商用密码应用与安全性评估

本书从密码基础知识的讲解开始，对商用密码相关政策法规、标准和典型产品进行了详细介绍， 并给出了商用密码应用安全性评估的实施要点以及具体案例，用以指导测评人员正确开展密码应用安 全性评估工作，促进商用密码正确、合规、有效的应用。本书共 5 章，内容包括：密码基础知识，商用密码应用与安全性评估政策法规，商用密码标准与产品应用，密码应用与安全性评估实施要点，以及商用密码应用安全性评估案例。

作者信息请勿公开

第1章?密码基础知识 1
1．1　密码应用概述 2
1．1．1　密码的概念与作用 2
1．1．2　密码功能与密码应用 4
1．1．3　密码应用中的安全性问题 6
1．2　密码应用安全性评估的基本原理 7
1．2．1　信息安全管理过程 7
1．2．2　信息安全风险评估 10
1．2．3　密码应用安全性评估的定位 13
1．3　密码技术发展 16
1．3．1　密码技术创新 16
1．3．2　我国商用密码发展历程 22
1．3．3　密码技术发展趋势 23
1．4　密码算法 29
1．4．1　对称密码算法 30
1．4．2　公钥密码算法 40
1．4．3　密码杂凑算法 49
1．4．4　密码算法分析概要 55
1．5　密钥管理 57
1．5．1　密钥生命周期管理 57
1．5．2　对称密钥管理 62
1．5．3　公钥基础设施 65
1．6　密码协议 70
1．6．1　密钥交换协议 70
1．6．2　实体鉴别协议 72
1．6．3　综合密码协议举例 75
1．6．4　密码协议分析概要 84
1．7　密码功能实现示例 85
1．7．1　保密性实现 85
1．7．2　完整性实现 86
1．7．3　真实性实现 88
1．7．4　不可否认性实现 92
第2章?商用密码应用与安全性评估政策法规 95
2．1　网络空间安全形势与商用密码工作 95
2．1．1　国际国内网络空间安全形势 95
2．1．2　商用密码的由来与发展 99
2．1．3　商用密码应用问题及安全性评估的重要性 100
2．2　商用密码管理法律法规 102
2．2．1　《密码法》实施前商用密码法律法规体系 102
2．2．2　《密码法》立法情况和商用密码法律法规体系建设展望 107
2．3　商用密码应用法律政策要求 110
2．3．1　国家法律法规有关密码应用的要求 110
2．3．2　国家战略和规划有关密码应用的要求 114
2．3．3　行业和地区有关密码应用要求 118
2．4　商用密码应用安全性评估工作 121
2．4．1　商用密码应用安全性评估体系发展历程 121
2．4．2　商用密码应用安全性评估的主要内容 124
2．4．3　商用密码应用安全性评估政策法规和规范性文件 125
2．4．4　商用密码应用安全性评估各方职责 137
第3章?商用密码标准与产品应用 141
3．1　密码标准框架 141
3．1．1　密码标准化概况 142
3．1．2　密码标准体系概要 144
3．2　商用密码产品类别 150
3．2．1　商用密码产品类型 150
3．2．2　商用密码产品型号命名规则 154
3．2．3　商用密码产品检测认证制度安排 155
3．3　商用密码产品检测 159
3．3．1　商用密码产品检测框架 159
3．3．2　密码算法合规性检测 161
3．3．3　密码模块检测 167
3．3．4　安全芯片检测 175
3．4　商用密码标准与产品 178
3．4．1　智能IC卡标准与产品 178
3．4．2　智能密码钥匙标准与产品 183
3．4．3　密码机标准与产品 189
3．4．4　VPN标准与产品 199
3．4．5　电子签章系统标准与产品 212
3．4．6　动态口令系统标准与产品 218
3．4．7　电子门禁系统标准与产品 223
3．4．8　数字证书认证系统标准与产品 229
第4章?密码应用安全性评估实施要点 239
4．1?密码应用方案设计 240
4．1．1?设计原则 240
4．1．2?设计要点 241
4．2?密码应用基本要求与实现要点 243
4．2．1?标准介绍 243
4．2．2?总体要求解读 244
4．2．3?密码技术应用要求与实现要点 247
4．2．4?密钥管理要求与实现要点 258
4．2．5?安全管理要求 264
4．3?密码测评要求与测评方法 267
4．3．1?总体要求测评方法 267
4．3．2?典型密码产品应用的测评方法 269
4．3．3?密码功能测评方法 272
4．3．4?密码技术应用测评 273
4．3．5?密钥管理测评 286
4．3．6?安全管理测评 292
4．3．7?综合测评 298
4．4?密码应用安全性评估测评过程指南 299
4．4．1?概述 299
4．4．2?密码应用方案评估 303
4．4．3?测评准备活动 305
4．4．4?方案编制活动 307
4．4．5?现场测评活动 312
4．4．6?分析与报告编制活动 314
4．5?密码应用安全性评估测评工具 321
4．5．1?测评工具使用和管理要求 322
4．5．2?测评工具体系 322
4．5．3?典型测评工具概述 324
4．6?测评报告编制报送和监督检查 327
4．6．1?测评报告管理要求 327
4．6．2?测评报告体例 331
4．6．3?测评相关信息报送 332
4．6．4?测评报告监督检查 334
4．6．5?测评报告编制常见问题 336
第5章?商用密码应用安全性评估案例 339
5．1　密钥管理系统 340
5．1．1　密码应用方案概述 341
5．1．2　密码应用安全性评估测评实施 348
5．2　身份鉴别系统 353
5．2．1　密码应用方案概述 354
5．2．2　密码应用安全性评估测评实施 359
5．3　金融IC卡发卡系统和交易系统 362
5．3．1　密码应用方案概述 363
5．3．2　密码应用安全性评估测评实施 371
5．4　网上银行系统 376
5．4．1　密码应用方案概述 376
5．4．2　密码应用安全性评估测评实施 381
5．5　远程移动支付服务业务系统 384
5．5．1　密码应用方案概述 385
5．5．2　密码应用安全性评估测评实施 390
5．6　信息采集系统 395
5．6．1　密码应用方案概述 395
5．6．2　密码应用安全性评估测评实施 401
5．7　智能网联汽车共享租赁业务系统 405
5．7．1　密码应用方案概述 406
5．7．2　密码应用安全性评估测评实施 412
5．8　综合网站群系统 417
5．8．1　密码应用方案概述 417
5．8．2　密码应用安全性评估测评实施 423
5．9　政务云系统 427
5．9．1　密码应用方案概述 428
5．9．2　密码应用安全性评估测评实施 438
附录A?中华人民共和国密码法 445
附录B?商用密码应用安全性评估管理办法（试行） 452
附录C?商用密码应用安全性测评机构管理办法（试行） 455
附录D?商用密码应用安全性测评机构能力评审实施细则（试行） 460
附录E?国家政务信息化项目建设管理办法 467
附录F?信息系统密码应用基本要求（摘录） 474
附录G?网络安全等级保护基本要求（摘录） 492
缩略语表 501
名词解释 507
后记 509

