商用密码应用于安全性评估(Word版)

商用密码应用与安全性评估

2020年1月

法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。

关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

——摘自《中华人民共和国密码法》第二十七条

PREFACE序当今，数字化、网络化、智能化深入发展，网络空间与物理空间的边界正在逐渐消融，以网络安全为代表的非传统安全威胁与传统安全威胁融合交织，深刻改变网络安全需求，深刻影响网络安全格局。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的网络与信息系统是经济社会运行的神经中枢，是网络安全的重中之重，其安全稳定运行关乎国家安全、国计民生、公共利益，一旦遭到破坏、丧失功能或者数据泄露，后果不堪设想。

物联网、大数据、云计算等技术的飞速发展激发了前所未有的科技创新动力，正在重塑世界科技创新版图，万物互联、天地一体成为必然趋势。网络威胁泛在化和复杂化程度不断加深，被动式防御、增量式修补、局部式治理已不能适应严峻多变的网络安全形势，必须建立一个足够强大的自主可控安全防御体系。密码是国之重器，是保障网络安全的核心技术和基础支撑，在网络安全防护中具有不可替代的重要作用。利用密码在安全认证、加密保护、信任传递等方面的重要作用，构建网络空间安全保障体系、实现国家网络空间安全自主可控，必须坚持以密码为基石，推动密码全面规范应用，有效控制或消除网络安全问题，实现从被动防御向主动免疫的战略转变。

当前，我国重要网络与信息系统密码应用仍存在不科学、不规范等突出问题，给国家安全和社会发展造成重大隐患。《密码法》对密码应用和安全性评估作出了规范。落实该法有关要求，确保密码在网

络与信息系统中安全、规范使用，亟需提升密码测评能力，完善密码应用安全性评估审查机制，构建自主可控的密码应用安全性评估体系。

商用密码应用安全性评估，是指对网络与信息系统中密码应用的合规性、正确性、有效性进行科学评估，是《密码法》提出的具体要求，是有效应对我国网络安全严峻形势的迫切需要，是落实国务院“放管服"改革要求和国家关键信息基础设施防护责任的重要举措，是商用密码管理的一项基础性、开创性工作。

为便于商用密码从业人员开展相关工作，国家密码管理局组织专家、学者和业务骨干编写了《商用密码应用与安全性评估》一书，这是我国第一部系统介绍商用密码应用和安全评估工作的著作。希望本书的出版能够对密码从业者有所启迪，能够吸引和集结更多的产学研用等各方力量，研究密码、使用密码、推广密码，为构筑密码强国夯实基础。党的十九大提出了新时代坚持和发展中国特色社会主义的战略任务，开启了实现中华民族伟大复兴的新征程。站在新的历史方位，密码从业者更须砥砺前行，坚定不移推进密码应用和创新发展，为建设网络强国做出新的贡献。

中国工程院院士

FOREWORD前言本书围绕商用密码应用与安全性评估这一主线，注重理论联系实际，通过密码算法、产品标准讲解和实际案例分析，给出了商用密码应用安全性评估的基本原理和实施要点，指导测评人员正确开展商用密码应用安全性评估，帮助商用密码从业人员培训了解商用密码政策、知识和安全性评估工作。

全书共5章。第1章介绍密码的基础知识，主要包括密码概念、作用、技术和功能等；第2章介绍商用密码应用与安全性评估相关政策法规，主要阐述我国商用密码管理、应用法律政策要求和商用密码应用安全性评估体系；第3章介绍商用密码标准与产品应用，描述密码产品的类型及检测框架，并对主要商用密码产品的基本形态、标准规范、应用要点等进行解读；第4章介绍密码应用安全性评估实施要点，对密码应用方案设计、密评标准进行解读，明确测评实施过程中相关要求，并给出相应的实现和测评方法；第5章介绍重要领域具有代表性的密码应用典型案例，通过对案例进行剖析，从密码应用需求、系统架构和业务功能等方面入手，解析具体的密码应用方案和评估实施指南，以解读和说明相关标准和测评实施关键点。附录列出与密评相关的政策法规和标准规范，方便读者查阅。

由于编者认识的局限，书中不妥和错漏之处在所难免，同时，商用密码发展一直在路上，《密码法》刚刚完成立法工作，很多规章和制度还在逐渐完善和健全中，恳请读者提出宝贵意见，帮助本书不断改进和完善。

《商用密码应用与安全性评估》编写

目录

1.密码基础知识 (10)

1.1.密码应用概述 (10)

1.1.1.密码的概念与作用 (10)

1.1.2.密码功能与密码应用 (13)

1.1.3.密码应用中的安全性问题 (15)

1.2.密码应用安全性评估基本原理 (16)

1.2.1.信息安全管理过程 (16)

1.2.2.信息安全风险评估 (19)

1.2.3.密码应用安全性评估的定位 (22)

1.3.密码技术发展 (26)

1.3.1.密码技术创新 (26)

1.3.2.我国商用密码发展历程 (32)

1.3.3.密码技术发展趋势 (33)

1.4.密码算法 (38)

1.4.1.对称密码算法 (39)

1.4.2.公钥密码算法 (51)

1.4.3.密码杂凑算法 (60)

1.4.4.密码算法分析概要 (67)

1.5.密钥管理 (69)

1.5.1.密钥生命周期管理 (69)

1.5.2.对称密钥管理 (74)

1.5.3.公钥基础设施 (78)

1.6.密码协议 (83)

1.6.1.密钥交换协议 (83)

1.6.2.实体鉴别协议 (86)

1.6.3.综合密码协议举例 (88)

1.6.4.密码协议分析概要 (98)

1.7.密码功能实现示例 (99)

1.7.1.保密性实现 (100)

1.7.2.完整性实现 (100)

1.7.3.真实性实现 (102)

1.7.4.不可否认性实现 (106)

2.商用密码应用与安全性评估政策法规 (109)

2.1.网络空间安全形势与商用密码工作 (109)

2.1.1.国际国内网络空间安全形势 (109)

2.1.2.商用密码的由来与发展 (113)

2.1.3.商用密码应用问题及安全性评估的重要性 (114)

2.2.商用密码管理法律法规 (116)

2.2.1.《密码法》实施前商用密码法律法规体系 (116)

2.2.2.商用密码法律法规体系建设展望 (121)

2.3.商用密码应用法律政策要求 (125)

2.3.1.国家法律法规有关密码应用的要求 (125)