2024年4月19日发(作者：)

第40卷 第2期

2022年 2月

数字技术与应用

Digital Technology &Application

Vol.40 No.2

February 2022

中图分类号:TP309 文献标识码:A 文章编号:

1007-9416(2022)02-0232-05

DOI:10.19695/12-1369.2022.02.75

商用密码技术在国家重点行业商密网中的应用

中国航天系统科学与工程研究院 全斌 韦玮 郭莉丽

当前，我国的网络空间受到多方威胁，安全态势复

杂，形势异常严峻，而国家重点行业商密网存在行业

从业人员能力不足，核心技术受制于人等诸多问题。随

着我国密码科学的发展，商用密码技术已经成为我国网

络空间安全的核心防护手段，通过正确运用商用密码技

术，可以让需要防护的重要信息具备真实性、完整性、

机密性和不可否认性。本篇分析了国家重点行业商密网

中商用密码应用的安全需求，给出了商用密码应用的总

体架构，为国家重点行业中开展商用密码应用工作奠定

了基础。

当前我国的网络空间安全领域的核心技术仍存在受

外国人制约的情况，关键信息基础设施和重要信息系统

（如电力、航空、国防等领域）的网络安全防护能力仍

然十分薄弱

[1]

，导致我国利益受到严重威胁。特别是以

美国为首的西方势力，通过斯诺登“棱镜门”等一系列

网络攻击事件，窃取我国核心机密，对我国造成重大损

失。这一系列事件凸现出我国尚未具备开发主流自主可

控安全产品的问题，底层技术和核心技术的缺失使得我

国网络空间安全时刻受到威胁。

在增强信息系统安全防护能力，掌握信息领域核心

技术的过程中，需要充分发挥密码技术的核心支撑作

用。密码技术是在我国当前的技术水平下，最经济、最

有效的维护网络安全的技术手段，掌握并正确的使用

商用密码技术能够大大提升我国网络空间安全防护的水

平，避免网络空间安全受到威胁。目前我国的重要信息

系统广泛使用的算法仍为MD5、RSA等国际算法，使

得我国网络空间的“大门”钥匙掌握在外国手中。

国家重点行业商密网为我国各重点企业正常开展科

研生产任务提供了重要支撑，但由于其重要的战略地

位，经常受到国外各种势力的网络攻击，一旦遭受破

收稿日期:2021-11-26

作者简介:全斌(1997—),男,北京人,本科,工程师,研究方向:网络安全、保密管理。

232

坏，会严重影响我国的国家安全和社会稳定。目前我国

的重要信息系统主要使用的加密算法为RSA、MD5、

SHA-1等较为通用的国际加密算法，安全性难以得到

保证。随着商用密码的逐步应用，迫切需要结合当前的

国际网络安全态势，理清国家重点行业商用密码全面应

用所面临的重大机遇和挑战，针对当前存在的实际问题

和技术难点及薄弱点，有序开展对商用密码技术的应用

研究，规范商用密码的使用，构建基于商用密码技术的

密码安全防护体系，增强网络的安全性，已成为势在必

行，且刻不容缓的重要任务和使命

[1]

。

1 基础技术介绍

我国自20世纪90年代确立商用密码战略以来，国家

密码管理部门就根据密码算法设计、应用开发和密码管

理的实际需求，制订了一系列成体系的商用密码标准，

并将其细分为三个大类，涉及多种算法，同时加快推进

了商用密码在实际工作中的应用，大幅提升了我国网络

空间的安全防护能力。

1.1 对称密码算法

对称密码指的是加解密过程中的密钥是对称的，即

加密过程和解密过程使用相同的，或者相互容易推导而

得出的密钥。对称密码算法的重点在于密钥的隐秘性，

一旦密钥被泄漏或被窃取，原始信息就会轻而易举的被

计算出来。在信息系统的使用过程中，对称密码计算因

为其计算快，计算量小的特点而被广泛使用，但随着通

信人数的增多，密钥数量也呈现几何级增长，因此密钥

管理困难极大。当前我国商用密码算法的对称密码算法

主要包含SM4算法和祖冲之密码算法。

1.1.1 SM4算法

该算法经2012年被确定为行业标准后，又于2016年

被确定为国家标准，是我国自己研发的迭代分组密码算

全斌 韦玮 郭莉丽：商用密码技术在国家重点行业商密网中的应用

2022年第 2 期

法，其特点在于加解密算法相同，均为32轮非线性迭代

结构，加解密算法的区别仅仅在于轮密钥的顺序，加

密轮密钥正好是解密轮密钥的逆序使用

[2]

