淺談密碼學與網絡信息安全技術

鄭廣遠 孫彩英

1 信息安全的要素和威脅

1.1 信息安全要素

信息安全一般包括5 項基本要素:機密性、完整性、可用性、可控性與可審查性。

(1)機密性:確保信息不暴露給未授權的實體或進程。

(2)完整性:只有得到允許的人才能修改數據,并且能夠判別出數據是否已被篡改。

(3)可用性:得到授權的實體在需要時可訪問數據,即攻擊者不能占用所有的資源而阻礙授權者的工作。

(4)可控性:可以控制授權范圍內的信息流向及行為方式。

(5)可審查性:對出現的網絡安全問題提供調查的依據和手段。

1.2 網絡存在的威脅

一般認為,目前網絡存在的威脅主要表現在:

(1)非授權訪問。沒有預先經過同意,就使用網絡或計算機資源被看作非授權訪問,如有意避開系統訪問控制機制,對網絡設備及資源進行非正常使用,或擅自擴大權限,越權訪問信息。其主要有以下幾種形式:假冒、身份攻擊、非法用戶進入網絡系統進行違法操作、合法用戶以未授權方式進行操作等。

(2)信息泄漏或丟失。指敏感數據在有意或無意中被泄漏出去或丟失,它通常包括:信息在傳輸中丟失或泄漏(如“黑客”利用電磁泄漏或搭線竊聽等方式可截獲機密信息);信息在存儲介質中丟失或泄漏,通過建立隱蔽隧道等竊取敏感信息等。

(3)破壞數據完整性。以非法手段竊得對數據的使用權,刪除、修改、插入或重發某些重要信息,以取得有益于攻擊者的響應;惡意添加,修改數據,以干擾用戶的正常使用。

(4)拒絕服務攻擊。它不斷對網絡服務系統進行干擾,改變其正常的作業流程,執行無關程序使系統響應減慢甚至癱瘓,影響正常用戶的使用,甚至使合法用戶被排斥而不能進入計算機網絡系統或不能得到相應的服務。

2 信息安全主要技術的發展

2.1 防火墻技術

防火墻是加強Internet之間安全防御的一個或一組系統，它由一組硬件設備(包括路由器、服務器)及相應軟件構成。監測并過濾所有內部網和外部網之間的信息交換，起到保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統間進行信息交換等安全的作用。因此防火墻是網絡安全的屏障、可以強化網絡安全策略、對網絡存取和訪問進行監控審計、防止內部信息外泄。自從1986年美國Digital公司在Internet上安裝了全球第一個用防火墻系統,提出防火墻的概念以來，防火墻技術經歷四個發展階段，第一階段包過濾防火墻；第二階段電路層防火墻；第三階段應用層防火墻；目前第四階段全方位技術集成型防火墻，它可以抵御目前常見的網絡攻擊手段，如IP地址欺騙、特洛伊木馬攻擊、蠕蟲、郵件攻擊等。目前防火墻技術可分為二大類：（1）分組過濾：作用在網絡層和傳輸層，它根據分組包頭源地址，目的地址和端口號、協議類型等標志確定是否允許數據包通過；（2）應用代理：它作用在應用層，其特點是完全“阻隔”了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。

2.2 信息加密技術

在諸多保障信息安全的技術中，加密技術是信息安全的核心技術，是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉換成不可直接讀取的秘文，對電子信息在傳輸過程中或存儲體內進行保護，以阻止信息泄露或被盜取，從而確保信息的安全性。保密通信、計算機密鑰、防復制軟盤等都屬于信息加密技術。加密算法是信息加密技術的核心部分，按照發展進程來看，加密算法經歷了古典密碼、對稱密鑰密碼和公開密鑰密碼三個階段。古典密碼算法有替代加密、置換加密；對稱加密算法包括DES和AES；非對稱加密算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線、EIGamal D.H等。目前世界上最流行的加密算法有DES算法、RSA算法和CCEP算法等。同時隨著技術的進步，加密技術正結合芯片技術和量子技術逐步形成密碼專用芯片和量子加密技術。

2.3 反病毒技術

自從1987年10月第一例計算機病毒Brain誕生以來，計算機病毒的種類急劇增多，特征愈來愈復雜，造成的損失日益擴大，反病毒技術應運而生，并隨著病毒技術的發展而發展。反病毒技術可劃分成兩大類：靜態反病毒技術和動態或實時反病毒技術。靜態反病毒技術因其無法隨時判斷系統是否已經被感染病毒，正在逐步失去其“可用性”而逐漸被用戶所摒棄。動態或實時反病毒技術具有比其他類型應用程序更高的優先級且更靠近系統底層資源，可以更全面、徹底地控制系統資源，并在病毒入侵時即使報警，是目前應用廣泛的反病毒技術。

