中孚智库观察观察 | 小密码大作用
如今,密码已经深入我们生活的方方面面,用于保障我们在网络空间的安全:个人的第二代居民身份证、银行卡、社保卡等智能IC卡都具备密码防护功能;日常通过个人电脑访问百度、今日头条、腾讯、京东、天猫等网站,都会在网站地址前面看到有把小锁,这表明我们访问的网站采用了密码技术用于保护我们个人信息的安全;我们在个人电脑使用的微信、QQ、Chrome浏览器、PDF、Foxmail等桌面程序,包含各厂家的数字签名,防止程序被非法篡改;我们在手机上使用的微信、支付宝等App,也都包含发布单位的数字签名,用于防止App被非法篡改。
1.小密码
说密码小,是因为归纳总结密码主要包含两个基本元素,即密码算法和密钥。
图1 密码的两个基本元素
1.1密码算法
在现代密码学理论中,密码算法是密码技术的核心。常见的密码算法包括对称密码算法、公钥密码算法和密码杂凑算法三个类别。对称密码算法,在加密和解密时,如同往一个上了锁的箱子里放物品,放入时需要用钥匙打开,取出物品时需要用相同的钥匙开锁。公钥密码算法又称非对称密码算法,打破了对称密码算法加密和解密必须使用相同密钥的限制,因为公钥可以对外公开,所以很好地解决了对称密码算法中存在的密钥分发难题。密码杂凑算法也称作“散列算法”或“哈希算法”,密码杂凑算法对任意长度的消息进行压缩,输出定长的摘要或杂凑值。已经以密码行业标准或国家标准公布的商用密码算法包括:ZUC、SM2、SM3、SM4和SM9,其中ZUC、SM4为对称密码算法,SM2、SM9为公钥密码算法,SM3为密码杂凑算法。常见密码算法如下图所示:
图2常见密码算法
1.2密钥
图3 密钥
密钥相当于打开一把锁的钥匙。在密码术语中,是指控制密码算法运算的关键信息或参数。密钥分为对称密钥和非对称密钥。对称密钥用于对称密码算法,非对称密钥用于公钥密码算法。当前,常用密码算法都是对外公开的,密码保护的安全性主要取决于密钥的安全,密钥的安全是保证密码算法安全的基础。
2.大作用
说密码作用大,主要是密码在保护网络与信息安全中发挥着重要的作用。国家高度重视密码,发布了一系列法律法规,为密码应用和管理提供强力保障。密码不仅应用于传统业务系统,而且在新兴的大数据、云计算、区块链、智慧政务、智慧城市、车联网等众多领域有着广泛应用。近几年,密码产业也保持着快速增长的态势。
2.1法法律法规的强力保证
近年来,国家高度重视密码工作,先后发布相关法规政策、采取系列重大措施,以促进密码的推广普及、与产业的深度融合。2019年10月26日十三届全国人大常委会第十四次会议表决通过《中华人民共和国密码法》,标志着我国在密码的应用和管理等方面有了专门性的法律保障。仅密码法律法规就有多部,包括:《密码法》、《电子签名法》、《商用密码管理条例》、《信息安全等级保护商用密码管理办法》、《电子认证服务密码管理办法》等。与密码紧密关联的法律法规包括:《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全等级保护条例(征求意见稿)》、《政务信息系统政府采购管理暂行办法》、《国家政务信息化项目建设管理办法》等。其中,仅2021年就密集发布了《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》。
2.2应用领域众多
密码作为维护网络安全最有效、最可靠、最经济的技术手段,可广泛应用于传统业务系统和众多新兴领域。总结密码主要应用领域(可应用于以下领域,但不仅限于以下领域):
2.3 密码产业发展迅速
随着国家监管侧政策的持续发力和密码与信息化的深度融合,密码产业也得到了快速发展。赛迪研究院网络安全研究所发布《2020-2021年中国商用密码产业发展报告》显示,2016年到2020年,我国商用密码产业规模保持高增长率,2020年,商用密码产业规模突破466亿元,年复合增长率超33%。
未来几年,商用密码产业将保持高增长率。面向“十四五”时期,在密码技术、需求和监管等诸多因素影响下,密码市场将迎来新发展机遇。据预测, 2023 年我国商用密码规模预计将超过 900 亿元。
数据来源:赛迪研究院网络安全研究所发布《2020-2021中国商用密码产业发展报告》
3.对密码的一点思考
3.1 合规性需求促使密码行业迎来新发展
