商用密碼

商用密碼概念的首次提出，源于1996年7月中央辦公廳印發的《關于發展商用密碼和加強對商用密碼管理工作的通知》?！吧逃妹艽a”特指用于保護不屬于國家秘密信息的密碼。1999年頒布的《商用密碼管理條例》中對商用密碼做出了明確定義：“商用密碼，是指對不涉及國家秘密內容的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品”。相比涉密領域的密碼，商用密碼的服務范圍更廣，應用場景更復雜。

2020年1月1日起正式施行的《中華人民共和國密碼法》闡明，國家將黨政系統密碼分為核心密碼、普通密碼、商用密碼，并實行了分類管理，其中核心密碼、普通密碼主要指的是用于國家管理保護的秘密相關信息，商用密碼對不屬于國家秘密的技術性信息作出保護

注：密碼是指使用特定的變換，對數據等信息進行加密保護或者安全認證的物項和技術。其中加密保護是指使用特定的變換，將原來可讀的信息變成不可識別的符號序列；安全認證是指使用特定變換確認信息是否被篡改、是否來自可靠信息源以及確認行為是否真實等。物項是指實現加密保護或安全認證功能的設備與系統，技術是指物項實現加密保護或安全認證功能的方法或手段

商用密碼從范疇上來講，其產品一般以密碼芯片、加密軟件等形式作為其他產品的組成部分提供給消費者，如身份證加密芯片、增值稅發票加密軟件、智能電表加密芯片和加密手機芯片等；或者以電子簽名、身份識別等安全服務的方式為消費者提供基本的信息安全服務保障，如電子證照服務、金融身份認證服務、醫療電子病歷服務等。而商用密碼技術則包括密碼理論、密碼分析、密碼算法、新型密碼研究、密碼攻防、密碼芯片制造、密碼應用平臺設計等諸多領域

我國密碼管理以黨管密碼為基本原則進行依法管理，商用密碼行政管理體系以中央密碼工作領導機構統一組織領導，密碼管理工作的領導機構統一分級負責，主要為兩級：一是國家密碼管理部門，負責統籌管理全國的商密工作；二是各省密碼管理機構，受上級部門委托，負責本地區商用密碼管理工作。密碼使用監督管理行政部門對商用密碼管理有以下幾個方面的主要管理職能：一是運行管理，負責草擬商用密碼管理政策法規，擬定商用密碼的發展戰略規劃、密碼管理行業標準的制定和管理，推進商用密碼的使用、宣傳密碼技術培訓、試點應用示范等相關管理工作；二是對密碼信息系統檢測及認證，負責商用密碼產品和密碼系統檢測及認證，以及商用密碼產品和服務的檢測質量測評、密碼信息系統安全性評估等工作；三是安全監管，組織實施商用密碼在信息系統等系統中的應用安全監管，并對非法使用密碼產品的行為有行政執法權限^[1]。

為指導各信息系統建設單位按照安全方案規劃的指導正確合規地應用商用密碼，國家密碼管理部門制定并發布了《信息安全等級保護商用密碼技術要求》，相關的密碼信息安全管理部門制定并組織技術人員編寫了《信息安全等級保護商用密碼技術要求》使用指南，并針對不同等級要求的“互聯網+政務服務”設計了不同信息安全管理系統，明確指出了商用密碼的管理要求：