2.4 入侵檢測技術

一般而言，入侵檢測技術是通過網絡封包或信息的收集，檢測到可能的入侵行為，并且能在入侵行為造成危害前及時發出報警通知系統管理員或防護系統驅逐入侵攻擊。入侵檢測技術可分為特征檢測與異常檢測兩種。特征檢測是利用已知系統和應用軟件的弱點攻擊模式來檢測入侵；異常檢測是比較過去觀察到的正常行為與受到攻擊時的行為，與已知行為模型相異的則視為入侵行為。因此入侵檢測是對防火墻及其有益的補充。可在不影響網絡性能的情況下對網絡進行監聽，從而提供對內部攻擊、外部攻擊和誤操作的實時保護，大大提高了網絡的安全性。

3 密碼技術

在我們的世界中，安全是一個相當簡單的詞匯。我們為什么要為信息設置密碼，添加安全鎖呢？密碼又到底是什么東西呢？其實，密碼就像我們的身份證一樣，證明了登錄系統的人或應用程序的合法性。我們加密就像是加了一道鎖，鎖住你不想讓別人看見的資料或信息，這只是一個比喻，實際上它就是利用技術手段把重要的數據變為擾碼（加密）傳送，到達目的地后再用相同或不同的手段還原（解密）。拒絕未經授權或是未通過系統身份驗證的用戶的訪問。密碼就是為了防止未被允許進入的陌生人進入你的“賬戶”、“系統”等讀寫你的文件和數據。密碼技術是實現網絡信息安全的核心技術，是保護數據最重要的工具之一。通過加密變換，將可讀的文件變換成不可理解的亂碼，從而起到保護信息和數據的作用。從專業上來講，密碼是通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則，變明文為密文，稱為加密變換；變密文為明文，稱為脫密變換。密碼在早期僅對文字或數碼進行加、脫密變換，隨著通信技術的發展，對語音、圖像、數據等都可實施加、脫密變換。為了研究密碼所以就有了密碼學。密碼學是研究編制密碼和破譯密碼的技術科學。研究密碼變化的客觀規律，應用于編制密碼以保守通信秘密的，稱為編碼學；應用于破譯密碼以獲取通信情報的，稱為破譯學，總稱密碼學。密碼學是在編碼與破譯的斗爭實踐中逐步發展起來的，并隨著先進科學技術的應用，已成為一門綜合性的尖端技術科學。它與語言學、數學、電子學、聲學、信息論、計算機科學等有著廣泛而密切的聯系。它的現實研究成果，特別是各國政府現用的密碼編制及破譯手段都具有高度的機密性。完成加密和解密的算法，稱為密碼的體制。密碼體制分為私用密鑰加密技術（對稱加密）和公開密鑰加密技術（非對稱加密）。數據的加密和解密過程通常是通過密碼體制（ciphersystem）+密鑰（keyword）來控制的。密碼體制的安全性是通過密鑰的安全性來實現的，現代密碼學更注重的是追求加密算法的完備性而不是保密性，即：使攻擊者在不知道密鑰的情況下，沒有辦法從算法找到突破口。密鑰是密碼編制的重要組成部分，它是指示這種變換的參數。密碼體制是由四種基本類型組成：錯亂——按照規定的圖形和線路，改變明文字母或數碼等的位置成為密文；代替——用一個或多個代替表將明文字母或數碼等代替為密文；密本——用預先編定的字母或數字密碼組，代替一定的詞組單詞等變明文為密文；加亂——用有限元素組成的一串序列作為亂數，按規定的算法，同明文序列相結合變成密文。以上四種密碼體制，既可單獨也可混合使用，以編制出各種復雜度很高的實用密碼。利用文字和密碼的規律，在一定條件下，采取各種技術手段，通過對截取密文的分析，以求得明文，還原密碼編制，即破譯密碼。破譯不同強度的密碼，對條件的要求也不相同，甚至很不相同。

當今世界各主要國家的政府都十分重視密碼工作，有的設立龐大機構，撥出巨額經費，集中數以萬計的專家和科技人員，投入大量高速的電子計算機和其他先進設備進行工作。與此同時，各民間企業和學術界也對密碼日益重視，不少數學家、計算機學家和其他有關學科的專家也投身于密碼學的研究行列，更加速了密碼學的發展。

