非常廣泛。如在智能電網(wǎng)領(lǐng)域，采用SM3算法的智能電表接近10億用戶，均能安全穩(wěn)定運(yùn)行。在金融系統(tǒng)，目前大約有7億多銀行磁條卡更新為密碼芯片卡，動(dòng)態(tài)令牌累計(jì)發(fā)行7726萬(wàn)支，這些卡片及令牌均使用了SM3算法。

03、等級(jí)保護(hù)中的密碼

我們看到在等級(jí)保護(hù)中也有許多與密碼相關(guān)的要求，GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中與密碼相關(guān)的要求如下：

1.真實(shí)性

應(yīng)在通信前基于密碼技術(shù)對(duì)通信的雙方進(jìn)行驗(yàn)證或認(rèn)證；應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來(lái)實(shí)現(xiàn)。

2.保密性

應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性。應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等；應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。

3.完整性

應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性；應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等；

4.不可否認(rèn)性

在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的抗抵賴(lài)和數(shù)據(jù)接收行為的抗抵賴(lài)。

5.密碼管理要求

應(yīng)確保密碼產(chǎn)品與服務(wù)的采購(gòu)和使用符合國(guó)家密碼管理主管部門(mén)的要求。應(yīng)進(jìn)行上線前的安全性測(cè)試，并出具安全測(cè)試報(bào)告，安全測(cè)試報(bào)告應(yīng)包含密碼應(yīng)用安全性測(cè)試相關(guān)內(nèi)容。密碼管理應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)；密碼管理應(yīng)使用國(guó)家密碼管理主管部門(mén)認(rèn)證核準(zhǔn)的密碼技術(shù)和產(chǎn)品。

6.利用密碼技術(shù)可以有效解決的問(wèn)題

可信驗(yàn)證：可基于可信根對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心，并進(jìn)行動(dòng)態(tài)關(guān)聯(lián)感知；應(yīng)采用可信驗(yàn)證機(jī)制對(duì)接入到網(wǎng)絡(luò)中的設(shè)備進(jìn)行可信驗(yàn)證，保證接入網(wǎng)絡(luò)的設(shè)備真實(shí)可信

遠(yuǎn)程管理：當(dāng)進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊聽(tīng)

集中管理：應(yīng)能夠建立一條安全的信息傳輸路徑，對(duì)網(wǎng)絡(luò)中的安全設(shè)備或者安全組件進(jìn)行管理。

04、小結(jié)

當(dāng)今密碼技術(shù)在保護(hù)信息安全方面的應(yīng)用越來(lái)越廣泛，促使云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新技術(shù)產(chǎn)業(yè)蓬勃發(fā)展。相信隨著《中華人民共和國(guó)密碼法》的頒布與實(shí)施、等級(jí)保護(hù)制度的實(shí)施，我國(guó)數(shù)字經(jīng)濟(jì)將繼續(xù)高質(zhì)量發(fā)展。