什么是密码,银行账户密码是这种吗?
“密码”一词对人们来说并不陌生,人们可以举出许多有关使用密码的例子。如个人在银行取款使用“密码”,在计算机登录和屏幕保护中使用“密码”,开启保险箱使用“密码”,儿童玩电子游戏中使用“密码”等等。但以上所说的“密码”,并不都是真正的密码,而是一种特定的暗号或口令字。
那么,什么是密码呢?在《辞海》(1999年版)中对密码是这样解释的:“按特定法则编成,用以对通信双方的信息进行明密变换的符号”。换而言之,密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段,将其变为除通信双方以外其他人所不能读懂的信息编码,这种独特的信息编码就是密码。
2020年1月1日,《中华人民共和国密码法》(以下简称《密码法》)正式施行。《密码法》是总体国家安全观框架下,国家安全法律体系的重要组成部分,是我国密码领域的综合性、基础性法律。《密码法》中密码定义为:“密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务”。我们常说的用户名“密码”,包括银行账户密码,它只是“口令”,并不是《密码法》中的“密码”。
什么是商用密码?国密又是什么呢?
根据1999年发布实施的《商用密码管理条例》第一章第二条规定:“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。
如何来理解《条例》中对商用密码的定义呢?
第一,它明确了商用密码是用于“不涉及国家秘密内容的信息”领域,即非涉密信息领域。商用密码所涉及的范围很广,凡是不涉及国家秘密内容的信息,又需要用密码加以保护的,均可以使用商用密码。
第二,它指明了商用密码的作用,是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证,是现代密码的主要应用之一。
第三,定义将商用密码归结为商用密码技术和商用密码产品,也就是说,商用密码是商用密码技术和商用密码产品的总称。国密即国家密码局认定的国产密码算法,国密算法是国家密码局制定标准的一系列算法,其中包括了对称加密算法,椭圆曲线非对称加密算法,杂凑算法。具体包括SM1,SM2,SM3,SM4等。
商用密码是指能够实现商用密码算法的加密、解密和认证等功能的技术。商用密码技术是商用密码的核心,国家将商用密码技术列入国家秘密,任何单位和个人都有责任和义务保护商用密码技术的秘密。
信息安全是什么?与密码是什么关系?
信息安全(Information Security)是指为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看作是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。信息安全的保障工作可以给系统带来连续可靠正常的运行、信息服务不中断,最终实现业务连续性。
网络信息安全的内容
硬件安全。即网络硬件和存储媒体的安全。要保护这些硬件设施不受损害,能够正常工作。
软件安全。即计算机及其网络的各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
数据安全。即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
信息安全与密码的关系
密码学是保障信息安全的核心,信息安全是密码学研究与发展的目的。而密码技术又是保护信息安全的手段之一,也是保障信息安全的核心技术。使用密码技术不仅可以保证信息的机密性,而且具有数字签名、身份验证、秘密共享、信息认证等功能,可以保证信息的完整性、认证性和不可否认性,防止信息被篡改、伪造、假冒、否认。
密码学在信息安全中起着举足轻重的作用,它是信息安全的基石,但密码学也绝不是确保信息安全的唯一技术,也不可能解决信息安全中出现的所有问题。
密码的主要作用?
密码是目前世界上公认的,保障网络与信息安全最有效、最可靠、最经济的关键核心技术。密码不仅可以实现对信息的加密保护、完整性保护,还可以实现对实体身份和信息来源的安全认证。密码的加密保护功能用于保证信息的机密性,密码的安全认证功能用于保证信息的真实性、数据的完整性和行为的不可否认性。具体如下:
机密性:是指保证信息不被泄露给非授权的个人、计算机等实体的性质。
安全认证:应用密码算法和协议,确认信息、身份、行为等是否真实。
真实性:是指保证信息来源可靠、没有被伪造和篡改的性质。
不可否认性:也称抗抵赖性,是指已经发生的操作行为无法否认的性质。
商用密码的应用场景有哪些,能解决什么问题?
可以将密码技术应用在电子商务中,对网上交易双方的身份和商业信用进行识别,防止网上电子商务中的“黑客”和欺诈行为;应用于增值税发票中,可以防伪、防篡改,杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为,并大大方便了税务稽查;应用于银行支票鉴别中,可以大大降低利用假支票进行金融诈骗的金融犯罪行为;应用于个人移动通信中,大大增强了通信信息的保密性等等。
商用密码是保护各种敏感性内部信息、行政事务信息和商业经济信息安全的可靠技术手段。一切经济、文化、科技、商贸、金融、行政等部门、企业事业单位、组织和公民个人,只要是因工作需要或出于合理、正当的理由,都可以使用商用密码。
商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密,防止非法第三方获取信息内容;也可用于各种安全认证、网上银行、数字签名等。
目前商用密码产品已经广泛应用于我国金融、税务、海关、电信、社保、检察等国民经济和社会发展的重要领域。数字证书认证系统以密码技术为核心、用于在互联网信息交换中确认身份、控制权限、确保交换信息的真实可信,实现安全认证功能,为电子政务、电子商务和其他网上活动的顺利开展提供安全保障。
商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密,防止非法第三方获取信息内容;也可用于各种安全认证、网上银行、数字签名等。
目前商用密码产品已经广泛应用于我国金融、税务、海关、电信、社保、检察等国民经济和社会发展的重要领域。数字证书认证系统以密码技术为核心、用于在互联网信息交换中确认身份、控制权限、确保交换信息的真实可信,实现安全认证功能,为电子政务、电子商务和其他网上活动的顺利开展提供安全保障。
商用密码已在哪些重要领域进行应用?
