商用密码应用领域中的相关OID定义

商用密码等级适用范围
商用密码等级适用范围一般指在商业环境中使用的密码强度要求和规范。

这些密码通常用于保护商业机密、客户信息和财务数据等重要资产。

商用密码等级适用范围可以包括以下方面：
1. 企业内部系统：包括办公电脑、公司网络、内部应用程序等。

2. 网络服务：涉及到企业提供或使用的各种在线服务，如电子邮件、网银、电子商务等。

3. 云计算和数据存储：涉及到存储在云平台上的机密数据和敏感信息。

4. 移动设备：包括企业员工使用的手机、平板电脑等移动设备。

5. 物理设备和门禁系统：涉及到公司办公室、数据中心和其他重要设施的物理安全防护。

商用密码等级适用范围的具体要求和规范因组织而异，通常取决于所处行业的合规要求和安全标准。

一般来说，商用密码等级要求密码要具有足够的复杂性，包括大写字母、小写字母、数字和特殊字符的组合，并推荐定期更换密码。

此外，多因素身份验证、密码策略和加密通信等安全措施也通常包括在商用密码等级的适用范围内。

密码法背景下的商用密码应用及挑战《商用密码管理条例》于1999年10月7日施行，至今已逾二十年。

对于一部技术导向的管控型立法而言确属高龄，期间密码技术发展、密码产品应用已发生翻天覆地的变化，商用密码管理有关部门先后放开商用密码产品生产单位审批、商用密码产品销售单位许可等前置性的市场准入要求。

可以说，当前密码法的制定和颁布恰逢其时，整个科技行业翘首以待。

密码法根据国际国内网络与信息安全法治与实践环境的新变化、密码工作的新情况，对密码管理、应用、安全、发展及促进等问题进行了专门规定，为更好地落实密码法的要求，以下从产业的视角理解其出台背景、商用密码管理创新及其对商用密码应用的影响。

一、全球视野下的商用密码管理变革商用密码产品的普及，是顺应信息技术革命的必然结果，保障安全成为信息产品和信息服务的基本需求，密码技术作为不可或缺的重要手段，密码应用将不断深入和拓展。

随着全球大数据、云计算、互联网、物联网等信息技术的发展，以密码算法、数据加解密、认证鉴别、密码管理、密码防伪等为核心功能的商用密码产品实现了从“不好用、很少用”到“方便用、普遍用”的技术突破，迎来爆发式增长的新高潮。

同时，密码技术的发展也对经济发展、社会进步乃至国际政治经济格局等方面产生重大而深远的影响。

典型的如以非对称加密算法为核心要素的区块链技术为各国经济社会发展带来新机遇，但也来了一系列挑战，特别是对金融市场而言;先进加密技术的应用可以有效保护隐私，但是执法部门在行政调查中也面临解密困境。

国家利益的动态发展变化，引发了商用密码管制法律理念的更新。

国际上自上世纪90年代开始发达国家和发展中国家先后开始推进放松国内密码管制，放开本国居民生产、使用、销售密码的限制，放松对加密产品和加密技术控制。

1997年，经合组织发布《密码政策指南》呼吁放松对密码技术的控制，开发基于市场、使用者驱动的密码产品和服务。

在商用密码的出口管制领域，则问题相对更为复杂，且受政治因素影响非常大。

第1篇一、引言随着信息技术的飞速发展，密码技术已经成为保障信息安全的重要手段。

商用密码作为密码技术的重要组成部分，广泛应用于政府、金融、电信、电子商务等领域。

为了规范商用密码的应用和管理，保障信息安全，我国制定了相应的法律法规。

本文将重点介绍我国商用密码的法律规定。

二、商用密码的定义商用密码，是指为商业、金融、电信、能源、交通、电子商务等领域的信息系统提供安全保护，采用的技术、设备、产品和服务。

商用密码主要包括加密算法、安全协议、安全芯片、安全模块等。

三、商用密码的法律地位商用密码在我国法律体系中的地位非常重要。

根据《中华人民共和国密码法》的规定，商用密码是国家安全的重要组成部分，其研发、生产、销售、使用等活动应当遵守国家法律法规。

四、商用密码的法律规定1. 商用密码的研制与开发《中华人民共和国密码法》规定，商用密码的研制与开发应当符合国家密码政策，采用国家标准、行业标准的密码算法，并经过严格的测试和审查。

