商用密码应用与安全性评估 霍 炜 郭启全 马 原◎主编 电子工业出版社 Publishing House of Electronics Industry 北京・BEIJING 内容简介 本书从密码基础知识的讲解开始，对商用密码相关政策法规、标准和典型产品进行了详细介绍，并 给出了商用密码应用安全性评估的实施要点以及具体案例，用以指导测评人员正确开展密码应用安全性 评估工作，促进商用密码正确、合规、有效的应用。本书共 5章，内容包括：密码基础知识，商用密码 应用与安全性评估政策法规，商用密码标准与产品应用，密码应 用与安全性评估实施要点，以及商用密 码应用安全性评估案例。 本书为商用密码应用安全性评估人员的培训专用教材，也可作为商用密码从业人员、大专院校网络 空间安全和密码学等相关专业人员的参考用书。 未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。 版权所有，侵权必究。 图书在版编目 (CIP)数据 商用密码应用与安全性评估 /霍炜，郭启全，马原主编 .一北京：电子工业出版社 ，2020.4 ISBN978-7-121-35063-4 I•①商…II.①霍…②郭…③马…III.①密码一安全评价 IV.①TN918.2 中国版本图书馆 CIP数据核字 (2018)第212782号 策划编辑：董亚峰张正梅 责任编辑：张正梅 印刷：三河市君旺印务有限公司 装订：三河市君旺印务有限公司 出版发行：电子工业出版社 北京市海淀区万寿路 173信箱邮编： 100036 开本：787X10921/16 印张：32.5字数：599千字彩插： 1 版次：2020年4月第1版 印次：2020年4月第1次印刷 定价：158.00元 凡所购买电子工业出版社图书有缺损问题者，请向购买书店调换。若书店售缺，请与本社发行部联 系，联系及邮购电话： (010)882548 88、88258888 。 质量投诉请发电子邮件至 zlts@phei.com.cn ，盗版侵权举报请发电子邮件至 dbqq@phei.com.cn 。 本书咨询联系方式： (010)88254757 。 《商用密码应用与安全性评估》编写组 主 编：霍炜 郭启全 马原 副 主编：（按姓氏笔画为序） 马奇学 牛路宏 刘健 许长伟 张汉青 张铠麟 罗鹏 编审人员：（按姓氏笔画为序） 王小鲁王兵 童新海 谢永泉 王跃武 王鹏 牛莹姣 邓开勇 田敏求 付长春 吕娜 刘芳 刘丽敏 刘炜 刘娟 苏奠 杜晶 李升 李梦东 杨阳 杨超 杨瑞玲 吴冬宇 邸迪 初小菲 张世韬 张育潜 张琼露 陈天宇 陈海虹 陈操 范春玲 罗海宁 罗睿 郑昉昱 赵欣怡 赵振云 姚佳琳 袁骁 贾世杰 夏鲁宁 顾小卓 钱文飞 阎亚龙 寇春静 彭红 董珊珊 韩东 雷灵光 路献辉 薛迎俊 薛海洋 2019年10月26日， 十三届全国人大常委会第十四次会议通过 《中华人民共和国密码法》 ， 习近平主席签署主席令予以公布， 密码法于 2020年1月1日起正式施行。 密码法的颁布实施， 是密码工作历史上具有里程碑意义的大事，必将对密码事业发展产生 重大而深远的影响。 密码是国之重器，是保障网络安全的核心技术和基础支撑，在网络安全防护中具有不可 替代的重要作用。利用密码在安全认证、加密保护、信任传递等方面的重要作用，构建网络空 间安全保障体系、 维护国家网络空间安全， 必须坚持总体国家安全观， 推动密码全面规范应用，构建以密码为基础的网络安全体系，实现从被动防御向主动免疫的战略转变。 建立完善商用密码应用安全性评估制度，对关键信息基础设施商用密码应用的合规性、 正确性和有效性进行评估，是贯彻落实密码法的法定责任，是有效应对我国网络安全严峻形势 的迫切需要，是落实国务 院“放管服”改革要求和国家关键信息基础设施防护责任的重要举措， 是商用密码管理的一项基础性、开创性工作。 本书是我国第一部系统介绍商用密码应用和安全性评估工作的著作，对关键信息基础设 施运营者、商用密码从业单位、商用密码检测机构全面、深入、准确地理解商用密码应用安全 性评估制度具有重要作用。 本书的出版， 将有助于提升商用密码应用安全性评估工作的科学性、 规范性，将有助于吸引和集聚各方力量研究密码、推广密码，将有助于信息系统运营者牢固树 立密码安全意识、自觉规范使用密码。站在新的历史起点上，让我们不忘初心、牢记使命，以 习近平新时代中国特色社会主义思想为指导，坚定不移贯彻落实密码法，坚定不移推进密码应 用和创新发展，坚定不移维护国家安全和社会公共利益，为实现中华民族伟大复兴、建设密码 强国做出新的更大的贡献！ 