信息化觀察網(wǎng)

《中華人民共和國密碼法》（以下簡稱《密碼法》）已于2019年10月頒布，其中對一些常用密碼領(lǐng)域的概念進(jìn)行了規(guī)范，現(xiàn)結(jié)合工作實際作一些梳理和辨析。

密碼 口令

《密碼法》中的密碼，是指采用特定變換的方法對信息等進(jìn)行加密保護、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)。密碼的主要功能有兩個，一個是加密保護，另一個是安全認(rèn)證。

加密保護就是將明文變成密文。例如，古希臘軍隊使用一種叫作“斯巴達(dá)棒”的圓木棍來進(jìn)行加密通信，使用方法是：把一根長帶狀羊皮紙纏繞在圓木棍上，然后在上面寫字；解下羊皮紙后，上面只有亂序的字符，只有再次以同樣的方式纏繞到同樣粗細(xì)的木棍上，才能看出所寫的內(nèi)容。

安全認(rèn)證就是確認(rèn)主體和信息的真實可靠性。例如，增值稅防偽稅控系統(tǒng)采用商用密碼技術(shù)保護涉稅信息，增值稅發(fā)票信息經(jīng)密碼算法進(jìn)行加解密處理，確定該發(fā)票的明文信息是否真實，從而遏制增值稅犯罪，減少稅款流失。

人們?nèi)粘＝佑|的計算機或手機開機“密碼”、微信“密碼”、QQ“密碼”、電子郵箱登錄“密碼”、銀行卡支付“密碼”等，實際上是口令（Password）?？诹钍沁M(jìn)入個人計算機、手機、電子郵箱或銀行賬戶的“通行證”，是一種簡單、初級的身份認(rèn)證手段，是最簡易的密碼。

密碼技術(shù) 密碼產(chǎn)品 密碼服務(wù)

根據(jù)《密碼法》規(guī)定，密碼的管理對象包括密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)。

密碼技術(shù)，是采用特定變換的方法對信息等進(jìn)行加密保護、安全認(rèn)證的技術(shù)，包括密碼編碼、實現(xiàn)、分析等技術(shù)。我國自主研制的SM4分組密碼算法、SM2公鑰密碼算法等是典型的密碼技術(shù)。

密碼產(chǎn)品，是承載密碼技術(shù)、實現(xiàn)密碼功能的實體，包括密碼機、密碼芯片和模塊等。日常生活中常見的第二代居民身份證、智能電卡、社會保障卡中使用的密碼芯片，網(wǎng)上銀行專用的U盾、電子密碼器、動態(tài)令牌等，就是典型的密碼產(chǎn)品。

密碼服務(wù)，是基于密碼技術(shù)和產(chǎn)品，實現(xiàn)密碼功能，提供密碼保障的行為，包括密碼保障系統(tǒng)集成、密碼保障系統(tǒng)運營等。數(shù)字證書認(rèn)證系統(tǒng)集成、增值稅發(fā)票防偽稅控系統(tǒng)運營等是典型的密碼服務(wù)。

核心密碼 普通密碼 商用密碼

《密碼法》根據(jù)保護對象的不同，將密碼分為核心密碼、普通密碼和商用密碼，實行分類管理。

核心密碼、普通密碼用于保護國家秘密信息，有力保障了中央政令軍令安全，為維護國家網(wǎng)絡(luò)空間主權(quán)、安全和發(fā)展利益構(gòu)筑起密碼屏障。核心密碼用于保護國家絕密級、機密級、秘密級信息，普通密碼用于保護國家機密級、秘密級信息。

核心密碼、普通密碼屬于國家秘密，密碼管理部門依法對核心密碼、普通密碼實行嚴(yán)格統(tǒng)一管理，針對核心密碼、普通密碼的科研、生產(chǎn)、服務(wù)、檢測、裝備、使用和銷毀等各個環(huán)節(jié)制定了一系列嚴(yán)格的安全管理制度和保密措施，對核心密碼、普通密碼實行全生命周期的嚴(yán)格統(tǒng)一管理。

商用密碼用于保護不屬于國家秘密的信息。公民、法人和其他組織可以依法使用商用密碼保護網(wǎng)絡(luò)與信息安全。也就是說，商用密碼可以用于保護除國家秘密之外的所有信息，既可以保護企業(yè)商業(yè)秘密、公民個人隱私，也可以保護政務(wù)領(lǐng)域中不屬于國家秘密的工作信息。

目前，商用密碼已經(jīng)廣泛應(yīng)用于國民經(jīng)濟發(fā)展和社會生產(chǎn)生活的方方面面，涵蓋金融和通信、公安、稅務(wù)、社保、交通、衛(wèi)生健康、能源、電子政務(wù)等重要領(lǐng)域，積極服務(wù)“互聯(lián)網(wǎng)+”行動計劃、智慧城市和大數(shù)據(jù)戰(zhàn)略，以及物聯(lián)網(wǎng)、人工智能、區(qū)塊鏈等新技術(shù)應(yīng)用，在維護國家安全，促進(jìn)經(jīng)濟社會發(fā)展，保護公民、法人和其他組織合法權(quán)益方面發(fā)揮著重要作用。

三類密碼保護的對象不同，對其進(jìn)行明確劃分，有利于確保密碼安全保密，有利于密碼管理部門根據(jù)不同信息等級和使用對象，對密碼實行科學(xué)管理，充分發(fā)揮三類密碼保護網(wǎng)絡(luò)與信息安全的核心支撐作用。

商用密碼檢測 商用密碼認(rèn)證

根據(jù)《中華人民共和國認(rèn)證認(rèn)可條例》及相關(guān)規(guī)定，商用密碼檢測包括商用密碼產(chǎn)品檢測和網(wǎng)絡(luò)與信息系統(tǒng)商用密碼應(yīng)用安全性評估，是指依據(jù)商用密碼標(biāo)準(zhǔn)或者技術(shù)規(guī)范，利用儀器設(shè)備、環(huán)境設(shè)施等技術(shù)條件和專業(yè)技能，對商用密碼進(jìn)行檢驗測定的專業(yè)技術(shù)活動，比如對密碼機等商用密碼產(chǎn)品的密碼功能及安全性進(jìn)行檢測。

商用密碼認(rèn)證是指由商用密碼認(rèn)證機構(gòu)通過型式試驗、工廠檢查和相關(guān)資料信息綜合評價等方式，證明商用密碼產(chǎn)品、服務(wù)、管理體系符合相關(guān)技術(shù)規(guī)范、相關(guān)技術(shù)規(guī)范的強制性要求或者標(biāo)準(zhǔn)的合格評定活動，比如對密碼機等商用密碼產(chǎn)品是否符合相關(guān)商用密碼標(biāo)準(zhǔn)進(jìn)行認(rèn)證。對符合認(rèn)證要求的，出具認(rèn)證證書并允許使用認(rèn)證標(biāo)志。

商用密碼檢測結(jié)果是商用密碼認(rèn)證機構(gòu)作出認(rèn)證結(jié)論的重要依據(jù)。

（作者：國家密碼管理局政策法規(guī)室）