摘 要

信息时代的来临使密码成为保护公民个人安全和国家安全的战略性资源，我国商用密码的应用和管理不断向规范化、体系化、法制化方向迈进。深化商用密码管理体系改革，大力推进商用密码合规、正确、有效应用，提高商用密码自主创新能力，是新时代商用密码发展面临的主要任务。而开展商用密码测试评估工作可以很大程度上规范密码应用，切实保障网络安全，维护信息系统密码安全，有效应对各类网络安全风险。

论文简要介绍了国内外网络空间安全形势，归纳总结了不同的密码算法技术，阐述了我国现阶段商用密码应用形势，强调了密码测评工作的重要性，研究了网络及信息系统密码测评原则、测评要求、测评方法及测评过程，针对不同的密码技术给出对应的具体测评实施方法。最后通过对比国内外密码测评的发展现状，总结现阶段国内密码测评工作的不足之处，给国产商用密码产品测试评估工作提出改进建议，所得结果对于密码测评应用方案设计、测评过程实施具有一定程度的指导意义。

关键词：信息安全；商用密码；密码测评

Abstract

The advent of the information age has made passwords a strategic resource for protecting citizens' personal security and national security. The application and management of commercial passwords in China has been moving toward standardization, systemization and legalization. Deepening the reform of commercial password management system, vigorously promoting commercial password compliance, correct and effective application, and improving the independent innovation capability of commercial passwords are the main tasks facing the development of commercial passwords in the new era. The implementation of commercial password testing and evaluation can largely standardize password applications, effectively protect network security, maintain information system password security, and effectively respond to various network security risks.

The paper briefly introduces the security situation of cyberspace at home and abroad, summarizes different cryptographic algorithm techniques, expounds the current situation of commercial cipher application in China, emphasizes the importance of cryptographic evaluation, and studies the requirements and evaluation of network and information system cryptography. The method, evaluation principle and evaluation process are given corresponding implementation methods for different cryptographic techniques. Finally, by comparing the development status of password evaluation at home and abroad, this paper summarizes the shortcomings of the current domestic password assessment work, and proposes improvement suggestions for the domestic and international commercial cryptographic products testing and evaluation. The results are important for the implementation of the cryptographic evaluation application design and evaluation process.

Key Words：information security; commercial password; password evaluation

目 录

第 1 章 绪论 1

1.1 研究背景 1

1.1.1 信息安全的重要性 1

1.1.2 国内外网络空间安全形势 1

1.2 研究目的及意义 3

1.3 研究方法 3

第 2 章 相关概念及基本理论 5

2.1 密码的概念及发展 5

2.1.1 密码的概念 5

2.1.2 密码的历史 5

2.2 密码技术 6

2.2.1 密码算法 7

2.2.2 密钥管理 11

2.2.3 密码协议 12

2.2.4 密码技术发展趋势 12

第 3 章 国产商用密码产品应用分析 14

3.1 国产商用密码产品现状 14

3.1.1 国产商用密码发展及应用情况 14

3.1.2 国产商用密码的应用形势 15

3.2 国产商用密码产品分类 16

3.2.1 按照形态分类 16

3.2.2 按照功能分类 17

3.3 国产商用密码产品的应用 19

3.3.1 国产商用密码产品在银行业中的应用 20

3.3.2 国产商用密码产品在卫生计生行业中的应用 21

3.4 国产商用密码产品面临的机遇与挑战 23

3.4.1 我国商用密码发展面临的机遇 23

3.4.2 我国商用密码发展面临的挑战 24

第 4 章 国产密码产品安全评估内容及方法 26

4.1 评估的意义 26

4.2 评估目标和原则及基本要求 27

4.2.1 评估的目标和原则 27

4.2.2 评估的基本要求 28

4.3 评估内容及具体评估方法 30

4.4 评估方法改进的思考和建议 33

4.4.1 国内外密评工作现状 33

4.4.2 关于密评工作的思考与改进 34

第 5 章 总结与展望 38

5.1 总结 38

5.2 展望 39

致 谢 40

绪论

研究背景

信息安全的重要性

在信息时代，信息安全已然成为全人类共同面临的难题和挑战，而网络安全作为信息安全重要的组成部分，也备受世人关注。当今世界互联网的触角已经深入到各个角落，世界上大部分国家都逐渐将网络安全纳入国家战略的范畴，在网络空间的对抗也不断发展升级为国家层面的网络战^[1]。

