一般來講��,信息安全主要包括系統(tǒng)安全及數(shù)據(jù)安全兩方面的內(nèi)容��。系統(tǒng)安全一般采用防火墻、病毒查殺����、防范等被動措施;而數(shù)據(jù)安全則主要是指采用現(xiàn)代密碼技術(shù)對數(shù)據(jù)進(jìn)行主動保護(hù)��,如數(shù)據(jù)保密��、數(shù)據(jù)完整性、數(shù)據(jù)不可否認(rèn)與抵賴���、雙向身份認(rèn)證等�����。
密碼技術(shù)是保障信息安全的核心技術(shù)��。密碼技術(shù)在古代就已經(jīng)得到應(yīng)用�����,但僅限于外交和軍事等重要領(lǐng)域�。隨著現(xiàn)代計算機(jī)技術(shù)的飛速發(fā)展���,密碼技術(shù)正在不斷向更多其他領(lǐng)域滲透�。它是集數(shù)學(xué)����、計算機(jī)科學(xué)、電子與通信等諸多學(xué)科于一身的交叉學(xué)科�����。密碼技術(shù)不僅能夠保證機(jī)密性信息的加密,而且完成數(shù)字簽名、身份驗證�、系統(tǒng)安全等功能。所以����,使用密碼技術(shù)不僅可以保證信息的機(jī)密性,而且可以保證信息的完整性和確證性�����,防止信息被篡改����、偽造和假冒。
密碼學(xué)(Cryptography)包括密碼編碼學(xué)和密碼分析學(xué)��。密碼體制設(shè)計是密碼編碼學(xué)的主要內(nèi)容�,密碼體制的破譯是密碼分析學(xué)的主要內(nèi)容,密碼編碼技術(shù)和密碼分析技術(shù)是相互依存�、相互支持、密不可分的兩個方面���。
密碼體制有對稱密鑰密碼體制和非對稱密鑰密碼體制。對稱密鑰密碼體制要求加密解密雙方擁有相同的密鑰。而非對稱密鑰密碼體制是加密解密雙方擁有不相同的密鑰�,在不知道陷門信息的情況下,加密密鑰和解密密鑰是不能相互算出的��。
然而密碼學(xué)不僅僅只包含編碼與破譯�����,而且包括安全管理���、安全協(xié)議設(shè)計�����、散列函數(shù)等內(nèi)容�。不僅如此���,密碼學(xué)的進(jìn)一步發(fā)展�����,涌現(xiàn)了大量的新技術(shù)和新概念��,如零知識證明技術(shù)��、盲簽名�、量子密碼技術(shù)、混沌密碼等����。
我國政府明確規(guī)定嚴(yán)格禁止直接使用國外的密碼算法和安全產(chǎn)品,這是由于:國外禁止出口密碼算法和產(chǎn)品�����,所謂出口的安全的密碼算法國外都有破譯手段����;擔(dān)心國外的算法和產(chǎn)品中存在“后門”,關(guān)鍵時刻危害我國信息安全���。1999年國務(wù)院頒布商用密碼管理條例,對密碼的管理使用進(jìn)行了具體規(guī)定�����。當(dāng)前我國的信息安全系統(tǒng)由國家密碼管理委員會統(tǒng)一管理���。
對稱密鑰密碼體制
對稱密碼體制是從傳統(tǒng)的簡單換位發(fā)展而來的。其主要特點是:加解密雙方在加解密過程中要使用完全相同的一個密鑰����。使用最廣泛的是DES(Data Encryption Standard)密碼算法。
從1977年美國頒布DES密碼算法作為美國數(shù)據(jù)加密標(biāo)準(zhǔn)以來�,對稱密鑰密碼體制得到了廣泛的應(yīng)用。對稱密鑰密碼體制從加密模式上可分為序列密碼和分組密碼兩大類��。
1.序列密碼
序列密碼一直是作為軍事和外交場合使用的主要密碼技術(shù)之一�。它的主要原理是:通過有限狀態(tài)機(jī)產(chǎn)生性能優(yōu)良的偽隨機(jī)序列,使用該序列加密信息流�,得到密文序列。所以�,序列密碼算法的安全強(qiáng)度完全決定于它所產(chǎn)生的偽隨機(jī)序列的好壞。產(chǎn)生好的序列密碼的主要途徑之一是利用移位寄存器產(chǎn)生偽隨機(jī)序列���。目前要求寄存器的階數(shù)大于100階��,才能保證必要的安全�。序列密碼的優(yōu)點是錯誤擴(kuò)展小���、速度快�、利于同步����、安全程度高���。
2.分組密碼
分組密碼的工作方式是將明文分成固定長度的組,如64比特一組�����,用同一密鑰和算法對每一塊加密���,輸出也是固定長度的密文�。