商用密碼產品指的是采用密碼技術對不涉及國家秘密內容的信息進行加密保護或安全認證的產品，即承載密碼技術、實現密碼功能的實體。

按功能分

(1)密碼算法類：提供基礎密碼運算功能的產品，如密碼算法芯片

(2)數據加解密類：提供數據加解密功能的產品，如服務器密碼機、VPN設備

(3)認證鑒別類：提供身份認證、密碼鑒別功能的產品，如動態口令系統、認證網關

(4)證書管理類：提供證書的產生、分發、管理功能的產品，如證書認證系統

(5)密鑰管理類：提供密鑰的產生、分發、更新、歸檔和恢復等功能的產品，如密鑰管理系統

(6)密碼防偽類：提供密碼防偽驗證功能的產品電子印章系統、支付密碼器、數字水印系統

(7)綜合類：提供含上述6類產品功能的兩種或兩種以上的產品，如電子商務安全平臺、綜合安全保密系統

按形態分：

(1)密碼軟件類：提供純軟件形態出現的密碼產品，產品有信息加密軟件、密碼算法實現軟件等產品

(2)密碼芯片類：指以集成電路芯片形態出現的密碼產品，主要產品有密碼算法芯片、密碼SOC芯片等

(3)密碼模塊類：指以多芯片組裝的背板形態出現，具備專用密碼功能，但本身不能完成完整的密碼功能的產品，主要有加解密模塊、安全控制模塊等產品

(4)密碼板卡類：指以板卡形態出現，具備完整密碼功能的產品，作為密碼產品的核心組件，主要有USB密碼鑰匙、PCI密碼板卡等產品

(5)密碼整機類：指以整機形態出現，具備完整密碼功能的產品，以密碼板卡為核心組建，主要有VPN、網絡密碼機、服務器密碼機、簽名驗證服務器等產品

(6)密碼系統類：指以系統形態出現，由密碼功能支撐的產品，一般由多個密碼整機組成，包括安全認證系統、密鑰管理系統等產品

(一)《密碼法》關于商用密碼標準體系的規定

《密碼法》明確商用密碼標準體系包括商用密碼國家標準、行業標準、團體標準和企業標準。

商用密碼國家標準、行業標準屬于政府主導制定的標準，商用密碼團體標準、企業標準屬于市場主體自主制定的標準。商用密碼國家標準由國家標準化管理委員會組織制定，代號為GB。

商用密碼行業標準由國家密碼管理局組織制定，報國家標準化管理委員會備案，代號為GM。

商用密碼團體標準由商用密碼領域的學會、協會等社會團體制定，商用密碼企業標準由商用密碼企業制定或者企業聯合制定。

(二)密碼行業標準化技術委員會是我國密碼行業唯一標準化組織

2011年10月，經國家標準化管理委員會批準，國家密碼管理局設立了密碼行業標準化技術委員會。密碼行業標準化技術委員會作為我國密碼行業唯一標準化組織，受國家密碼管理局委托，主要職責包括：

(1)提出密碼行業標準規劃和年度標準制定、修訂計劃的建議；

(2)組織密碼行業標準的編寫、審查、復審等工作；

(3)組織密碼領域的國家和行業標準的宣傳貫徹，推薦密碼領域標準化成果申報科技進步獎勵，或向國家標準化管理委員會提出項目獎勵建議；

(4)受國家標準化管理委員會委托，對相關國際標準文件進行表決、審查我國提案，并組織開展國際技術交流與合作等。

(三)我國商用密碼標準體系建設情況

截至2021年5月，我國現行密碼行業標準共有116項，現行和即將實行的密碼國家標準共有36項，這些標準覆蓋了密碼算法、產品、技術、檢測、應用等多個方面，意味著我國密碼標準體系正在日益完善。

(四)我國商用密碼國際標準化開展情況

《密碼法》第二十三條第一款規定：國家推動參與商用密碼國際標準化活動，參與制定商用密碼國際標準，推進商用密碼中國標準與國外標準之間的轉化運用。我國高度重視商用密碼國際標準化工作，大力推進以我國自主設計研制的SM系列密碼算法為代表的中國商用密碼標準納入國際標準，積極參與國際標準化活動，加強國際交流合作。

2011年9月，我國設計的祖沖之(ZUC)算法納入國際第三代合作伙伴計劃組織(3GPP)的4G移動通信標準，用于移動通信系統空中傳輸信道的信息加密和完整性保護，這是我國密碼算法首次成為國際標準。

2015年5月起，我國陸續向ISO提出了將SM2、SM3、SM4和SM9算法納入國際標準的提案。

2017年11月，SM2和SM9數字簽名算法正式成為ISO/IEC國際標準。

2018年，SM3算法正式成為ISO/IEC國際標準。

2020年4月，ZUC序列密碼算法正式成為ISO/IEC國際標準。

2021年2月，SM9標識加密算法正式成為ISO/IEC國際標準。

2021年6月，SM4算法正式成為ISO/IEC國際標準。我國商用密碼國際標準體系已初步成型，為密碼在全球范圍的發展與應用提供了中國方案，貢獻了中國智慧。

(五)商用密碼的行業標準

商用密碼的行業標準分為基礎類標準、應用類標準、檢測類標準和管理類標準。

(1)應用類標準為上層具體的密碼產品、服務應用提供支持。

(2)檢測類標準為基礎類標準和應用類標準提供了合法性檢測的功能，保障商用密碼使用的合法性；

(3)基礎類標準為其他三類標準提供了底層、共性支撐(如術語、算法、協議、產品等)；

(4)管理類標準為其他三類標準提供了管理功能；

在轉化運用國際標準方面，商用密碼行業標準GM/T0028《密碼模塊安全技術要求》和GM/T0039《密碼模塊安全檢測要求》，分別參考國際標準ISO19790和ISO24759編制，為規范商用密碼產品管理、提升商用密碼產品安全防護能力發揮了重要作用，充分體現了商用密碼標準制定的開放性。

