淺談密碼學與網(wǎng)絡信息安全技術(shù)

鄭廣遠 孫彩英

1 信息安全的要素和威脅

1.1 信息安全要素

信息安全一般包括5 項基本要素:機密性、完整性、可用性、可控性與可審查性。

(1)機密性:確保信息不暴露給未授權(quán)的實體或進程。

(2)完整性:只有得到允許的人才能修改數(shù)據(jù),并且能夠判別出數(shù)據(jù)是否已被篡改。

(3)可用性:得到授權(quán)的實體在需要時可訪問數(shù)據(jù),即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。

(4)可控性:可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。

(5)可審查性:對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。

1.2 網(wǎng)絡存在的威脅

一般認為,目前網(wǎng)絡存在的威脅主要表現(xiàn)在:

(1)非授權(quán)訪問。沒有預先經(jīng)過同意,就使用網(wǎng)絡或計算機資源被看作非授權(quán)訪問,如有意避開系統(tǒng)訪問控制機制,對網(wǎng)絡設備及資源進行非正常使用,或擅自擴大權(quán)限,越權(quán)訪問信息。其主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網(wǎng)絡系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

(2)信息泄漏或丟失。指敏感數(shù)據(jù)在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如“黑客”利用電磁泄漏或搭線竊聽等方式可截獲機密信息);信息在存儲介質(zhì)中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。

(3)破壞數(shù)據(jù)完整性。以非法手段竊得對數(shù)據(jù)的使用權(quán),刪除、修改、插入或重發(fā)某些重要信息,以取得有益于攻擊者的響應;惡意添加,修改數(shù)據(jù),以干擾用戶的正常使用。

(4)拒絕服務攻擊。它不斷對網(wǎng)絡服務系統(tǒng)進行干擾,改變其正常的作業(yè)流程,執(zhí)行無關(guān)程序使系統(tǒng)響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡系統(tǒng)或不能得到相應的服務。

2 信息安全主要技術(shù)的發(fā)展

2.1 防火墻技術(shù)

防火墻是加強Internet之間安全防御的一個或一組系統(tǒng)，它由一組硬件設備(包括路由器、服務器)及相應軟件構(gòu)成。監(jiān)測并過濾所有內(nèi)部網(wǎng)和外部網(wǎng)之間的信息交換，起到保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。因此防火墻是網(wǎng)絡安全的屏障、可以強化網(wǎng)絡安全策略、對網(wǎng)絡存取和訪問進行監(jiān)控審計、防止內(nèi)部信息外泄。自從1986年美國Digital公司在Internet上安裝了全球第一個用防火墻系統(tǒng),提出防火墻的概念以來，防火墻技術(shù)經(jīng)歷四個發(fā)展階段，第一階段包過濾防火墻；第二階段電路層防火墻；第三階段應用層防火墻；目前第四階段全方位技術(shù)集成型防火墻，它可以抵御目前常見的網(wǎng)絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、蠕蟲、郵件攻擊等。目前防火墻技術(shù)可分為二大類：（1）分組過濾：作用在網(wǎng)絡層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端口號、協(xié)議類型等標志確定是否允許數(shù)據(jù)包通過；（2）應用代理：它作用在應用層，其特點是完全“阻隔”了網(wǎng)絡通信流，通過對每種應用服務編制專門的代理程序，實現(xiàn)監(jiān)視和控制應用層通信流的作用。

2.2 信息加密技術(shù)

在諸多保障信息安全的技術(shù)中，加密技術(shù)是信息安全的核心技術(shù)，是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成不可直接讀取的秘文，對電子信息在傳輸過程中或存儲體內(nèi)進行保護，以阻止信息泄露或被盜取，從而確保信息的安全性。保密通信、計算機密鑰、防復制軟盤等都屬于信息加密技術(shù)。加密算法是信息加密技術(shù)的核心部分，按照發(fā)展進程來看，加密算法經(jīng)歷了古典密碼、對稱密鑰密碼和公開密鑰密碼三個階段。古典密碼算法有替代加密、置換加密；對稱加密算法包括DES和AES；非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal D.H等。目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同時隨著技術(shù)的進步，加密技術(shù)正結(jié)合芯片技術(shù)和量子技術(shù)逐步形成密碼專用芯片和量子加密技術(shù)。