2. 商用密码的生产与销售（1）生产资质：《中华人民共和国密码法》规定，从事商用密码生产的企业应当取得国家密码管理部门颁发的商用密码生产许可证。

（2）产品认证：《中华人民共和国密码法》规定，商用密码产品应当经过国家密码管理部门或者其授权的机构进行认证。

（3）销售管理：商用密码产品销售应当符合国家法律法规，不得销售未经认证或者不符合国家标准、行业标准的商用密码产品。

3. 商用密码的使用（1）合规使用：商用密码的使用应当符合国家法律法规，不得用于非法目的。

（2）安全管理：商用密码用户应当建立健全商用密码安全管理制度，确保商用密码的使用安全。

（3）密钥管理：商用密码用户应当加强对密钥的管理，确保密钥安全。

4. 商用密码的进出口管理《中华人民共和国密码法》规定，商用密码的进出口活动应当遵守国家法律法规，未经批准不得擅自进出口商用密码。

五、法律责任1. 违反商用密码研制、开发规定的，由密码管理部门责令改正，没收违法所得，并处违法所得1倍以上5倍以下的罚款；没有违法所得的，处5万元以上50万元以下的罚款。

商用密码产品定义
商用密码产品是专门为商业机构和组织设计的密码管理解决方案。

这些产品可以帮助组织安全地存储、共享和管理密码，以保护敏感信息免受未经授权的访问和数据泄露。

商用密码产品通常具有以下特点：
1. 密码存储和加密：商用密码产品可以安全地存储和加密各种密码，包括员工的登录凭证、数据库密钥、API 密钥等。

2. 访问控制和权限管理：商用密码产品允许管理员为不同的用户分配不同的访问权限，以确保只有授权的人员可以访问特定的密码。

这有助于防止内部滥用和未经授权的访问。

3. 自动化密码更改：商用密码产品可以自动定期更改密码，并为用户生成和更新密码。

这有助于防止密码被滥用和破解，并减少员工因为繁琐的密码更改而带来的负担。

4. 审计和日志记录：商用密码产品可记录和审计所有与密码相关的活动，包括谁访问了哪个密码、何时访问以及对密码进行了何种操作。

这有助于监控和追踪潜在的安全威胁。

5. 密码共享和协作：商用密码产品允许用户安全地共享密码，并将其提供给需要访问特定系统或资源的团队成员。

此外，团队成员可以协同使用密码，并确保密码始终保持最新和安全。

总之，商用密码产品是为企业和组织提供安全的密码管理和保
护解决方案的工具，帮助防止敏感信息的泄露和未经授权的访问。

这些产品旨在提高密码安全性、方便性和组织的整体安全性。

国家商用密码算法简介密码学是研究编制密码和破译密码的技术科学，起源于隐秘消息传输，在编码和破译中逐渐发展起来。

密码学是一个综合性的技术科学，与语言学、数学、电子学、声学、信息论、计算机科学等有着广泛而密切的联系。

密码学的基本思想是对敏感消息的保护，主要包括机密性，鉴别，消息完整性和不可否认性，从而涉及加密，杂凑函数，数字签名，消息认证码等。

一．密码学简介密码学中应用最为广泛的的三类算法包括对称算法、非对称算法、杂凑算法。

1.1 对称密码对称密码学主要是分组密码和流密码及其应用。

分组密码中将明文消息进行分块加密输出密文区块，而流密码中使用密钥生成密钥流对明文消息进行加密。

世界上应用较为广泛的包括DES、3DES、AES，此外还有Serpent，Twofish，MARS和RC6等算法。

对称加密的工作模式包括电码本模式(ECB 模式)，密码反馈模式(CFB 模式)，密码分组链接模式(CBC 模式)，输入反馈模式(OFB 模式)等。

1.2 非对称密码公钥密码体制由Diffie和Hellman所提出。

1978年Rivest，Shamir和Adleman提出RAS密码体制，基于大素数分解问题。

基于有限域上的离散对数问题产生了ElGamal密码体制，而基于椭圆曲线上的离散对数问题产生了椭圆曲线密码密码体制。

此外出现了其他公钥密码体制，这些密码体制同样基于困难问题。

目前应用较多的包括RSA、DSA、DH、ECC等。

1.3杂凑算法杂凑算法又称hash函数，就是把任意长的输入消息串变化成固定长的输出串的一种函数。

这个输出串称为该消息的杂凑值。

一个安全的杂凑函数应该至少满足以下几个条件。

1)输入长度是任意的；2)输出长度是固定的，根据目前的计算技术应至少取128bits长，以便抵抗生日攻击；3)对每一个给定的输入，计算输出即杂凑值是很容易的；4)给定杂凑函数的描述，找到两个不同的输入消息杂凑到同一个值是计算上不可行的，或给定杂凑函数的描述和一个随机选择的消息，找到另一个与该消息不同的消息使得它们杂凑到同一个值是计算上不可行的。

