计算机术语中的【密码】
不是你以为的“密码”
Part.1
密码的定义
密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
——《密码法》第二条
此密码非彼密码
我们每天都接触手机的开机“密码”或是微信、支付宝、银行卡的支付“密码”等等。它们都是由若干个字符或数字组成,那么生活中碰到的这些“密码”就是真正的密码吗?实际上它们是口令,这些数字和字符的组合只是作为个人取款的一个凭证,它是一种简单、初级的身份认证手段,并不是真正意义上的密码。
| 日常生活中的密码
password,pass“通行” word“暗号”,严格说来应该翻译成口令,是用来验证用户身份和权限的,比如我们解锁手机、登陆微博账号。
| 计算机术语中的密码
Cryptography,通过各种数学方法和机制实现数据的明文和密文相互转化,达到加密保护、安全认证的目的,例如RSA。
Part.2
密码的组成
1、密码算法
实现密码对信息进行“明”“密”变换、产生认证“标签“的一种特定规则。不同的密码算法实现不同的变换规则。算法是密码的关键,算法的强度决定了破译的难度。
2、密钥管理
根据安全策略,对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。算法是可以公开的,一切秘密寓于密钥之中,密钥的保密是重中之重。
3、密码协议
两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码应用遵循的交互规则,不安全的密码协议会导致系统存在从“旁路”或“后门”窃取信息的风险。
Part.3
密码的分类
※ 核心密码
保护信息的最高级为绝密级;
※ 普通密码
保护信息的最高级为机密级;
※ 商用密码
保护不属于国家秘密的信息;
商用密码是什么
Part.1
商用密码的定义
对不涉及国家秘密内容的信息进行加密保护或者安全认证,所使用的密码技术和密码产品。
Part.2
商用密码技术与产品
1、商用密码技术
指能够实现商用密码算法的加密、解密和认证等功能的技术。(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。
商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
2、商用密码产品
指实现密码运算、密钥管理等密码相关功能的硬件、软件、固件或其组合。
按形态可以划分为六类:软件、芯片、模块、板卡、整机、系统。
按功能可以划分为七类:密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
Part.3
商用密码的四大特性
1、真实性:防假冒
已授权用户可以正常访问使用,未授权用户禁止访问
2、完整性:防篡改
保证信息不被未经允许的授权改动
3、机密性:防泄漏
已授权用户可以正常查看,未授权用户无法查看
4、不可否认性:抗抵赖
用户不可否认之前针对资源的任何操作,包括访问、修改、删除等
Part.4
商用密码的应用领域
商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:电信、电力、能源、金融、交通等国家关键信息基础设施,我们日常用到的刷卡消费、社保系统、电子邮件,都大量使用商用密码,用来实现网络和信息的加密保护和安全认证。
↑个人敏感信息示例
原文始发于微信公众号(信息安全国家工程研究中心):密评科普① | 商用密码是什么你真的知道吗?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论