密碼在信息安全保密建設(shè)中的地位和作用

摘要:隨著現(xiàn)代化信息技術(shù)的發(fā)展，信息安全保密建設(shè)成為人們關(guān)注的焦點(diǎn)，數(shù)據(jù)安全成為其重點(diǎn)和難點(diǎn)。通過(guò)對(duì)現(xiàn)代密碼技術(shù)在數(shù)據(jù)加密、完整性、身份認(rèn)證等方面對(duì)數(shù)據(jù)安全建設(shè)主動(dòng)保護(hù)的研究，從而說(shuō)明了密碼在現(xiàn)代信息安全保密建設(shè)中的重要地位和作用。

關(guān)鍵詞:信息安全;數(shù)據(jù)安全;密碼技術(shù);數(shù)據(jù)加密;身份認(rèn)證

中圖分類(lèi)號(hào):TP309文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2009)24-6659-03

The Function and Role of Cipher in Construction of Information Security.

SUN Li-li

(Anhui Vocational College of Electronics and Information Technology， Bengbu 233000，China)

Abstract: As the development of modern technology of information， construction of information system security attract our concentration， in which the emphasis and difficultyis data safety. With the investigation in initiative protection of data security-building by current cipher technology through many mechanism such as data encryption，data integrity and identity authentication， the thesis depicts the important role the cipher played in the construction of modern information system security.

Key words: information system security; data safety; cipher technology; data encryption; identity authentication

當(dāng)前信息安全保密建設(shè)主要包括系統(tǒng)安全建設(shè)和數(shù)據(jù)安全建設(shè)兩方面的內(nèi)容。系統(tǒng)安全一般采用防火墻、病毒查殺、防范等被動(dòng)措施;而數(shù)據(jù)安全則主要是指采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)傳輸加密、存儲(chǔ)加密、訪(fǎng)問(wèn)控制、數(shù)據(jù)不可否認(rèn)與抵賴(lài)、雙向身份認(rèn)證等。

所謂密碼，是通信雙方按約定的法則進(jìn)行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱(chēng)為加密;變密文為明文，稱(chēng)為解密。密碼在早期僅對(duì)文字或數(shù)碼進(jìn)行加、解密變換，隨著通信技術(shù)的發(fā)展，對(duì)語(yǔ)音、圖像、數(shù)據(jù)等都可實(shí)施加、解密變換。

1 密碼在信息安全保密建設(shè)中的地位

在當(dāng)前密碼技術(shù)處于信息安全保密建設(shè)中的核心技術(shù)地位。密碼技術(shù)在古代就已經(jīng)得到應(yīng)用，但僅限于外交和軍事等重要領(lǐng)域。隨著現(xiàn)代計(jì)算機(jī)技術(shù)的飛速發(fā)展，密碼技術(shù)正在不斷向更多其他領(lǐng)域滲透。如今，密碼已發(fā)展成為集代數(shù)、數(shù)論、信息論、概率論等理論于一身，并與通信、計(jì)算機(jī)網(wǎng)絡(luò)和微電子等技術(shù)緊密結(jié)合的一門(mén)綜合性學(xué)科。量子密碼、神經(jīng)網(wǎng)絡(luò)密碼、混沌密碼、基因密碼等新型密碼的研究和應(yīng)用，表明了密碼具有強(qiáng)的生命力和廣闊的應(yīng)用前景。

2 密碼在信息安全保密建設(shè)中的作用

在當(dāng)前信息安全保密建設(shè)中，密碼技術(shù)不僅能夠保證機(jī)密性信息的加密，而且還可以完成數(shù)字簽名、身份驗(yàn)證、系統(tǒng)安全等功能。所以，使用密碼技術(shù)不僅可以保證信息的機(jī)密性，而且可以保證信息的完整性和確證性，防止信息被篡改、偽造和假冒。

3 具體表現(xiàn)

3.1 密碼是信息安全保密建設(shè)中的核心技術(shù)，不可取代

密碼在信息安全工作中，具有獨(dú)特的效能。隨著社會(huì)的變革、其地位越來(lái)越廣泛，作用起來(lái)越重要。早期的密碼主要是階級(jí)、集團(tuán)內(nèi)部，作為暗號(hào)、標(biāo)識(shí)和特定符號(hào)使用。近代的密碼主要用于軍事、外交領(lǐng)域的保密通信。現(xiàn)代的密碼則作為信息安全保障體系的基礎(chǔ)，其作用無(wú)可替代。