本书全面深入贯彻落实《中华人民共和国密码法》相关要求，紧紧围绕商用密码应用与安全性评估这一主线，通过密码算法、产品标准讲解和实际案例分析，给出了商用密码应用安全性评估的基本原理和实施要点，指导测评人员正确开展商用密码应用安全性评估，帮助商用密码从业人员全面了解商用密码政策、知识和应用安全性评估工作。

全书共 5 章。第 1 章介绍密码的基础知识，主要包括密码概念、作用、技术和 功能等；第 2 章介绍商用密码应用与安全性评估相关政策法规，主要阐述我国商用 密码管理、应用法律政策要求和商用密码应用安全性评估体系；第3 章介绍商用密 码标准与产品应用，描述密码产品的类型及检测框架，并对主要商用密码产品的基 本形态、标准规范、应用要点等进行解读；第 4 章介绍密码应用安全性评估实施要 点，对密码应用方案设计、密评标准进行解读，明确测评实施过程中相关要求，并 给出相应的实现和测评方法；第5章介绍重要领域具有代表性的密码应用典型案例， 通过对案例进行剖析，从密码应用需求、系统架构和业务功能等方面入手，解析具体的密码应用方案和评估实施指南，以解读和说明相关标准和测评实施关键点。附录列出与密评相关的政策法规和标准规范，方便读者查阅。

由于编者认识的局限性，书中不妥和错漏之处在所难免，恳请读者提出宝贵意见，帮助本书不断改进和完善。

本书编写组 2020年3月