2.3 反病毒技術(shù)

自從1987年10月第一例計算機病毒Brain誕生以來，計算機病毒的種類急劇增多，特征愈來愈復雜，造成的損失日益擴大，反病毒技術(shù)應運而生，并隨著病毒技術(shù)的發(fā)展而發(fā)展。反病毒技術(shù)可劃分成兩大類：靜態(tài)反病毒技術(shù)和動態(tài)或?qū)崟r反病毒技術(shù)。靜態(tài)反病毒技術(shù)因其無法隨時判斷系統(tǒng)是否已經(jīng)被感染病毒，正在逐步失去其“可用性”而逐漸被用戶所摒棄。動態(tài)或?qū)崟r反病毒技術(shù)具有比其他類型應用程序更高的優(yōu)先級且更靠近系統(tǒng)底層資源，可以更全面、徹底地控制系統(tǒng)資源，并在病毒入侵時即使報警，是目前應用廣泛的反病毒技術(shù)。

2.4 入侵檢測技術(shù)

一般而言，入侵檢測技術(shù)是通過網(wǎng)絡封包或信息的收集，檢測到可能的入侵行為，并且能在入侵行為造成危害前及時發(fā)出報警通知系統(tǒng)管理員或防護系統(tǒng)驅(qū)逐入侵攻擊。入侵檢測技術(shù)可分為特征檢測與異常檢測兩種。特征檢測是利用已知系統(tǒng)和應用軟件的弱點攻擊模式來檢測入侵；異常檢測是比較過去觀察到的正常行為與受到攻擊時的行為，與已知行為模型相異的則視為入侵行為。因此入侵檢測是對防火墻及其有益的補充?？稍诓挥绊懢W(wǎng)絡性能的情況下對網(wǎng)絡進行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，大大提高了網(wǎng)絡的安全性。

3 密碼技術(shù)

在我們的世界中，安全是一個相當簡單的詞匯。我們?yōu)槭裁匆獮樾畔⒃O置密碼，添加安全鎖呢？密碼又到底是什么東西呢？其實，密碼就像我們的身份證一樣，證明了登錄系統(tǒng)的人或應用程序的合法性。我們加密就像是加了一道鎖，鎖住你不想讓別人看見的資料或信息，這只是一個比喻，實際上它就是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閿_碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。拒絕未經(jīng)授權(quán)或是未通過系統(tǒng)身份驗證的用戶的訪問。密碼就是為了防止未被允許進入的陌生人進入你的“賬戶”、“系統(tǒng)”等讀寫你的文件和數(shù)據(jù)。密碼技術(shù)是實現(xiàn)網(wǎng)絡信息安全的核心技術(shù)，是保護數(shù)據(jù)最重要的工具之一。通過加密變換，將可讀的文件變換成不可理解的亂碼，從而起到保護信息和數(shù)據(jù)的作用。從專業(yè)上來講，密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為脫密變換。密碼在早期僅對文字或數(shù)碼進行加、脫密變換，隨著通信技術(shù)的發(fā)展，對語音、圖像、數(shù)據(jù)等都可實施加、脫密變換。為了研究密碼所以就有了密碼學。密碼學是研究編制密碼和破譯密碼的技術(shù)科學。研究密碼變化的客觀規(guī)律，應用于編制密碼以保守通信秘密的，稱為編碼學；應用于破譯密碼以獲取通信情報的，稱為破譯學，總稱密碼學。密碼學是在編碼與破譯的斗爭實踐中逐步發(fā)展起來的，并隨著先進科學技術(shù)的應用，已成為一門綜合性的尖端技術(shù)科學。它與語言學、數(shù)學、電子學、聲學、信息論、計算機科學等有著廣泛而密切的聯(lián)系。它的現(xiàn)實研究成果，特別是各國政府現(xiàn)用的密碼編制及破譯手段都具有高度的機密性。完成加密和解密的算法，稱為密碼的體制。密碼體制分為私用密鑰加密技術(shù)（對稱加密）和公開密鑰加密技術(shù)（非對稱加密）。數(shù)據(jù)的加密和解密過程通常是通過密碼體制（ciphersystem）+密鑰（keyword）來控制的。密碼體制的安全性是通過密鑰的安全性來實現(xiàn)的，現(xiàn)代密碼學更注重的是追求加密算法的完備性而不是保密性，即：使攻擊者在不知道密鑰的情況下，沒有辦法從算法找到突破口。密鑰是密碼編制的重要組成部分，它是指示這種變換的參數(shù)。密碼體制是由四種基本類型組成：錯亂——按照規(guī)定的圖形和線路，改變明文字母或數(shù)碼等的位置成為密文；代替——用一個或多個代替表將明文字母或數(shù)碼等代替為密文；密本——用預先編定的字母或數(shù)字密碼組，代替一定的詞組單詞等變明文為密文；加亂——用有限元素組成的一串序列作為亂數(shù)，按規(guī)定的算法，同明文序列相結(jié)合變成密文。以上四種密碼體制，既可單獨也可混合使用，以編制出各種復雜度很高的實用密碼。利用文字和密碼的規(guī)律，在一定條件下，采取各種技術(shù)手段，通過對截取密文的分析，以求得明文，還原密碼編制，即破譯密碼。破譯不同強度的密碼，對條件的要求也不相同，甚至很不相同。