在合规性方面,主要有两个大的需求。一个是信创合规性需求,信创旨在通过行业应用拉动构建国产化信息技术软硬件底层架构体系和全周期生态体系,解决核心技术关键环节“卡脖子”问题,而国产商用密码本身就是信创产业中信息安全的核心部分。另一个是密评合规性需求,密评关注密码应用安全的合规性、正确性和有效性,评估对象包括:基础信息网络、涉及国计民生和基础信息资源的重要信息系统、重要工业控制系统、面向社会服务的政务信息系统,以及关键信息基础设施、网络安全等级保护第三级及以上信息系统。在二者的拉动下,密码行业将迎来新发展。
3.2 商用密码产品正在经历更新换代
密码产品的云化趋势。云计算可提供大规模计算、大容量存储、弹性部署、按需提供资源的能力。正是看中云计算的优势,业务系统上云是大势所趋,为满足基于云计算架构构建的新型业务系统对密码的安全需求,目前,以云方式提供密码功能的产品或服务成为主流,如云服务器密码机、云密码资源池、云密码服务等。
服务平台化趋势。随着用户对密码服务需求的提高,单一密码功能的产品正在被密码服务平台取代。密码服务平台提供完整密码服务、提供设备、数据等统一监管的技术支撑平台和运营管理平台。具备密钥管理、时间戳、加解密、签名验证、电子印章等综合密码功能。
3.3 密码技术与其他技术融合发展
在云密码服务领域,密码技术与云计算技术将深度融合,为用户提供更加灵活多样的云密码服务;在信创领域,形成国产CPU+操作系统+密码芯片的整体解决方案,提供国产密码基础支撑能力,已成为密码企业的共识;在大数据领域,以安全多方计算、可搜索加密等新型密码技术为核心,支持大数据安全与隐私保护的密码设备和密码系统,全面提高大数据的安全保障能力;未来密码技术将与其他技术(包括网络安全技术)进一步融合,形成新的网络安全产品,满足新场景下的新需求。
3.4 对密码应用技术框架的思考
密码应用主要涉及到应用场景、产品/服务和技术三个元素。在应用场景层面,除了满足传统业务系统,现在需要不断满足新场景,例如:智慧政务、智慧城市、车联网、工业互联网、大数据以及云计算等等。在产品/服务层面,新的产品和服务不断出现,例如:密码服务平台、零信任网关、云密码服务、云访问安全代理CASB (Cloud Access Security Broker)、Baas(Blockchain as a Service)等等。在技术层面,新技术也层出不穷。例如:区块链技术、安全多方计算技术、可搜索加密技术、IAM技术等等。三大元素快速变化,需要我们对密码应用技术框架进行调整,以适应这些变化。
密码应用技术框架包括密码资源层、密码支撑层、服务层三个层次,以及提供密码管理服务的密码管理基础设施。通过密码应用技术框架支撑各种应用场景,满足广大客户的实际需求。
密码资源层提供基础的密码算法资源和技术。最底层为对称密码算法、公钥密码算法、密码杂凑算法和其他算法,其中其他算法主要在于适应密码技术更新发展,可以是最新的安全多方计算、可搜索加密等;中间层为密码算法、密钥和X技术,其中X技术是对其他技术的统称,可以是通信技术、硬件虚拟化技术、分布式技术等等,体现了密码技术与其他技术的融合特性;上层为算法软件(类似GMSSL、OpenSSL、BouncyCastle等算法软件)、算法芯片等,对下层的密码算法、密钥和X技术等进行封装实现,为密码支撑层提供密码资源和基本能力。密码资源层是密码应用的地基,地基不牢,很难建设高楼大厦。
密码支撑层主要担负技术产品化职责,将密码技术转化为具体的产品,包括传统商用密码产品、零信任类产品、区块链类产品等等。密码支撑层是密码应用的楼房。
服务层基于密码支撑层产品为上层应用提供身份认证、访问,控制、鉴权、安全通信、数据加密、区块链服务、签名验证等服务。服务层类似于大楼的物业。
密码管理基础设施作为一个相对独立的功能,为密码资源层、密码支撑层和服务层提供密钥管理和运维管理等密码管理服务。密码资源基础设施类似于大楼的水和电。
结合密码应用的三元素,即应用场景、产品/服务、技术。应用场景的对应关系保持不变,密码资源层对应技术,密码支撑层和服务层对应产品/服务。在技术驱动的创新下,可通过对技术的突破,实现算法芯片和算法软件,形成公共能力,支撑新的产品/服务研发,挖掘新的市场需求进行落地。在应用场景驱动的创新下,以已有的底层算法芯片、算法软件为基础进行技术突破,形成新的公共能力,快速形成产品,以满足市场的需求。同时通过产品的体系逐渐完善和生态构建,可整合为平台化服务,提供一站式高质量服务。(中孚信息北京研究院 齐宝富)