国产商用密码算法及其相关标准介绍作者：谢宗晓董坤祥甄杰来源：《中国质量与标准导报》2020年第06期1 概述《中华人民共和国密码法》第六条中规定：密码分为核心密码、普通密码和商用密码。

同时，在第七条和第八条中规定：核心密码、普通密码属于国家秘密，商用密码用于保护不属于国家秘密的信息。

因此，在常见应用中，商用密码得到了大面积的推广，以至于，在实践中，提到“国密”，经常就被默认为国产商用密码算法。

在现代密码系统中，密码算法、密码协议和密钥管理是三个不可或缺的部分，而在这三者之中，最为核心的毫无疑问就是密码算法。

虽然实践证明，绝大部分的安全漏洞都产生于实现和部署过程中，但是，算法的安全与否，直接决定了一个密码系统的基础是否安全。

例如，选用SHA-1、MD4、MD5、RC4和密钥长度小于2048位的RSA等不安全的算法，不可能实现安全的密码系统。

已经发布的国产商用密码算法，按照类别可以分为：1）对称密码算法，主要包括ZUC和SM4;2）非对称密码算法，主要包括SM2和SM9;3）密码杂凑算法，主要包括SM3。

2 对称密码算法对称密码（symmetric cryptography）是用相同的密钥（或方法）进行加密解密，这在逻辑上非常清晰，也最直观，有时候也被称之为共享密钥密码，对称密码算法的基本过程如图1所示。

已经发布国产商用密码算法中属于对称密码算法的有ZUC和SM4。

ZUC（祖冲之密码算法）属于序列密码，也称为“流密码”，与之类似的国外密码算法如RC41）。

ZUC对应的国家标准、行业标准，如表1所示。

SM4属于分组密码，也称为“块密码”，与之类似的国外密码算法如DES（数据加密标准），TDEA/3DES（三重数据加密标准）以及AES（高级加密标准）等。

SM4对应的国家标准、行业标准，如表2所示。

在安全性上，SM4-128与AES-128差不多，当然，AES支持更高的安全强度。

但是SM4具备一个很优良的特征，加密和解密的过程基本相同，只需要将密钥的顺序倒置即可实现，AES算法的加密算法和解密算法则不一致。

第1篇随着信息技术的飞速发展，密码技术已成为保障信息安全的重要手段。

为加强商用密码管理，促进商用密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，我国制定了《商用密码管理条例》（以下简称《条例》）。

现将《条例》最新规定解读如下：一、立法目的和适用范围《条例》第一条明确指出，为了加强商用密码管理，促进商用密码事业发展，保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，根据《中华人民共和国密码法》，制定本条例。

《条例》第二条明确了适用范围：在中华人民共和国境内的商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理，适用本条例。

二、商用密码的定义《条例》第三条对商用密码进行了明确定义：商用密码，是指采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

三、商用密码管理体制《条例》第四条明确了商用密码管理体制：国家密码管理部门负责管理全国的商用密码工作。

县级以上地方各级密码管理部门负责管理相应行政区域的商用密码工作。

《条例》第五条规定了网信、商务、海关、市场监督管理等有关部门在各自职责范围内负责商用密码有关管理工作。

四、商用密码科研、生产和销售《条例》第六条至第九条规定了商用密码科研、生产和销售的相关要求，包括：1. 商用密码科研机构应当具备相应的科研能力，从事商用密码科研活动。