當(dāng)今時(shí)代，高新技術(shù)發(fā)展日新月異，計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)和發(fā)展方興未艾。電子政府、知識(shí)經(jīng)濟(jì)、數(shù)字化部隊(duì)、信息化戰(zhàn)爭(zhēng)，均立足于計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)之上，融合于計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展之中。世界各國(guó)特別是技術(shù)發(fā)達(dá)的國(guó)家都投入巨大的人力、物力和財(cái)力，致力于解決信息安全這一戰(zhàn)略性課題題。

而要解決計(jì)算機(jī)網(wǎng)絡(luò)的安全保密問(wèn)題，必須建立信息安全保障體系(即PDRR模型)，這個(gè)體系由保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)四大部分構(gòu)成。其中，信息安全保護(hù)是信息安全保障體系的核心和基礎(chǔ)。信息安全保護(hù)要在構(gòu)建安全體系結(jié)構(gòu)的前提下，制定安全技術(shù)規(guī)范，實(shí)現(xiàn)安全服務(wù)，建立安全機(jī)制，以維持網(wǎng)絡(luò)安全可靠的運(yùn)行，并滿(mǎn)足用戶(hù)的合理需求和保證信息的安全。信息安全服務(wù)依靠安全機(jī)制來(lái)完成，而安全機(jī)制主要依賴(lài)于密碼技術(shù)。所以，密碼技術(shù)是計(jì)算機(jī)網(wǎng)絡(luò)信息體系的支撐，這已成為信息安全專(zhuān)家的共識(shí)。

3.2 密碼是信息安全保密建設(shè)中的重要角色，肩負(fù)著神圣使命

由于密碼技術(shù)在信息安全保障體系中，扮演著非常重要的“角色”，所以它已遍及、滲透、服務(wù)于信息安全系統(tǒng)的各個(gè)領(lǐng)域，其社會(huì)使命十分神圣。保障密碼安全性具體措施主要有:

3.2.1 傳輸加密

網(wǎng)絡(luò)攻擊—對(duì)信息流的威脅主要表現(xiàn)在:中斷、截取、修改、假冒這四個(gè)方面。其中傳輸過(guò)程中的信息最易被截收，傳輸加密就是使用密碼對(duì)信息實(shí)施加密保護(hù)，以防止暴露信息內(nèi)容和出現(xiàn)泄密隱患，使信息加密后的傳輸過(guò)程中，即使被敵方和惡意攻擊者截收，的得到的也是密文信息，使其無(wú)法讀懂和得知真實(shí)的明文信息。現(xiàn)在網(wǎng)絡(luò)還存在許多不安全因素。在發(fā)送電子郵件或進(jìn)行文件傳輸時(shí)，或許有很多人在別處密切監(jiān)視著，特別是對(duì)一些著名的大公司。怎樣實(shí)現(xiàn)安全傳輸呢?公鑰基礎(chǔ)結(jié)構(gòu)就是應(yīng)用最廣的一種安全技術(shù)。

在公鑰基礎(chǔ)結(jié)構(gòu)中，最關(guān)鍵的就是公/私鑰密鑰對(duì)的獲取，其實(shí)就是證書(shū)的發(fā)證機(jī)構(gòu)，不同的機(jī)構(gòu)頒發(fā)的證書(shū)公信效力不一樣，也就決定了有不同的主要應(yīng)用領(lǐng)域。如利用自己的Windows系統(tǒng)頒發(fā)的密鑰證書(shū)，主要應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)用戶(hù)之間。因?yàn)樗淖C書(shū)頒發(fā)機(jī)構(gòu)就是企業(yè)自己，對(duì)其他非本單位用戶(hù)來(lái)說(shuō)缺乏必要的公信力。如果這個(gè)密鑰對(duì)證書(shū)是由地方，甚至是國(guó)家認(rèn)可的機(jī)構(gòu)頒發(fā)的，則它的公信力就廣了，可以在相應(yīng)地方或全國(guó)有效。在此就要介紹利用公鑰基礎(chǔ)結(jié)構(gòu)中的密鑰，進(jìn)行文件加密和數(shù)字簽名的原理。其實(shí)這也是后面將要介紹的PGP加密和數(shù)字簽名原理。

