范文一：商用密码产品手册

商密产品手册

山东中孚信息产业股份有限公司

2009-11

商用密码产品手册

一、公司介绍

一、公司简介

山东中孚信息产业股份有限公司（原济南中孚实业公司）成立于1997年，是国内著名的保密和商密产品提供商和信息安全的服务商。公司是国家级软件产业基地--齐鲁软件园的骨干企业，国家火炬计划、国家发改委信息安全专项和国家电子信息产业发展基金项目承担单位。公司是首批在国内获得国家涉密集成资质的企业之一，具有国家认可的涉密信息系统综合服务能力。公司具有国家商用密码定点生产单位资质和商用密码销售许可证书，以及国家信息产业部认定的系统集成资质。

公司凭借自身的技术优势先后承担了六项国家级重点科研项目。通过不断的自主创新，公司在物理隔离、安全中间件、网络检查、终端安全防护、数据销毁和商用密码等技术领域取得了可喜的成绩，积累了宝贵的经验，现拥有40多个具有自主知识产权的软硬件产品，涉及技术领域如下：

●物理隔离领域：公司是国内最早从事物理隔离产品研发的主流厂商之一，物理隔离产品先后获得国家保密局、国家公安部、中国人民解放军等权威部门的十多项认证，产品与联想、浪潮两大主机厂家进行配套， 06年国内首家推出“实时切换物理隔离”技术，并且第一家通过国家保密局认证。

●安全中间件领域： 2002年公司承担了国家保密局立项的《电

子政务通用安全中间件V1.0》项目，并通过了国家级科学技术成果鉴定，该系列产品已经广泛应用到各级政府机关和军工企业的涉密内网中，为涉密网络提供符合国家保密标准的安全保障机制。

●网络检查技术领域：采用单机检查取证技术、网络漏洞检查取证技术和互联网搜索取证技术，对计算机网络进行检查取证。该系列产品通过了国家保密局、军队的权威认证，已经成为我国各级保密和安全主管部门进行检查的专用设备。

●数据销毁技术领域 ：该项技术于2006年在国家保密局科研立项，通过了国家保密局、军队的权威认证，填补国内空白，能够彻底解决数据删除后可以通过特殊工具被恢复的问题。

●商用密码技术领域：公司是国家商用密码产品定点生产单位，自主研发的高速智能密码钥匙、SD密码卡、身份鉴别系统、KEY+U、高端密码卡、密码服务器，加密U 盘，加密移动硬盘等系列产品在工商、金融、政府等领域得到了广泛应用。

●终端安全防护领域：该系列产品通过国家保密局权威认证，采用先进的活体指纹识别技术和USBKEY 技术有效提高计算机终端和移动存储介质的安全保密性能。

公司专注信息安全保密领域，具备国内领先的自主研发能力，已经形成了以物理隔离和安全中间件技术为基础，覆盖信息安全体系多个层面的系列产品线，从底层硬件到上层安全应用软件，构建整体的安全产品平台。尤其在物理安全、网络检查及数据销毁领域，全国领先，正引领着该领域的快速发展。

公司具备完善的质量管理体系，2005年通过了ISO 9001质量体系认证，2008年通过了CMMI 三级评估，通过规范化的管理，公司建立了以山东为龙头，覆盖全国三十个省的销售服务网络，产品在国家保密局等几万家党政军机关或企业事单位得到了推广应用，受到了广大客户的好评与青睐。公司凭借资深经验，规范的实施管理，正逐步成为中国信息安全整体解决方案的一流提供商。

二、相关资质

二、产品简介

一、PKI基础类密码产品

1.1智能密码钥匙（isec1000）

z 产品概述

智能密码钥匙（isec1000）是中孚公司基于自主知识产权的操作系统——ZFCOS 开发的客户端身份认证产品。该产品采用国家密码管理局认证的国产高速安全芯片，可以实现数字证书的生成存储、数字签名认证、对称加解密、口令认证、内外部认证、数据完整性校验等基本功能。主要应用于政府、军队、金融、工商、税务、证券、电子政务、电子商务、系统集成、**等行业及领域。

z 产品特性

1、符合ISO7816(1-4)标准。

2、符合《中国金融集成（IC）卡规范》。

3、支持热插拔、防掉电。

4、用户空间最大64K 字节，存储年限大于10年

5、硬件产生随机数。

6、支持 1024、2048 位 RSA运算。

7、支持国密局的对称算法SM1、SSF33 算法。

8、支持二进制文件、定长纪录文件、变长纪录文件、循环记录文件。

9、支持文件枚举、文件删除、删除后的空间可重复利用。

10、支持文件的相对路径查找，路径深度可达10级。

11、支持Win98/98SE/ME/2000/XP/2003/Vista/Windows7等操作系统。

12、支持PKCS#11、微软CSP 等标准开发套件。

z 产品功能

1、基于USB HID开发,兼容性强,免驱动安装。

2、携带方便：支持热插拔，只需从 USB 端口上拔下，就可将敏感的私钥带在身上。

3、存储安全：严密的文件安全系统和认证机制保证了个人证书和

私有信息的存储安全，使其免受黑客、病毒和其它

形式的威胁。

4、功能齐全：支持 Internet Explorer、Outlook、Outlook Express

和 Netscape Communicator 应用，不需二次开发。

5、集成方便：不需要对标准的 MS CAPI, PKCS#11 和 PC/SC 应用进行开发和集成。

6、支持多应用：单设备支持多密钥和多应用，也可以多个设备同时使用。

7、双因子认证：在使用时要求用户输入口令，安全性更高。

8、密码管理：可以存储多组密码，具有严密的密码管理机制。

9、应用防火墙：多个应用之间实行隔离，保障不同应用的独立性。

z 产品应用

1、Microsoft Outlook/Outlook Express、Internet Explorer 和

Netscape Messenger 标准的 Email 签名与加密；

2、通过 Microsoft Internet Explorer 和 Netscape Navigator

登录 SSL 加密的安全网站；

3、安全网络登录；

4、安全Email 通讯；

5、安全远程访问服务认证；

6、安全** 访问。

1.2 SD密码卡(isec2000)

z 产品概述

SD密码卡是中孚公司基于自主知识产权的操作系统

——ZFCOS开发的SD 接口客户端身份认证产品。SD 密码卡内置了Flash 芯片和智能卡芯片，即具有存储功能，又具有密码运算功能，是在手机等移动平台上开发基于PKI 应用的理想密码设备。

