信息化觀察網(wǎng)

什么是密碼，銀行賬戶密碼是這種嗎？

“密碼”一詞對(duì)人們來(lái)說(shuō)并不陌生,人們可以舉出許多有關(guān)使用密碼的例子。如個(gè)人在銀行取款使用“密碼”,在計(jì)算機(jī)登錄和屏幕保護(hù)中使用“密碼”,開(kāi)啟保險(xiǎn)箱使用“密碼”,兒童玩電子游戲中使用“密碼”等等。但以上所說(shuō)的“密碼”,并不都是真正的密碼，而是一種特定的暗號(hào)或口令字。

那么,什么是密碼呢?在《辭?！?1999年版)中對(duì)密碼是這樣解釋的:“按特定法則編成,用以對(duì)通信雙方的信息進(jìn)行明密變換的符號(hào)”。換而言之,密碼是隱蔽了真實(shí)內(nèi)容的符號(hào)序列。就是把用公開(kāi)的、標(biāo)準(zhǔn)的信息編碼表示的信息通過(guò)一種變換手段,將其變?yōu)槌ㄐ烹p方以外其他人所不能讀懂的信息編碼,這種獨(dú)特的信息編碼就是密碼。

2020年1月1日，《中華人民共和國(guó)密碼法》（以下簡(jiǎn)稱《密碼法》）正式施行。《密碼法》是總體國(guó)家安全觀框架下，國(guó)家安全法律體系的重要組成部分，是我國(guó)密碼領(lǐng)域的綜合性、基礎(chǔ)性法律。《密碼法》中密碼定義為：“密碼是指采用特定變換的方法對(duì)信息等進(jìn)行加密保護(hù)、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)”。我們常說(shuō)的用戶名“密碼”，包括銀行賬戶密碼，它只是“口令”，并不是《密碼法》中的“密碼”。

什么是商用密碼？國(guó)密又是什么呢？

根據(jù)1999年發(fā)布實(shí)施的《商用密碼管理?xiàng)l例》第一章第二條規(guī)定：“本條例所稱商用密碼，是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品”。

如何來(lái)理解《條例》中對(duì)商用密碼的定義呢？

第一，它明確了商用密碼是用于“不涉及國(guó)家秘密內(nèi)容的信息”領(lǐng)域，即非涉密信息領(lǐng)域。商用密碼所涉及的范圍很廣，凡是不涉及國(guó)家秘密內(nèi)容的信息，又需要用密碼加以保護(hù)的，均可以使用商用密碼。

第二，它指明了商用密碼的作用，是實(shí)現(xiàn)非涉密信息的加密保護(hù)和安全認(rèn)證等具體應(yīng)用。加密是密碼的傳統(tǒng)應(yīng)用。采用密碼技術(shù)實(shí)現(xiàn)信息的安全認(rèn)證，是現(xiàn)代密碼的主要應(yīng)用之一。

第三，定義將商用密碼歸結(jié)為商用密碼技術(shù)和商用密碼產(chǎn)品，也就是說(shuō)，商用密碼是商用密碼技術(shù)和商用密碼產(chǎn)品的總稱。國(guó)密即國(guó)家密碼局認(rèn)定的國(guó)產(chǎn)密碼算法，國(guó)密算法是國(guó)家密碼局制定標(biāo)準(zhǔn)的一系列算法，其中包括了對(duì)稱加密算法，橢圓曲線非對(duì)稱加密算法，雜湊算法。具體包括SM1,SM2,SM3,SM4等。

商用密碼是指能夠?qū)崿F(xiàn)商用密碼算法的加密、解密和認(rèn)證等功能的技術(shù)。商用密碼技術(shù)是商用密碼的核心,國(guó)家將商用密碼技術(shù)列入國(guó)家秘密,任何單位和個(gè)人都有責(zé)任和義務(wù)保護(hù)商用密碼技術(shù)的秘密。

