Top
首页 > 网络和信息安全 > 密码信息安全 > 人物访谈 > 正文

可为——密码技术渗透到信息安全的各个环节

作为北大网络安全研究院的副院长,可为一直对密码的研究之路保持着一种执着,他始终认为密码技术是整个信息安全的核心技术之一,是数据保护的最后一道防线,更是渗透到信息安全的各个环节。
发布时间:2019-01-02 14:15        来源:赛迪网        作者:

【赛迪网讯】作为北大网络安全研究院的副院长,可为一直对密码的研究之路保持着一种执着,他始终认为密码技术是整个信息安全的核心技术之一,是数据保护的最后一道防线,更是渗透到信息安全的各个环节。

撒大声地

密码技术是信息安全的基石

“我对于密码技术的理解有两个方面:第一,密码技术是我们信息安全的一个核心技术之一;第二,密码技术是数据保护的最后一道防线。这就是我对它的两个理解。

关于密码技术的应用,最早应用于军事用途,密码技术的应用有很多年了,密码最早应用于军事用途,通过传统加密方式来进行转换加密。七十年代才大量运用数学进行密码的运算。民用方面比如手机开机口令,用指纹、人脸识别,都是密码技术的使用。包括机器开机口令、银行卡的口令,这是密码技术在军事以及民事当中的应用。那么在企业当中为了保护自己的商业化的秘密,随着信息化的推进,不像传统的文档,纸质的锁在保险柜里。随着互联网的发展,现在的信息都是数据化的,就需要用密码技术进行加密。所以为什么说密码是对数据保护的最后一道防线,因为首先密码并不阻碍数据被偷走,一旦数据如果被偷走,数据是处于一种密文状态,是不能使用的,所以说是数据保护的最后一道防线。

另外,身份识别,指纹、虹膜、脸部都是访问控制用到的密码技术,在数据传送过程中数据也有被保护的方式,但这些并不阻碍数据是否被盗取,即便被盗取,密码保护的数据也是一种密文,保护数据最后不被破解,看到的是密文,所以第一,密码技术是信息安全核心技术之一;第二,密码是对数据保护的最后一道防线。”

密码技术是信息安全领域重要的应用方向。

“密码技术是信息安全领域的一项核心技术,是信息安全领域里面重要的应用方向,也是覆盖于信息安全的各个环节。密码技术形成的产品,比如杀毒,是信息安全当中的一块,是放置病毒木马入侵的。比如防火墙,就是阻挡敌人于国门之外,顾名思义它是放置人家进来的,是做访问控制的。至于审计检测就是要进行监控,如果入侵检测发现有非法人员突破防火墙进来了,它再起到报警的作用。以上包括杀毒、防火墙、审计检测这就是我们所说的老三样儿。

但是密码产品虽然也是用于访问控制,像身份认证系统,它就是让合法用户进来,这种身份认证就是利用密码算法去做,比如用非对称算法或者对称算法去做这种访问控制。而对于对称和非对称的理解,对称算法就是加密和解密用的是同一把钥匙。非对称,就是加密是一把钥匙,解密是另一把钥匙,它是不一样。我们可以理解成公钥私钥。核心应用是应用于访问控制,对数据的传输和存储两个状态去做加密保护,保护数据当数据被偷走以后不被别人是破译这个数据,所以他是最后一道防线。

举个例子,我的信息通过卫星通讯传输出去以后,然后通过3G、4G这些信号,这个信号本身是个公开的信道,去窃取这种数据其实非常容易,窃取完以后,如果是明文的,那非法窃取这个人都知道你在干什么。如果是密文的,那他拿到这个数据以后他也不知道数据的内容,如果他要破译你的数据,就需要投入大量资源去破译,可能需要十年才能破译开,数据都是具有时效性的,那时数据信息也就没用了。

所以密码技术衍生出来密码产品和传统安全上用到的一些产品,它是信息安全不同的分支领域,它运用的方向是不一样的。比如,我们使用电脑,用密码开机,虽然也算是一种密码技术,但是它和指纹识别一样,相当于密钥,真正应用到密码技术里面,密钥的产生其实是很复杂的,并不是五六个单词或字母组成的那么简单,而是会产生一个复杂的密钥串,这个密钥串你看不见,也不知道它,通过这种加密技术把这个密钥串保护起来,密钥是加密的,看不到密钥是什么。虽然咱们大家的指纹都可以作为密钥,虽然它具有唯一性,但客观的来说它本身也不是很安全,因为可以复制指膜、虹膜。也就是说,密钥是密码技术的一个环节。