人类在网上进行的活动种类越来越多，暴露在互联网上的信息包括敏感信息越来越多，各个企业对互联网产生巨大依赖。与此同时，网络攻击变得越来越简单，从前需要很高的技术水平，才可以向特定目标发起网络攻击，但现在甚至只需要购买攻击软件，不需要任何技术就可以发起攻击。这些现状使得人们的敏感数据缺乏密码的保护，泄露事件愈演愈烈，信息被泄露被盗取的风险越来越大，同时导致伴随着网络攻击的犯罪不断增多。所以采取一些措施来保护公民的个人隐私和商业机密是十分有必要的，其中一个重要方法就是使用密码加密。

更糟糕的是，大众并没有普遍认识到隐私泄露带来的严重后果，类似的安全意识不足的情况在信息服务领域也普遍存在。全球相当数量的信息服务提供商并没有做到对用户信息进行强有力的保护，很多企业对网络安全不重视，这也是近几年来敏感数据泄露案件频发的原因。重大的信息泄露事件给用户和企业带来了重大损失。网络化时代，网络和网络设备已经成为信息存储、传输、处理的主要载体。网络上的信息归根结底是以二进制数据的形式存在的，若不使用合适的密码技术，网络上的信息很容易会被复制和修改，但是由于目前大众对密码技术的忽视，网络数据篡改和网络身份假冒事件频发，这逐渐发展成为严重的社会问题。

国内外网络空间安全形势

当今世界，海量数据、异构网络、复杂应用共同组成的“网络空间”，已成为与陆地、海洋、天空、太空同等重要的人类“第五空间”。网络空间正在加速演变成为各国争相抢夺的新疆域、战略威慑与控制的新领域、意识形态斗争的新平台、维护经济社会稳定的新阵地、未来军事角逐的新战场^[2]。发展网络空间相关科技、维护国家网络空间主权，是一项长期性、持久性、战略性的任务。

1. 国际网络安全形势

目前，世界各国纷纷将网络空间安全纳入国家安全战略，将其作为国家总体安全战略的重要组成部分来进行考察。不断扩大密码应用范围既是保障网络空间安全的迫切需要，也是促进密码不断创新发展、发挥密码自身功能特性的必然选择。由于密码上升到国家战略层面，只有在算法设计、密码产品研发、硬件设备制造、信息系统建设以及服务提供等方面做到全产业链自主可控，才可能牢牢掌握网络空间安全主动权^[3]。

近几年，网络攻击事件更是层出不穷。一些有政府或军方背景的组织为了达到扰乱他国社会秩序的目的，会组织实施大面积、大规模网络攻击^[4]。2010年，伊朗核设施受到一种叫做“震网”的病毒攻击，攻击未能被监控发现，这使得某基地的有毒放射性物质泄漏；2015年底，恶意代码攻击了乌克兰国家电力部门，这场攻击使超过27家变电站系统受到破坏，约140万人经历了数小时的断电。就在短短一年后，乌克兰电网再次被攻击，这次攻击造成其首都北部及周边地区断电超过一小时。这些大大小小的网络安全事件，无一不显示网络安全对抗已经升级为网络安全战争。

1. 国内网络安全形势

现阶段，我国网络信息系统的核心软硬件，操作系统，高性能芯片等技术存在明显的瓶颈，它们严重依赖外国制造商，这严重影响中国安全可控信息技术系统的形成。2018年4月，美国对中兴通讯实施制裁，直接攻击中国电信行业缺乏关键核心技术的痛点，以及中国关键核心技术依然受制于他人这一事实。