信息安全是什么？與密碼是什么關(guān)系？

信息安全（Information Security）是指為數(shù)據(jù)處理系統(tǒng)而采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改、顯露。這里面既包含了層面的概念，其中計(jì)算機(jī)硬件可以看作是物理層面，軟件可以看作是運(yùn)行層面，再就是數(shù)據(jù)層面；又包含了屬性的概念，其中破壞涉及的是可用性，更改涉及的是完整性，顯露涉及的是機(jī)密性。信息安全的保障工作可以給系統(tǒng)帶來(lái)連續(xù)可靠正常的運(yùn)行、信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。

網(wǎng)絡(luò)信息安全的內(nèi)容

硬件安全。即網(wǎng)絡(luò)硬件和存儲(chǔ)媒體的安全。要保護(hù)這些硬件設(shè)施不受損害，能夠正常工作。

軟件安全。即計(jì)算機(jī)及其網(wǎng)絡(luò)的各種軟件不被篡改或破壞，不被非法操作或誤操作，功能不會(huì)失效，不被非法復(fù)制。

運(yùn)行服務(wù)安全。即網(wǎng)絡(luò)中的各個(gè)信息系統(tǒng)能夠正常運(yùn)行并能正常地通過(guò)網(wǎng)絡(luò)交流信息。通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)中的各種設(shè)備運(yùn)行狀況的監(jiān)測(cè)，發(fā)現(xiàn)不安全因素能及時(shí)報(bào)警并采取措施改變不安全狀態(tài)，保障網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行。

數(shù)據(jù)安全。即網(wǎng)絡(luò)中存在及流通數(shù)據(jù)的安全。要保護(hù)網(wǎng)絡(luò)中的數(shù)據(jù)不被篡改、非法增刪、復(fù)制、解密、顯示、使用等。它是保障網(wǎng)絡(luò)安全最根本的目的。

信息安全與密碼的關(guān)系

密碼學(xué)是保障信息安全的核心，信息安全是密碼學(xué)研究與發(fā)展的目的。而密碼技術(shù)又是保護(hù)信息安全的手段之一，也是保障信息安全的核心技術(shù)。使用密碼技術(shù)不僅可以保證信息的機(jī)密性，而且具有數(shù)字簽名、身份驗(yàn)證、秘密共享、信息認(rèn)證等功能，可以保證信息的完整性、認(rèn)證性和不可否認(rèn)性，防止信息被篡改、偽造、假冒、否認(rèn)。

密碼學(xué)在信息安全中起著舉足輕重的作用，它是信息安全的基石，但密碼學(xué)也絕不是確保信息安全的唯一技術(shù)，也不可能解決信息安全中出現(xiàn)的所有問(wèn)題。

密碼的主要作用？

密碼是目前世界上公認(rèn)的，保障網(wǎng)絡(luò)與信息安全最有效、最可靠、最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)。密碼不僅可以實(shí)現(xiàn)對(duì)信息的加密保護(hù)、完整性保護(hù)，還可以實(shí)現(xiàn)對(duì)實(shí)體身份和信息來(lái)源的安全認(rèn)證。密碼的加密保護(hù)功能用于保證信息的機(jī)密性，密碼的安全認(rèn)證功能用于保證信息的真實(shí)性、數(shù)據(jù)的完整性和行為的不可否認(rèn)性。具體如下：

機(jī)密性：是指保證信息不被泄露給非授權(quán)的個(gè)人、計(jì)算機(jī)等實(shí)體的性質(zhì)。

安全認(rèn)證：應(yīng)用密碼算法和協(xié)議，確認(rèn)信息、身份、行為等是否真實(shí)。

真實(shí)性：是指保證信息來(lái)源可靠、沒(méi)有被偽造和篡改的性質(zhì)。

不可否認(rèn)性：也稱抗抵賴性，是指已經(jīng)發(fā)生的操作行為無(wú)法否認(rèn)的性質(zhì)。

商用密碼的應(yīng)用場(chǎng)景有哪些，能解決什么問(wèn)題？

可以將密碼技術(shù)應(yīng)用在電子商務(wù)中,對(duì)網(wǎng)上交易雙方的身份和商業(yè)信用進(jìn)行識(shí)別,防止網(wǎng)上電子商務(wù)中的“黑客”和欺詐行為;應(yīng)用于增值稅發(fā)票中,可以防偽、防篡改,杜絕了各種利用增值稅發(fā)票偷、漏、逃、騙國(guó)家稅收的行為,并大大方便了稅務(wù)稽查;應(yīng)用于銀行支票鑒別中,可以大大降低利用假支票進(jìn)行金融詐騙的金融犯罪行為;應(yīng)用于個(gè)人移動(dòng)通信中,大大增強(qiáng)了通信信息的保密性等等。