中国工程院院士 2020年3月 前 言 本书全面深入贯彻落实《中华人民共和国密码法》相关要求，紧紧围绕商用密码应用与 安全性评估这一主线，通过密码算法、产品标准讲解和实际案例分析，给出了商用密码应用安 全性评估的基本原理和实施要点，指导测评人员正确开展商用密码应用安全性评估，帮助商用 密码从业人员全面了解商用密码政策、知识和 应用安全性评估工作。 全书共 5章。第 1章介绍密码的基础知识，主要包括密码概念、作用、技术和功能等； 第2章介绍商用密码应用与安全性评估相关政策法规，主要阐述我国商用密码管理、应用法律 政策要求和商用密码应用安全性评估体系；第 3章介绍商用密码标准与产品应用，描述密码产 品的类型及检测框架，并对主要商用密码产品的基本形态、标准规范、应用要点等进行解读； 第4章介绍密码应用安全性评估实施要点，对密码应用方案设计、密评标准进行解读，明确测 评实施过程中相关要求，并给出相应的实现和测评方法；第 5章介绍重要领域具有代表性的密 码应用典型案例 ，通过对案例进行剖析，从密码应用需求、系统架构和业务功能等方面入手， 解析具体的密码应用方案和评估实施指南，以解读和说明相关标准和测评实施关键点。附录列 出与密评相关的政策法规和标准规范，方便读者查阅。 由于编者认识的局限性，书中不妥和错漏之处在所难免，恳请读者提出宝贵意见，帮助 本书不断改进和完善。 本书编写组 2020年3月VI■■■商用密码应用与安全性评估 第1章 密码基础 知识 ................................ ................. 1 1.1 密码应用概述 ................................ ...................... 2 1.1.1密码的概念与作用 ................................ .............. 2 1.1.2密码功能与密码应用 ................................ ............ 4 1.1.3密码应用中的安全性问题 ................................ ........ 6 1.2密码应用安全性评估的基本原理 ................................ ........ 7 1.2.1信息安全管理过程 ................................ .............. 7 1.2.2 信息安全风险评估 ................................ ............ 10 1.2.3密码应用安全性评估的定位 ................................ ..... 13 1.3密码技术发展 ................................ ....................... 16 1.3.1 密码技术创新 ................................ ................ 16 1.3.2我国商用密码发展历程 ................................ ......... 22 1.3.3密码技术发展趋势 ................................ ............. 23 1.4密码算法 ................................ ........................... 29 1.4.1 对称密码算法 ................................ ................ 30 1.4.2公钥密码算法 ................................ ................. 40 1.4.3密码杂凑算法 ................................ ................. 49 1.4.4 密码算法分析概要 ................................ ............ 55 1.5 密钥管理 ................................ ......................... 57 1.5.1密钥生命周期管理 ................................ ..