在现实生活中,提到“密码”一词。人们通常认为与电脑接触的电脑是“密码”、电子邮箱登录“密码”和银行卡的支付“密码”等。生活中的这些“密码”实际上是口令,是最简单的初始身份验证,口令≠密码。
密码是使用特定转换加密或安全地验证数据等信息的项目和技术。加密保护是指使用特定转换将原始可读信息转换为无法识别的符号序列;安全认证是指使用特定的转换来确认信息是否已从可靠的信息源中被篡改、是否来自可靠信息源以及确认行为是否真实等。密码的加密保护功能用于保证信息的机密性,密码的安全认证功能用于实现信息的真实性,数据的完整性和行为是不可否认的。
20世纪70年代之前的密码仅用于加密信息。保护信息的机密性是原始密码的最基本功能。在加密保护中,要保护的信息称为明文,加密转换后的信息称为密文。当前,密码不仅可以通过适当的转换实现加密保护,还可以实现实体身份和信息来源的安全认证等功能。
从功能上看,密码技术主要包括加密保护技术和安全认证技术;从内容上看,加密技术主要包括加密算法 密钥管理和加密协议。
加密算法是一种特定规则,不同的加密算法实现不同的转换规则:将明文作为密文转换实现为加密算法;实现密文到明文变换的为解密算法;实现类似于手写签名功能是数字签名算法;实现任意长消息压缩为固定长摘要的为杂凑算法。
在加密算法中,键是控制的关键参数加密转换,它相当于“密钥”。只有当密钥被掌握时,密文才能被解密并恢复到原始的明文。同样,为了能够产生独一无二的数字签名,也需要签名人拥有相应的密钥,以确保签名不能被伪造。密钥是密码安全的根本,需要进行严格管理,制定科学合理的安全策略,对密钥的进行全生命周期的管理。
密码协议是指两个或两个以上参与者使用密码算法,为达到加密保护或安全认证目的而约定的交互规则。密码协议是将密码算法等应用于具体使用环境的重要密码技术,具有十分丰富的内容。