商用密碼是保護(hù)各種敏感性內(nèi)部信息、行政事務(wù)信息和商業(yè)經(jīng)濟(jì)信息安全的可靠技術(shù)手段。一切經(jīng)濟(jì)、文化、科技、商貿(mào)、金融、行政等部門、企業(yè)事業(yè)單位、組織和公民個(gè)人，只要是因工作需要或出于合理、正當(dāng)?shù)睦碛?，都可以使用商用密碼。

商用密碼的應(yīng)用領(lǐng)域十分廣泛,主要用于對(duì)不涉及國(guó)家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。比如:商用密碼可用于企業(yè)內(nèi)部的各類敏感信息的傳輸加密、存儲(chǔ)加密,防止非法第三方獲取信息內(nèi)容;也可用于各種安全認(rèn)證、網(wǎng)上銀行、數(shù)字簽名等。

目前商用密碼產(chǎn)品已經(jīng)廣泛應(yīng)用于我國(guó)金融、稅務(wù)、海關(guān)、電信、社保、檢察等國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要領(lǐng)域。數(shù)字證書(shū)認(rèn)證系統(tǒng)以密碼技術(shù)為核心、用于在互聯(lián)網(wǎng)信息交換中確認(rèn)身份、控制權(quán)限、確保交換信息的真實(shí)可信，實(shí)現(xiàn)安全認(rèn)證功能，為電子政務(wù)、電子商務(wù)和其他網(wǎng)上活動(dòng)的順利開(kāi)展提供安全保障。

商用密碼的應(yīng)用領(lǐng)域十分廣泛,主要用于對(duì)不涉及國(guó)家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。比如:商用密碼可用于企業(yè)內(nèi)部的各類敏感信息的傳輸加密、存儲(chǔ)加密,防止非法第三方獲取信息內(nèi)容;也可用于各種安全認(rèn)證、網(wǎng)上銀行、數(shù)字簽名等。

目前商用密碼產(chǎn)品已經(jīng)廣泛應(yīng)用于我國(guó)金融、稅務(wù)、海關(guān)、電信、社保、檢察等國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要領(lǐng)域。數(shù)字證書(shū)認(rèn)證系統(tǒng)以密碼技術(shù)為核心、用于在互聯(lián)網(wǎng)信息交換中確認(rèn)身份、控制權(quán)限、確保交換信息的真實(shí)可信，實(shí)現(xiàn)安全認(rèn)證功能，為電子政務(wù)、電子商務(wù)和其他網(wǎng)上活動(dòng)的順利開(kāi)展提供安全保障。

商用密碼已在哪些重要領(lǐng)域進(jìn)行應(yīng)用？

商用密碼的應(yīng)用領(lǐng)域十分廣泛,主要用于對(duì)不涉及國(guó)家秘密內(nèi)容但又具有敏感性的內(nèi)部信息、行政事務(wù)信息、經(jīng)濟(jì)信息等進(jìn)行加密保護(hù)。比如:商用密碼可用于企業(yè)內(nèi)部的各類敏感信息的傳輸加密、存儲(chǔ)加密,防止非法第三方獲取信息內(nèi)容;也可用于各種安全認(rèn)證、網(wǎng)上銀行、數(shù)字簽名等。