在文件傳輸中的加密不再是利用EFS加密技術(shù)，而是純粹地使用PKI公/私鑰對(duì)。首先要清楚公鑰基礎(chǔ)結(jié)構(gòu)中的兩個(gè)密鑰在文件加密中是如何應(yīng)用的。其實(shí)很簡(jiǎn)單，就是發(fā)送文件的用戶(hù)(假如為A)先用接收文件方用戶(hù)(假如為B)的公鑰加密文件，然后發(fā)給接收方用戶(hù)B。B在收到A發(fā)來(lái)的用自己公鑰加密的文件后，再用自己的私鑰即可打開(kāi)文件(圖1)。

下面以一個(gè)具體例子來(lái)講解加密和解密，以及保護(hù)加密文件的過(guò)程。

現(xiàn)假設(shè)有A公司的老板名叫Alice，B公司的老板名叫Bob，現(xiàn)在Alice想傳輸一個(gè)文件files給Bob，這個(gè)文件是有關(guān)于一個(gè)合作項(xiàng)目標(biāo)書(shū)議案，屬公司機(jī)密，不能給其他人知道。而另一個(gè)競(jìng)爭(zhēng)對(duì)手C公司的老板Andy對(duì)A和B公司有關(guān)那項(xiàng)合作標(biāo)書(shū)非常關(guān)注，總想取得A公司的標(biāo)書(shū)議案。于是他時(shí)刻監(jiān)視他們的網(wǎng)絡(luò)通信，企圖通過(guò)各種各樣的方法從A公司與B公司之間的郵件通信中截取他們的郵件，從中獲取有關(guān)標(biāo)書(shū)標(biāo)的等信息。因?yàn)閷?duì)于沒(méi)有加密防范措施的郵件是很容易截取的，為了防止其他人在郵件通信中截取這份重要的郵件，并從中獲取標(biāo)書(shū)標(biāo)的等重要信息，A公司與B公司老總商議采取公鑰基礎(chǔ)結(jié)構(gòu)的文件加密方式傳輸。下面就是具體的加密郵件發(fā)送步驟。

1) 首先B公司老總Bob把自己的公鑰(假設(shè)為)通過(guò)網(wǎng)絡(luò)或者電話(huà)告訴A公司老總Alice，這個(gè)過(guò)程不怕別人知道，無(wú)須加密。

2) Alice用Bob的公鑰Public Key B給標(biāo)書(shū)議案文件files加密。

3) Alice把已用Bob的公鑰加密的文件通過(guò)郵件或者其他傳輸途經(jīng)(如QQ、MSN等)傳給B公司老總Bob。

4) Bob在收到Alice發(fā)來(lái)的帶有files文件附件的郵件后，打開(kāi)附件中的files文件，在提示中用自己的私鑰(假設(shè)為“Private Key B”)解密即可。

或許有同志會(huì)問(wèn)，在第一步中C公司的老板Andy同樣可以截取Bob的公鑰，且在第三步中也可以截取加密后的標(biāo)書(shū)議案文件files，這樣做并沒(méi)有起到安全保障的作用。其實(shí)這種認(rèn)識(shí)是錯(cuò)誤的。因?yàn)锳ndy用戶(hù)知道Bob公鑰，已截取了傳輸files標(biāo)書(shū)文件的郵件都是沒(méi)有任何意義的。因?yàn)锳ndy雖然獲取了Bob的公鑰和標(biāo)書(shū)議案文件files，但用Bob公鑰加密后的文件只能用Bob的私鑰來(lái)解開(kāi)，即使使用Bob的公鑰也無(wú)法自己解密。因?yàn)檫@里采用的是非對(duì)稱(chēng)密鑰策略，公鑰和私鑰必須配對(duì)使用，這就是發(fā)明這種加密方法的絕妙之處，所以在這個(gè)傳輸中是安全的。

3.2.2 存儲(chǔ)加密

存儲(chǔ)安全這一話(huà)題已經(jīng)被人們談?wù)摱嗄炅恕Ｗ詮?005年，花旗銀行、Ameritrade、時(shí)代華納和美國(guó)銀行幾家大型公司相繼發(fā)生因存儲(chǔ)介質(zhì)遺失而造成數(shù)據(jù)泄漏的嚴(yán)重事件后，存儲(chǔ)安全更從一個(gè)民眾關(guān)心的熱點(diǎn)提升到了政府立法這一更高的層次。