對稱密鑰密碼體制存在的最主要問題是:由于加/解密雙方都要使用相同的密鑰�,因此在發(fā)送、接收數(shù)據(jù)之前����,必須完成密鑰的分發(fā)。所以����,密鑰的分發(fā)便成了該加密體系中的最薄弱,也是風(fēng)險最大的環(huán)節(jié)�,所使用的手段均很難保障安全地完成此項工作。這樣�����,密鑰更新的周期加長,給他人破譯密鑰提供了機(jī)會���。在歷史上���,破獲他國情報不外乎兩種方式:一種是在敵方更換“密碼本”的過程中截獲對方密碼本����;另一種是敵人密鑰變動周期太長,被長期跟蹤�,找出規(guī)律從而被破解。在對稱算法中���,盡管由于密鑰強(qiáng)度增強(qiáng)�,跟蹤找出規(guī)律破解密鑰的機(jī)會大大減小了�����,但密鑰分發(fā)的困難問題幾乎無法解決�。例如,設(shè)有n方參與通信�����,若n方都采用同一個對稱密鑰,一旦密鑰被破解�����,整個體系就會崩潰�����;若采用不同的對稱密鑰則需n(n-1)個密鑰�����,密鑰數(shù)與參與通信人數(shù)的平方數(shù)成正比��,可見��,大系統(tǒng)密鑰的管理幾乎成為不可能��。
然而���,由于對稱密鑰密碼系統(tǒng)具有加解密速度快和安全強(qiáng)度高的優(yōu)點�,目前被越來越多地應(yīng)用在軍事�、外交以及商業(yè)等領(lǐng)域。
非對稱密鑰密碼體制
非對稱密鑰密碼體制,即公開密鑰密碼體制�����,是現(xiàn)代密碼學(xué)最重要的發(fā)明和進(jìn)展���。一般理解密碼學(xué)就是保護(hù)信息傳遞的機(jī)密性�����,但這僅僅是當(dāng)今密碼學(xué)的一個方面。對信息發(fā)送與接收人的真實身份的驗證���,對所發(fā)出/接收信息在事后的不可抵賴以及保障數(shù)據(jù)的完整性也是現(xiàn)代密碼學(xué)研究的另一個重要方面���。公開密鑰密碼體制對這兩方面的問題都給出了出色的解答,并正在繼續(xù)產(chǎn)生許多新的思想和方案���。
1976年��,Diffie和Hellman為解決密鑰的分發(fā)與管理問題��,在他們奠基性的工作“密碼學(xué)的新方向”一文中��,提出一種密鑰交換協(xié)議���,允許在不安全的媒體上通過通訊雙方交換信息�����,安全地傳送秘密密鑰���。在此新思想的基礎(chǔ)上,很快出現(xiàn)了公開密鑰密碼體制���。在該體制中����,密鑰成對出現(xiàn)���,一個為加密密鑰(即PK公開密鑰)�����,另一個為解密密鑰(SK秘密密鑰)����,且不可能從其中一個推導(dǎo)出另一個。加密密鑰和解密密鑰不同�����,可將加密密鑰公之于眾�����,誰都可以使用�����;而解密密鑰只有解密人自己知道�,用公共密鑰加密的信息只能用專用密鑰解密。由于公開密鑰算法不需要聯(lián)機(jī)密鑰服務(wù)器��,密鑰分配協(xié)議簡單���,所以極大地簡化了密鑰管理。除加密功能外���,公鑰系統(tǒng)還可以提供數(shù)字簽名�。目前��,公開密鑰加密算法主要有RSA、Fertezza����、EIGama等。
迄今為止的所有公鑰密碼體系中�����,RSA系統(tǒng)是最著名�、使用最廣泛的一種。RSA公開密鑰密碼系統(tǒng)是由R.Rivest��、A.Shamir和L.Adleman三位教授于1977年提出的���,RSA的取名就是來自于這三位發(fā)明者姓氏的第一個字母��。
RSA算法研制的最初目標(biāo)是解決利用公開信道傳輸分發(fā) DES 算法的秘密密鑰的難題��。而實際結(jié)果不但很好地解決了這個難題�,還可利用 RSA 來完成對電文的數(shù)字簽名�����,以防止對電文的否認(rèn)與抵賴�����,同時還可以利用數(shù)字簽名較容易地發(fā)現(xiàn)攻擊者對電文的非法篡改,從而保護(hù)數(shù)據(jù)信息的完整性�����。
公用密鑰的優(yōu)點就在于:也許使用者并不認(rèn)識某一實體��,但只要其服務(wù)器認(rèn)為該實體的CA(即認(rèn)證中心Certification Authority的縮寫)是可靠的�����,就可以進(jìn)行安全通信���,而這正是Web商務(wù)這樣的業(yè)務(wù)所要求的����。例如使用信用卡購物��,服務(wù)方對自己的資源可根據(jù)客戶 CA的發(fā)行機(jī)構(gòu)的可靠程度來授權(quán)�����。目前國內(nèi)外尚沒有可以被廣泛信賴的CA���,而由外國公司充當(dāng)CA在我國是非常危險的�。
公開密鑰密碼體制較秘密密鑰密碼體制處理速度慢�����,因此��,通常把這兩種技術(shù)結(jié)合起來能實現(xiàn)最佳性能��。即用公開密鑰密碼技術(shù)在通信雙方之間傳送秘密密鑰���,而用秘密密鑰來對實際傳輸?shù)臄?shù)據(jù)加密解密���。