2. 商用密码生产企业应当具备相应的生产能力，从事商用密码生产活动。

3. 商用密码销售企业应当具备相应的销售能力，从事商用密码销售活动。

4. 商用密码产品应当符合国家标准、行业标准或者地方标准。

五、商用密码检测和认证《条例》第十条至第十二条规定了商用密码检测和认证的相关要求，包括：1. 商用密码检测机构应当具备相应的检测能力，从事商用密码检测活动。

2. 商用密码认证机构应当具备相应的认证能力，从事商用密码认证活动。

保密协议的智慧机械制造行业的商业密码本文旨在探讨智慧机械制造行业中的商业密码保密协议。

智慧机械制造行业涉及机器学习、人工智能等尖端技术，商业密码保密协议对于行业内企业的技术创新和商业竞争至关重要。

本文将从商业密码保密协议的定义、重要性、常见应用以及协议的具体内容等方面进行阐述。

一、商业密码保密协议的定义商业密码保密协议是指在智慧机械制造行业中，企业之间或企业与员工之间，为了保护商业密码和敏感信息而达成的一种法律约定。

商业密码即包含技术创新和商业机密的信息，例如产品设计图、核心技术和市场营销策略等。

二、商业密码保密协议的重要性商业密码保密协议在智慧机械制造行业中具有重要的意义。

首先，智慧机械制造行业涉及的技术和知识产权价值高，泄露商业密码将给企业带来巨大损失。

其次，商业密码的保密对于企业的技术创新和竞争力至关重要。

只有通过保密协议，企业才能有效地保护自己的商业机密，防止其被竞争对手窃取或滥用。

三、商业密码保密协议的常见应用商业密码保密协议在智慧机械制造行业有着广泛的应用。

以下是几个常见的商业密码保密协议应用示例：1. 企业与供应商之间的协议：智慧机械制造企业与供应商合作时，可能需要共享一些商业密码以提升生产效率。

在此情况下，双方可以签订商业密码保密协议，约定使用商业密码的范围、保密义务和违约责任等。

2. 企业与员工之间的协议：智慧机械制造企业面临员工离职后泄露商业密码的风险。

为了最大程度地保护商业密码，企业可以与员工签订保密协议，规定员工在离职后对商业密码的保密义务。

3. 企业与合作伙伴之间的协议：智慧机械制造企业在开展合作项目时，可能需要与合作伙伴共享商业密码。

为了确保商业密码的安全，双方可以共同签署商业密码保密协议，确立商业密码的保密责任和限制使用范围。

四、商业密码保密协议的具体内容商业密码保密协议的具体内容应根据实际情况和各方的需求而定。

以下是商业密码保密协议可能包含的内容要点：1. 定义和范围：明确商业密码的定义及协议适用范围。

商⽤密码管理条例有关解释依据我国相关法律的规定，商⽤密码是⽤于不属于国家机密信息进⾏保护的⼀种技术，我国对商⽤密码的⽴法是⽐较多的，商⽤密码管理条例是其中⼀个，那么商⽤密码管理条例相关的解释?下⾯由店铺⼩编为读者进⾏相关知识的解答。

⼀、商⽤密码管理条例有关解释依据我国商⽤密码管理条例的规定，商⽤密码管理条件对商⽤密码的定义、商⽤密码的科研和⽣产管理、商⽤密码的销售管理和使⽤管理等内容作出规定。

《商⽤密码管理条例》第⼆条本条例所称商⽤密码，是指对不涉及国家秘密内容的信息进⾏加密保护或者安全认证所使⽤的密码技术和密码产品。

第三条商⽤密码技术属于国家秘密。

国家对商⽤密码产品的科研、⽣产、销售和使⽤实⾏专控管理。

第四条国家密码管理委员会及其办公室(以下简称国家密码管理机构)主管全国的商⽤密码管理⼯作。

省、⾃治区、直辖市负责密码管理的机构根据国家密码管理机构的委托，承担商⽤密码的有关管理⼯作。

⼆、⽹上银⾏⽀付密码输错3次被冻结怎么办1、关于⽹上银⾏⽀付密码，⼀般银⾏都是每⽇⽹银登录密码连续输错3次，交易密码累计输错6次，密码将被锁，系统会提⽰密码校验次数超限，第⼆⽇会⾃动解锁。

(以⾃然⽇为准，如超过零点客户输⼊密码仍不成功，可请客户稍后再试⼀下)。

如果登录密码输错次数没有超限，交易密码输错次数超限，则可以登录⽹上银⾏但不能使⽤交易密码做交易。

2、个⼈⽹上银⾏登录密码当天连续3次验证未通过，银⾏将临时冻结您当⽇⽹上银⾏的登录密码使⽤资格，次⽇⾃动解除冻结;连续累计10次验证未通过时，银⾏将正式冻结您的⽹上银⾏登录密码使⽤资格，请您本⼈携带有效⾝份证件和⽹上银⾏注册卡，到开户当地提供个⼈⽹上银⾏服务的⽹点免费办理⽹上银⾏登录密码重置⼿续。