SD密码卡支持标准的SD-IO 接口，通过SD 读卡器，可以代替USB KEY在USB 接口使用，实现证书载体的有机统一。

z 产品特点

1、支持Windows, WinCE, Linux, Windows Mobile

5.0/6.0，Symbian, MTK, Motorola, An droid, Qualcomm

等主流的操作系统；

2、与支持SD 或者mini SD的所有设备兼容；

3、支持高达32G 的内存空间；

4、符合SDIO1.1规范和SD1.1/2.0物理层规范。

5、支持1024-2048比特RSA 运算；支持160-521比特P

域ECC 算法

6、支持国密局指定的SSF33分组密码算法

7、真随机数发生器TRNG

z 应用拓扑

1.3 isec3000（KEY+U）

z 产品概述

isec3000（KEY+U）是中孚公司在智能密码钥匙isec1000和安全U 盘基础上开发的一款多应用安全设备。isec3000（KEY+U）集智能密码钥匙和安全U 盘功能于一身，既可以实现数字证书的生成存储、数字签名认证、对称加解密、口令认证、内外部认证、数据完整性校验等功能，又可以实现数据的安全存储。

z 产品功能

1、全盘数据自动透明保护，防止物理拆分解读。

数据存储加解密系统对将要存入的数据自动进行加密，使存储在安全U 盘内的数据处于密文状态，有效的阻止了非法用户对安全U 盘硬件的物理拆分解读。

2、防病毒防木马。

U盘内的数据实施全盘加密，开启U 盘时需要密码认证，禁止随意访问。U盘设置只读，只具备“读”的权限，可以将移动介质中的数据单向导入到内网中。有效的防止了摆渡木马或者其他黑客手段通过U 盘盗取内网数据。

3、防口令暴力破解

智能权限控制系统针对口令验证设定了门限值(可允许的重试次数)，当用户输入的错误口令次数达到(超过)设定的门限值时，U盘自动锁定(自毁),有效的防止了非法用户对口令的暴力破解。

4、违规外联阻断（可选）。

自动检测当前的网络状态，当U 盘处于外网时，U盘会自动地切断网络或者使机器关机，有效地防止了数据的泄漏。

5、USB KEY功能

可以实现密钥生成、签名验证、数据加解密、内外部认证、数据完整性验证等

z 产品特性

1、功能齐备： 集安全U 盘和USBKEY 功能于一身。

2、使用同步： U盘和USBKEY 可以同时使用而不产生冲突。

3、存储容量： U盘容量1GB～64GB任选

4、KEY容量： USBKEY的用户空间最大64K 字节

5、操作系统： 支持Windows2000/XP/2003/VISTA

6. 接口类型： USB2.0全速/高速

7. 驱动方式： 无驱

z 产品应用

1、税务信息电子申报

2、社保信息的采集，上传

3、政府或单位涉密信息的外出携带及数据转存

4、对安全性要求较高的机关、部门、行业或个人

5、CA中心数字证书存储及签名认证

6、无线安全通信及网络安全。

1.4 身份鉴别系统—isec 6000

z 系统概述

中孚身份鉴别管理系统采用了先进的分级管理机制和高强度密

码算法等信息安全技术，实现了对用户数字证书的申请、发放、更新、恢复、注销、归档等操作，能够为企业内部的应用系统和用户提供权威认证服务。

z 应用领域

○身份鉴别：用户在登录业务系统的时候要插入USBKEY 进行数字证书的提交，实现身份的认证，用户的私钥存储在USBKEY 中，用户是没有办法进行获取的，确保了用户信息无法伪造。

○权限控制：通过身份鉴别以后，根据服务器的权限设置，合法用户将建立从客户端到服务器端的安全通道，而非法用户将被拒绝访问。

○安全传输：在客户端和服务器端建立安全的SSL 通道，数据利用不低于128位的对称密钥进行加密，敏感信息将得以安全传输，加密通道采用一次一密的方式。

○异地/移动办公安全：分支机构或者外出员工只要将发放证书的USBKEY 插入计算机中，利用相应的** 支持软件，可以安全的登录公司服务器。保证异地办公的安全性，确保公司机密不会泄密。

○扩展内部网络：通过数字证书和安全访问控制器的结合使用，可以将公司内部网络扩展到Internet 上。

○安全电子邮件应用：利用数字证书技术，可在Internet 上进行安全电子邮件的收发。确保只有合法用户 才能对邮件进行读取，并能保证信息不被篡改。

○二次开发领域：利用提供的开发接口，二次开发用户可以根据

自己的需求进行二次开发。

z 产品特点

○企业可以建立自己的认证系统，进行证书的申请、发放、更新、恢复、注销、归档，从而节省用于购买第三方证书的费用，大大降低了系统运行成本。

○采用分级管理的机制，登录系统人员分为系统管理员、操作员和审核员，分配不同的权限等级。

○敏感信息，如：用户登录信息、系统根密钥信息，都保存在硬件（USBKEY）中，确保了系统的高安全性。

○提供了详细的日志审计功能。

○支持通用的安全标准，如：数字证书标准（X.509）、微软CSP，PKCS 系列标准。

z

布署图

二、应用安全产品

2.1安全U 盘（Dsec1000）

z 产品概述

安全U 盘（Dsec1000）是中孚公司自主研发的一款高速、高性能、高安全的移动存储设备。设备采用智能卡技术，内设智能权限管理系统和数据加解密系统，实现了U 盘数据的全盘数据加密保护和安全区数据开启的口令控制。其自带的网络监控系统可以随时监测U 盘所在网络的状态，实现了外网阻断。结合U 盘的读写控制系统，可以实现内网数据的单向导入。有效防止U 盘交叉使用，阻止U 盘摆渡木马和病毒危害。从根本上杜绝了U 盘泄密的途径，净化了U 盘的使用环境。

