商用密码

商用密码概念的首次提出，源于1996年7月中央办公厅印发的《关于发展商用密码和加强对商用密码管理工作的通知》。“商用密码”特指用于保护不属于国家秘密信息的密码。1999年颁布的《商用密码管理条例》中对商用密码做出了明确定义：“商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。相比涉密领域的密码，商用密码的服务范围更广，应用场景更复杂。

2020年1月1日起正式施行的《中华人民共和国密码法》阐明，国家将党政系统密码分为核心密码、普通密码、商用密码，并实行了分类管理，其中核心密码、普通密码主要指的是用于国家管理保护的秘密相关信息，商用密码对不属于国家秘密的技术性信息作出保护

注：密码是指使用特定的变换，对数据等信息进行加密保护或者安全认证的物项和技术。其中加密保护是指使用特定的变换，将原来可读的信息变成不可识别的符号序列；安全认证是指使用特定变换确认信息是否被篡改、是否来自可靠信息源以及确认行为是否真实等。物项是指实现加密保护或安全认证功能的设备与系统，技术是指物项实现加密保护或安全认证功能的方法或手段

商用密码从范畴上来讲，其产品一般以密码芯片、加密软件等形式作为其他产品的组成部分提供给消费者，如身份证加密芯片、增值税发票加密软件、智能电表加密芯片和加密手机芯片等；或者以电子签名、身份识别等安全服务的方式为消费者提供基本的信息安全服务保障，如电子证照服务、金融身份认证服务、医疗电子病历服务等。而商用密码技术则包括密码理论、密码分析、密码算法、新型密码研究、密码攻防、密码芯片制造、密码应用平台设计等诸多领域

我国密码管理以党管密码为基本原则进行依法管理，商用密码行政管理体系以中央密码工作领导机构统一组织领导，密码管理工作的领导机构统一分级负责，主要为两级：一是国家密码管理部门，负责统筹管理全国的商密工作；二是各省密码管理机构，受上级部门委托，负责本地区商用密码管理工作。密码使用监督管理行政部门对商用密码管理有以下几个方面的主要管理职能：一是运行管理，负责草拟商用密码管理政策法规，拟定商用密码的发展战略规划、密码管理行业标准的制定和管理，推进商用密码的使用、宣传密码技术培训、试点应用示范等相关管理工作；二是对密码信息系统检测及认证，负责商用密码产品和密码系统检测及认证，以及商用密码产品和服务的检测质量测评、密码信息系统安全性评估等工作；三是安全监管，组织实施商用密码在信息系统等系统中的应用安全监管，并对非法使用密码产品的行为有行政执法权限^[1]。

为指导各信息系统建设单位按照安全方案规划的指导正确合规地应用商用密码，国家密码管理部门制定并发布了《信息安全等级保护商用密码技术要求》，相关的密码信息安全管理部门制定并组织技术人员编写了《信息安全等级保护商用密码技术要求》使用指南，并针对不同等级要求的“互联网+政务服务”设计了不同信息安全管理系统，明确指出了商用密码的管理要求：

商用密码产品指的是采用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品，即承载密码技术、实现密码功能的实体。