存儲(chǔ)信息極易用物理方法從存儲(chǔ)介質(zhì)中取出或復(fù)制。存儲(chǔ)加密就是使用密碼對(duì)存儲(chǔ)在不同介質(zhì)上的信息進(jìn)行加密保護(hù)，以防止被非法讀取或拷貝而造成秘密信息的泄露。存儲(chǔ)信息經(jīng)密碼覆蓋后，非法者最多只能得到密文信息，真實(shí)的明文信息難以被獲取。

目前已經(jīng)有多家廠商致力于存儲(chǔ)加密標(biāo)準(zhǔn)，希望讓存儲(chǔ)安全工具更容易和多種存儲(chǔ)架構(gòu)一同工作。這些廠商把大部分精力都投入在存儲(chǔ)安全之上，并推出了多款支持存儲(chǔ)加密功能的存儲(chǔ)系統(tǒng)，包括EMC也開(kāi)始通過(guò)多種安全手段來(lái)保護(hù)存儲(chǔ)于其磁盤(pán)陣列上的數(shù)據(jù)的安全性。除了廠商不遺余力的推廣數(shù)據(jù)安全的各項(xiàng)保護(hù)措施，還有一些標(biāo)準(zhǔn)組織也參與到這一領(lǐng)域。

3.2.3 訪(fǎng)問(wèn)控制

訪(fǎng)問(wèn)控制(access control)就是在身份認(rèn)證的基礎(chǔ)上，依據(jù)授權(quán)對(duì)提出的資源訪(fǎng)問(wèn)請(qǐng)求加以控制。訪(fǎng)問(wèn)控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它可以限制對(duì)關(guān)鍵資源的訪(fǎng)問(wèn)，防止非法用戶(hù)的侵入或合法用戶(hù)的不慎操作所造成的破壞。

訪(fǎng)問(wèn)控制的目的是確保信息資源合理使用和流動(dòng)，防止非授權(quán)或以非授權(quán)方式使用資源。訪(fǎng)問(wèn)控制由一系列控制屬性(如訪(fǎng)問(wèn)信息庫(kù)控制、鑒別信息、權(quán)力、安全標(biāo)志等)的規(guī)則來(lái)實(shí)現(xiàn)，根據(jù)訪(fǎng)問(wèn)者的身份和有關(guān)信息決定其訪(fǎng)問(wèn)權(quán)限。訪(fǎng)問(wèn)控制除需要身份鑒別等密碼認(rèn)證技術(shù)外，還需要采用密碼技術(shù)對(duì)訪(fǎng)問(wèn)控制屬性進(jìn)行加密保護(hù)。

3.2.4 安全協(xié)議

協(xié)議就是兩個(gè)或兩個(gè)以上的參與者為了完成某項(xiàng)特定的任務(wù)而采取的一系列步驟。具有有效性、完整性、公正性等安全屬性的協(xié)議稱(chēng)為安全協(xié)議。安全協(xié)議的安全屬性體現(xiàn)在各協(xié)議中，協(xié)議的設(shè)計(jì)需要采用密碼認(rèn)證技術(shù)，而協(xié)議交互信息也需要采用密碼技術(shù)予以保護(hù)。

3.2.5 數(shù)字簽名

應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即:RSA簽名、DSS簽名和Hash簽名。

完整的RSA數(shù)字簽名過(guò)程如圖2。

1) 發(fā)送端A把明文利用單向散列函數(shù)轉(zhuǎn)換成消息摘要;

2) 發(fā)送者A利用自己的私鑰對(duì)消息摘要進(jìn)行簽名;

3) 發(fā)送端A把明文和簽名的消息摘要通過(guò)網(wǎng)絡(luò)傳遞給接收端B;

4) 接收端B對(duì)明文和消息摘要分別處理，明文通過(guò)單向散列函數(shù)轉(zhuǎn)換為消息摘要，簽名的消息摘要被接收端B用發(fā)送端A的簽名公鑰還原成消息摘要;

5) 把最后生成的二個(gè)消息摘要進(jìn)行比較，判定數(shù)據(jù)的真實(shí)性和完整性。

數(shù)字簽名是為了確保信息交互雙方身份的真實(shí)性和數(shù)據(jù)完整性，防止“抵賴(lài)”，以便在法律上能認(rèn)證、核準(zhǔn)和生效。數(shù)字簽字應(yīng)滿(mǎn)足不可偽造、不可否認(rèn)和不可重用等要求。數(shù)字簽名包括的簽字和驗(yàn)證過(guò)程實(shí)際就是利用密碼技術(shù)的過(guò)程。