我国的金融，电信，航空，政府，军事等重要领域的关键信息基础设施都使用外国的产品和技术，如芯片，加密算法和操作系统，而这些外国产多多少存在漏洞，而且存在的漏洞我们并不掌握，存在巨大隐患。当这些潜在的漏洞被不法分子利用来发动大规模攻击时，造成的安全威胁及其后果将变得难以想象。例如“震网”和“火焰”等病毒通过攻击西门子和微软等产品的漏洞，造成了重大财务损失。这些攻击一旦发生，轻则导致数据泄露、基本数据被篡改，重则可能引起金融紊乱、供电中断、交通瘫痪等严重的社会困局。

截至2017年底，中国互联网用户已达7.72亿，其中移动互联网用户为7.53亿，互联网普及率达到55.8％，近年来虽然我国互联网发展迅速，但网络安全防护体系尚不健全。一方面，我国的网络安全投资相对较低，仅占整个IT行业的1~2％，甚至远低于西方国家10％的平均水平。大量的网络和信息系统的系统防御体系是不完善的。另一方面，传统的保护方法已经过时，基于“入侵检测、防火墙和防病毒”的传统网络安全保护方法已不能满足日益复杂多变的网络安全环境的需求。

2016年，我国发布了《国家网络空间安全战略》，提出了在总体国家安全观指导下， 协调国内外两大局势，协调安全和发展两个目标，逐步实现“和平，安全，开放、合作、有序”的网络空间发展目标，构建共同维护网络空间和平与安全的四项原则，提出了推动和平利用和共同治理网络空间的九项任务。

研究目的及意义

互联网的蓬勃发展和计算机技术不断提升推动着密码产业的不断革新，除了最新出现的量子计算机对传统密码安全性带来巨大威胁外，应用环境的变化也给新一代的密码算法提出了更高的要求，世界需要新的密码算法、密码产品来保护信息安全。同时，密码的应用也越来越广泛，这意味着需要有一定的方法将其进行规范地管理，这就需要更完善的密码测评体系来保障密码本身的合规性、安全性。

我国军用密码发展历史较悠久，但是商用密码起步较晚，目前只有基础密码算法能跟上国际化脚步。我国对密码测评工作的主要研究也是集中在近二十年内，虽然密评工作在这二十年间经历了从无到有的过程，也展开了对商用密码产品的测评工作，但是我国密码测评系统还不够完善，不够健全。我国目前的密码产品测试评估体系与其他发达国家相比，在规范性和完善性上还存在很大差距，建设密码测试评估体系的基础，就是要建立规范的密码测评技术。

为了丰富国产密码产品测试评估方法的理论结构，发现现阶段密评存在的不足之处，通过对密码与密码测评领域的深入研究，梳理目前正在使用的国产商用密码产品和对应的密评方法，对比分析国内外现状，对现阶段国产商用密码产品测试评估方法提出改进建议。

研究方法

在研究本课题时我主要使用了以下几种研究方法：

1. 调查法

通过系统地搜集关于国产密码产品测试评估方法的相关历史和现实情况的材料，综合运用其他研究方法如历史法、文献研究法等，对研究的目标即国产商用密码产品的测试评估方法有了较为系统的了解，并且通过调查法对搜集得来的大量信息进行分析、归纳和总结获得知识。

1. 文献研究法

根据研究课题，通过从网络、图书馆调查相关领域的文献来获得资料，通过对一定数量的文献进行研究，我了解了关于密码和密码测评的历史和现状，这帮助我了解了密码学的大致体系，也让我对密码测评有了更深层次的理解。

1. 比较分析法

在研究国产商用密码测试评估方法时，通过对不同国家目前密码发展现状，密码测评方法进行对比，认识到我国密码测评工作与其他国家之间的差距，总结我国国产商用密码测评工作目前的不足之处。

相关概念及基本理论

密码的概念及发展

密码的概念

人们对密码的认知往往是模糊片面的，“密码”一词似乎在日常生活中十分常见，如我们所理解的银行卡密码，支付密码，登录密码等等，但是这其实是我们在日常生活中使用的口令，口令是一种比较简单、初级的身份认证手段，相当于一个通行证，口令并不等于密码。实际上，密码有着漫长悠久的发展史，可以说从人类开始创造文字开始就有了早期的密码。密码是指使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术。密码并不是一个特定的口令，而是一个物项或一种技术。其中加密保护是指使用特定变换，将原来可读的信息变成不能识别的符号序列。安全认证代表使用特定变换，确认信息是否被篡改、是否来自可靠信息源以及确定行为是否真实。物项是指实现加密保护或安全认证功能的设备与系统。技术指物项实现加密保护或安全认证功能的方法和手段。明文指信息在被加密前的状态，能直接代表原文含义的信息。密文是指经过加密处理之后，隐藏原文含义的信息。加密是将明文转换成密文的实施过程。解密是加密的逆过程，是将密文转换成明文的实施过程。密钥是控制加密或解密过程的关键参数，分为加密密钥和解密密钥。