按功能分

(1)密码算法类：提供基础密码运算功能的产品，如密码算法芯片

(2)数据加解密类：提供数据加解密功能的产品，如服务器密码机、VPN设备

(3)认证鉴别类：提供身份认证、密码鉴别功能的产品，如动态口令系统、认证网关

(4)证书管理类：提供证书的产生、分发、管理功能的产品，如证书认证系统

(5)密钥管理类：提供密钥的产生、分发、更新、归档和恢复等功能的产品，如密钥管理系统

(6)密码防伪类：提供密码防伪验证功能的产品电子印章系统、支付密码器、数字水印系统

(7)综合类：提供含上述6类产品功能的两种或两种以上的产品，如电子商务安全平台、综合安全保密系统

按形态分：

(1)密码软件类：提供纯软件形态出现的密码产品，产品有信息加密软件、密码算法实现软件等产品

(2)密码芯片类：指以集成电路芯片形态出现的密码产品，主要产品有密码算法芯片、密码SOC芯片等

(3)密码模块类：指以多芯片组装的背板形态出现，具备专用密码功能，但本身不能完成完整的密码功能的产品，主要有加解密模块、安全控制模块等产品

(4)密码板卡类：指以板卡形态出现，具备完整密码功能的产品，作为密码产品的核心组件，主要有USB密码钥匙、PCI密码板卡等产品

(5)密码整机类：指以整机形态出现，具备完整密码功能的产品，以密码板卡为核心组建，主要有VPN、网络密码机、服务器密码机、签名验证服务器等产品

(6)密码系统类：指以系统形态出现，由密码功能支撑的产品，一般由多个密码整机组成，包括安全认证系统、密钥管理系统等产品

(一)《密码法》关于商用密码标准体系的规定

《密码法》明确商用密码标准体系包括商用密码国家标准、行业标准、团体标准和企业标准。

商用密码国家标准、行业标准属于政府主导制定的标准，商用密码团体标准、企业标准属于市场主体自主制定的标准。商用密码国家标准由国家标准化管理委员会组织制定，代号为GB。

商用密码行业标准由国家密码管理局组织制定，报国家标准化管理委员会备案，代号为GM。

商用密码团体标准由商用密码领域的学会、协会等社会团体制定，商用密码企业标准由商用密码企业制定或者企业联合制定。

(二)密码行业标准化技术委员会是我国密码行业唯一标准化组织

2011年10月，经国家标准化管理委员会批准，国家密码管理局设立了密码行业标准化技术委员会。密码行业标准化技术委员会作为我国密码行业唯一标准化组织，受国家密码管理局委托，主要职责包括：

(1)提出密码行业标准规划和年度标准制定、修订计划的建议；

(2)组织密码行业标准的编写、审查、复审等工作；

(3)组织密码领域的国家和行业标准的宣传贯彻，推荐密码领域标准化成果申报科技进步奖励，或向国家标准化管理委员会提出项目奖励建议；

(4)受国家标准化管理委员会委托，对相关国际标准文件进行表决、审查我国提案，并组织开展国际技术交流与合作等。

(三)我国商用密码标准体系建设情况

截至2021年5月，我国现行密码行业标准共有116项，现行和即将实行的密码国家标准共有36项，这些标准覆盖了密码算法、产品、技术、检测、应用等多个方面，意味着我国密码标准体系正在日益完善。

(四)我国商用密码国际标准化开展情况

《密码法》第二十三条第一款规定：国家推动参与商用密码国际标准化活动，参与制定商用密码国际标准，推进商用密码中国标准与国外标准之间的转化运用。我国高度重视商用密码国际标准化工作，大力推进以我国自主设计研制的SM系列密码算法为代表的中国商用密码标准纳入国际标准，积极参与国际标准化活动，加强国际交流合作。

2011年9月，我国设计的祖冲之(ZUC)算法纳入国际第三代合作伙伴计划组织(3GPP)的4G移动通信标准，用于移动通信系统空中传输信道的信息加密和完整性保护，这是我国密码算法首次成为国际标准。

2015年5月起，我国陆续向ISO提出了将SM2、SM3、SM4和SM9算法纳入国际标准的提案。

2017年11月，SM2和SM9数字签名算法正式成为ISO/IEC国际标准。

2018年，SM3算法正式成为ISO/IEC国际标准。

2020年4月，ZUC序列密码算法正式成为ISO/IEC国际标准。

2021年2月，SM9标识加密算法正式成为ISO/IEC国际标准。

2021年6月，SM4算法正式成为ISO/IEC国际标准。我国商用密码国际标准体系已初步成型，为密码在全球范围的发展与应用提供了中国方案，贡献了中国智慧。

(五)商用密码的行业标准

商用密码的行业标准分为基础类标准、应用类标准、检测类标准和管理类标准。

(1)应用类标准为上层具体的密码产品、服务应用提供支持。

(2)检测类标准为基础类标准和应用类标准提供了合法性检测的功能，保障商用密码使用的合法性；

(3)基础类标准为其他三类标准提供了底层、共性支撑(如术语、算法、协议、产品等)；

(4)管理类标准为其他三类标准提供了管理功能；

在转化运用国际标准方面，商用密码行业标准GM/T0028《密码模块安全技术要求》和GM/T0039《密码模块安全检测要求》，分别参考国际标准ISO19790和ISO24759编制，为规范商用密码产品管理、提升商用密码产品安全防护能力发挥了重要作用，充分体现了商用密码标准制定的开放性。