3.2.6 安全管理

安全管理是依據(jù)安全策略，對(duì)安全服務(wù)、安全機(jī)制和安全規(guī)則進(jìn)行管理、把管理信息分配到有關(guān)的安全設(shè)備中去，并收集與操作有關(guān)的信息。實(shí)現(xiàn)安全機(jī)制、安全服務(wù)和安全規(guī)則的合理配置。安全管理需要采用密碼認(rèn)證技術(shù)確保其有效性、真實(shí)性和完整性，管理信息(如密鑰、密碼算法、安全策略等)的分配也需要采用密碼技術(shù)加密保護(hù)。

3.3 密碼是信息安全保密建設(shè)中的安全防線(xiàn)，影響未來(lái)發(fā)展

密碼是保證信息安全建設(shè)的支撐技術(shù)，事關(guān)國(guó)家根本利益，也直接影響著未來(lái)與發(fā)展。因此，世界各國(guó)對(duì)此都十分重視。美國(guó)為了獲得信息安全領(lǐng)域的控制權(quán)，從1997年開(kāi)始，在世界范圍內(nèi)征集21世紀(jì)高級(jí)加密算法AES，以代替過(guò)時(shí)的DES。歐盟各國(guó)投資33億歐元，計(jì)劃在3年時(shí)間內(nèi)建立自己的分組密碼、序列密碼、公鑰密碼等算法標(biāo)準(zhǔn)。我們應(yīng)高度重視密碼技術(shù)的發(fā)展與應(yīng)用，增大密碼研究經(jīng)費(fèi)投入的力度，加快密碼關(guān)健技術(shù)及其產(chǎn)品的研究與開(kāi)發(fā)，構(gòu)筑軍事信息系統(tǒng)的安全保密防線(xiàn)，掌握軍事斗爭(zhēng)中的制信息權(quán)，這打贏高技術(shù)條件下的局部戰(zhàn)爭(zhēng)提供高質(zhì)量的信息安全保障。

4 小結(jié)

當(dāng)前信息安全保密建設(shè)中，要保證電子信息的保密性，使用密碼對(duì)其加密是最有效的辦法;要保證信息的完整性，使用密碼技術(shù)實(shí)施數(shù)字簽名、進(jìn)行身份認(rèn)證、對(duì)信息進(jìn)行完整性校驗(yàn)是當(dāng)前實(shí)際可行的辦法;要保障信息系統(tǒng)和電子信息為授權(quán)者所用，利用密碼進(jìn)行系統(tǒng)登錄管理、存取授權(quán)管理是有效的辦法;要保證電子信息系統(tǒng)的可控性，也可以有效的利用密碼和密鑰管理來(lái)實(shí)施。

密碼學(xué)還有許許多多這樣的問(wèn)題。當(dāng)前，密碼學(xué)發(fā)展面臨著挑戰(zhàn)和機(jī)遇。計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)的發(fā)展和信息時(shí)代的到來(lái)，給密碼學(xué)提供了前所未有的發(fā)展機(jī)遇。在密碼理論、密碼技術(shù)、密碼保障、密碼管理等方面進(jìn)行創(chuàng)造性思維，去開(kāi)辟密碼學(xué)發(fā)展的新紀(jì)元才是我們的追求。

參考文獻(xiàn):

[1] 趙興利，孫新柱，汲錫林.信息安全保密系統(tǒng)與信息系統(tǒng)建設(shè)協(xié)調(diào)發(fā)展[J].信息安全與通信保密，2005(6)

[2] 蔡吉人.信息安全密碼學(xué)[J].信息網(wǎng)絡(luò)安全，2003(2).

[3] 羅守山，陳萍，鄒永忠，劉琳.密碼學(xué)與信息安全技術(shù)[M].北京:北京郵電大學(xué)出版社，2009.

[4] 佚名.安全專(zhuān)家談?wù)勑畔踩c密碼技術(shù)[EB/OL].http://www.chinaitpower.com/A/2003-11-20/62918.html.

[5] 施明全，周保太.信息安全基石[N].解放軍報(bào)，2001.6.13(11版).

[6] 王建川.加密算法簡(jiǎn)析 [J].彭城大學(xué)學(xué)報(bào)，2003(5).

[7] 徐敬東，張建忠.計(jì)算機(jī)網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社，2002:272-273.

[8] 曹珍富，薛慶水.密碼學(xué)的發(fā)展方向與最新發(fā)展[J].計(jì)算機(jī)教育，2005(1):19-21.