z 功能描述

1、全盘数据自动透明保护，防止物理拆分解读。

数据存储加解密系统对将要存入的数据自动进行加密，使存储在安全U 盘内的数据处于密文状态，有效的阻止了非法用户对安全U 盘硬件的物理拆分解读。

2、防病毒防木马。

U盘内的数据实施全盘加密，开启U 盘时需要密码认证，禁止随意访问。U盘设置只读，则只能进行读操作，U盘数据只能单向导入到内网中。有效的防止了摆渡木马或者其他黑客手段通过U 盘盗取内网数据。

3、防口令暴力破解

安全U 盘的智能权限控制系统针对口令验证设定了门限值(可允许的重试次数)，当用户输入的错误口令次数达到(超过)设定的门限值时，安全U 盘自动锁定(自毁),有效的防止了非法用户对口令的暴力破解。

4、违规外联阻断（可选）。

中孚安全U 盘可以自动的检测当前的网络状态，当安全U 盘处于外网时，安全U 盘会自动地切断网络或者使机器关机，有效地防止了数据的泄漏。

z 产品特性

1、 容 量： 1GB～64GB任选

2、 口令验证： U盘在使用之前需要口令验证

3、 自毁锁定： 口令错误验证达到设定次数时U 盘自毁或者锁定

4 外联阻断： 在外网使用时，U 盘自动切断外网或者自动关机

5、 全盘加密： U盘数据实行全盘加密

6、 接口类型： USB2.0全速/高速

7、 操作系统： Windows2000/XP/2003/VISTA

8、 驱动方式： 无驱

z 应用领域

该产品广泛应用于金融，税务，财政，海关，电信，社保，

公安，检察，司法等领域；

对数据安全性要求较高的机关、部门、行业或个人

z 采购目录

Dsec1000-1G/2G/4G/8G/16G/32G

2.2安全移动硬盘（Dsec2000）

z 产品概述

安全移动硬盘是中孚公司自主研发的一款高速、高安全性的移动存储设备。该产品采用国家密码管理局认证的国产高性能密码算法芯片，具有极高的安全等级，数据传输安全、可靠，兼容性强，抗攻击，抗破坏性高。

z 特征描述

1、 支持高速USB2.0标准,兼容USB1.1标准，支持热插拔。

2、 配备1.54”OLED高亮显示屏，操作界面简单易用。

3、 最大16B的登录口令和独特的键盘扩展方案，设置口令更灵活、更

安全。

4、 登录口令和高安全硬件算法双重保护，更有效防止硬盘资料泄密。

5、 采用硬件加解密算法，保证较高的数据传输速率。

6、 专用硬件随机数芯片，比软件随机数有更高的强度。

7、 采用工程ABS塑料机身，坚固耐磨。

z 应用领域

应用于各级党政机关、军队、企事业单位等对数据安全比较敏感领域和行业。

z 产品性能

硬盘规格：2.5寸

接口：USB 2.0/1.1

传输速度：480 Mbps high speed

供电：5V 500mA

外观尺寸:125mmx85mmx24.6mm

重量:180g

z 采购目录

Dsec2000-160G/320G/500G

范文二：商用密码发展

信息安全与商用密码

中国工程院院士 蔡吉人

一、密码在信息化社会中的作用和地位 信息革命浪潮席卷全球，已成为不可逆转之势。我国高度重视信息化，制定了“发展信息技术，以信息化带动工业化”的发展战略。信息是国家发展的重要资源。伴随着信息网络化的发展，国际上围绕信息获取、利用和控制的斗争愈演愈烈，“制信息权”成为各国竞争的制高点，信息安全已成为不可回避的现实挑战。

密码是保障信息安全的核心技术，是网络环境下实现信息保护和安全认证的有效手段。在解决网络信息系统的身份认证、安全接入以及信息的保密性、完整性和不可否认性等方面发挥着特殊的不可替代的作用，有效地使用密码技术是网络安全风险控制的关键。

美国政府在强调密码在信息时代的作用时认为：“国家密码政策的正确作用应该是，有利于从充满信息脆弱性的当今世界明智地过渡到具有高度信息安全性的未来世界”。密码学家Schneier也说过：“加密术是网络空间的核心技术。如果没有密码术，电子商务将永远无法成为主流。”

当前，随着信息网络的发展，密码应用领域不断拓宽。密码在为党、政、军各级领导机关提供秘密通信的同时，已广泛应用于经济、科技、文化和社会生活的各个领域，成为现代社会的重要战略资源。因此，我们要充分发挥密码在保障国家安全、社会稳定、经济发展和公众利益中的重要作用，促进国家信息化的健康发展。

