現實生(shēng)活中提到的“密碼”一詞，比如(rú)人們日常使用(yòng)的開機“密碼”、微信“密碼”、銀行(háng / xíng)卡支付“密碼”等，這些“密碼”實際上是口令。口令隻是進入個人計算機、手機、電子郵箱或者個人銀行(háng / xíng)賬戶的“通行(háng / xíng)證”，它是一種簡單、初級的身份認證手段。這些口令與《密碼法》草案中的“密碼”不同，真正的“密碼”，藏在安全支付設備中、藏在網絡系統内，默默守護國家(jiā)秘密信息安全、守護我們每個人的信息安全。

《密碼法》中的密碼指的是使用(yòng)特定變換的方法對(duì)信息等進行(háng / xíng)加密保護、安全認證的産品、技術和服務。《密碼法》共五章四十(shí)四條，對(duì)密碼分爲核心密碼、普通密碼和商用(yòng)密碼進行(háng / xíng)分類管理。其(qí)中，核心密碼、普通密碼用(yòng)于(yú)保護國家(jiā)秘密信息，核心密碼保護信息的最高密級爲絕密級，普通密碼保護信息的最高密級爲機密級。核心密碼、普通密碼屬于(yú)國家(jiā)秘密。密碼管理部門依照本法和有關法律、行(háng / xíng)政法規、國家(jiā)有關規定對(duì)核心密碼、普通密碼實行(háng / xíng)嚴格統一管理。商用(yòng)密碼用(yòng)于(yú)保護不屬于(yú)國家(jiā)秘密的信息。公民、法人和其(qí)他組織可(kě)以依法使用(yòng)商用(yòng)密碼保護網絡與信息安全。

我國自(zì)行(háng / xíng)研發(fā／fà)的自(zì)主可(kě)控商用(yòng)密碼算法主要(yào / yāo)包括：ZUC，SM2，SM3，SM4和SM9等，這些密碼算法涵蓋了對(duì)稱密碼中的序列密碼，分組密碼，非對(duì)稱密碼中的橢圓曲線密碼，以及密碼雜湊算法，把它們組合起來可(kě)以爲各種需要(yào / yāo)密碼技術作爲支撐的行(háng / xíng)業應用(yòng)提供堅實可(kě)靠的基礎。

1.對(duì)稱密碼算法

序列密碼ZUC（祖沖之）算法和分組密碼（SM4）算法都屬于(yú)對(duì)稱密碼算法，也就(jiù)是說，加密一方和解密一方使用(yòng)完全相同的密鑰來分别進行(háng / xíng)加密和解密，從而(ér)提供保密性（機密性）保證。

ZUC算法目前主要(yào / yāo)用(yòng)于(yú)通信領域。2011年(nián)9月，我國以ZUC算法爲核心的加密算法128-EEA3和完整性保護算法128-EIA3，與美國AES、歐洲SNOW 3G共同成爲了4G移動通信密碼算法國際标準。

SM4算法最初作爲我國自(zì)主無線局域網安全标準WAPI的專用(yòng)密碼算法發(fā／fà)布，後(hòu)成爲分組密碼算法國家(jiā)行(háng / xíng)業标準。由于(yú)SM4算法最初用(yòng)于(yú)無線局域網芯片WAPI協議中，支持SM4算法的WAPI無線局域網芯片已超過(guò)350多個型号，全球累計出貨量超過(guò)70億顆。在金融領域，僅統計支持 SM4 算法的智能(néng)密碼鑰匙出貨量已超過(guò) 1.5 億個。

2.非對(duì)稱密碼算法

非對(duì)稱密碼算法又稱公鑰密碼算法，公鑰密碼算法包括公鑰加密和私鑰簽名（即數字簽名，可(kě)提供真實性、不可(kě)否認性保證）兩種主要(yào / yāo)用(yòng)途，打破了對(duì)稱密碼算法加密和解密必須使用(yòng)相同密鑰的限制。公鑰加密算法加密和解密使用(yòng)不同的密鑰。其(qí)中加密的密鑰被公開，稱爲公鑰；解密的密鑰被保密，稱爲私鑰。公鑰、私鑰是密切關聯的，從私鑰可(kě)推導出公鑰，但從公鑰推導出私鑰是計算上不可(kě)行(háng / xíng)的。SM2算法（橢圓曲線公鑰密碼算法）和SM9算法（标識密碼算法）是我國頒布的商用(yòng)密碼标準算法中的公鑰密碼算法，常見的國外公鑰密碼算法有RSA、ECDSA算法等。

基于(yú)SM2算法的數字簽名技術已在我國電子認證領域廣泛應用(yòng)。SM2算法于(yú)2017年(nián)被國際标準化組織（ISO）采納，成爲國際标準ISO/IEC 14888-3的一部分。SM9算法将用(yòng)戶的标識（如(rú)郵件地址、手機号碼、QQ号碼等）作爲公鑰，不需要(yào / yāo)數字證書、證書庫或密鑰庫，省略了交換數字證書和公鑰過(guò)程，使得(dé / de / děi)安全系統變得(dé / de / děi)易于(yú)部署和管理，非常适合端對(duì)端離線安全通訊、雲端數據加密、基于(yú)屬性加密、基于(yú)策略加密的各種場合。同SM2算法一起，SM9數字簽名算法也在2017年(nián)被ISO采納，成爲國際标準ISO/IEC 14888-3的一部分。

