密码是网络空间安全的基石，时刻保护着国家安全、社会经济和个人隐私。密码应用依赖于密码支撑，而密码支撑需要正确规范地使用才能够发挥价值。经过长期发展，密码支撑逐渐形成了密码标准，不断推动着密码产业的发展。

 

　　>>> 密码的内涵和作用 <<<

 

　　随着计算机应用和网络技术的迅速普及密码”已经成为家喻户晓、不可或缺的词汇但若被问起“密码是什么？”，恐怕少有人能够给出一个令多数人信服的回答。一般来讲老百姓理解的密码就是自己登录电脑或者查询银行卡的口令；而专业人士的密码，通常包括一系列算法、协议、实现策略和管理办法。

 

　　密码具有悠久的历史，其含义也在发展过程中不断演变，甚至已经逐渐形成了一门学科——密码学。严格来讲，密码是指使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术。其中加密保护是指使用特定变换，将原来可读的信息变成不能识别的符号序列，从而保护信息的机密性；安全认证是指使用特定变换，确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实等，从而保护信息的真实性、数据的完整性和行为的不可否认性。物项是指实现加密保护或安全认证功能的设备与系统，技术是指物项实现加密保护或安全认证功能的方法或手段。

 

　　密码在网络空间中身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用。相对于其他类型的安全手段，如人力保护、设备加固、物理隔离、防火墙、监控技术、生物技术等，密码技术是保障网络与信息安全最有效、最可靠、最经济的手段。

 

　　>>> 密码的价值在于应用 <<<

 

　　密码科学属于应用科学，其各项成果已经深入应用到各国军事、政治、经济和外交等领域，成为国与国之间较量的重器。

 

　　历史上，因为密码破译导致战争形势逆转的事例举不胜举。二战中，英国海军捕获了德国潜艇 U-110，对其中的恩尼格码密码机和密码本如获至宝；经过后期大量的研究和明密文统计后，终于破解了德军加密通信，从而在战争中赢得主动。类似地，在著名的中途岛海战中，美国海军破解了日本海军主要通信系统 JN-25的部分密码，获知其将以较大兵力攻击中途岛的关键情报；于是提前埋伏，以少胜多，给予日本海军沉重打击，取得了太平洋战区的主动权，扭转了二战局势。毫不夸张地讲，密码破译加速了二战的结束。

 

　　而在当代经济建设中，密码同样发挥着举足轻重的作用，为金融、证券、保险、税务、电力、交通、通信、航天等行业提供了关键有效的信息安全防护能力。

 

　　图 1 网上银行密码应用示意

 

　　以人们熟悉的网上银行为例。在交易过程中，密码实现了用户与网银系统的双向身份认证，保证了交易双方身份的真实性，保证了秘密信息 PIN 在金融交易过程中始终以密文形式存在，保证了用户和网银系统之间信息的机密性和完整性，保证了数据在金融交易过程中的完整性，保证了发送方和接收方交易行为的不可抵赖性。

 

　　>>> 密码应用需要密码支撑<<<

 

　　现实信息系统中各种应用对安全的需求种类繁多、五花八门。有的数据只需要机密性保护，有的同时需要机密性和完整性保护；有的需要长期加密存储，有的仅需要短时间内不被泄漏。而与此同时，应用环境支撑密码算法、协议运行的软硬件性能也有很大的差异。特别是随着云计算、大数据、物联网、移动互联网、智能家居等新型信息技术的发展，密码如何正确使用的问题变得越来越复杂。

 

　　从内容上看，密码技术主要包括密码算法、密钥管理和密码协议。其中密码算法可分为加密算法、解密算法、数字签名算法和杂凑算法；密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等；而密码协议更是名目繁多，举不胜举。

 

　　这就导致如何将不同的密码技术在现实条件下根据应用需求合理配置科学使用成为一个专业问题。经过长期发展，当前密码行业已经形成了以密码支撑为主体的建设模式，通过密码支撑为上层的密码应用、安全应用和常规应用提供基础的密码服务，如图 2。

 

　　图 2  密码支撑、密码应用、安全应用与常规应用关系

 

　　狭义的密码支撑包括密码产品、密码系统、密码基础设施等，具体的产品形式可分为安全芯片类、密码模块类和密码整机类。它们屏蔽了底层密码计算的多样性、指令的复杂性，实现了密码资源的统一调用和管理。广义的密码支撑还包括密码检测机构、密码标准和密码管理政策等。它们规范了密码监督、管理和使用，增强了密码安全保障能力。

 

　　相比较地，密码支撑之外的产品、系统、基础设施、检测、标准、管理政策等被称为非密码支撑。它们和密码支撑共同为上层的安全应用提供信息系统必需的资源支持。

 

　　>>> 密码支撑不等于实际安全<<<

 

　　密码支撑的模式使得人们对密码技术的应用化繁为简，密码行业提供支撑资源，应用行业直接调配使用即可，这极大促进了密码产业与相关产业的融合发展。

 

　　但值得注意的是，密码不等于安全。应用系统通过安全应用获得密码支撑，并不意味着一定解决了其安全问题。通常有以下三方面原因：

 

　　密码支撑被弃用。个别信息系统应用开发商对密码在安全防护中的重要地位缺乏认识，为节省资源或者贪图轻巧，在其开发工作中故意忽视密码支撑。注意到，只有被安全应用调用，密码支撑资源才有机会发挥作用。所以此类应用中数据的机密性、完整性、认证性等缺乏相应密码算法、协议、机制的防护，整个系统毫无安全可言。