二、密码领域面临的新形势和新挑战

1.密码发展历史的简要回顾

密码已有几千年的历史。在很长一段时间里，密码都是作为一种隐蔽通信技术。密码称为一门完整的、成熟的学科，还是20世纪50年代的事情。

● 1949年，信息论创始人Shannon发表的经典论文“保密通信的信息理论”，将密码学的研究引入了科学的轨道。

● 1976年，著名学者Diffie和Hellman“密码学的新方向”的发表，奠定了公钥密码学的基础；

● 1977年，美国数据加密标准（DES）的公布，使密码学的研究和应用从秘密走向公开。

密码领域的这些重大变革，极大地推动了密码学的快速发展，使其成为一门蓬勃发展的学科。随着信息网络技术，特别是互联网的迅速发展，信息安全问题已引起人们的极大关注，密码作为信息安全核心技术的地位被进一步确立。密码领域正发生着深刻的变化。

2.密码领域的新特点

密码由主要应用于政府、军事、外交等领域逐步走向社会，深入到经济、金融、商务、科技、文化、甚至个人领域，密码应用领域不断扩大 ；密码研究由国家专门机构走向高等院校、科研院所、企事业单位，促进了密码理论与密码技术的发展。

密码理论和技术实现了由传统密码到现代密码的重大变革，现代密码是通信、计算机和密码的结合，它融合了对称密码和非对称密码等多种密码技术，实现了信息保密和安全认证的完整结合。

密码体制与功能由单一化阶段经多元化阶段，走向集成化阶段，密码系统建立在芯片上已成为发展趋势。

总起来说，当前，无论是密码理论、密码技术的发展速度，还是密码业务范围、使用领域的扩展速度都是空前的。

3.密码领域面临的形势和挑战

全球信息革命的到来，推进了我国信息化的进程，使电子商务、电子政务和社会信息化得到空前的发展，这对密码工作提出了新的要求，要求密码能提供全面的信息保护和安全认证。

在中办发[2003]27号文中，有关信息安全保障工作第三项工作指出：“加强以密码技术为基础的信息保护和网络信任体系建设”。此项工作涵盖了密码管理、法规、技术开发利用、密钥管理以及以密码技术为基础的网络信任体系建设等各个方面。它是统一的、完整的，我们必须以新的思想、理论、技术和管理去完成国家赋予密码工作的任务。

信息作为国家发展的重要资源，国际上围绕"信息控制权"的斗争愈演愈烈，反映在密码领域，攻防斗争更加尖锐和复杂。高科技应用密码斗争领域，使得这种斗争空前激烈；计算能力的不断提高，对密码保密构成威胁。密码编制必须在自主研究基础上不断创新。

密码的社会化应用，引起了密码管理方式的重大变革，正确的宏观调控和管理有利于商用密码的发展，调控和管理不当则可能产生负面影响。密码安全和方便使用之间的制衡，始终是商用密码管理的关注点，要不断检查、评估和调整相应的管理策略，创建一个主动、灵活、适应性强的密码管理体制。

面对新形势，应紧紧围绕国家信息化发展战略，紧紧把握密码需求的脉搏，大力发展商用密码技术，加强商用密码的科学化管理，充分发挥密码在信息化建设中的关键性作用，促进信息化建设健康有序地发展。

4.大力发展商用密码，促进信息化建设健康发展

党和国家高度重视商用密码工作，先后采取了一系列重大举措来促进商用密码的发展。

1993年，为适应现代化密码保障的需要，适时作出了发展商用密码的决定，并成立了相应的商用密码管理机构。

中央制定了“统一领导、集中管理、定点研制、专控经营、满足使用”这一发展商用密码的二十字方针。

1999年，经朱基同志批准，国务院颁布了《商用密码管理条例》。先后批准了7家商用密码科研定点单位，103家商用密码产品生产定点单位和217家商用密码产品销售许可单位，有力地促进了商用密码的发展。

根据中办27号文对密码工作的要求，为适应信息化发展的新趋势，我们必须大力发展商用密码，建立和完善社会信息化密码保障体系，促进信息化建设健康发展。

三、密码工作的重点

1.加强密码理论研究

密码理论是推进密码发展的源动力。我们应加强密码理论研究，为不断提高密码编制水平提供强有力的支撑。

● 发展Shannon保密通信理论，建立在开放网络环境中针对各种攻击（包

括主动攻击和被动攻击）模型下的密码保密通信理论。

● 深化和发展基于数学的密码理论，发掘可用于构造密码的数学难题。 ● 创建新的理论基础，为公钥密码基础设施提供理论保障，为高速多媒体网络通信提供新密码算法，为分析和评测密码算法提供理论准则和科学方法。 ● 建立密码安全性形式化分析方法。可证明安全性理论研究是近几年来密码研究领域提出的一个新方向，要在非对称密码和对称密码研究中，运用和发展可证明安全性理论。

● 开展信息隐藏、量子密码、混沌密码等新型保密通信和新型密码的研究。 ● 大力发展密码技术，研究开发多算法、多应用、多协议的密码应用平台，满足电子政务、电子商务发展的需要，解决密码设备的互通、兼容性问题。 ● 建立面向芯片实现的国家密码算法体系，研究开发高性能的密码算法专用芯片（ASIC）和密码算法系统集成芯片（SoC）。

● 加强密码设备安全防护能力的研究，强化密码模块的抗解剖、抗能量攻击和抗定时攻击等防护能力。

● 适应一体化、嵌入式的要求，加强密码技术和通信技术、密码技术和其它安全技术融合的研究。

我们要通过提高对密码新技术的预测能力，取得并保持密码领域的优势。

2.加强密码基础设施建设

建立和完善以密码技术为基础的网络信任体系，实现网络环境下安全可信的接入、传输和应用，推进电子政务和电子商务的发展。按照网络化、设施化、规范化的要求，构建覆盖全国范围、布局合理的密钥管理基础设施。为证书系统、多种密码设备和密码应用提供密钥支撑服务。建立和完善密码分析测评中心，实现对各信息系统的密码设备和密码系统的科学、全面的检测和评估。