從密碼學發展歷程來看，可分為古典密碼（以字符為基本加密單元的密碼）以及現代密碼（以信息塊為基本加密單元的密碼）兩類。而古典密碼有著悠久的歷史，從古代一直到計算機出現以前，古典密碼學主要有兩大基本方法：①代替密碼：就是將明文的字符替換為密文中的另一種的字符，接收者只要對密文做反向替換就可以恢復出明文。②置換密碼（又稱易位密碼）：明文的字母保持相同，但順序被打亂了。

對于現代密碼學的發展，例如“指紋識別技術”。指紋系統邏輯結構包括郵政金融業務系統和指紋認證系統兩部分系統之間通過接口互相調用、通訊實現業務系統內部人員的身份認證。天津郵政儲蓄指紋認證系統包括認證和管理兩大部分:認證部分實現本地和遠程的指紋身份驗證；管理部分完成指紋設備、人員信息的管理。管理系統劃分為省中心指紋管理系統、區縣指紋管理系統、網點指紋管理系統。

指紋技術的應用，有效杜絕了過去由于操作性風險導致的金融案件。采用指紋技術后柜員操作及授權業務只能是當事人操作完全杜絕了替代和非法授權的情況發生。由于是對本人指紋進行采集和識別，因而別人無法窺視、盜竊他人密碼，從而切斷了非正常途徑傳送密碼的可能（防止高智商作案）提高工作速度，指紋錄入及識別大約1秒這比手工輸入密碼要快。柜員和主管都不用費時定期更換密碼，也不必用其他手段來保護密碼。另外，該系統應用簡單，不用對使用者作過多要求易學易用。

密碼在當今社會生活中的作用可以說十分巨大，軍事國防方面，現代金融、貿易、生產等無不在大規模使用密碼。計算機網絡的廣泛應用，使人們對密碼的依賴達到了新的高度，在千百萬臺計算機聯結成的因特網上，用戶的識別基本上是靠密碼。密碼被破譯就會產生危及安全的極嚴重的后果。計算機“黑客”的作為，即為密碼破譯的一例，連美國國防部的計算機都未能幸免，可見密碼編制的難度了。在如今生物密碼技術還不熟練的前提下，我們只有更加注意防范，以免信息泄露，受到傷害。

密碼學盡管在網絡信息安全中具有舉足輕重的作用，但密碼學絕不是確保網絡信息安全的惟一工具，它也不能解決所有的安全問題。同時，密碼編碼與密碼分析是一對矛和盾的關系，俗話說：“道高一尺，魔高一丈”，它們在發展中始終處于一種動態的平衡。所以我們更應該加快加密技術的進步，來保障我們的個人信息安全，企業的機密安全和國家的機密安全。我相信，生物加密技術的產生與廣泛應用將會使加密技術推向現代密碼學的頂峰，將會更有效，更方便的保護人類的各種信息安全。