當今世界各主要國家的政府都十分重視密碼工作，有的設立龐大機構(gòu)，撥出巨額經(jīng)費，集中數(shù)以萬計的專家和科技人員，投入大量高速的電子計算機和其他先進設備進行工作。與此同時，各民間企業(yè)和學術(shù)界也對密碼日益重視，不少數(shù)學家、計算機學家和其他有關(guān)學科的專家也投身于密碼學的研究行列，更加速了密碼學的發(fā)展。

從密碼學發(fā)展歷程來看，可分為古典密碼（以字符為基本加密單元的密碼）以及現(xiàn)代密碼（以信息塊為基本加密單元的密碼）兩類。而古典密碼有著悠久的歷史，從古代一直到計算機出現(xiàn)以前，古典密碼學主要有兩大基本方法：①代替密碼：就是將明文的字符替換為密文中的另一種的字符，接收者只要對密文做反向替換就可以恢復出明文。②置換密碼（又稱易位密碼）：明文的字母保持相同，但順序被打亂了。

對于現(xiàn)代密碼學的發(fā)展，例如“指紋識別技術(shù)”。指紋系統(tǒng)邏輯結(jié)構(gòu)包括郵政金融業(yè)務系統(tǒng)和指紋認證系統(tǒng)兩部分系統(tǒng)之間通過接口互相調(diào)用、通訊實現(xiàn)業(yè)務系統(tǒng)內(nèi)部人員的身份認證。天津郵政儲蓄指紋認證系統(tǒng)包括認證和管理兩大部分:認證部分實現(xiàn)本地和遠程的指紋身份驗證；管理部分完成指紋設備、人員信息的管理。管理系統(tǒng)劃分為省中心指紋管理系統(tǒng)、區(qū)縣指紋管理系統(tǒng)、網(wǎng)點指紋管理系統(tǒng)。

指紋技術(shù)的應用，有效杜絕了過去由于操作性風險導致的金融案件。采用指紋技術(shù)后柜員操作及授權(quán)業(yè)務只能是當事人操作完全杜絕了替代和非法授權(quán)的情況發(fā)生。由于是對本人指紋進行采集和識別，因而別人無法窺視、盜竊他人密碼，從而切斷了非正常途徑傳送密碼的可能（防止高智商作案）提高工作速度，指紋錄入及識別大約1秒這比手工輸入密碼要快。柜員和主管都不用費時定期更換密碼，也不必用其他手段來保護密碼。另外，該系統(tǒng)應用簡單，不用對使用者作過多要求易學易用。

