密碼技術(shù)相關(guān)基礎(chǔ)概念匯總（入門必備）

       以下從密碼技術(shù)基礎(chǔ)、核心組件（算法、協(xié)議）、產(chǎn)品服務(wù)、標(biāo)準(zhǔn)規(guī)范及擴(kuò)展術(shù)語等維度，系統(tǒng)梳理密碼領(lǐng)域核心術(shù)語，兼顧初學(xué)者入門與從業(yè)者深化理解需求：

       一、密碼技術(shù)基礎(chǔ)術(shù)語  

       密碼技術(shù)是保障信息安全的核心技術(shù)，涵蓋信息加密、認(rèn)證、完整性校驗(yàn)等能力，核心基礎(chǔ)術(shù)語包括：

• 密碼學(xué)（Cryptography）：研究信息加密、解密、認(rèn)證等技術(shù)的學(xué)科，分為古典密碼學(xué)（如凱撒密碼）和現(xiàn)代密碼學(xué)（基于數(shù)學(xué)理論）。  

• 明文（Plaintext）：未加密的原始信息（如：文本、數(shù)據(jù)）。  

• 密文（Ciphertext）：明文經(jīng)加密算法處理后的數(shù)據(jù)，需解密才能恢復(fù)為明文。 

• 加密（Encryption）：用加密算法和密鑰將明文轉(zhuǎn)換為密文的過程。  

• 解密（Decryption）：用解密算法和密鑰將密文恢復(fù)為明文的過程。  

• 密鑰（Key）：控制加密/解密過程的參數(shù)（如：一串?dāng)?shù)字或字符），是密碼系統(tǒng)的核心，其安全性直接決定整體安全性。  

• 密鑰空間（Key Space）：所有可能密鑰的集合，密鑰空間越大，暴力破解難度越高（如128位密鑰的空間為212?）。  

• 密碼體制（Cryptosystem）：由明文、密文、密鑰、加密算法、解密算法組成的完整加密系統(tǒng)（如：AES/SM4體制、RSA/SM2體制）。  

• 對(duì)稱密碼（Symmetric Cryptography）：加密與解密使用相同密鑰的技術(shù)（如：AES、SM4），特點(diǎn)是效率高，適合大數(shù)據(jù)加密。  

• 非對(duì)稱密碼（Asymmetric Cryptography）：加密與解密使用不同密鑰（公鑰+私鑰）的技術(shù)（如：RSA、SM2），公鑰可公開，私鑰需保密，適合密鑰交換、簽名等場(chǎng)景。 

• 哈希函數(shù)（Hash Function）：將任意長(zhǎng)度輸入轉(zhuǎn)換為固定長(zhǎng)度輸出（哈希值）的函數(shù)（如：SHA-256、SM3），具有不可逆性（從哈希值難推原始輸入）和抗碰撞性（難找到兩個(gè)不同輸入產(chǎn)生相同哈希值），用于數(shù)據(jù)完整性校驗(yàn)。  

• 密碼分析（Cryptanalysis）：研究如何破解密碼系統(tǒng)的技術(shù)（如：暴力破解、差分分析），是密碼學(xué)的反向研究。  

• 側(cè)信道攻擊（Side-Channel Attack）：通過分析密碼設(shè)備運(yùn)行時(shí)的物理信息（如：功耗、時(shí)間、電磁輻射）破解密鑰的攻擊方式（非直接攻擊算法本身）。

       二、密碼算法  

密碼算法是密碼技術(shù)的核心數(shù)學(xué)模型，按功能可分為加密算法、簽名算法、哈希算法等，常見算法如下：

       2.1 對(duì)稱加密算法  

• DES（Data Encryption Standard）：經(jīng)典對(duì)稱算法，64位密鑰（實(shí)際有效56位），因密鑰長(zhǎng)度短已不安全，被AES替代。  

• 3DES（Triple DES）：DES的改進(jìn)，通過三次DES加密增強(qiáng)安全性，但效率低，逐漸被淘汰。  

• AES（Advanced Encryption Standard）：當(dāng)前國(guó)際主流對(duì)稱算法，支持128/192/256位密鑰，效率高、安全性強(qiáng)，用于大數(shù)據(jù)加密（如：文件、磁盤加密）。  

• SM4：國(guó)產(chǎn)對(duì)稱加密算法（國(guó)密算法），128位密鑰，用于無線局域網(wǎng)、數(shù)據(jù)加密等場(chǎng)景，與AES安全性相當(dāng)。  

