密码工程原理与技术——概述
一、密码定义
《密码法》中的定义为:“密码”,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
二、密码的作用
1.机密性技术要求保护对象
使用密码技术的加解密功能实现机密性。
·身份鉴别信息
·秘钥数据
·传输的重要数据
·信息系统应用中所有存储的重要数据
2.完整性技术要求保护对象
使用基于对称密码算法或者密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术完整性。
·身份鉴别信息
·秘钥数据
·日志记录
·访问控制
·重要信息资源安全标记
·重要可执行程序
·视频监控音像记录
·电子门禁系统进出记录
·传输的重要数据
·信息系统应用中的所存储的重要数据
3.真实性技术要求应用场景
使用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制、基于公钥密码算法的数字签名机制等密码技术实现真实性。
·进入重要物理区域人员的身份鉴别
·通信双方的身份鉴别
·网络设备接入时的身份鉴别
·重要可执行程序的来源真实性的保证
·登录操作系统和数据库系统的用户身份鉴别
·应用系统的用户身份鉴别
4.不可否认技术要求保护对象
使用基于公钥密码算法的数据签名机制等密码技术来保证数据的原发行为的不可否认性和数据接收的不可否认性。
密钥生命周期管理
三、威胁模型
我们需要在特定的威胁模型下评估系统的安全性
·那些是有价值的资产
·面临哪些威胁?风险的优先级?
四、安全性与其他设计准则
安全性并非设计的唯一准则。在不牺牲安全性的基础上,追求尽可能高的性能是至关重要的。
以口令认证与数字证书为例,后者虽然在安全性上更为可靠,但对于保密需求较低的模块来说,使用数字证书及其频繁的密钥更新,无疑给运营方带来了更高的维护成本,同时对用户而言,多次更换密钥也增加了记忆负担。
数据加密同样会带来一定的不便。例如,对于加密的数据库,我们无法直接处理其中的数据,这无疑增加了时间成本。
因此,在设计系统时,我们需要在安全性和性能之间找到平衡点,以确保既能保障系统安全,又能提供高效的服务。
五、标准化
·国际标准化
3GPP、IETF、ITU_T、ISO、NIST、W3C的DID、OASIS、GP、ECMA、PCI
·国内标准化
“密码行业标准化技术委员会”
六、相关法律法规
商用密码
商用密码在守护非国家秘密类信息方面扮演着关键角色,它们的应用广泛涉及国家关键的信息基础设施以及公众的日常生活。这些领域包括金融、通信、公共安全、税务、社会保障、交通、卫生健康、能源和电子政务等关键部门。商用密码不仅在捍卫国家安全、推动经济和社会进步方面起到至关重要的作用,还在保护公民、法人及其他组织的法律权益上具有重大意义。
商用密码标准体系
商用密码国家标准、行业标准属于政府主导制定的标准,商用密码团体标准、企业标准属于市场主体自主制定的标准。
商用密码国家标准由国家标准化管理委员会组织制定,代号为GB。
商用密码行业标准由国家密码管理局组织制定,报国家标准化管理委员会备案,代号为GM。
商用密码团体标准由商用密码领域的学会、协会等社会团体制定商用密码企业标准由商用密码企业制定或者企业联合制定。
商用密码产品
在密码行业,从业单位通常有权自主决定是否对其商用密码产品进行检测认证。
然而,当这些商用密码产品涉及国家安全、国民经济命脉或社会公共利益,并且被列入网络关键设备与网络安全专用产品目录,或者是使用网络关键设备及网络安全专用产品的商用密码服务时,便需遵循国家相关法律法规的严格要求。此时,只有经过具备相应资质的检测认证机构的审核并取得合格证明后,这些产品才能正式销售或提供给市场。
密码分类管理
国家对密码实行分类管理,密码分为核心密码、普通密码和商用密码:
核心密码:保护国家秘密,保护绝密级、机密级、秘密级的国家秘密;
普通密码:保护国家秘密,保护机密级、秘密级的国家秘密;
商用密码:保护不属于国家秘密的信息,采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。