密碼在當今社會生活中的作用可以說十分巨大，軍事國防方面，現(xiàn)代金融、貿(mào)易、生產(chǎn)等無不在大規(guī)模使用密碼。計算機網(wǎng)絡的廣泛應用，使人們對密碼的依賴達到了新的高度，在千百萬臺計算機聯(lián)結(jié)成的因特網(wǎng)上，用戶的識別基本上是靠密碼。密碼被破譯就會產(chǎn)生危及安全的極嚴重的后果。計算機“黑客”的作為，即為密碼破譯的一例，連美國國防部的計算機都未能幸免，可見密碼編制的難度了。在如今生物密碼技術(shù)還不熟練的前提下，我們只有更加注意防范，以免信息泄露，受到傷害。

密碼學盡管在網(wǎng)絡信息安全中具有舉足輕重的作用，但密碼學絕不是確保網(wǎng)絡信息安全的惟一工具，它也不能解決所有的安全問題。同時，密碼編碼與密碼分析是一對矛和盾的關(guān)系，俗話說：“道高一尺，魔高一丈”，它們在發(fā)展中始終處于一種動態(tài)的平衡。所以我們更應該加快加密技術(shù)的進步，來保障我們的個人信息安全，企業(yè)的機密安全和國家的機密安全。我相信，生物加密技術(shù)的產(chǎn)生與廣泛應用將會使加密技術(shù)推向現(xiàn)代密碼學的頂峰，將會更有效，更方便的保護人類的各種信息安全。

4 現(xiàn)有密碼技術(shù)局限性總結(jié)

當前密碼技術(shù)的安全信息系統(tǒng)都是基于以下三個公設：

（1）隨機性公設：認為產(chǎn)生均勻分布的隨機比特序列是可能的。

（2）計算公設：認為在一個合理的計算時間內(nèi)，單向函數(shù)是存在的，它正向計算容易，求逆困難。

（3）物理公設：認為對存儲于單一地域的信息實行物理保護是可能的。

密鑰需不停更新，要隨機產(chǎn)生，做到不可預測，來防止敵手在已破譯部分密文掌握密鑰的情況下，破譯接下來的加密信息。理論上，真隨機數(shù)可從自然的隨機現(xiàn)象中提取，但在實現(xiàn)過程中，存在著電子技術(shù)中客觀存在的頻率不穩(wěn)、相位不穩(wěn)、幅度不穩(wěn)以及同步捕捉等不確定因素，所以真的隨機數(shù)不能再生且很難獲得，而由算法和電子硬件所產(chǎn)生的偽隨機數(shù)并不是都具有不可預測性，這樣的隨機序列是不安全不能用的。對于加密算法，是越來越復雜，在已知密鑰的情況下，解密容易，不知密鑰的情況下，解密從時間上看成為不可能；從已知公鑰推算私鑰在時間上不可能，這就是計算公設中的“單向函數(shù)是存在的，它正向計算容易，求逆困難”。然而，單鑰分組密碼、公鑰密碼依賴于器件，公鑰密碼還依賴于數(shù)學難題，在當前硬件設備的各能力下，各計算公設成立的加密技術(shù)，并不一定能保證以后計算能力加大的情況下也是“在一個合理的計算時間內(nèi)求逆困難”。因為在理論上這些數(shù)學難題是可破的，只是現(xiàn)在的設備無法在合理的時間內(nèi)完成。對于RSA，其安全性是基于大素數(shù)分解的難解性，目前尚未證明大整數(shù)的素分解問題是難解問題，對于橢圓曲線公鑰密碼，其安全性依賴于橢圓曲線離散對數(shù)問題，一樣不是不可解的。對于物理公設，認為對儲存在單一地域的信息實行物理保護是可能的，但物理保護長距離的發(fā)送信息是非常困難的。對于單鑰密碼系統(tǒng)，密鑰的共享要求密鑰進行分發(fā)需要長距離傳送；公鑰密碼系統(tǒng)中，公鑰的分發(fā)也是長距離傳送，要保證傳送密鑰的安全，在現(xiàn)代網(wǎng)絡條件下就要求更高級的安全信道來傳送密鑰，而高級的安全信道又要求好的密碼體制……如此反復。也許我們可以這么想，對傳送密鑰先加密再傳送，這樣，即使在長距離傳送過程中被敵手截取到，但因沒有加密密鑰的密鑰而無法知道正在發(fā)送的密鑰原樣是什么，從而確保密文不被破解。然而加密密鑰的密鑰保存和發(fā)送又是一個問題，問題一級一級的傳遞下去，如此反復。密鑰的保管也是一個尷尬的問題。除了以上所提到的這些尷尬以外，為了提高加密的安全性強度，密鑰長度不斷加大，密鑰長度直接關(guān)系到計算資源、存儲、通信和計算時間的開銷，即成本上和時間上的開銷。安全性要求密鑰增長，密鑰增長加大各類開銷而導致密碼系統(tǒng)又不實用，這又是一對尷尬的矛盾。