3.积极推进商用密码标准和法规建设

密码标准是密码理论与技术发展的结晶，是国家保护自主知识产权的重要武器，也是一个国家商用密码发展水平的重要标志。要加快推进商用密码标准化的进程，制定相应的与国际标准相衔接的、与我国信息化发展需要相适应的商用密码规范和标准。

密码法规是社会信息化密码管理的依据。要按照中办发［2003］27号文件

提出的进一步完善密码管理法规的要求，提出适应国家信息化发展的密码工作法规的框架体系和实施步骤，推进密码工作法规建设，逐步将社会信息化密码管理转变到依法管理的轨道上来。

四、结束语

社会信息化的发展，使密码和密码应用走出了神秘的殿堂，回到社会并受到了社会各方面的广泛关注。我们要紧跟世界信息革命步伐，紧紧围绕我国信息化发展战略，以党的十六大“解放思想、实事求是、与时俱进、开拓创新”的精神为指针，在国家统一的密码管理政策指导下，调动社会各有关方面的积极性，加快商用密码发展，加强信息化密码保障的体系建设，促进信息化建设健康发展。

范文三：商用密码小知识

商用密码小知识



 1、什么是密码？

“密码”一词对人们来说并不陌生，人们可以举出许多有关使用密码的例子。如保密通信设备中使用“密码”，个人在银行取款使用“密码”，在计算机登录和屏幕保护中使用“密码”，开启保险箱使用“密码”，儿童玩电子游戏中使用“密码”等等。但以上所说的“密码”，并不都是真正的密码。除了保密通信设备中使用密码以外，其它使用的并不是密码，而是一种特定的暗号或口令。

那么，什么是密码呢？在《辞海》（1999年版）中对密码是这样释意的：“按特定法则编成，用以对通信双方的信息进行明密变换的符号”。换而言之，密码是隐蔽了真实内容的符号序列。就是把用公开的、标准的信息编码表示的信息通过一种变换手段，将其变为除通信双方以外其他人所不能读懂的信息编码，这种独特的信息编码就是密码。

密码是一门科学，有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中，传递情报和指挥战争均离不开密码，外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断扩展。密码除了用于信息加密外，也用于数据信息签名和安全认证。这样，密码的应用也不再只局限于为军事、外交斗争服务，它也广泛应用在社会和经济活动中。当今世界已经出现了密码应用的社会化和个人化趋势。例如：可以将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“黑客”和欺诈行为；应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查；应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为；应用于个人移动通信中，大大增强了通信信息的保密性等等。

2、什么是商用密码？

根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定：“本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。

如何来理解《商用密码管理条例》中对商用密码的定义呢？第一，它明确了商用密码是用于“不涉及国家秘密内容的信息”领域，即非涉密信息领域。商用密码所涉及的范围很广，凡是不涉及国家秘密内容的信息，又需要用密码加以保护的，均可以使用商用密码。第二，它指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证，是现代密码的主要应用之一。第三，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和商用密码产品的总称。

3、什么是商用密码技术？

商用密码技术，是指能够实现商用密码算法的加密、解密和认证等功能的技术（包括密码算法编程技术和密码算法芯片、加密卡等实现技术）。商用密码技术是商用密码的核心，国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。

4、商用密码的主要应用领域有哪些？

商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如：商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容；也可用于各种安全认证、网上银行、数字签名等。

5、什么是加密？什么是解密？

出于信息保密的目的，在信息传输或存储中，采用密码技术对需要保密的信息进行处理，使得处理后的信息不能被非受权者(含非法者)读懂或解读，这一过程称为加密。在加密处理

过程中，需要保密的信息称为“明文”，经加密处理后的信息称为“密文”。加密即是将“明文”变为“密文”的过程；与此类似，将“密文”变为“明文”的过程被称为解密。 6、什么是密钥？

从字面上解释，密钥是秘密信息的钥匙。掌握了密钥就可以获得保密的信息。具体来说，密钥是一组信息编码，它参与密码的“运算”，并对密码的“运算”起特定的控制作用。密钥是密码技术中的重要组成部分。在密码系统中，密钥的生成、使用和管理至关重要。密钥通常是需要严格保护的，密钥的失控将导致密码系统失效。

7、什么是密码算法？

密码算法是实现密码对信息进行“明”“密”变换的一种特定的规则。不同的密码算法有不同的变换规则。因此，密码算法也是加密算法、解密算法、签名算法和认证算法等各类算法的统称。密码算法对密码系统的安全性有着至关重要的意义。衡量密码算法的优劣采用的是密码强度的概念。密码强度不高的密码算法极易被对方分析攻破，导致密码系统失灵或被对方利用。为了研究高强度的密码算法，普遍采用数理逻辑的方法，这些方法许多都是数学中研究的课题，属于计算方法问题。计算方法在数学中通常称为算法，这也是将密码变换规则称为密码算法的原因。

范文四：关于商用密码使用情况的调查报告

关于商用密码使用情况的调查报告

内容预览:

在党政机关配用商用密码开展信息化密码保障工作，是国家信息安全保障体系建设的重要组成部分，也是国家密码管理局部署的一项重要任务。如何充分发挥商用密码在保护内部敏感信息、维护社会稳定、促进经济发展等方面的重要作用，是摆在我们面前的一项重要任务。为此，我们利用近一个月的时间对商用密码的应用现状进行了一次深人调研，并对今后的发展提了几点意见和想法。 一、当前我县商密通信工作情况 对于商密通信网络建设工作，县委、县政府主要领导高度重视，并多次就商密建设经费问题作出重要批示。在领导关心支持和各方共同努力下，我县于2007年12月在全县11处乡镇全部开通了商用密码通……