起步階段(2005年之前)：主要應用于銀行、證券、海關等金融相關的領域.金融行業的監管要求推動了金融數據密碼機等商密產品的研制及應用。

初見規模(2005-2010年)：基于數字證書的PKI技術(公鑰密碼基礎設施)取得大力發展，商用密碼產品和技術為網絡上的身份認證、數據傳輸加密、電子簽名等提供技術支撐，推動了電子商務、電子政務、各個行業信息化的發展，我國的商密產業初見規模。

大力發展(2011年以后)：2011年，密碼行業標準化技術委員會正式成立，制定了SM2/3/4/9、ZUC等密碼算法標準以及一系列密碼協議、產品等行業標準，逐漸建立了我國的商用密碼標準體系。近幾年，國家出臺了一系列法規政策，更是大力促進了商密產業的發展。

(1)網絡攻擊日益頻繁

隨著身份盜用、交易詐騙、資源濫用、網絡釣魚等安全事件頻繁發生，政府、企業、個人對信息安全的關注程度日益增強，社會對信息安全的需求與日俱增，政府部門、重點行業在信息安全產品和服務上的投入也不斷增加，促進了信息安全行業的持續增長。

(2)合規要求趨嚴

2017-2019年，隨著《網絡安全法》、《央企考核辦法》、《等保2.0》、《數

據安全》、《產業規劃》、《密碼法》等的陸續出臺，疊加HW行動、信創等政策因素，網安相關政策的影響力持續加強，合規需求仍是現階段行業主題。

(3)信息技術不斷發展革新

近年來，云計算、大數據、移動以及社交網絡的快速發展給信息系統架構帶來了巨大變化，信息安全也隨之迎來挑戰。例如云計算技術，使得數據中心的基礎設施由原來的各業務系統獨立建設模式轉變為資源池建設模式，服務器、存儲、網絡設備的部署方式相應改變?；A架構的變化要求信息安全建設能夠適應新的IT基礎架構，從而滿足新的安全需求，這同時為信息安全建設帶來了新的發展空間。

(4)產品推廣周期較長

由于信息安全行業的特殊性，行業內企業不但要具備相應信息安全企業資質，并且新技術、新產品需要經過公安部、密碼管理局、國家信息安全認證中心等眾多部門審批合格后方可推向市場，一定程度上限制了行業技術革新以及產業化推進^[2]。

據《2020-2021中國商用密碼產業發展報告》顯示，2016年至2020年，我國商用密碼產業總體規模持續增長，2020年我國商用密碼產業規模突破466億，同比增速超33%。

據國家密碼管理局商用密碼檢測中心報告顯示，截至2021年4月，我國已有2447款密碼產品獲得了商用密碼產品認證證書﹐密碼產品品類豐富﹐較完整的商用密碼產品體系已初步形成^[3]。

2012年，商用密碼產品銷售單位為611家，商用密碼產品生產單位為427家。2017年，商用密碼產品銷售單位和生產單位已經分別達到976家和737家。從商用密碼企業的地域分布來看，北京、廣東、浙江、上海的企業數量之和占整合行業半數以上，北京和廣東的商用密碼企業最多。

參考資料：

[1]孫翊嘉.甘肅省“互聯網+政務服務”的商用密碼安全保障研究[D].甘肅:蘭州大學，2020.

[2]數觀天下：2019-2020商用密碼行業分析報告（34頁）.pdf

[3]中國評測：2021年商用密碼應用安全性評估白皮書(66頁).pdf

商用密碼相關報告：

數觀天下：密碼法頒布詳解商用密碼領域（36頁）.pdf

2020BCS-北京網絡安全大會：商用密碼應用技術體系、標準 和典型方案.pdf

煉石：2021密碼產業洞察報告（76頁）.pdf

See Data：密碼行業系列深度報告(32頁).pdf

煉石：圖解22種密碼應用模式（79頁）.pdf

煉石：2021密碼應用技術白皮書-V1.0.0（452頁）.pdf

公司研究】衛士通-密碼央企龍頭重視基本面的邊際變化-210210（30頁）.pdf