3.密碼雜湊算法

密碼雜湊算法又稱雜湊函數、哈希(hash)算法、哈希函數，是把任意長的輸入串轉化成固定長的輸出串的一種函數。我國商用(yòng)密碼标準中的密碼雜湊算法是SM3算法，并于(yú)2018年(nián)10月成爲國際标準。SM3算法的輸出長度固定爲256比特。輸入長度在理論上是無限制的。在實踐中根據填充規範的要(yào / yāo)求，輸入長度不能(néng)超過(guò)264比特。隻使用(yòng)SM3算法不能(néng)提供完整性保護，而(ér)是需要(yào / yāo)配合密鑰使用(yòng)，即帶密鑰的雜湊算法（HMAC）：利用(yòng)雜湊算法，将一個密鑰和一個消息作爲輸入，生(shēng)成一個消息摘要(yào / yāo)作爲輸出。HMAC可(kě)用(yòng)作數據完整性檢驗，檢驗數據是否被非授權地改變；也可(kě)用(yòng)作消息鑒别，保證消息源的合法性等。

SM3 算法應用(yòng)非常廣泛。如(rú)在智能(néng)電網領域，采用(yòng)SM3算法的智能(néng)電表接近10億用(yòng)戶，均能(néng)安全穩定運行(háng / xíng)。在金融系統，目前大約有7億多銀行(háng / xíng)磁條卡更新爲密碼芯片卡，動态令牌累計發(fā／fà)行(háng / xíng)7726萬支，這些卡片及令牌均使用(yòng)了SM3算法。

我們看到在等級保護中也有許多與密碼相關的要(yào / yāo)求，GB/T 22239-2019《信息安全技術網絡安全等級保護基本要(yào / yāo)求》中與密碼相關的要(yào / yāo)求如(rú)下(xià)：

1.真實性

應在通信前基于(yú)密碼技術對(duì)通信的雙方進行(háng / xíng)驗證或認證；應采用(yòng)口令、密碼技術、生(shēng)物技術等兩種或兩種以上組合的鑒别技術對(duì)用(yòng)戶進行(háng / xíng)身份鑒别，且其(qí)中一種鑒别技術至少應使用(yòng)密碼技術來實現。

2.保密性

應采用(yòng)密碼技術保證通信過(guò)程中數據的保密性。應采用(yòng)密碼技術保證重要(yào / yāo)數據在傳輸過(guò)程中的保密性，包括但不限于(yú)鑒别數據、重要(yào / yāo)業務數據和重要(yào / yāo)個人信息等；應采用(yòng)密碼技術保證重要(yào / yāo)數據在存儲過(guò)程中的保密性，包括但不限于(yú)鑒别數據、重要(yào / yāo)業務數據和重要(yào / yāo)個人信息等。

3.完整性

應采用(yòng)校驗技術或密碼技術保證通信過(guò)程中數據的完整性；應采用(yòng)密碼技術保證重要(yào / yāo)數據在傳輸過(guò)程中的完整性，包括但不限于(yú)鑒别數據、重要(yào / yāo)業務數據、重要(yào / yāo)審計數據、重要(yào / yāo)配置數據、重要(yào / yāo)視頻數據和重要(yào / yāo)個人信息等；應采用(yòng)密碼技術保證重要(yào / yāo)數據在存儲過(guò)程中的完整性，包括但不限于(yú)鑒别數據、重要(yào / yāo)業務數據、重要(yào / yāo)審計數據、重要(yào / yāo)配置數據、重要(yào / yāo)視頻數據和重要(yào / yāo)個人信息等；

4.不可(kě)否認性

在可(kě)能(néng)涉及法律責任認定的應用(yòng)中，應采用(yòng)密碼技術提供數據原發(fā／fà)證據和數據接收證據，實現數據原發(fā／fà)行(háng / xíng)爲的抗抵賴和數據接收行(háng / xíng)爲的抗抵賴。

5.密碼管理要(yào / yāo)求

應确保密碼産品與服務的采購和使用(yòng)符合國家(jiā)密碼管理主管部門的要(yào / yāo)求。應進行(háng / xíng)上線前的安全性測試，并出具安全測試報告，安全測試報告應包含密碼應用(yòng)安全性測試相關内容。密碼管理應遵循密碼相關國家(jiā)标準和行(háng / xíng)業标準；密碼管理應使用(yòng)國家(jiā)密碼管理主管部門認證核準的密碼技術和産品。

6.利用(yòng)密碼技術可(kě)以有效解決的問題

可(kě)信驗證：可(kě)基于(yú)可(kě)信根對(duì)系統引導程序、系統程序、重要(yào / yāo)配置參數和邊界防護應用(yòng)程序等進行(háng / xíng)可(kě)信驗證，并在應用(yòng)程序的所(suǒ)有執行(háng / xíng)環節進行(háng / xíng)動态可(kě)信驗證，在檢測到其(qí)可(kě)信性受到破壞後(hòu)進行(háng / xíng)報警，并将驗證結果形成審計記錄送至安全管理中心，并進行(háng / xíng)動态關聯感知；應采用(yòng)可(kě)信驗證機制對(duì)接入到網絡中的設備進行(háng / xíng)可(kě)信驗證，保證接入網絡的設備真實可(kě)信

遠程管理：當進行(háng / xíng)遠程管理時，應采取必要(yào / yāo)措施防止鑒别信息在網絡傳輸過(guò)程中被竊聽

集中管理：應能(néng)夠建立一條安全的信息傳輸路徑，對(duì)網絡中的安全設備或者安全組件進行(háng / xíng)管理。

當今密碼技術在保護信息安全方面的應用(yòng)越來越廣泛，促使雲計算、大數據、人工智能(néng)、區塊鏈、移動互聯網、物聯網等新技術産業蓬勃發(fā／fà)展。相信随着(zhe／zhuó／zhāo／zháo)《中華人民共和國密碼法》的頒布與實施、等級保護制度的實施，我國數字經濟将繼續高質量發(fā／fà)展。