本書從密碼基礎知識的講解開始，對商用密碼相關政策法規、標準和典型產品進行了詳細介紹， 並給出了商用密碼應用安全性評估的實施要點以及具體案例，用以指導測評人員正確開展密碼應用安 全性評估工作，促進商用密碼正確、合規、有效的應用。本書共 5 章，內容包括：密碼基礎知識，商用密碼應用與安全性評估政策法規，商用密碼標準與產品應用，密碼應用與安全性評估實施要點，以及商用密碼應用安全性評估案例。

作者信息請勿公開

第1章?密碼基礎知識 1
1．1密碼應用概述 2
1．1．1密碼的概念與作用 2
1．1．2密碼功能與密碼應用 4
1．1．3密碼應用中的安全性問題 6
1．2密碼應用安全性評估的基本原理 7
1．2．1信息安全管理過程 7
1．2．2信息安全風險評估 10
1．2．3密碼應用安全性評估的定位 13
1．3密碼技術發展 16
1．3．1密碼技術創新 16
1．3．2我國商用密碼發展歷程 22
1．3．3密碼技術發展趨勢 23
1．4密碼算法 29
1．4．1對稱密碼算法 30
1．4．2公鑰密碼算法 40
1．4．3密碼雜湊算法 49
1．4．4密碼算法分析概要 55
1．5密鑰管理 57
1．5．1密鑰生命周期管理 57
1．5．2對稱密鑰管理 62
1．5．3公鑰基礎設施 65
1．6密碼協議 70
1．6．1密鑰交換協議 70
1．6．2實體鋻別協議 72
1．6．3綜合密碼協議舉例 75
1．6．4密碼協議分析概要 84
1．7密碼功能實現示例 85
1．7．1保密性實現 85
1．7．2完整性實現 86
1．7．3真實性實現 88
1．7．4不可否認性實現 92
第2章?商用密碼應用與安全性評估政策法規 95
2．1網絡空間安全形勢與商用密碼工作 95
2．1．1國際國內網絡空間安全形勢 95
2．1．2商用密碼的由來與發展 99
2．1．3商用密碼應用問題及安全性評估的重要性 100
2．2商用密碼管理法律法規 102
2．2．1《密碼法》實施前商用密碼法律法規體繫 102
2．2．2《密碼法》立法情況和商用密碼法律法規體繫建設展望 107
2．3商用密碼應用法律政策要求 110
2．3．1國家法律法規有關密碼應用的要求 110
2．3．2國家戰略和規劃有關密碼應用的要求 114
2．3．3行業和地區有關密碼應用要求 118
2．4商用密碼應用安全性評估工作 121
2．4．1商用密碼應用安全性評估體繫發展歷程 121
2．4．2商用密碼應用安全性評估的主要內容 124
2．4．3商用密碼應用安全性評估政策法規和規範性文件 125
2．4．4商用密碼應用安全性評估各方職責 137
第3章?商用密碼標準與產品應用 141
3．1密碼標準框架 141
3．1．1密碼標準化概況 142
3．1．2密碼標準體繫概要 144
3．2商用密碼產品類別 150
3．2．1商用密碼產品類型 150
3．2．2商用密碼產品型號命名規則 154
3．2．3商用密碼產品檢測認證制度安排 155
3．3商用密碼產品檢測 159
3．3．1商用密碼產品檢測框架 159
3．3．2密碼算法合規性檢測 161
3．3．3密碼模塊檢測 167
3．3．4安全芯片檢測 175
3．4商用密碼標準與產品 178
3．4．1智能IC卡標準與產品 178
3．4．2智能密碼鑰匙標準與產品 183
3．4．3密碼機標準與產品 189
3．4．4VPN標準與產品 199
3．4．5電子簽章繫統標準與產品 212
3．4．6動態口令繫統標準與產品 218
3．4．7電子門禁繫統標準與產品 223
3．4．8數字證書認證繫統標準與產品 229
第4章?密碼應用安全性評估實施要點 239
4．1?密碼應用方案設計 240
4．1．1?設計原則 240
4．1．2?設計要點 241
4．2?密碼應用基本要求與實現要點 243
4．2．1?標準介紹 243
4．2．2?總體要求解讀 244
4．2．3?密碼技術應用要求與實現要點 247
4．2．4?密鑰管理要求與實現要點 258
4．2．5?安全管理要求 264
4．3?密碼測評要求與測評方法 267
4．3．1?總體要求測評方法 267
4．3．2?典型密碼產品應用的測評方法 269
4．3．3?密碼功能測評方法 272
4．3．4?密碼技術應用測評 273
4．3．5?密鑰管理測評 286
4．3．6?安全管理測評 292
4．3．7?綜合測評 298
4．4?密碼應用安全性評估測評過程指南 299
4．4．1?概述 299
4．4．2?密碼應用方案評估 303
4．4．3?測評準備活動 305
4．4．4?方案編制活動 307
4．4．5?現場測評活動 312
4．4．6?分析與報告編制活動 314
4．5?密碼應用安全性評估測評工具 321
4．5．1?測評工具使用和管理要求 322
4．5．2?測評工具體繫 322
4．5．3?典型測評工具概述 324
4．6?測評報告編制報送和監督檢查 327
4．6．1?測評報告管理要求 327
4．6．2?測評報告體例 331
4．6．3?測評相關信息報送 332
4．6．4?測評報告監督檢查 334
4．6．5?測評報告編制常見問題 336
第5章?商用密碼應用安全性評估案例 339
5．1密鑰管理繫統 340
5．1．1密碼應用方案概述 341
5．1．2密碼應用安全性評估測評實施 348
5．2身份鋻別繫統 353
5．2．1密碼應用方案概述 354
5．2．2密碼應用安全性評估測評實施 359
5．3金融IC卡發卡繫統和交易繫統 362
5．3．1密碼應用方案概述 363
5．3．2密碼應用安全性評估測評實施 371
5．4網上銀行繫統 376
5．4．1密碼應用方案概述 376
5．4．2密碼應用安全性評估測評實施 381
5．5遠程移動支付服務業務繫統 384
5．5．1密碼應用方案概述 385
5．5．2密碼應用安全性評估測評實施 390
5．6信息采集繫統 395
5．6．1密碼應用方案概述 395
5．6．2密碼應用安全性評估測評實施 401
5．7智能網聯汽車共享租賃業務繫統 405
5．7．1密碼應用方案概述 406
5．7．2密碼應用安全性評估測評實施 412
5．8綜合網站群繫統 417
5．8．1密碼應用方案概述 417
5．8．2密碼應用安全性評估測評實施 423
5．9政務雲繫統 427
5．9．1密碼應用方案概述 428
5．9．2密碼應用安全性評估測評實施 438
附錄A?中華人民共和國密碼法 445
附錄B?商用密碼應用安全性評估管理辦法（試行） 452
附錄C?商用密碼應用安全性測評機構管理辦法（試行） 455
附錄D?商用密碼應用安全性測評機構能力評審實施細則（試行） 460
附錄E?國家政務信息化項目建設管理辦法 467
附錄F?信息繫統密碼應用基本要求（摘錄） 474
附錄G?網絡安全等級保護基本要求（摘錄） 492
縮略語表 501
名詞解釋 507
後記 509

