商用密碼應用與安全性評估（簡體書）

本書從密碼基礎知識的講解開始，對商用密碼相關政策法規、標準和典型產品進行了詳細介紹， 並給出了商用密碼應用安全性評估的實施要點以及具體案例，用以指導測評人員正確開展密碼應用安 全性評估工作，促進商用密碼正確、合規、有效的應用。本書共 5 章，內容包括：密碼基礎知識，商用密碼應用與安全性評估政策法規，商用密碼標準與產品應用，密碼應用與安全性評估實施要點，以及商用密碼應用安全性評估案例。

本書是我國第一部系統介紹商用密碼應用和安全性評估工作的著作，對關鍵信息基礎設施運營者、商用密碼從業單位、商用密碼檢測機構全面深入準確理解商用密碼應用安全性評估制度具有重要作用。本書的出版，將有助於提升商用密碼應用安全性評估工作的科學性、規範性，將有助於吸引和集聚各方力量研究密碼、推廣密碼，將有助於信息系統運營者牢固樹立密碼安全意識、自覺規範使用密碼。

第1章?密碼基礎知識 1

1.1 密碼應用概述 2

1.1.1 密碼的概念與作用 2

1.1.2 密碼功能與密碼應用 4

1.1.3 密碼應用中的安全性問題 6

1.2 密碼應用安全性評估的基本原理 7

1.2.1 信息安全管理過程 7

1.2.2 信息安全風險評估 10

1.2.3 密碼應用安全性評估的定位 13

1.3 密碼技術發展 16

1.3.1 密碼技術創新 16

1.3.2 我國商用密碼發展歷程 22

1.3.3 密碼技術發展趨勢 23

1.4 密碼算法 29

1.4.1 對稱密碼算法 30

1.4.2 公鑰密碼算法 40

1.4.3 密碼雜湊算法 49

1.4.4 密碼算法分析概要 55

1.5 密鑰管理 57

1.5.1 密鑰生命週期管理 57

1.5.2 對稱密鑰管理 62

1.5.3 公鑰基礎設施 65

1.6 密碼協議 70

1.6.1 密鑰交換協議 70

1.6.2 實體鑒別協議 72

1.6.3 綜合密碼協議舉例 75

1.6.4 密碼協議分析概要 84

1.7 密碼功能實現示例 85

1.7.1 保密性實現 85

1.7.2 完整性實現 86

1.7.3 真實性實現 88

1.7.4 不可否認性實現 92

第2章?商用密碼應用與安全性評估政策法規 95

2.1 網絡空間安全形勢與商用密碼工作 95

2.1.1 國際國內網絡空間安全形勢 95

2.1.2 商用密碼的由來與發展 99

2.1.3 商用密碼應用問題及安全性評估的重要性 100

2.2 商用密碼管理法律法規 102

2.2.1 《密碼法》實施前商用密碼法律法規體系 102

2.2.2 《密碼法》立法情況和商用密碼法律法規體系建設展望 107

2.3 商用密碼應用法律政策要求 110

2.3.1 國家法律法規有關密碼應用的要求 110

2.3.2 國家戰略和規劃有關密碼應用的要求 114

2.3.3 行業和地區有關密碼應用要求 118

2.4 商用密碼應用安全性評估工作 121

2.4.1 商用密碼應用安全性評估體系發展歷程 121

2.4.2 商用密碼應用安全性評估的主要內容 124

2.4.3 商用密碼應用安全性評估政策法規和規範性文件 125

2.4.4 商用密碼應用安全性評估各方職責 137

第3章?商用密碼標準與產品應用 141

3.1 密碼標準框架 141

3.1.1 密碼標準化概況 142

3.1.2 密碼標準體系概要 144

3.2 商用密碼產品類別 150

3.2.1 商用密碼產品類型 150

3.2.2 商用密碼產品型號命名規則 154

3.2.3 商用密碼產品檢測認證制度安排 155

3.3 商用密碼產品檢測 159

3.3.1 商用密碼產品檢測框架 159

3.3.2 密碼算法合規性檢測 161

3.3.3 密碼模塊檢測 167

3.3.4 安全芯片檢測 175

3.4 商用密碼標準與產品 178