你还没注册,或者没有登录,这篇文章要求至少是本站的注册会员才能阅读～

如果你还没注册，请赶紧点此注册吧～

如果你已经注册但还没登录，请赶紧点此登录吧～

1 / 2

2 / 2

范文五：浅析新规定下商用密码监管的几个方面

浅析新规定下商用密码监管的几个方面

自 2017年 10月至 12月,国家密码管理局接连颁布了几个新的商用密码管 理规定以及相应的指导性文件, 对商用密码的监管政策规定做了较大调整。 笔者 通过学习分析这些新的变化, 并结合相关已有的且继续有效的政策、 法规、 标准, 试图较全面地理解这对商用密码(产品和技术)的生产者和应用者意味着什么。 2017年 10月国家密码管理局发布了国密局字〔 2017〕 336号文《关于做好 商用密码产品生产单位审批等 4项行政许可取消后相关管理政策衔接工作的通 知》 , 2017年 12月国家密码管理局颁布了第 32号公告《国家密码管理局关于废 止和修改部分管理规定的决定》 。这期间,国家密码管理局还发布了相应的配套 规定(含修订版) 、措施、指南和模板等。

下面就几个关心的方面予以阐述:

一、 监管项目的变更

废止了 《商用密码产品销售管理规定》 、 《商用密码产品使用管理规定》 和 《境 外组织和个人在华使用密码产品管理办法》 ,修改了《商用密码科研管理规定》 、 《商用密码产品生产管理规定》以及相应的流程管理和要求文件。这意味着: 1、 从事商用密码科研的机构或企业,不再需要通过申请、审批取得“商 用密码科研定点单位证书” (实际上,国家密码管理局已经于 2015年 6月按照国务院的要求取消了该项审批) ;

2、 从事商用密码产品生产的企业,不再需要通过申请、审批取得“商用 密码产品生产定点单位证书” ;

3、 从事商用密码产品销售的企业,不再需要通过申请、审批取得“商用 密码产品销售许可证” ;

4、 在国内的外资企业、境外机构或个人使用境外生产的密码产品(应该 指没有通过中国检测并没有取得中国 “商用密码产品型号证书” 的) , 不再需要通过申请、审批取得“使用境外生产的密码产品准用证” , 但仍需要通过申请、审批取得“密码产品和含有密码技术的设备进口 许可证” ;

【注:国内的中资企业、政府机构和单位不允许使用境外生产的密码 产品(应该指没有通过中国检测并没有取得中国“商用密码产品型号 证书” ) 。 】

5、 在国内的境外机构或个人使用密码产品(主要指使用国内已获得“商 用密码产品型号证书”的) ,不再需要通过申请、审批取得“境外组 织或个人使用密码产品准用证 ” 。

二、 对于外资 /境外商用密码生产企业和销售企业

众所周知, 《商用密码管理条例》 于 1999年颁布后, 国家密码管理机构曾经 限制外资企业获得商用密码产品生产资格和商用密码产品销售资格, 所以至今只 有极少数的外资企业获得了相应的证书。 按照新规定, 对国内的中资企业与国内 的外资企业和境外的企业一视同仁, 即新的规定中没有对这些企业区别对待的内 容。因此:

1、 外资和境外商用密码生产企业都可以通过规定的流程(审查、产品检 测等) , 申请 “商用密码产品型号证书” , 规定中没有对企业资本构成、 企业注册地、密码产品生产地、知识产权来源等限制条件;

2、 外资和境外企业可在中国销售自己企业或其他企业生产的密码产品, 只要该密码产品具有有效的“商用密码产品型号证书” 。

这里需要说明,按照《商用密码管理条例》第十三条规定, “进口密码产品 以及含有密码技术的设备或者出口商用密码产品, 必须报经国家密码管理机构批 准。 任何单位或者个人不得销售境外的密码产品。 ” 通常理解, 这里所指进口的、 境外生产的密码产品,没有取得中国的“商用密码产品型号证书” 。那么境外生 产的密码产品如果取得了中国的“商用密码产品型号证书” ,是否就可以不按进 口密码产品监管, 即国内的中资企业、 政府机构和单位可以使用, 并且不需要取 得“密码产品和含有密码技术的设备进口许可证”呢(假如无论是否取得“商用 密码产品型号证书”结果都一样,都同样对待,似乎不符合监管原则)?这需要 国家密码管理局进一步澄清,或在修订的《商用密码管理条例》中明确规定。

三、 关于提供商用密码产品源代码的要求

如同以前的规定,申请“商用密码产品型号证书”过程中,生产企业需要提 供商用密码产品的源代码。

《商用密码产品生产管理规定》第七条:“商用密码产品生产单位生产商用 密码产品 , 应当在研制出产品样品后向国家密码管理局申请产品品种和型号。申 请产品品种和型号应当向所在地的省、 自治区、 直辖市密码管理机构或者国家密 码管理局提交下列材料 :??” ;第九条规定:“国家密码管理局受理申请或者收 到省、自治区、直辖市密码管理机构报送的材料后应当组织安全性审查 (含产品 样品测试 , 下同 ) ” ;

《商用密码产品品种和型号审批服务指南》 :“申请材料示范样本下载地址:国家密码管理局网站 http://www.sca.gov.cn /在线服务 /下载服务 /商用密码产品 品种和型号申请材料” ;

《商用密码产品品种和型号申请材料模板 (通用产品类 ) 》 :“程序清单以表格 形式描述提供的程序文件清单及其主要功能,并用光盘提供所有源程序的电子 版。 ”

也就是说,商用密码产品生产企业在申请“商用密码产品型号证书”时,需 要向地方密码管理机构提供该商用密码产品的电子版的所有源代码, 然后由地方 密码管理机构进而将该源代码报送给国家密码管理局。