目前商用密碼產(chǎn)品已經(jīng)廣泛應(yīng)用于我國(guó)金融、稅務(wù)、海關(guān)、電信、社保、檢察等國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的重要領(lǐng)域。數(shù)字證書(shū)認(rèn)證系統(tǒng)以密碼技術(shù)為核心、用于在互聯(lián)網(wǎng)信息交換中確認(rèn)身份、控制權(quán)限、確保交換信息的真實(shí)可信，實(shí)現(xiàn)安全認(rèn)證功能，為電子政務(wù)、電子商務(wù)和其他網(wǎng)上活動(dòng)的順利開(kāi)展提供安全保障。

金融行業(yè)：銀行、保險(xiǎn)、證券、網(wǎng)上期貨、網(wǎng)絡(luò)基金等

衛(wèi)生行業(yè)：人口健康信息、計(jì)生

教育：教育管理、計(jì)算機(jī)網(wǎng)、教育資源、電子校務(wù)等

公安：三級(jí)及以上網(wǎng)絡(luò)信息系統(tǒng)國(guó)家級(jí)信息化項(xiàng)目、公安信息網(wǎng)基礎(chǔ)設(shè)施、對(duì)外服務(wù)系統(tǒng)

交通：中鐵、售票、路政、高速公路、交通一卡通

政務(wù)及其他：工商、水利、財(cái)政部、水利部、國(guó)家能源局、原測(cè)繪地理信息局

什么是密碼算法？什么是密鑰？

密碼算法是實(shí)現(xiàn)密碼對(duì)信息進(jìn)行“明”、“密”變換的一種特定的規(guī)則。不同的密碼算法有不同的變換規(guī)則。因此，密碼算法也是加密算法、解密算法、簽名算法和認(rèn)證算法等各類算法的統(tǒng)稱。

密碼算法是用于加密和解密的數(shù)學(xué)函數(shù)，密碼算法是密碼協(xié)議的基礎(chǔ)。現(xiàn)行的密碼算法主要包括序列密碼、分組密碼、公鑰密碼、散列函數(shù)等，用于保證信息的安全，提供鑒別、完整性、抗抵賴等服務(wù)。假設(shè)我們想通過(guò)網(wǎng)絡(luò)發(fā)送消息P（P通常是明文數(shù)據(jù)包），使用密碼算法隱藏P的內(nèi)容可將P轉(zhuǎn)化成密文，這個(gè)轉(zhuǎn)化過(guò)程就叫做加密。與明文P相對(duì)應(yīng)的密文C的得到依靠一個(gè)附加的參數(shù)K，稱為密鑰。密文C的接收方為恢復(fù)明文，需要另一個(gè)密鑰K-1完成反方向的運(yùn)算。這個(gè)反向的過(guò)程稱為解密。

“密鑰”從字面上解釋，密鑰是秘密信息的鑰匙。掌握了密鑰就可以獲得保密的信息。具體來(lái)說(shuō)，密鑰是一組信息編碼，它參與密碼的“運(yùn)算”，并對(duì)密碼的“運(yùn)算”起特定的控制作用。密鑰是密碼技術(shù)中的重要組成部分。在密碼系統(tǒng)中，密鑰的生成、使用和管理至關(guān)重要。密鑰通常是需要嚴(yán)格保護(hù)的，密鑰的失控將導(dǎo)致密碼系統(tǒng)失效。

最常見(jiàn)的密碼運(yùn)算方式都有哪些？

出于信息保密的目的,在信息傳輸或存儲(chǔ)中,采用密碼技術(shù)對(duì)需要保密的信息進(jìn)行處理,使得處理后的信息不能被非受權(quán)者(含非法者)讀懂或解讀,這一過(guò)程稱為加密。在加密處理過(guò)程中,需要保密的信息稱為“明文”,經(jīng)加密處理后的信息稱為“密文”。加密即是將“明文”變?yōu)?ldquo;密文”的過(guò)程;與此類似,將“密文”變?yōu)?ldquo;明文”的過(guò)程被稱為解密。

最常見(jiàn)的密碼運(yùn)算方式有：數(shù)字簽名、數(shù)據(jù)加解密、數(shù)據(jù)摘要等。按密碼體制可分為：對(duì)稱和非對(duì)稱。