3.4.1 智能IC卡標準與產品 178

3.4.2 智能密碼鑰匙標準與產品 183

3.4.3 密碼機標準與產品 189

3.4.4 VPN標準與產品 199

3.4.5 電子簽章系統標準與產品 212

3.4.6 動態口令系統標準與產品 218

3.4.7 電子門禁系統標準與產品 223

3.4.8 數字證書認證系統標準與產品 229

第4章?密碼應用安全性評估實施要點 239

4.1?密碼應用方案設計 240

4.1.1?設計原則 240

4.1.2?設計要點 241

4.2?密碼應用基本要求與實現要點 243

4.2.1?標準介紹 243

4.2.2?總體要求解讀 244

4.2.3?密碼技術應用要求與實現要點 247

4.2.4?密鑰管理要求與實現要點 258

4.2.5?安全管理要求 264

4.3?密碼測評要求與測評方法 267

4.3.1?總體要求測評方法 267

4.3.2?典型密碼產品應用的測評方法 269

4.3.3?密碼功能測評方法 272

4.3.4?密碼技術應用測評 273

4.3.5?密鑰管理測評 286

4.3.6?安全管理測評 292

4.3.7?綜合測評 298

4.4?密碼應用安全性評估測評過程指南 299

4.4.1?概述 299

4.4.2?密碼應用方案評估 303

4.4.3?測評準備活動 305

4.4.4?方案編制活動 307

4.4.5?現場測評活動 312

4.4.6?分析與報告編制活動 314

4.5?密碼應用安全性評估測評工具 321

4.5.1?測評工具使用和管理要求 322

4.5.2?測評工具體系 322

4.5.3?典型測評工具概述 324

4.6?測評報告編制報送和監督檢查 327

4.6.1?測評報告管理要求 327

4.6.2?測評報告體例 331

4.6.3?測評相關信息報送 332

4.6.4?測評報告監督檢查 334

4.6.5?測評報告編制常見問題 336

第5章?商用密碼應用安全性評估案例 339

5.1 密鑰管理系統 340

5.1.1 密碼應用方案概述 341

5.1.2 密碼應用安全性評估測評實施 348

5.2 身份鑒別系統 353

5.2.1 密碼應用方案概述 354

5.2.2 密碼應用安全性評估測評實施 359

5.3 金融IC卡髮卡系統和交易系統 362

5.3.1 密碼應用方案概述 363

5.3.2 密碼應用安全性評估測評實施 371

5.4 網上銀行系統 376

5.4.1 密碼應用方案概述 376

5.4.2 密碼應用安全性評估測評實施 381

5.5 遠程移動支付服務業務系統 384

5.5.1 密碼應用方案概述 385

5.5.2 密碼應用安全性評估測評實施 390

5.6 信息採集系統 395

5.6.1 密碼應用方案概述 395

5.6.2 密碼應用安全性評估測評實施 401

5.7 智能網聯汽車共享租賃業務系統 405

5.7.1 密碼應用方案概述 406

5.7.2 密碼應用安全性評估測評實施 412

5.8 綜合網站群系統 417

5.8.1 密碼應用方案概述 417

5.8.2 密碼應用安全性評估測評實施 423

5.9 政務雲系統 427

5.9.1 密碼應用方案概述 428

5.9.2 密碼應用安全性評估測評實施 438

附錄A?中華人民共和國密碼法 445

附錄B?商用密碼應用安全性評估管理辦法(試行) 452

附錄C?商用密碼應用安全性測評機構管理辦法(試行) 455

附錄D?商用密碼應用安全性測評機構能力評審實施細則(試行) 460

附錄E?國家政務信息化項目建設管理辦法 467

附錄F?信息系統密碼應用基本要求(摘錄) 474

附錄G?網絡安全等級保護基本要求(摘錄) 492

縮略語表 501

名詞解釋 507

後記 509