应该说, 对于商用密码产品的检测、 审查, 需要厂商提供产品的源代码无可 厚非,国际上密码产品的 FIPS 检测认证也需要厂商提供源代码。笔者认为,密 码产品的源代码是企业的核心机密, 含有企业的重要知识产权, 某种意义上关乎 企业的生死存亡。 作为行政管理机关的地方密码管理机构和国家密码管理局本身, 其行政官员可能没有相应的技术能力分析这些源代码, 机关本身也不一定有资源 储存和管理这些源代码, 并且处置源代码还要承担源代码可能泄露的风险, 所以 还是以依靠商用密码检测机构在检测商用密码产品的同时, 来分析、 审查、 检测 该密码产品的源代码为好。 生产企业可以将商用密码产品的源代码直接提交给商 用密码检测机构, 双方签署保密协议, 对双方的权力义务做出约定, 如商用密码 检测机构如何保障源代码的安全, 使用或处置源代码时的必要流程, 对接触源代 码的检测机构工作人员有何要求, 以及密码产品生产企业是否需要以及何时更新

该密码产品的源代码等。

四、 关于“密码产品”及相关描述的定义

《商用密码管理条例》第二条:“本条例所称商用密码,是指对不涉及国家 秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品。 ” 条例颁布后,应社会的要求,国家密码管理委员会办公室于 2000年 3月对 条例中“密码产品”的定义做了澄清:

《关于商用密码管理的有关问题》 :“纳入本条例管理范围的 “密码产品及含 有密码技术的设备” ,只限于以加密解密操作为核心功能的专用硬件、软件,其 他如无线手机、 Windows 软件、浏览器软件等都不在这个范围之内。 ”

可以看出,所谓“密码产品”仅限于其核心功能为加密解密操作的产品,凡 其核心功能不是加解密的,都不按“密码产品”对待和监管;因此,当今市场上 我们见到的苹果手机、微软的操作系统、英特尔的 CPU 等,尽管其中都采用了 密码技术, 但都不需要按商用密码产品程序申报、 审查、 检测, 也不需要取得 “商 用密码产品型号证书”或“密码产品和含有密码技术的设备进口许可证” 。 以上可以看出, “含有密码技术的设备”也是一个重要的术语,在《商用密 码管理条例》 和 《密码产品和含有密码技术的设备进口许可服务指南》 中都涉及 到。按照《关于商用密码管理的有关问题》的澄清, “含有密码技术的设备”的 定义也是其核心功能为加密解密,因此,在《商用密码管理条例》监管的范围内 几乎等同于“密码产品” 。

现行监管制度下还有一个提法,即“含有密码技术的信息产品” 。 2008年 1月, 国家密码管理局、 科学技术部、 公安部、 国家安全部、 财政部、 信息产业部、 商务部、 国家保密局、 国务院信息化工作办公室联合发文 (国密局联 [2008]1号) 颁布《含有密码技术的信息产品政府采购规定》 :

第二条本规定所称含有密码技术的信息产品, 是指采用密码技术实现信息加 解密、认证鉴别、授权管理、访问控制等安全功能的软件、硬件。

第五条国家对含有密码技术的信息产品采购实行目录管理。 采购人采购含有 密码技术的信息产品时,应当采购目录中的产品。

第六条国家密码管理局会同科技部、公安部、国家安全部、财政部、信息产 业部、商务部、国家保密局、国务院信息化工作办公室,确定含有密码技术的信 息产品的具体范围。 财政部会同国家密码管理局在确定范围内制定含有密码技术 的信息产品政府采购目录,在适当范围内公布并适时调整。

笔者没有找到所提的“含有密码技术的信息产品政府采购目录” (应该不是 《密码产品和含有密码技术的设备进口管理目录》 ,可能也不是国家密码管理局 公布在网站上的取得“商用密码产品型号证书”的密码产品目录) ,不能判断在 监管层面上 “含有密码技术的信息产品” 的准确定义, 这也许需要国家密码管理 局的澄清,或者在修订的《商用密码管理条例》予以明确规定。笔者认为,如果 “含有密码技术的信息产品”等同于“密码产品”和“含有密码技术的设备” , 那么在未来的新法规和监管体系中只用 “密码产品” 一个术语即可; 如果指的是 “密码产品”以外的、采用了“密码模块”的信息产品,那就是另外一种监管模 式了。

五、 关于对密码模块的监管要求

在我国政府的管理体系中, 对采用密码模块的信息技术产品的监管与对 “密

码产品” 的监管是不同的。 所谓密码模块, 一般指在信息技术硬件或软件产品中 有采用密码技术的部分, 但该硬件或软件产品的核心功能不是加密解密操作。 按 目前的监管体系, “信息安全产品”中如果采用了密码模块,则该密码模块必须 经过密码检测机构的检测合格后, 才有可能取得该信息安全产品的认证或销售许 可:

《计算机信息系统安全专用产品检测和销售许可证管理办法》 :送交安全专 用产品检测时,应当向检测机构提交以下材料:??(六)采用密码技术的安全 专用产品必须提交国家密码管理部门的审批文件。

《计算机信息系统安全专用产品销售许可证办理须知》 :采用密码技术的产 品,申请者须提交国家密码管理部门的审批文件。

为此,国家密码管理局商用密码检测中心还于 2009年 6月以《关于发布安 全路由器等六种产品密码检测准则和密码检测指南的通告》 , 发布了安全路由器、 安全操作系统、安全数据库、防火墙、安全隔离与信息交换产品、智能卡 COS 这六种信息安全产品中密码模块的检测准则和检测指南规范。 这些规范进一步明 确了该项检测需要信息安全产品的厂商提供密码模块的源代码。