人们将明文通过加密密钥进行加密，得到相对应的密文，而收到密文的人再用对应的解密密钥，将密文的内容“翻译”回原文。这就是加密解密的过程。

密码的历史

早在远古时代，人类就能感知身边各种自然现象所隐含的信息，了解他们周遭世界中的各种自然图案所代表的含义，这种能力使得人类在地球上能够得以生存繁衍，并帮助人类逐渐成为占据统治地位的物种。随着早期人类部落的发展，在狩猎和劳动的过程中，人们开发出属于自己的各种复杂的系统——语言、计数、文字，并最终创造出最初的密码。而“隐写术”等技术的出现最早达到了保护信息不被他人获取的目的，这种古代加密技术可以视为密码技术的萌芽。

密码的发展阶段可以大致分为三个部分：古典密码、机械密码、现代密码。

1. 古典密码

古典密码可以分为两大类，一是置换密码，这种密码的特点是明文字母保持不变，但顺序被打乱。第二种是代换密码，这种密码的特点是明文字母被替换，但是顺序保持不变。而代换密码又可以分为三种不同形式的代换，分别是单表代换、多表代换和多字母代换。在单表代换中一个明文字母对应的密文字母是确定的，代表密码是凯撒密码；多表代换中一个明文字母可以表示为多个密文字母，代表密码是维吉尼亚密码；多字母代换中用密钥字母和其他字母构造一个5*5的密钥表矩阵，加密时则采用代换规则，代表密码是普莱费尔密码。

1. 机械密码

在计算机发明之前，人们的编码常常靠手工作业来完成。战争促进了密码的快速发展，在这一阶段中，密码设计者不断设计出新的密码，而这些密码又不断被破译者破译，这样设计和破译此消彼长，使密码得到不断发展演化。正是为了满足越来越复杂的密码设计和破译，密码研究者设计出来一些复杂的机械，这也就是早起计算机的原型，最有代表性的有德国发明的Enigma，日军在二战中使用的紫色密码机以及当时世界各国使用的Sigaba密码机。

1. 现代密码

20世纪70年代以前，密码学研究进展缓慢。直到70年代发生的两件事情让密码学进入了公众的视野，并正式拉开了现代密码学的帷幕。一是美国公布了数据加密标准算法DES，二是公钥密码思想的提出和RSA的诞生。现代密码学是一门研究“加密与破译”的科学，其核心是密码编码学和密码分析学。密码编码学的目标是建立难以破解的密码体质，密码分析学的目标是破译敌手已有的密码体质。

随着计算机网络的发展，密码学在军事和民用领域得到广泛应用。网银、网购、保密通信等均离不开密码的保护。军事通信的安全是国家安全的重要部分，也是推动密码学发展的原动力。电子商务、电子政务以及网上银行等都需要依赖密码技术加以安全保护。数字通信，特别是无线通信，需要加密以确保人们之间的通话能够安全可靠的进行。

密码技术

从功能上来看，密码技术包括两个部分，分别是加密保护技术和安全认证技术。早期的密码仅限于完成对信息的加密保护，保护信息的安全，确保信息不被窃取，这也是密码最原始的功能，但随着密码技术的不断发展，密码不仅可以实现对信息的加密保护，还可以对实体信息和身份来源进行安全认证。

从内容上来看，密码技术主要包括三点，分别是密码算法、密钥管理和密码协议。

以上是毕业论文大纲或资料介绍，该课题完整毕业论文、开题报告、任务书、程序设计、图纸设计等资料请添加微信获取，微信号：bysjorg。

相关图片展示：