。SM4算法与

AES算法相比，安全性相当于AES-128，且计算量较

小，加解密较快。

1.1.2 祖冲之密码算法

该算法是由我国著名数学家祖冲之命名的自主可控

的序列密码算法，主要用于对数据的完整性和机密性保

护。该算法共包含3个部分，分别为加密算法、完整性

算法和祖冲之算法，主要应用于我国的移动通信领域，

也是我国最先成为国际标准的算法。该算法的优势在于

计算快、适配性好、安全性高。

(2)SM9算法。该算法于2016年成为行业标准，标

准包含总则、密钥交换协议、密钥封装机制和公钥加

密算法、数字签名算法和参数定义。该算法的特点为

不需要数字证书和密钥库，通过用户的身份标识符生

成公钥和私钥。主要应用于数字签名、身份认证的现

实应用场景。

1.3 密码杂凑算法

杂凑算法的主要特点是对任意长度的信息原文压缩

成固定长度的信息摘要。该算法的两大特点为单向性和

抗碰撞性。所谓单向性指的是得到消息摘要不能推算出

消息原文；抗碰撞性指的是信息摘要相同的信息，在计

算上不可能得到两种不同的消息原文，即消息摘要与消

息原文具有对应关系，这就是所谓的抗碰撞性。

该算法于2012年成为行业标准，于2016年升级为国

家标准，是我国自主设计的密码杂凑算法。该算法的优

势在于运算效率极高，灵活度高，跨平台的适配性好，

具备良好的实现效能。该算法主要的运算过程为经64轮

迭代和压缩后，最终行程256bit长度的摘要。

1.2 公钥密码算法

公钥密码算法包含公开密钥和私有密钥，其特点为

加解密时的密钥不同。公开密钥和私有密钥必须成对出

现，如果对私有密钥或者公开密钥进行加密，就要用另

一个密钥进行解密。公钥密码算法的特点是不再使用相

同的密钥进行加解密，大大的加强了对于密钥的使用和

管理，但与此同时也带来了一些弊端，相比对称算法，

公钥密码算法的计算量加大许多，运算难度也大了很

多，导致其加解密速度相对较慢。当前我国商用密码算

法的公钥密码算法主要包含SM2和SM9算法。

(1)SM2算法。

该算法于2010年发

布，于2012年成为

行业标准，于2016

年升级为国家标

准。其中SM2能实

现数字签名、密钥

协商、数据加密

等功能。SM2算法

与国际密码算法

RSA1024相比，

安全性具有明显优

势。该密码使用基

于椭圆曲线离散对

数难题设计，目前

已成为国际标准。

2 商业密码安全技术通用体系

随着商用密码技术的发展，商用密码安全技术通用

体系形成，如图1所示。

(1)密码资源层内核为基础密码算法，包含分组算

图1 商用密码技术体系

Fig.1 Commercial cryptographic technology system

233

第 40 卷数字技术与应用

法、杂凑算法等基础密码算法，并采用算法芯片、算法

软件等方式对其进行封装。

(2)密码支撑层一般由安全芯片类、密码整机类

的商用密码安全产品集成，例如：密码机、VPN设备

等，主要作用为密码资源调用。

(3)密码服务层由对称密码、公钥密码等服务组

成，其中公钥密码服务主要用于实现上层应用数据的数

字签名、抗抵赖等功能；对称密码服务主要用于对上次

应用数据的机密性保护。

(4)密码应用层主要提供应用程序接口，实现系统

所需的加解密功能，发挥其在各领域、各系统的重要支

撑作用。

(5)密码管理基础设施为服务管理层，主要用于提

供运维、信任、密钥管理等功能。

3 国家重点行业商用密码安全技术体系

当前国家重点行业信息系统面临安全水平良莠不

齐、管理主体相对分散、整体规划程度低等问题，需要

结合实际情况研究具有整体性的国家重点行业商用密码

安全防护体系，系统性提升网络安全防护能力。

国家重点行业商用密码安全体系的建设是复杂的系

统工程

[3]