5 關(guān)于密碼的法律與政策

5.1 關(guān)于密碼的相關(guān)法律

在我國，有《商用密碼管理條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)保密管理規(guī)定》等與密碼相關(guān)的法律法規(guī)。同時各省市也有各自的相關(guān)的地方法律規(guī)定。在《商用密碼管理條例》中有以下的規(guī)定：

（1）商用密碼產(chǎn)品由國家密碼管理機構(gòu)許可的單位銷售；

（2）銷售商用密碼產(chǎn)品應向國家密碼管理機構(gòu)提出申請且須具備相關(guān)條件；

（3）銷售商用密碼產(chǎn)品應記錄購買者的用途等詳細情況；

（4）進出口密碼相關(guān)產(chǎn)品須經(jīng)國家密碼管理機構(gòu)批準?？梢钥闯?，我國對密碼的應用管理也有著及其嚴格的要求。但是，如果仔細比較我國的相關(guān)法律法規(guī)，會發(fā)現(xiàn)存在著“重復管理，處罰不同”的問題，其中也肯定會出現(xiàn)一定的漏洞，所以我國在這方面的法律法規(guī)也亟需繼續(xù)完善。

5.2 各國關(guān)于密碼的政策

俄羅斯的密碼政策。進口國外制造的加密設備需要獲得許可證，加密技術(shù)的出口受國家的嚴格控制。1995年4 月，葉利欽總統(tǒng)發(fā)布了一條命令，禁止未經(jīng)授權(quán)的加密。國有企業(yè)需要有許可證才能使用加密技術(shù)（包括身份驗證和保密，存儲和傳輸）。沒有獲得許可證，禁止開發(fā)、實現(xiàn)或運行加密技術(shù)。

美國的密碼政策。對于加密技術(shù)沒有進口限制，其加密技術(shù)出口限制極嚴格。從上面可以看出，各國對本國的密碼技術(shù)出口有著嚴格的限制，進而也說明密碼技術(shù)對一個國家而言的重要程度。

6 結(jié)束語

作為信息網(wǎng)絡安全的關(guān)鍵技術(shù)——密碼技術(shù)，近年來空前活躍，由于計算機運算速度的不斷提高，各種密鑰算法也面臨著新的密碼體制，眾多密碼新技術(shù)正處于不斷探索中。信息技術(shù)的應用在我國越來越廣泛，其安全問題越來越突出，網(wǎng)絡的安全只是相對而言，網(wǎng)絡沒有絕對安全。盡管有各類法律的保障，但數(shù)據(jù)安全不能太過于依靠法律法規(guī)。法律只能在安全方面對相關(guān)人員增加約束力，而無法杜絕違法行為的產(chǎn)生。信息安全問題涉及到國家安全、社會公共安全，世界各國已經(jīng)認識到信息安全涉及重大國家利益，是互聯(lián)網(wǎng)經(jīng)濟的制高點，也是推動互聯(lián)網(wǎng)發(fā)展、電子政務和電子商務的關(guān)鍵，包括密碼技術(shù)在內(nèi)的信息安全技術(shù)將得到更大的發(fā)展。

[1]楊明，謝希仁,等.密碼編碼學與網(wǎng)絡安全：原理與實踐（第二版）[M].北京：電子出版社，2002.

[2]馮登國.密碼分析學[M].北京：清華大學出版社，2000.

[3]石淑華，池瑞楠.計算機網(wǎng)絡安全技術(shù)[M].北京：人民郵電出版，2008,12.

[4]公安部.計算機信息系統(tǒng)安全技術(shù)[M].北京：群眾出版社，1998,6.