對(duì)稱加密

對(duì)稱加密是最快速、最簡(jiǎn)單的一種加密方式，加密（encryption）與解密（decryption）用的是同樣的密鑰（secret key）。對(duì)稱加密有很多種算法，由于它效率很高，所以被廣泛使用在很多加密協(xié)議的核心當(dāng)中。

常用對(duì)稱加密算法包括SM1、SM4、以及DES、3DES、AES。

非對(duì)稱加密

非對(duì)稱加密為數(shù)據(jù)的加密與解密提供了一個(gè)非常安全的方法，它使用了一對(duì)密鑰，公鑰（public key）和私鑰（private key）。私鑰只能由一方安全保管，不能外泄，而公鑰則可以發(fā)給任何請(qǐng)求它的人。非對(duì)稱加密使用這對(duì)密鑰中的一個(gè)進(jìn)行加密，而解密則需要另一個(gè)密鑰。比如，你向銀行請(qǐng)求公鑰，銀行將公鑰發(fā)給你，你使用公鑰對(duì)消息加密，那么只有私鑰的持有人--銀行才能對(duì)你的消息解密。與對(duì)稱加密不同的是，銀行不需要將私鑰通過(guò)網(wǎng)絡(luò)發(fā)送出去，因此安全性大大提高。

常用非對(duì)稱算法包括：SM2以及RSA、ECC。

數(shù)字簽名和加密解密的有什么區(qū)別？

數(shù)字簽名是對(duì)已有的數(shù)據(jù)做簽名，生成1個(gè)額外的簽名出來(lái)；但是加密算法，是把明文變成密文了；在網(wǎng)絡(luò)上傳輸，如果只有數(shù)字簽名，表現(xiàn)就是請(qǐng)求體里面加了1個(gè)簽名的字段，但是請(qǐng)求的其他參數(shù)還是明文發(fā)送的；但是如果是加密的話，就是對(duì)所有的請(qǐng)求參數(shù)都加密，請(qǐng)求就變成密文傳輸了。

電子認(rèn)證服務(wù)是指什么？

電子認(rèn)證服務(wù)，也稱為CA認(rèn)證服務(wù)，是指為電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的活動(dòng)服務(wù)。

證書(shū)頒發(fā)機(jī)構(gòu)（CA,Certificate Authority）即頒發(fā)數(shù)字證書(shū)的機(jī)構(gòu)，也稱為CA中心。它是負(fù)責(zé)發(fā)放和管理數(shù)字證書(shū)的權(quán)威機(jī)構(gòu)，并作為電子商務(wù)交易中受信任的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。

CA中心為每個(gè)使用公開(kāi)密鑰的用戶發(fā)放一個(gè)數(shù)字證書(shū)，數(shù)字證書(shū)的作用是證明證書(shū)中列出的用戶合法擁有證書(shū)中列出的公開(kāi)密鑰。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改證書(shū)。

使用數(shù)字證書(shū)能做什么？

數(shù)字證書(shū)在用戶公鑰后附加了用戶信息及CA的簽名。公鑰是密鑰對(duì)的一部分，另一部分是私鑰。公鑰公之于眾，誰(shuí)都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對(duì)應(yīng)的私鑰解密。為確保只有某個(gè)人才能閱讀自己的信件，發(fā)送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實(shí)發(fā)件人的身份，發(fā)送者要用自己的私鑰對(duì)信件進(jìn)行簽名；收件人可使用發(fā)送者的公鑰對(duì)簽名進(jìn)行驗(yàn)證，以確認(rèn)發(fā)送者的身份。

在線交易中您可使用數(shù)字證書(shū)驗(yàn)證對(duì)方身份。用數(shù)字證書(shū)加密信息，可以確保只有接收者才能解密、閱讀原文，信息在傳遞過(guò)程中的保密性和完整性。有了數(shù)字證書(shū)網(wǎng)上安全才得以實(shí)現(xiàn)，電子郵件、在線交易和信用卡購(gòu)物的安全才能得到保證。