4 現有密碼技術局限性總結

當前密碼技術的安全信息系統都是基于以下三個公設：

（1）隨機性公設：認為產生均勻分布的隨機比特序列是可能的。

（2）計算公設：認為在一個合理的計算時間內，單向函數是存在的，它正向計算容易，求逆困難。

（3）物理公設：認為對存儲于單一地域的信息實行物理保護是可能的。

密鑰需不停更新，要隨機產生，做到不可預測，來防止敵手在已破譯部分密文掌握密鑰的情況下，破譯接下來的加密信息。理論上，真隨機數可從自然的隨機現象中提取，但在實現過程中，存在著電子技術中客觀存在的頻率不穩、相位不穩、幅度不穩以及同步捕捉等不確定因素，所以真的隨機數不能再生且很難獲得，而由算法和電子硬件所產生的偽隨機數并不是都具有不可預測性，這樣的隨機序列是不安全不能用的。對于加密算法，是越來越復雜，在已知密鑰的情況下，解密容易，不知密鑰的情況下，解密從時間上看成為不可能；從已知公鑰推算私鑰在時間上不可能，這就是計算公設中的“單向函數是存在的，它正向計算容易，求逆困難”。然而，單鑰分組密碼、公鑰密碼依賴于器件，公鑰密碼還依賴于數學難題，在當前硬件設備的各能力下，各計算公設成立的加密技術，并不一定能保證以后計算能力加大的情況下也是“在一個合理的計算時間內求逆困難”。因為在理論上這些數學難題是可破的，只是現在的設備無法在合理的時間內完成。對于RSA，其安全性是基于大素數分解的難解性，目前尚未證明大整數的素分解問題是難解問題，對于橢圓曲線公鑰密碼，其安全性依賴于橢圓曲線離散對數問題，一樣不是不可解的。對于物理公設，認為對儲存在單一地域的信息實行物理保護是可能的，但物理保護長距離的發送信息是非常困難的。對于單鑰密碼系統，密鑰的共享要求密鑰進行分發需要長距離傳送；公鑰密碼系統中，公鑰的分發也是長距離傳送，要保證傳送密鑰的安全，在現代網絡條件下就要求更高級的安全信道來傳送密鑰，而高級的安全信道又要求好的密碼體制……如此反復。也許我們可以這么想，對傳送密鑰先加密再傳送，這樣，即使在長距離傳送過程中被敵手截取到，但因沒有加密密鑰的密鑰而無法知道正在發送的密鑰原樣是什么，從而確保密文不被破解。然而加密密鑰的密鑰保存和發送又是一個問題，問題一級一級的傳遞下去，如此反復。密鑰的保管也是一個尷尬的問題。除了以上所提到的這些尷尬以外，為了提高加密的安全性強度，密鑰長度不斷加大，密鑰長度直接關系到計算資源、存儲、通信和計算時間的開銷，即成本上和時間上的開銷。安全性要求密鑰增長，密鑰增長加大各類開銷而導致密碼系統又不實用，這又是一對尷尬的矛盾。

5 關于密碼的法律與政策

5.1 關于密碼的相關法律

在我國，有《商用密碼管理條例》、《計算機信息網絡國際聯網保密管理規定》等與密碼相關的法律法規。同時各省市也有各自的相關的地方法律規定。在《商用密碼管理條例》中有以下的規定：

（1）商用密碼產品由國家密碼管理機構許可的單位銷售；

（2）銷售商用密碼產品應向國家密碼管理機構提出申請且須具備相關條件；

（3）銷售商用密碼產品應記錄購買者的用途等詳細情況；

（4）進出口密碼相關產品須經國家密碼管理機構批準。可以看出，我國對密碼的應用管理也有著及其嚴格的要求。但是，如果仔細比較我國的相關法律法規，會發現存在著“重復管理，處罰不同”的問題，其中也肯定會出現一定的漏洞，所以我國在這方面的法律法規也亟需繼續完善。

5.2 各國關于密碼的政策

俄羅斯的密碼政策。進口國外制造的加密設備需要獲得許可證，加密技術的出口受國家的嚴格控制。1995年4 月，葉利欽總統發布了一條命令，禁止未經授權的加密。國有企業需要有許可證才能使用加密技術（包括身份驗證和保密，存儲和傳輸）。沒有獲得許可證，禁止開發、實現或運行加密技術。

美國的密碼政策。對于加密技術沒有進口限制，其加密技術出口限制極嚴格。從上面可以看出，各國對本國的密碼技術出口有著嚴格的限制，進而也說明密碼技術對一個國家而言的重要程度。

6 結束語

作為信息網絡安全的關鍵技術——密碼技術，近年來空前活躍，由于計算機運算速度的不斷提高，各種密鑰算法也面臨著新的密碼體制，眾多密碼新技術正處于不斷探索中。信息技術的應用在我國越來越廣泛，其安全問題越來越突出，網絡的安全只是相對而言，網絡沒有絕對安全。盡管有各類法律的保障，但數據安全不能太過于依靠法律法規。法律只能在安全方面對相關人員增加約束力，而無法杜絕違法行為的產生。信息安全問題涉及到國家安全、社會公共安全，世界各國已經認識到信息安全涉及重大國家利益，是互聯網經濟的制高點，也是推動互聯網發展、電子政務和電子商務的關鍵，包括密碼技術在內的信息安全技術將得到更大的發展。

[1]楊明，謝希仁,等.密碼編碼學與網絡安全：原理與實踐（第二版）[M].北京：電子出版社，2002.

[2]馮登國.密碼分析學[M].北京：清華大學出版社，2000.

[3]石淑華，池瑞楠.計算機網絡安全技術[M].北京：人民郵電出版，2008,12.

[4]公安部.計算機信息系統安全技術[M].北京：群眾出版社，1998,6.