3、重置的新密码即时⽣效，请您及时登录个⼈⽹上银⾏，按提⽰将在柜台设置的6～8数字密码修改为6～30位数字与字母组合的形式，并请记牢新密码。

在⽹上银⾏交易资格冻结期间，不影响柜⾯业务办理。

序号标准编号标准名称主要内容发布日期实施日期1 GM/Z 0001 密码术语本指导性技术文件给出了商用密码工程领域的基础术语及其定义。

本指导性技术文件适用于为密码有关标准、指导性技术文件的编制提供指导，也可用于指导密码技术和产品的论证、设计、生产、使用、检测和评估等。

2013/6/20 2013/6/202 GM/T 0001.1 祖冲之序列密码算法第1部分算法描述本部分描述了祖冲之序列密码算法，可用于指导祖冲之算法相关产品的研制、检测和使用。

2012/3/21 2012/3/213 GM/T 0001.2 祖冲之序列密码算法第2部分基于祖冲之算法的机密性算法本部分描述了基于祖冲之算法的机密性算法。

该机密性算法可适用于3GPP LTE通信中的加密和解密。

本部分可用于指导基于祖冲之算法的机密性算法的相关产品的研制、检测和使用。

2012/3/21 2012/3/214 GM/T 0001.3 祖冲之序列密码算法第3部分基于祖冲之算法的完整性算法本部分描述了基于祖冲之算法的完整性算法。

该完整性算法可适用于3GPP LTE通信中消息的完整性保护。

本部分可用于指导基于祖冲之算法的完整性算法相关产品的研制、检测和使用。

2012/3/21 2012/3/215 GM/T 0002 SM4分组密码算法本标准规定了SM4分组密码算法的算法结构和算法描述，并给出了运算示例。

本标准适用于密码应用中使用分组密码的需求。

2012/3/21 2012/3/216 GM/T 0003.1 SM2椭圆曲线公钥密码算法第1部分总则本部分给出了SM2椭圆曲线公钥密码算法涉及的必要数学基础知识与相关密码技术，以帮助实现其他各部分所规定的密码机制。

本部分适用于基域为素域和二元扩域的椭圆曲线公钥密码算法。

2012/3/21 2012/3/217 GM/T 0003.2SM2椭圆曲线公钥密码算法第2部分数字签名算法本部分规定了SM2椭圆曲线公钥密码算法的数字签名算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证示例及其相应的流程。

商用密码应用安全体系构建方案(1)商用密码应用安全体系构建方案一、商用密码应用要求商用密码应用系统是指采用商用密码产品或者含有密码技术的产品集成建设的，实现相关信息的机密性、完整性、真实性、抗抵赖性等功能的应用系统。

国家密码管理局于2018年2月8日正式发布实施了中华人民共和国密码行业标准GM/T54-2018《信息系统密码应用基本要求》，该标准提出了总体要求、密码功能要求、密码技术应用要求、密钥管理和安全管理共五个部分的内容。

信息系统密码应用基本要求在总体要求中，提出了符合商用密码管理的相关规定，满足标准规范的相关要求，包括密码算法、密码技术、密码产品、密码服务。

在密码功能要求中，规定了信息系统中需要使用密码技术保护的对象，包括机密性、完整性、真实性、不可否认性。

在密码技术应用要求中，规定了密码技术的应用要求，要求项依据等级增加和增强，包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全。

在密钥管理中，对密钥的全生命周期提出了要求，包括密钥生成、密钥存储、密钥分发、密钥导入与导出、密钥使用、密钥备份与恢复、密钥归档、密钥销毁。

在安全管理中，规定了密码安全管理要求，包括制度、人员、实施、应急，其中实施分为规划、建设、运行。

二、商用密码应用安全解决方案基于商用密码应用安全的发展方向，配合网络运营者安全需求与安全建设，我们提出了商用密码应用安全解决方案，在《中华人民共和国密码法》正式施行的新时代下为各行业信息化发展提供借鉴与参考。

商用密码应用安全体系框架由密码安全能力支撑和密码安全服务支撑两部分组成。

其中密码安全能力包含了密码资源、密码支撑、密码服务、密码应用以及密码管理基础设施。

密码安全服务包含了技术要求、管理要求和密钥管理。

商用密码应用系统密码安全能力包含了密码资源、密码支撑、密码服务、密码应用以及密码管理基础设施。

其中密码应用层调用密码服务层提供的密码应用接，实现所需的数据加密和解密、数字签名和验签等功能，为信息系统提供安全功能应用或服务。