随着商用密码技术研发和成果转化的有力支撑，商用密码的应用领域不断扩大，应用程度不断加深，应用认可度不断提升，在维护国家安全、促进经济社会发展、保护公民、法人和其他组织合法权益方面发挥着越来越重要的作用。我国金融信息系统、第二代居民身份管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理等系统中，都应用商用密码技术构建了密码保障体系。同时，商用密码的广泛应用也对高质量商用密码技术、产品和服务提出了迫切需求。接下我们以国家密码局霍炜、公安部网络安全包畏惧郭启全主编的《商用密码应用与安全性评估》一书中介绍的8种商用密码典型应用场景为案例，了解密码应用方案和安全性评估的实施要求和关键点。

01、密钥管理系统

密钥管理系统实现了对业务系统中各种密钥的全生命周期集中管理。密钥管理系统密码应用方案设计的重点是建立完善的密钥管理体系，以满足其他业务系统对于对称密码体制和非对称密码体制的密钥服务需求。

在进行密码应用安全性评估时，一方面需要关注密钥管理系统自身的密钥安全，另一方面需要关注为其他业务系统提供服务时所涉及的业务系统密钥安全。

密钥管理系统密码应用部署如下图所示（图中的A、B、C为测试工具接入点）。该系统由KMC（密钥管理中心，Key Management Center）和SKMC（密钥管理分中心，Sub-KMC）两部分组成，最上层的业务系统不在密钥管理系统的边界之内。

图5-密钥管理系统密码应用部署图

作为密钥管理系统的核心区域，KMC为多个不同需求的SKMC提供对称密钥和非对称密钥对的管理服务，通过离线分发方式向SKMC下发密钥。KMC不直接面向业务系统，而SKMC则直接面向业务系统提供密钥管理服务。密钥管理系统具有对称密钥管理和非对称密钥管理两部分功能。

本系统包括的密码产品、通用服务器、关键业务应用和关键数据分别如表6～表11所示。

表6-密钥管理系统部署的密码产品列表

表7-密钥管理系统部署的通用服务器列表

表8-密钥管理系统关键业务应用列表

表9-密钥管理系统关键数据列表

密钥管理系统的对称密钥及其功能如下表所示。

表10-密钥管理系统对称密钥列表

密钥管理系统中涉及的非对称密钥如下表所示。

表11-密钥管理系统非对称密钥列表

密钥管理系统的密码应用工作流程如下图所示：

图12-密钥管理系统的密码应用工作流程

密钥管理系统的密码应用工作流程如下：

①KMC向SKMC离线分发密钥：KMC利用离线方式通过智能IC卡将SKMC主密钥和SKMC（加密）密钥对从服务器密码机分发到SKMC的服务器密码机中。

②SKMC向业务应用系统离线分发密钥：SKMC-I向业务应用系统I离线分发密钥，SKMC-II向业务应用系统II和III离线分发密钥。SKMC-I和SKMC-II都采用离线分发方式进行业务系统密钥的分发，区别在于SKMC-II和业务系统之间传递的密钥是业务系统密钥加密密钥或业务系统（加密）密钥对，在步骤③中进行后续密钥的安全传输。

③SKMC向业务应用系统离线分发密钥：SKMC-II向业务应用系统II和III在线分发密钥。利用步骤②中离线分发的业务系统密钥加密密钥或（加密）密钥对，对后续密钥进行加密分发。

02、身份鉴别系统

身份鉴别系统是面向业务网各应用系统平台提供身份鉴别服务的系统，可对各类业务网中应用系统的用户身份进行集中管理并实现身份鉴别和授权。身份鉴别系统的密码应用，主要解决用户身份真实性、单点登录场景下鉴别协议的安全性、鉴别和授权过程中敏感数据（如凭证信息和用户信息）传输和存储的安全性等问题。

图13-身份鉴别系统密码应用部署图

具体说明如下：

①在机房部署SSL VPN网关，用于安全通信链路的构建。

SSL VPN网关是身份鉴别服务器的外部访问出口，确保通信安全。

②在机房部署身份鉴别服务器，调用服务器密码机，完成身份鉴别协议逻辑的实现。

③在机房部署服务器密码机，为身份鉴别服务器提供数字签名、验证签名和数据加解密等密钥管理和密码运算服务。

身份鉴别系统的工作流程如下图所示。

图14-身份鉴别系统的工作流程

身份鉴别系统的密码应用工作流程如下：

①用户身份鉴别。用户通过用户名/口令和智能密码钥匙登录身份鉴别系统；身份鉴别系统对用户的身份进行鉴别，以确保用户身份的真实性。

②生成Access Token。身份鉴别服务器根据应用系统的redirect_uri（回调地址）和用户信息生成Access Token，并采用HMAC-SM3算法对其进行完整性保护。

③应用系统签名。应用系统使用自己的签名私钥对Access Token进行签名。

④Access Token合法性检查。首先，身份鉴别服务器使用应用系统证书对应用系统签名进行验证，以鉴别应用系统的身份；然后，身份鉴别服务器对Access Token进行HMAC-SM3验证，以确认Access Token的合法性；最后，检查Access Token与应用系统是否匹配。

⑤ 应用系统关联用户账户。身份鉴别服务器通过SSL安全通信链路将请求的用户信息返回给应用系统，应用系统根据用户信息进行账号关联。

03、金融IC卡发卡系统和交易系统

金融IC卡系统是现代信息技术与金融服务的高度融合，通过发行采用芯片技术、符合金融行业标准、可兼具多重功能（如银行卡、保障卡、管理卡等）的金融IC卡，从根本上提高银行卡的安全性。

