关于密码技术应用体系和密码标准体系 – 作者:CA-沃通WoSign

内容的维度来看，密码技术包括密码编码、实现、协议、安全防护、分析破译，以及密钥的产生、分发、传递、使用、销毁等。典型的密码技术包括密码算法、密钥管理和密码协议。

密码技术是如何发挥在网络空间中的安全作用的呢？首先我们来熟悉典型密码技术的三个基础概念。

密码算法

密码算法是实现密码对信息进行“明”“密”变换、产生认证“标签”的一种特定规则。主要包括对称密码算法、非对称密码算法、密码杂凑算法和随机生成算法。不同的密码算法实现不同的变换规则：加密算法实现从明文到密文的变换；解密算法实现从密文到明文的变换；数字签名算法实现类似于手写签名的功能；杂凑算法实现任意长消息压缩为固定长摘要的功能。

这些算法中最重要的数据、最关键的参数就是密钥。在密码算法研究中，其它的数据、其它的参数都是公开已知的。

密钥管理

密钥管理是指根据安全策略，对密钥的产生、分发、存储、更新、归档、撤销、备份、恢复和销毁等密钥全生命周期的管理。密钥是密码算法中控制密码变换的关键参数，它相当于一把“钥匙”。只有掌握了密钥，恢复成原来的明文。同样，为了能够产生独一无二的数字签名，也需要签名人拥有只有自己掌握的私有密钥，以确保签名不能被伪造。

密码协议

在利用密码算法构建多方之间的安全通信时，就涉及各种密码安全协议的设计和分析。密码协议是指两个或者两个以上参与者使用密码算法，为达到加密保护或者安全认证目的而约定的交互规则。密码协议是将密码算法等应用于具体使用环境的重要密码技术，具有十分丰富的内容。

例如，各种身份鉴别协议、TLS协议、IPSec协议等，都是常用的密码安全协议。此外，针对不同的应用场景（例如，区块链、云计算、物联网等），设计专门的密码安全协议，也是当前应用密码学研究的重要内容之一。

（来自：《浅解密码应用安全的技术体系》林璟锵、荆继武）

常见密码技术与安全性能

密码应用技术框架为密码技术研发、产品研制、应用服务和管理提供了重要理论指导，为构建典型密码应用技术体系发挥了重要作用。

而密码技术要实现真正发挥安全支撑作用，必须合规、正确、有效地使用密码，使用自主、安全、可控的密码。因为各种原因，部分用户以及密码厂商、信息系统开发商会自觉或不自觉地弃用、乱用、误用密码技术，导致了应用系统安全性得不到有效保障，甚至还会造成一些不合规不安全的密码产品遭受攻击者的入侵和破坏，造成更大的不必要的损失。因此我们需要有针对各类密码技术安全应用的法律、标准、评估条例等做技术标准支撑，《密码法》第二十二条规定:国家建立和完善商用密码标准体系。商用密码标准化是实现商用密码技术自主创新、促进商用密码产业发展、构建商用密码应用体系的重要支撑。《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。

截至2019年12月，国家标准化管理委员会已发布商用密码国家标准29项，国家密码管理局已发布商用密码行业标准91项，覆盖商用密码技术、产品、服务、应用、检测和管理等多个领域,构建了较为齐全完备的商用密码标准体系，有效发挥了商用密码标准在引领科技进步、推动产业发展、促进互联互通、助力应用推进、优化管理服务等方面的重要作用。

参考文献：

《浅解密码应用安全的技术体系》林璟锵、荆继武

《商用密码应用与安全性评估》霍炜

来源：freebuf.com 2021-06-21 14:33:36 by: CA-沃通WoSign