       2.2 非對(duì)稱加密/密鑰交換算法  

• RSA：基于大整數(shù)分解難題的非對(duì)稱算法，支持加密和簽名，密鑰長(zhǎng)度通常為2048位及以上，廣泛用于證書、密鑰交換。  

• ECC（Elliptic Curve Cryptography）：基于橢圓曲線離散對(duì)數(shù)難題的非對(duì)稱算法，相同安全性下密鑰長(zhǎng)度比RSA短（如：256位ECC≈2048位RSA），適合資源受限場(chǎng)景（如移動(dòng)設(shè)備）。  

• DH（Diffie-Hellman）：密鑰交換算法，允許雙方在公開信道協(xié)商共享密鑰（不直接傳輸密鑰），但不提供身份認(rèn)證。  

• ECDH（Elliptic Curve Diffie-Hellman）：基于ECC的DH算法，效率更高，常用于 TLS 密鑰協(xié)商。  

• SM2：國(guó)產(chǎn)非對(duì)稱算法（基于橢圓曲線），支持加密、簽名和密鑰交換，是國(guó)內(nèi)政務(wù)、金融等領(lǐng)域的主流算法。  

       2.3 哈希算法  

• MD5：早期哈希算法，輸出128位哈希值，因存在碰撞漏洞（可找到不同輸入產(chǎn)生相同哈希值），已不用于安全場(chǎng)景（僅用于校驗(yàn)非敏感數(shù)據(jù)）。  

• SHA系列（Secure Hash Algorithm）：  

  1）SHA-1：160位輸出，存在碰撞漏洞，逐步被淘汰；  

  2）SHA-2：包括SHA-256（256位輸出）、SHA-384、SHA-512等，安全性高，是當(dāng)前國(guó)際主流；  

  3）SHA-3：基于海綿結(jié)構(gòu)的哈希算法，作為SHA-2的替代方案，增強(qiáng)抗量子攻擊潛力。  

• SM3：國(guó)產(chǎn)哈希算法，256位輸出，用于數(shù)字簽名、數(shù)據(jù)完整性校驗(yàn)，與SHA-256安全性相當(dāng)。  

       2.4 數(shù)字簽名算法  

       數(shù)字簽名是基于非對(duì)稱密碼的認(rèn)證技術(shù)（驗(yàn)證數(shù)據(jù)完整性和發(fā)送者身份），核心算法包括：  

• RSA簽名：用私鑰簽名、公鑰驗(yàn)證，基于RSA算法。  

• ECDSA（Elliptic Curve Digital Signature Algorithm）：基于ECC的簽名算法，效率高于RSA簽名。  

• SM2簽名：國(guó)產(chǎn)簽名算法（基于SM2非對(duì)稱算法），國(guó)內(nèi)法定簽名標(biāo)準(zhǔn)。  

• DSA（Digital Signature Algorithm）：NIST提出的簽名算法，基于離散對(duì)數(shù)難題，應(yīng)用較少。  

       2.5 專用/新型算法  

• 國(guó)密算法（GM Algorithms）：我國(guó)自主研發(fā)的密碼算法體系，包括SM1（對(duì)稱，硬件實(shí)現(xiàn)）、SM2（非對(duì)稱）、SM3（哈希）、SM4（對(duì)稱）、SM7（對(duì)稱，用于RFID）、SM9（標(biāo)識(shí)密碼，無需證書）等，是國(guó)內(nèi)密碼應(yīng)用的強(qiáng)制/推薦算法。  

• 抗量子密碼（Post-Quantum Cryptography, PQC）：能抵抗量子計(jì)算機(jī)攻擊的算法（量子計(jì)算機(jī)可破解RSA、ECC等傳統(tǒng)算法），如：NIST推薦的CRYSTALS-Kyber（密鑰封裝）、CRYSTALS-Dilithium（簽名）等。  

       三、密碼協(xié)議  

       密碼協(xié)議是基于密碼算法的規(guī)則集合，用于多方安全交互（如：通信、認(rèn)證、交易），核心協(xié)議包括： 

• TLS/SSL（Transport Layer Security/Secure Sockets Layer）：傳輸層安全協(xié)議，用于網(wǎng)絡(luò)通信加密（如：HTTPS），通過握手階段協(xié)商算法和密鑰，保障數(shù)據(jù)機(jī)密性和完整性。  

• IPsec（Internet Protocol Security）：網(wǎng)絡(luò)層安全協(xié)議，用于VPN（虛擬專用網(wǎng)）加密，通過AH（認(rèn)證頭）和ESP（封裝安全載荷）保障IP數(shù)據(jù)包安全。  