商用密码的应用领域十分广泛,主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密,防止非法第三方获取信息内容;也可用于各种安全认证、网上银行、数字签名等。
目前商用密码产品已经广泛应用于我国金融、税务、海关、电信、社保、检察等国民经济和社会发展的重要领域。数字证书认证系统以密码技术为核心、用于在互联网信息交换中确认身份、控制权限、确保交换信息的真实可信,实现安全认证功能,为电子政务、电子商务和其他网上活动的顺利开展提供安全保障。
金融行业:银行、保险、证券、网上期货、网络基金等
卫生行业:人口健康信息、计生
教育:教育管理、计算机网、教育资源、电子校务等
公安:三级及以上网络信息系统国家级信息化项目、公安信息网基础设施、对外服务系统
交通:中铁、售票、路政、高速公路、交通一卡通
政务及其他:工商、水利、财政部、水利部、国家能源局、原测绘地理信息局
什么是密码算法?什么是密钥?
密码算法是实现密码对信息进行“明”、“密”变换的一种特定的规则。不同的密码算法有不同的变换规则。因此,密码算法也是加密算法、解密算法、签名算法和认证算法等各类算法的统称。
密码算法是用于加密和解密的数学函数,密码算法是密码协议的基础。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等,用于保证信息的安全,提供鉴别、完整性、抗抵赖等服务。假设我们想通过网络发送消息P(P通常是明文数据包),使用密码算法隐藏P的内容可将P转化成密文,这个转化过程就叫做加密。与明文P相对应的密文C的得到依靠一个附加的参数K,称为密钥。密文C的接收方为恢复明文,需要另一个密钥K-1完成反方向的运算。这个反向的过程称为解密。
“密钥”从字面上解释,密钥是秘密信息的钥匙。掌握了密钥就可以获得保密的信息。具体来说,密钥是一组信息编码,它参与密码的“运算”,并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中,密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的,密钥的失控将导致密码系统失效。
最常见的密码运算方式都有哪些?
出于信息保密的目的,在信息传输或存储中,采用密码技术对需要保密的信息进行处理,使得处理后的信息不能被非受权者(含非法者)读懂或解读,这一过程称为加密。在加密处理过程中,需要保密的信息称为“明文”,经加密处理后的信息称为“密文”。加密即是将“明文”变为“密文”的过程;与此类似,将“密文”变为“明文”的过程被称为解密。
最常见的密码运算方式有:数字签名、数据加解密、数据摘要等。按密码体制可分为:对称和非对称。
对称加密
对称加密是最快速、最简单的一种加密方式,加密(encryption)与解密(decryption)用的是同样的密钥(secret key)。对称加密有很多种算法,由于它效率很高,所以被广泛使用在很多加密协议的核心当中。
常用对称加密算法包括SM1、SM4、以及DES、3DES、AES。
非对称加密
非对称加密为数据的加密与解密提供了一个非常安全的方法,它使用了一对密钥,公钥(public key)和私钥(private key)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。比如,你向银行请求公钥,银行将公钥发给你,你使用公钥对消息加密,那么只有私钥的持有人--银行才能对你的消息解密。与对称加密不同的是,银行不需要将私钥通过网络发送出去,因此安全性大大提高。
常用非对称算法包括:SM2以及RSA、ECC。
数字签名和加密解密的有什么区别?
数字签名是对已有的数据做签名,生成1个额外的签名出来;但是加密算法,是把明文变成密文了;在网络上传输,如果只有数字签名,表现就是请求体里面加了1个签名的字段,但是请求的其他参数还是明文发送的;但是如果是加密的话,就是对所有的请求参数都加密,请求就变成密文传输了。
电子认证服务是指什么?
电子认证服务,也称为CA认证服务,是指为电子签名相关各方提供真实性、可靠性验证的活动服务。
证书颁发机构(CA,Certificate Authority)即颁发数字证书的机构,也称为CA中心。它是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA中心的数字签名使得攻击者不能伪造和篡改证书。
使用数字证书能做什么?
数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分,另一部分是私钥。公钥公之于众,谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信件,发送者要用收件人的公钥加密信件;收件人便可用自己的私钥解密信件。同样,为证实发件人的身份,发送者要用自己的私钥对信件进行签名;收件人可使用发送者的公钥对签名进行验证,以确认发送者的身份。
在线交易中您可使用数字证书验证对方身份。用数字证书加密信息,可以确保只有接收者才能解密、阅读原文,信息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现,电子邮件、在线交易和信用卡购物的安全才能得到保证。