 

　　密码支撑被误用。部分信息系统应用开发商对密码配用缺乏技能和经验，不了解密码算法的类型、协议参与方的角色要求、关键参数的类型和规模等基本知识，错误地调用密码支撑资源，导致不可避免的安全漏洞。常见的案例包括颠倒分组密码中密钥和明文的位置、固定使用加密算法初始向量、在数字签名中使用计数器代替随机数、在身份鉴别中颠倒挑战者响应者角色等。

 

　　密码支撑被乱用。个别信息系统应用开发商对密码在信息互联互通中的重要影响缺乏认识，执行密码标准不严格，不规范地调用密码支撑资源，导致系统无法对接甚至安全漏洞。常见的案例包括未明确约定协议底层使用的算法名称及参数、擅自修改数据接口及数据格式、简化使用标准所规定的密码协议等。

 

　　弃用、误用、乱用密码支撑都将导致安全问题，所以正确规范地使用密码支撑资源是信息系统应用开发商必须认真学习熟练掌握的基本能力。同时也必须认识到，只有信息系统应用开发商才有机会了解提炼客户的实际安全需求，从而在其调用密码支撑资源建设安全应用的过程中有机会努力做到“正确规范”。

 

　　以某应用中需要“抗抵赖签名”为例，关键信息包括签名者的身份、签署内容的类型、具体的数据格式以及验签者的身份等。这些与实际应用密切相关的细节信息，是密码支撑自身所不能够掌握的。应用开发商务必与客户深入沟通，明确此类细节，提炼客户安全需求，从而为正确规范地调用密码支撑资源做好充足准备。

 

　　>>>密码支撑形成密码标准 <<<

 

　　在对外展现可靠和便利的同时，密码支撑的建设模式也促进了密码行业自身梳理思路，良性发展。经过多年的探索，以密码支撑为主体的商用密码应用技术框架（见图 3）设计科学，运行成熟，并广泛应用到金融、保险、证券、通信、广播电视、税务、社保、交通、医疗、电力等诸多关系到国计民生的重要领域，极大促进了国内商用信息安全保障体系的建设。

 

　　图 3 商用密码应用技术框架

 

　　通过持续建设密码支撑能力，国家密码管理局自 2012 年以来陆续发布了一系列我国自主的密码技术标准。截至 2017 年 6 月，已发布密码行业标准 53 项，范围涵盖基础密码算法、密码应用协议、密码设备接口等多个方面，已经初步形成体系化的密码技术标准结构。

 

　　截至 2017 年 7 月，已有 11 项密码行业标准上升成为国家标准，SM2/3/4/9[2-3] 均进 入 国际 ISO 标准的不同制定阶段，ZUC 算法则早在2011 年 9 月成为 LTE 国际标准，用于实现新一代宽带无线移动通信系统中的无线信道加密和完整性保护 。

 

   　>>>密码标准促进密码发展 <<<

 

　　密码标准的建设为密码技术、密码产品、密码管理和密码检测等分别提供了统一的依据，帮助密码从业人员理清了发展思路，使得科研有目标，应用有依据，检测有指标，管理有办法；同时为产业界整合密码资源，构建信任服务，保障产品质量提供了必要的战略战术指导。

 

　　以我国目前已经形成的密码行业标准为例，其包括基础、应用、检测和管理四大类共十三子类，见图 4。这四大类标准既可以支撑密码产品研制、密码应用和密码管理，也可以支撑其他行业用户构建本行业密码应用标准。

 

　　图 4 密码行业标准体系

 

　　同时，这四大类标准之间相互联系紧密。基础类标准为其他三类标准提供底层、共性支撑（如算法、术语、密码协议、密码产品等）；检测类标准为基础类标准和应用类标准提供合规性检测功能，保障密码使用的合规性；管理类标准提供管理功能；应用类标准为上层具体密码应用和密码服务提供支撑。

 

　　此外，密码标准的国际化推进提升了我国在国际密码领域的话语权，扩大了我国密码在国际市场的应用范围，增强了我国密码技术、标准、产品的全球影响力和核心竞争力。

 

　　>>>结语<<<

 

　　随着信息系统的多样化发展，密码应用的环境正在变得越来越复杂。应用系统中安全漏洞频发，责任边界却模糊不清。

 

　　本文介绍并分析了密码支撑的内涵和外延，通过阐述密码支撑与密码应用、安全应用和常规应用之间的关系，本文尝试明确，保障可靠稳定的密码支撑是密码从业人员的本职，而“应用中的安全问题”是用户或信息系统开发商自身必须要了解的需求，如何使用密码支撑来解决其安全问题是信息安全服务商必须要掌握的方法。务必各司其职，各负其责。

 

　　密码从业单位务必理清观念，做好教育、培训、宣传、指导和帮助工作，使得用户或信息系统开发商能够了解密码，在其行业标准中引用密码标准；使得信息安全服务商能够正确使用密码，在安全建设中构建合适的密码应用中间层。同时，密码从业单位应该围绕密码支撑体系展开工作，将密码理论与新技术的研究成果切实在密码工程实现中落地，做好密码支撑体系的创新、研发与建设工作。

 

　　希望本文能够为密码从业人员认识行业特点，找准自身定位，确定发展思路提供一定参考。

 

　　（本文选自《信息安全与通信保密》2018年第五期）