这里需要特别说明, 按照信息安全等级保护及与之相关的信息安全产品的法 规和标准,信息安全产品通过检测、审批后,取得的是“计算机信息系统安全专 用产品销售许可证” ,而不是“信息安全产品销售许可证” 。 《网络安全法》颁布 生效后,按照《网络安全法》及其配套细则的规定, “信息安全产品”的提法有 可能逐步被“网络安全专用产品”所取代; “网络安全专用产品”中的密码模块 如何通过密码检测机构检测合格后才能满足 “网络安全专用产品” 的 “安全认证 合格或者安全检测符合要求” ,目前尚不清楚。有关信息安全产品监管的分析, 可以见:

http://blog.sina.com.cn/s/blog_4ee4e8170102x2xa.html

但是, 《商用密码产品生产管理规定》在这方面的规定不够清晰:

第十一条商用密码产品必须经国家指定的机构检测、认证合格 , 并加施强制 性认证标志后方可出厂。 暂未列入强制性认证目录的商用密码产品, 必须经国家 密码管理局指定的产品质量检测机构检测合格。

这里的 “强制性认证目录” 应该不是 《密码产品和含有密码技术的设备进口 管理目录》 ,而国家密码管理局网站上的密码产品目录列出的是取得“商用密码 产品型号证书”的具体产品名单,不是产品分类目录。按监管规定,只要属于商 用密码产品,就需要经过申请、审批(当然包括对产品的检测)而取得“商用密 码产品型号证书”后方可销售和使用,这本身就是强制性的。那么, “暂未列入 强制性认证目录的商用密码产品, 必须经国家密码管理局指定的产品质量检测机 构检测合格” 指的是什么呢?是指采用密码模块的信息安全产品吗 (确实需要通 过密码检测机构检测合格,并且不需取得“商用密码产品型号证书” )?希望国 家密码管理局以后予以澄清。

六、 关于国家密码管理局认可的算法

《商用密码产品生产管理规定》 第七条:??商用密码产品所采用的密码算 法应当是国家密码管理局认可的算法。

众所周知, 考虑到国家安全、 网络安全和技术优势等因素, 我国政府从几年 前开始大力推广中国标准的密码算法(或称为国产算法, SM2、 SM3、 SM4等) 的应用,首先在金融领域,如《中国金融集成电路(IC )卡规范第 17部分:借

记 /贷记应用安全增强规范》 (PBOC 3.0)规定金融智能卡必须支持 SM2、 SM3和 SM4密码算法,发布了《国家发展改革委办公厅关于组织实施 2012年金融领域 安全 IC 卡和密码应用专项有关事项的通知》 (发改办高技 [2012]3096号) 、 《中国 人民银行关于推动移动金融技术创新健康发展的指导意见》 (银发 [2015]11号) 、 《国务院办公厅转发密码局等部门关于金融领域密码应用指导意见的通知》 (国 办发〔 2014〕 6号)等文件。之后,中办、国办印发的《关于加强重要领域密码 应用的指导意见》的通知(厅字 [2015]4号)推动了国产密码在更广泛的重要领 域、行业中的应用。例如:

但是, 至今笔者没有见到官方的书面材料限定 “国家密码管理局认可的算法” 只是“国产密码算法” 。我国不像有的国家那样给出了政府认可的密码算法列表 (希望以后会有) 。那该如何认识、理解这个问题呢?笔者认为,国家密码管理 局网站上有全部的已经取得“商用密码产品型号证书”的商用密码产品的目录, 且分为《商用密码产品目录》和《支持 SM2/3/4密码算法的商用密码产品目录》 两部分, 支持 SM2/3/4密码算法的密码产品还包含在总目录中, 这样我们就有可 能从目录的分析中得出结论。从两个目录的现状(“商用密码产品型号证书”在 有效期的密码产品) 看, 支持 SM2/3/4密码算法的密码产品的数目差不多是所有 密码产品数目的一半;即便查询 2017年内取得“商用密码产品型号证书”的密 码产品, 总目录中也有相当多的密码产品不在支持 SM2/3/4密码算法的密码产品 目录里。 即便考虑到可能的统计误差和时间误差, 已颁发 “商用密码产品型号证 书”的密码产品中也应该有相当的数量支持除国产密码算法外的其他密码算法。 因此, 有充足的理由相信, 尽管国家密码管理局没有公布官方正式的名单或目录, “国家密码管理局认可的算法” 应该起码包括主流的国际密码算法, 如 ISO 标准 的密码算法。

另一个方面, 《商用密码产品品种和型号审批服务指南》 进一步说明:“商用 密码产品应采用经国家密码管理局认可的算法,并应符合相关密码标准规范; ” 可见, 这里并没有限定只能符合国家标准或行业标准, 没有排除国际密码算法标 准或 ISO 密码算法标准。 再说, 中国的 SM2和 SM9密码算法已经被接收为 ISO/IEC国际标准,其他中国密码算法的国际化也在进程之中??:

最后补充一点, 有些遗憾的是, 国家密码管理局在颁布 《商用密码产品生产 管理规定》 的修改版前, 没有向社会公开征求意见 (条例要求修改规章参照制定 规章要求,而规章草案应该向社会公布征求意见) ;如果广泛征求意见,可能会 更完善些:

《规章制定程序条例(修订草案征求意见稿) 》 (2017年 4月) :

第四十三条国务院部门,省、自治区、直辖市和设区的市、自治州的人民政 府, 应当经常对规章进行清理, 发现与新公布的法律、 行政法规或者其他上位法 的规定不一致的, 与法律、 行政法规或者其他上位法相抵触的, 或者不适应经济 社会发展和全面深化改革要求的, 应当及时修改或者废止。 修改、 废止规章的程 序,参照本条例的有关规定执行。

第十九条起草规章, 应当将规章草案及其说明等向社会公布, 征求意见。 向 社会公布征求意见的期限一般不少于 30日。征求意见的情况可以向社会通报。

转载请注明出处范文大全网 » 商用密码产品手册