• SSH（Secure Shell）：遠(yuǎn)程登錄安全協(xié)議，替代Telnet，通過非對(duì)稱加密認(rèn)證用戶，加密傳輸命令和數(shù)據(jù)。  

• Diffie-Hellman密鑰協(xié)商協(xié)議：雙方在公開信道協(xié)商共享密鑰的協(xié)議（如：TLS握手階段的ECDH密鑰交換）。
  

       四、密碼產(chǎn)品  

       密碼產(chǎn)品是密碼技術(shù)的實(shí)體化載體，分為硬件、軟件及集成產(chǎn)品：  

       4.1 硬件產(chǎn)品  

• 加密芯片（Encryption Chip）：集成加密算法的芯片。  

• USBKey（U盾）：內(nèi)置加密芯片的USB設(shè)備，存儲(chǔ)用戶私鑰和證書，用于身份認(rèn)證。  

• HSM（Hardware Security Module）：硬件安全模塊，高安全性的專用設(shè)備，用于密鑰生成、存儲(chǔ)和加密運(yùn)算。  

• 安全芯片（Secure Chip）：具備密鑰管理、加密運(yùn)算和防篡改能力的芯片（如手機(jī)的SE安全芯片），用于保護(hù)敏感數(shù)據(jù)。  

• 加密卡（Encryption Card）：插在服務(wù)器/計(jì)算機(jī)中的PCIe卡，提供高性能加密運(yùn)算。  

       4.2 軟件產(chǎn)品  

• 數(shù)字證書管理系統(tǒng)（Certificate Management System）：CA機(jī)構(gòu)用于證書申請(qǐng)、頒發(fā)、吊銷的管理軟件。  

• 密鑰管理系統(tǒng)（Key Management System, KMS）：集中管理密鑰全生命周期（生成、存儲(chǔ)、輪換、銷毀）的系統(tǒng)。 

       五、密碼服務(wù)  

       密碼服務(wù)是基于密碼技術(shù)提供的專業(yè)化服務(wù)，分為基礎(chǔ)服務(wù)和場(chǎng)景化服務(wù)：  

• 密鑰管理服務(wù)（KMS）：第三方提供的密鑰托管和生命周期管理服務(wù)（如阿里云KMS、華為云KMS），降低企業(yè)密鑰管理成本。  

• 證書認(rèn)證服務(wù)（CA服務(wù)）：CA機(jī)構(gòu)提供的數(shù)字證書申請(qǐng)、頒發(fā)服務(wù)（如Let's Encrypt的免費(fèi)SSL證書服務(wù)）。  

• 時(shí)間戳服務(wù)（TSA, Time Stamping Authority）：為數(shù)據(jù)或文件加蓋權(quán)威時(shí)間戳，證明其生成/修改時(shí)間（用于電子合同、知識(shí)產(chǎn)權(quán)保護(hù)）。  

• 電子認(rèn)證服務(wù)：基于PKI的身份認(rèn)證、電子簽名服務(wù)（如第三方電子合同平臺(tái)的簽章服務(wù)）。  

• 數(shù)據(jù)加密服務(wù)：為企業(yè)提供數(shù)據(jù)傳輸、存儲(chǔ)加密的服務(wù)（如API加密服務(wù)、數(shù)據(jù)庫加密即服務(wù)）。  

• 云密碼服務(wù)：支持云環(huán)境下的加密、解密、簽名、密鑰管理等操作，各大密碼廠商提供的密碼服務(wù)平臺(tái)，如：格爾軟件、吉大正元、三未信安等。 

• 密碼測(cè)評(píng)服務(wù)：依據(jù)標(biāo)準(zhǔn)對(duì)密碼產(chǎn)品/系統(tǒng)進(jìn)行安全性測(cè)評(píng)的服務(wù)（如符合GB/T 39786標(biāo)準(zhǔn)的密碼模塊測(cè)評(píng)）。  

       以上術(shù)語覆蓋密碼領(lǐng)域核心環(huán)節(jié)，初學(xué)者可從“技術(shù)基礎(chǔ)→算法/協(xié)議→產(chǎn)品服務(wù)→標(biāo)準(zhǔn)規(guī)范”逐步遞進(jìn)理解，從業(yè)者可重點(diǎn)關(guān)注國(guó)密算法、行業(yè)標(biāo)準(zhǔn)及新興技術(shù)（如：抗量子密碼、隱私計(jì)算）的結(jié)合應(yīng)用。

（來源：商密之巔公眾號(hào)）