起步阶段(2005年之前)：主要应用于银行、证券、海关等金融相关的领域.金融行业的监管要求推动了金融数据密码机等商密产品的研制及应用。

初见规模(2005-2010年)：基于数字证书的PKI技术(公钥密码基础设施)取得大力发展，商用密码产品和技术为网络上的身份认证、数据传输加密、电子签名等提供技术支撑，推动了电子商务、电子政务、各个行业信息化的发展，我国的商密产业初见规模。

大力发展(2011年以后)：2011年，密码行业标准化技术委员会正式成立，制定了SM2/3/4/9、ZUC等密码算法标准以及一系列密码协议、产品等行业标准，逐渐建立了我国的商用密码标准体系。近几年，国家出台了一系列法规政策，更是大力促进了商密产业的发展。

(1)网络攻击日益频繁

随着身份盗用、交易诈骗、资源滥用、网络钓鱼等安全事件频繁发生，政府、企业、个人对信息安全的关注程度日益增强，社会对信息安全的需求与日俱增，政府部门、重点行业在信息安全产品和服务上的投入也不断增加，促进了信息安全行业的持续增长。

(2)合规要求趋严

2017-2019年，随着《网络安全法》、《央企考核办法》、《等保2.0》、《数

据安全》、《产业规划》、《密码法》等的陆续出台，叠加HW行动、信创等政策因素，网安相关政策的影响力持续加强，合规需求仍是现阶段行业主题。

(3)信息技术不断发展革新

近年来，云计算、大数据、移动以及社交网络的快速发展给信息系统架构带来了巨大变化，信息安全也随之迎来挑战。例如云计算技术，使得数据中心的基础设施由原来的各业务系统独立建设模式转变为资源池建设模式，服务器、存储、网络设备的部署方式相应改变。基础架构的变化要求信息安全建设能够适应新的IT基础架构，从而满足新的安全需求，这同时为信息安全建设带来了新的发展空间。

(4)产品推广周期较长

由于信息安全行业的特殊性，行业内企业不但要具备相应信息安全企业资质，并且新技术、新产品需要经过公安部、密码管理局、国家信息安全认证中心等众多部门审批合格后方可推向市场，一定程度上限制了行业技术革新以及产业化推进^[2]。

据《2020-2021中国商用密码产业发展报告》显示，2016年至2020年，我国商用密码产业总体规模持续增长，2020年我国商用密码产业规模突破466亿，同比增速超33%。

据国家密码管理局商用密码检测中心报告显示，截至2021年4月，我国已有2447款密码产品获得了商用密码产品认证证书﹐密码产品品类丰富﹐较完整的商用密码产品体系已初步形成^[3]。

2012年，商用密码产品销售单位为611家，商用密码产品生产单位为427家。2017年，商用密码产品销售单位和生产单位已经分别达到976家和737家。从商用密码企业的地域分布来看，北京、广东、浙江、上海的企业数量之和占整合行业半数以上，北京和广东的商用密码企业最多。

参考资料：

[1]孙翊嘉.甘肃省“互联网+政务服务”的商用密码安全保障研究[D].甘肃:兰州大学，2020.

[2]数观天下：2019-2020商用密码行业分析报告（34页）.pdf

[3]中国评测：2021年商用密码应用安全性评估白皮书(66页).pdf

商用密码相关报告：

数观天下：密码法颁布详解商用密码领域（36页）.pdf

2020BCS-北京网络安全大会：商用密码应用技术体系、标准 和典型方案.pdf

炼石：2021密码产业洞察报告（76页）.pdf

See Data：密码行业系列深度报告(32页).pdf

炼石：图解22种密码应用模式（79页）.pdf

炼石：2021密码应用技术白皮书-V1.0.0（452页）.pdf

公司研究】卫士通-密码央企龙头重视基本面的边际变化-210210（30页）.pdf