，包含多个层次、多种服务、多项技术。统一

建设的服务平台，可以更加完善整个系统的密钥全生命

周期管理；管理上各司其职，明确各方责任，减少管理

成本。同时做好商用密码安全体系建设顶层规划的同

时，有效提升各级单位运维管理效率、完善系统安全性

评估机制，提升整体的网络安全防护水平。

国家重点行业的商密网建设和使用中，要体系化的

使用商用密码技术，通过规范、合理的使用商用密码技

术，整体提升商密网安全防护水平。国家重点行业商密

图2 国家重点行业商密网中的商用密码安全体系

Fig.2 The commercial cryptographic security system in the

commercial secret network of key national industries

234

网中的商用密码技术体系如图2所示：

(1)物理和环境安全：在商密网的所在机房、重要

设备间部署具备商用密码模块的视频监控系统、电子门

禁系统；通过加密存储设备、视频加密系统、服务器密

码机等实现监控视频、身份认证等信息的完整性保护。

(2)网络和通信安全：通过商用密码IPSec/SSL

VPN实现网络逻辑边界的流量进出管控，构建系统内

部的运维管理网络；通过内部网络边界的流量控制机

制，实现网络内外边界的完整性保护；使用数字证书认

证系统去校验信息设备及使用人员身份的真实性；通过

服务器密码机实现访问控制功能并计算MAC或签名后

保存，以此保证访问控制信息的完整性。

(3)计算和设备安全：使用数字证书认证系统为可

信安全单元提供根CA证书，实现可信计算密码模块支

撑平台；通过智能密码钥匙对设备管理员的登录操作进

行身份鉴别；通过服务器密码机对通用设备的重要审计

信息、日志记录、系统资源访问控制信息等进行数字

签名、MAC计算，保证信息的完整性。采用硬件密码

产品实现密钥管理、身份鉴别、数据加解密、MAC计

算、数字签名计算等功能。

(4)应用和数据安全：使用动态口令系统或电子钥

匙系统对重要应用程序的操作员身份进行鉴别，确保仅

具备权限的操作员才执行相关重要操作。

4 商用密码在国家重点行业商密网中的应用

4.1 密码应用安全需求

国家重点行业因其特殊地位，导致该领域的商密网

极易成为黑客攻击的目标，数据一旦被非法获取，对国

家安全造成的威胁难以估量。根据网络安全法规定，应

采用等级保护制度的防护方法对国家重点行业商密网进

行重点防护。而网络安全等级保护的标准在身份鉴别、

通信传输等多个方面提出了密码的应用需求。正确、有

效使用商用密码，能保证系统在身份鉴别、存储加密等

重要环节的安全。就本领域而言，商用密码应用需求主

要如下：

(1)通信安全需求。通信安全是国家信息安全的基

本需求，而国家重点行业商密网因其通信内容的特殊

性，更是要将安全性提升至通信各项需求的首位。采用

商用密码技术能防止需要保护的重要数据在传输中被窃

取，因此应采用VPN网关对网络通信进行防护，对传

全斌 韦玮 郭莉丽：商用密码技术在国家重点行业商密网中的应用

2022年第 2 期

输的信息加密。

(2)存储安全需求。大量数据存储在本地，导致一

旦本地受到网络攻击和威胁后，必将有大量的重要数

据丢失或被窃，对我国重点行业带来的后果不可想

象，因此应采用商用密码算法对其进行加密，以此保

证非授权人员无法访问该信息，并能有效防止其信息

被非法篡改

[4]

。

(3)身份认证需求。身份认证是网络安全防护的重

要一环，通过身份认证才能有效的阻断非授权人员访问

国家重点行业商密网的非法行为。在网络传输中，为确

保信息的安全性，通信双方均需通过基于数字证书技术

的身份鉴别。系统管理员也需要验证身份合法性，保证

系统内所有用户身份的真实性

[5]

。

4.2 国家重点行业商密网安全防护总体架构

依据网络安全等级保护的标准要求，国家重点行业

商密网需以密码技术、数字认证技术为技术支撑，以商

用密码运用为核心，实现系统内数据和传输数据的安全

性、完整性和保密性，国家重点行业商密网中的商用密

图3 国家重点行业商密网中的商用密码应用总体架构

Fig.3 The overall architecture of commercial cryptographic

applications in the commercial secret network of key national

industries

码应用总体架构如图3所示。

电子认证基础设施提供数字证书的全生命周期管理

服务，为数字证书的信息体系提供保障。USB Key内

置安全芯片，用于存储身份鉴别的数字证书，以此对身

份真实性进行鉴别。同时提供密码运算服务，实现系统

完整性、不可否认性和真实性检验。

通过安全接入网关，可以确保信息传输通道的安

全，安全接入网关采用SSL协议对传输数据进行加密，

以此确保数据安全性。

通过身份认证系统可以实现基于数字证书的身份鉴

别服务，实现系统内用户的身份互信，保证网络访问行

为的安全可控。

服务器密码机只要作用在于对数据的加解密等运算

服务，以此提供全套的密钥管理功能，保证数据的有效

性、完整性和机密性。

4.3 密码应用部署示例

国家重点行业商密网一般包含四个区域，分别为安

全服务区、系统服务区、运维管理区和网络接入区，并

分别部署服务器密码机、安全接入网关、身份认证系统

图4 密码应用总体部署

Fig.4 Overall deployment of cryptographic applications

等商用密码产品，具体部署情况如图4所示。

(1)传输安全。在网络的入口处部署VPN安全接入

网关，为系统与互联网建立信息传输通道并保证通道中

的数据安全。终端安装能够支持商用密码认证的安全浏

览器，浏览器与安全接入网关通过SSL协议来完成一系

列验证措施，保证通信过程中的机密性和安全性

[6]