本書全面深入貫徹落實《中華人民共和國密碼法》相關要求，緊緊圍繞商用密碼應用與安全性評估這一主線，通過密碼算法、產品標準講解和實際案例分析，給出了商用密碼應用安全性評估的基本原理和實施要點，指導測評人員正確開展商用密碼應用安全性評估，幫助商用密碼從業人員全面了解商用密碼政策、知識和應用安全性評估工作。

全書共 5 章。第 1 章介紹密碼的基礎知識，主要包括密碼概念、作用、技術和 功能等；第 2 章介紹商用密碼應用與安全性評估相關政策法規，主要闡述我國商用 密碼管理、應用法律政策要求和商用密碼應用安全性評估體繫；第3 章介紹商用密 碼標準與產品應用，描述密碼產品的類型及檢測框架，並對主要商用密碼產品的基 本形態、標準規範、應用要點等進行解讀；第 4 章介紹密碼應用安全性評估實施要 點，對密碼應用方案設計、密評標準進行解讀，明確測評實施過程中相關要求，並 給出相應的實現和測評方法；第5章介紹重要領域具有代表性的密碼應用典型案例， 通過對案例進行剖析，從密碼應用需求、繫統架構和業務功能等方面入手，解析具體的密碼應用方案和評估實施指南，以解讀和說明相關標準和測評實施關鍵點。附錄列出與密評相關的政策法規和標準規範，方便讀者查閱。

由於編者認識的局限性，書中不妥和錯漏之處在所難免，懇請讀者提出寶貴意見，幫助本書不斷改進和完善。

本書編寫組 2020年3月