三、商用密码产品和服务

（一）商用密码产品

1.基本概念

商用密码技术主要包括密码算法、密钥管理和密码协议，其中，密码算法可分为加密算法、解密算法、数字签名算法和杂凑算法；密钥管理包括密钥的产生、分发、存储、使用、更新、归档、撤销、备份、恢复和销毁等；密码协议更是名目繁多，不胜枚举。

商用密码产品，是指采用商用密码技术对不涉及国家秘密内容的信息进行加密保护或安全认证的产品。近年来，我国商用密码产业自主创新能力持续增强，产业支撑能力不断提升，已基本建成种类丰富、链条完整、安全适用的商用密码产品体系，部分产品性能指标已达到国际先进水平。

现实生活中，各种应用系统对商用密码安全功能的需求越来越迫切。而与此同时，应用环境支撑密码算法、协议运行的软硬件性能也有很大的差异。特别是随着云计算、大数据、物联网、移动互联网、智能家居等新技术的发展，如何将不同的商用密码技术在现实条件下根据应用需求合理配置并落脚到具体化的商用密码产品中，并真正发挥安全防护作用成为一个亟待解决的问题。

2.产品分类

（1）按形态分类。商用密码产品目前按形态划分为6类：密码软件、密码芯片、密码模块、密码板卡、密码整机、密码系统。

密码软件是指以纯软件形态出现的密码产品，例如信息保密软件、密码算法软件等。密码芯片是指以芯片形态出现的密码产品，例如算法芯片、密码 SOC 芯片等。密码模块是指以多芯片组装的背板形态出现，具备专用密码功能，但本身不能提供完整密码功能的产品，例如加解密模块、安全控制模块等。密码板卡是指以板卡形态出现，具备完整密码功能的产品，例如IC卡、USB Key、PCI密码卡等。密码整机是指以整机形态出现，具备完整密码功能的产品，例如网络密码机（如IPSec VPN等）、服务器密码机等。密码系统是指以系统形态出现，由密码功能支撑的产品，例如安全认证系统、密钥管理系统等。

与前述模块含义不同，GM/T 0028—2014《密码模块安全技术要求》中的“密码模块”是一个逻辑概念，应当视为一个专有名词，指实现了密码功能的硬件、软件和/或固件的集合，并且包含在密码边界以内，不再仅仅是以背板形态出现、不具备完整密码功能的产品。

（2）按功能分类。商用密码产品目前按功能划分为7类：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。

密码算法类主要是指提供基础密码运算功能的产品，例如密码算法芯片等。数据加解密类主要是指提供数据加解密功能的产品，例如服务器密码机、VPN设备等。认证鉴别类主要是指提供身份认证、密码鉴别功能的产品，例如动态口令系统、认证网关等。证书管理类主要是指提供证书的产生、分发、管理功能的产品，例如证书认证系统等。密钥管理类主要是指提供密钥的产生、分发、更新、归档和恢复等功能的产品，例如密钥管理系统等。密码防伪类主要是指提供密码防伪验证功能的产品，例如电子印章系统、支付密码器、数字水印系统等。综合类是指提供含上述6类产品功能的两种或两种以上的产品，例如电子商务安全平台、综合安全保密系统等。

（二）商用密码服务

1.基本概念

商用密码服务是指基于密码专业技术、技能和设施，为他人提供集成、运营、监理等商用密码支持和保障的活动。

早期的密码服务是围绕密码产品开展的，如密码产品的前期咨询、售后服务等，主要是针对客户的咨询，介绍密码产品的特征、功能，提供相应的部署建议及解决方案，最终为客户选择或研发合适的密码产品，并制定相应的产品规范，保证客户的正常使用，为客户解决产品使用过程中出现的问题。在产品销售过程中同时也提供密码培训、咨询和维保等服务。

随着密码技术及产品的应用日趋复杂，密码服务已不仅仅是产品的咨询与集成等简单服务，围绕信息系统建设的密码服务开始出现。

2.主要类型

商用密码服务的主要类型包括密码咨询服务、密码知识和技术培训服务、密码应用系统集成服务、密码应用系统运营服务、密码应用系统维护保障服务等。

密码咨询服务从政策、标准、规范、管理、技术、体制、机制等方面为用户提供有关密码的解决方案和解决办法。

密码知识和技术培训服务可为用户提供商用密码基础知识、产品使用安全管理、法规标准等方面的培训。

密码应用系统集成服务可为用户提供满足用户需求的商用密码产品和系统，并将其与网络设备及信息系统进行集成，以满足用户信息系统的密码保障需求并实现相应的安全目标。

密码应用系统运营服务是指基于自身的密码应用系统和设备，使用密码技术，为用户提供以数据信息加密、身份鉴别认证为主要内容的经营性服务。

密码应用系统维护保障服务是指为了保证密码应用系统的正常运行，避免造成巨大损失，对商用密码产品的安全性实行安全管理和维护服务。