。

(2)身份鉴别。每位管理员部署专用USB Key，并

部署基于数字证书的身份鉴别系统，实现对访问人员的

身份认证。采用SM2算法的身份鉴别系统可以用来校验

USB Key安全信息，通过后返回管理终端。管理终端

得到信任后，方可访问系统。

(3)存储安全。在安全服务器部署密码机，商密网

的访问流量均通过密码机，使用SM4算法对需要保护的

数据进行加密存储，以此保护数据的机密性。

(4)完整性保护。管理员通过USB Key进行身份认

证，并使用SM2签名算法对系统中的信息进行签名，

并存储该消息的签名值。在访问信息时，管理员使用

签名公钥进行信息校验，通过后访问该系统。系统通

235

第 40 卷数字技术与应用

[2] 高悦.面向云端的密码服务系统设计及实现[D].西安:西安电

子科技大学,2016.

[3] 魏冬辉.军工文化建设保障体系研究[D].长春:长春理工大学,

2010.

[4] 李凤华.分布式信息系统安全的理论与关键技术研究[D].西

安:西安电子科技大学,2009.

[5] 黄利繁.密码安全服务平台研究[D].济南:山东大学,2010.

[6] 黎水林,陈广勇,柳盈,等.商用密码在政府网站中的应用研究

[A].公安部第三研究所、江苏省公安厅、无锡市公安局.2019中

国网络安全等级保护和关键信息基础设施保护大会论文集[C].

公安部第三研究所、江苏省公安厅、无锡市公安局:《信息网

络安全》北京编辑部,2019:4.

过调用加密机，通过SM3算法对管理员设置的策略和

权限信息进行加密、操作日志进行完整性保护，防止

非授权篡改。

5 结语

商用密码技术的大量应用，是有效解决网络安全问

题的一种重要途径。在国家重点行业商密网中，尽快推

进对商用密码学的研究和应用，并将其规范应用在数据

存储、数据传输、安全审计等方面，加快构建适用于国

家重点行业商密网中的商用密码技术体系。

引用

[1] 卫婧.铁路商用密码应用及安全技术体系研究[J].铁路计算

机应用,2020,29(8):43-47.

……上接第221页

人员要不断改进计算机信息技术，保障计算机网络信息

安全。

引用

[1] 张虎.虚拟专用网络技术在计算机网络信息安全中的应用[J].

电脑知识与技术,2021,17(27):38-39+46.

[2] 罗泉钦.虚拟专用网络技术在计算机网络信息安全中的应用

探讨[J].电脑知识与技术,2021,17(27):53-54.

[3] 张汉省.计算机网络信息安全中虚拟专用网络技术的应用[J].

中国信息化,2021(8):75-77.

[4] 毛乐琦.虚拟专用网络技术在计算机网络信息安全中的应用

[J].电子技术与软件工程,2021(9):237-238.

[5] 崔娟.计算机网络信息安全中的虚拟专用网络技术分析[J].电

脑编程技巧与维护,2021(3):174-176.

[6] 杨帆,陈文瑞.虚拟专用网络技术在计算机网络信息安全中的

运用[J].电子技术与软件工程,2021(6):252-253.

[7] 王小朋.试论虚拟专用网络技术在计算机网络信息安全中的

应用[J].网络安全技术与应用,2021(2):10-11.

[8] 王加龙.虚拟专用网络技术在计算机网络信息安全中的应用

研究[J].信息与电脑(理论版),2021,33(3):214-216.

[9] 季征南,马立国,吴英,等.计算机网络信息安全中虚拟专用网

络技术的应用研究[J].冶金管理,2021(1):185-186.

[10] 贺鹏飞.研究计算机网络信息安全中虚拟专用网络技术的

应用[J].中国新通信,2021,23(1):151-152.

[11] 杨明,陈思,胡丽彬.计算机网络信息安全问题及对策[J].计算

机与网络,2021,47(15):42.

[12] 薛小瑞.计算机网络安全中数据加密技术的应用[J].信息系

统工程,2021(7):63-65.

236