在访问控制,通讯数据、通讯传输、数据存储,都是需要用到密码技术。在传输和存储这两个部分使用的较强。但是为什么说它是渗透到每个环节?任何一个安全里面的环节,从数据的产生到数据的传输,再到数据的存储以及到最后的数据销毁,其实都会用到密码技术,只不过现在在目前的市场上,应用的并不敏感。

密码技术的应用以前并没有标准,主要用于军事和民用,大家对密码技术的其实是根本就没有什么应用。 自从开展信息化建设以后,应用最多的密码其实就是在银行卡输入口令,输入口令那就是等于给了一个密钥。对老百姓来说就是密码技术。我国SM2、MS3还有SM4等是这些年才出来的,以前中国没有自己的密码算法,都是用的国际上的,因为以前民用领域基本没有信息化,其实也说明我国网络和信息完全发展的速度是非常快的。

目前我国个人信息在网网络领域的安全是比较大的挑战。那有没有方式能让个人信息变得安全呢?举简单的例子:我们现在家里面装的摄像头,如果被人攻破,把数据拿走了,其实并安全的,手机上的移动支付也存在同样的问题,其实都要密码去保护。所以现在公安部在推动EAD应用方案,把我个人的公民信息进行加密,生成一段代码,这段代码如果被泄露,也不知道是谁的信息。

我们现在所有在网上传输的信息,基本上两种模式,一种邮件传,一种是微信传,其实所有的数据都是明文的,都有被别人轻易拿到的风险,这就需要密码技术把它加密,比如拿一个密码器装到手机里,虽然数据传输过程是走到应用上,但和服务器没有关系,就破译不了了。”

我们在不断地追赶学习,创新突破

“我们所遇到的最大的问题有两个方面:第一,我们国内的技术发展比较晚。第二,没有管理上的指导意见。密码是一个很大的市场吗?显然,这个市场是很大的,但是因为没有这种规定指导性意见,现在大家不知道该怎么用。目前或许是缺乏应用标准和指导的问题,因为任何一个行业都有这样一个过程。

与国际的领先的技术比,第一是我们发展的就比别人晚了很多年。另外,密码技术就是需要市场应用去支撑这个技术,进而不断去完善技术的一种过程。我们的密码应用环境与国际先进国家相比还有较大的差距,这样的话我们做完这个密码技术到底是不是完善的可用的?我们不知道,因为没有人去验证它。实践是验证真理的唯一标准,这项技术出来了以后,到底是不是OK的,需要有应用场景去验证。这种情况下,和国外对比是一个差距比较大的地方。再一个就是说,我们现在密码技术所覆盖的领域,国外已经开始在研究了,我们还在停止的一个状态,比如互联网的这种通讯的密码,密码研究,我们现在还没有。所以说,我们现在还处于一个追赶学习的状态。

另外,做技术团队的人往往不懂得商业运用,需要有商业运作人员去替代运作,那还得是需要一个团队。第一,你想产生一个好的技术,需要大量投入,目前我们这方面投入还比较少。第二,好的研发团队研发出来,产品需要一个好的营销团队去帮他去推出去。就是有技术的人不会推广,会推广人没有技术,是脱节的。

但是,我们一些密码算法的强度,安全性已经达到和国际在持平水平线,包括我们的SM2的这些算法现在已经被纳入国际的密码算法标准了,我们现在的密码技术已经处于全球第一阵营,也是受益于我国国力强大。”

遇见未来,密码行业企业前景巨大

现在密码企业没有做太大的,就是因为基本上企业也好,政府也好,都是以合规性为主的线,那就导致如果没有规定,他就不会用这个,所以说做市场化的时候就特别困难。另外有两个方面,这两个一个是方向,一个是前景。随着国力的提升,互联网、物联网、整个的信息化的发展,密码技术的前景是非常好。因为以后的整个的世界的发展都是以信息化为导向,而信息化产生的都是数据,就必定要用到密码技术,而且它的应用将会是越来越被大家去广泛的认知,它的发展前景会是非常好,这个是毋庸置疑的,只不过是这是时间的问题了。

如果是做密码的企业,第一,可以压缩成本与高校合作,高校的研发成本会比较低,把学校的资源充分利用起来。第二,建议一个企业要集中一个方向去做,而不是什么都想做,一个方向,持续投入,把心态放平,避免资金分散,奔一个方向,然后企业发挥企业的市场的强项。就像前面问题就是高校的人不会做市场。企业需要去找这个应用场景,通过高校把它在实验室实验化,企业去把它工程化,然后推向市场,加强成果转化。这是其实就是企业可以节约成本,去快速的去发展一个方向。

可为:北京大学网络空间安全研究院 副院长,中国电子学会军民融合推进委员会委员,中国区块链创新联盟发起人。国家发改委重大信息安全项目的设计和建设主要负责人。

专题访谈

合作站点
stat