金融IC卡系统密码应用主要解决卡片与发卡行之间的身份鉴别、持卡人的身份鉴别、交易数据的传输安全与存储安全等方面的问题。

图15-金融IC卡系统整体架构和部署情况

04、网上银行系统

网上银行系统是商业银行等金融机构通过互联网向其用户提供各种金融服务的信息系统，是各银行在互联网中设立的虚拟柜台，通过互联网向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户足不出户就能够安全、便捷地管理活期和定期存款、支票、信用卡及个人投资等。

网上银行系统密码应用的主要目的是解决网上银行用户身份鉴别、关键数据的保密性和完整性保护，以及交易行为的不可否认等安全问题。网上银行系统可以通过个人计算机（PC）、移动终端等提供服务。

图16-网上银行系统密码应用的整体架构和部署情况

05、远程移动支付服务业务系统

非金融机构支付服务是指非金融机构在收付款人之间作为中介机构提供部分或全部货币资金转移的服务，包括网络支付、预付卡发行与受理、银行卡收单以及中国人民银行确定的其他支付服务，其中网络支付又包括移动支付、互联网支付、固定电话支付等。

本案例以移动支付服务场景为例进行具体介绍，称为“远程移动支付服务业务系统”。用户通过移动支付客户端（如智能移动终端）访问远程移动支付服务业务系统，该系统为用户提供移动支付、用户资金转移等服务。

该系统的密码应用主要解决支付交易资金转移相关的安全问题，密码应用安全性方案设计和测评的重点是确保支付交易流程和交易重要数据的安全性。

图17-远程移动支付服务业务系统密码应用的整体架构和部署情况

06、信息采集系统

信息采集系统是对分散设备信息进行自动采集、数据管理、异常数据分析以及参数和控制指令下发的信息系统，该类信息系统通常由主站系统、通信信道、集中/采集设备组成，其特点是点多面广、数据并发量大，对实时性以及通信成功率要求高。

为防范系统经过公网信道执行数据采集、参数和控制指令下发操作时，通信双方非授权主体的假冒，关键信息被截获、篡改、重用等风险，密码应用方案设计和密码应用安全性评估的重点在于主站和采集设备之间的身份鉴别，以及系统重要数据在传输和存储过程中的保密性和完整性保护。

图18-信息采集系统密码应用整体架构和部署图

07、智能网联汽车共享租赁业务系统

智能网联汽车共享租赁业务系统是商用密码在车联网领域的一个典型应用，在提升人车交互便利性的同时，也保证了安全性。租赁用户可以通过移动终端App（本案例中简称App）完成车辆发现、选择和信息采集等功能，同时用户可以使用该App完成车辆开门、发动、熄火、锁门等车辆控制动作。该系统主要包含人、车、云三个角色：第一个角色是人，人通过移动终端安装App软件，登录车辆管理云平台（Telematics Service Provider，TSP）获取相应的服务功能，并通过蓝牙和车进行通信；第二个角色是车，车通过车辆通信模块（Telematics BOX，TBOX）实现车辆与TSP的远程通信，并通过车内的蓝牙通信模块实现与App之间的无线通信；最后一个角色是云，即TSP负责集中管理所有网联汽车的各类数据资源，并远程控制网联汽车。

密码在该系统中主要用来解决共享租赁业务面临的三个安全问题：①云对人如何进行安全的身份鉴别；②人对车如何进行无线安全控制，如开门、发动、熄火、锁门等；③人、车、云三者之间的通信如何防止信息泄露。

图19-智能网联汽车共享租赁业务系统整体架构和部署情况

08、综合网站群系统

综合网站群系统是指上级机构主网站和其下属部门子网站的集合系统，主站和子站构成一个整体，用户可以以主站为门户，方便获得统一的信息服务。综合网站群系统实现了多站点统一管理、权限统一分配、信息统一导航、信息统一检索等功能，通过共享共用集群软硬件资源，实现网站群集约化管理。

综合网站群系统密码应用主要解决各子站应用数据安全隔离、网站管理关键操作溯源及重要数据安全等问题。密码应用方案设计和密码应用安全性评估重点是网站群应用管理关键操作行为的不可否认和重要应用数据的保密性与完整性保护。

图20-综合网站群系统密码应用部署图

09、政务云系统

政务云系统是运用云计算技术，整合现有机房、计算、存储、网络、安全、应用支撑等资源，形成统一服务的综合平台，实现不同电子政务系统间的信息整合、共享、交换和政务工作协同。相比于传统信息系统，政务云系统在安全方面面临新的挑战。一方面，政务云系统中主机边界、网络边界模糊，风险不但来自南北流量（外部用户与内部服务器之间的流量），同时也来自东西流量（内部服务器之间的流量）；另一方面，云系统承载多个单位的业务系统，各单位的业务系统可能需要密码来支撑自身的业务服务。因此，政务云系统需要将密码作为一种服务，为这些系统提供支撑。

本案例的政务云系统分为云平台（含密码服务）、身份鉴别平台、云上应用三个功能模块。在密码应用方面，云身份鉴别平台模块直接调用身份鉴别平台实现云平台管理员、租户和用户的身份鉴别；云上应用中的密码应用与传统信息系统类似，只是需要调用云平台中的密码服务；而云平台与传统典型信息系统有较大差异。

图21-政务云平台密码应用部署图

数字经济时代，信息网络的抗争和冲突将更加激烈，围绕“信息控制权”的斗争将成为国家生存与发展中能否取得主动的关键。密码作为网络信息安全的关键技术，在保护网络信息安全中起着不可替代的作用。在一个个人信息像电子一样飞速流动、无孔不入的世界里，我们的未来与密码技术息息相关。

文章内容由国密应用研究院整理，转载请注明。商密应用案例来自《商用密码应用与安全性评估》。