前言

《中华人民共和国电子签名法》于2005年4月1日开始施行，这是中国首部真正的有关电子商务环节的立法，自此电子签名和手写签名具有同等的法律效力。电子签名作为典型的密码技术应用之一，有力推进了电子商务和电子交易的发展。

密码技术随着等级保护2.0和移动互联网的推进和深入，已经越来越受到重视。《中华人民共和国密码法》的颁布与实施，使得建设密码安全的应用系统有了新的标准和依据。《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等相关的法律法规的出台，也对数据的安全性提出了具体的要求，而要完成这些安全要求，也必须借助密码技术。

本书从密码应用的选择算法问题、有效使用密码技术问题和正确使用密码技术出发，以商用密码技术为基础，通过一个个鲜活的案例对密码基础、密钥管理、常用的密码算法以及密钥交换协议等进行了分析，并对加/解密、完整性、身份鉴别和不可否认等典型密码技术应用场景、主流产品、软件编码进行了介绍或实现，为促进各企事业单位信息化建设工作合规、正确、有效地使用商用密码技术，促进商用密码推广提供借鉴和指导。

全书共三个部分。第一部分为密码技术基础，即第1章，主要介绍密码技术发展与架构，包括密码技术的发展、密码定义、密码术语、密码分类等，还介绍了密码应用的目标和相关政策与标准，最后介绍了密码通用架构，通过技术框架展开密码技术、密码产品和密码服务的定位和适用场景。第二部分为密码技术实践，涉及第2章~第7章，第2章介绍密码技术实现基础，主要包括实践环境的准备、Java实践环境的验证、算法信息和参数的获取和表示方法；第3章介绍数据完整性保护与杂凑算法，既有算法原理的讲解也有算法的编码实现；第4章是数据加密保护与对称密码算法，介绍了序列算法和分组算法的原理和编码实现；第5章介绍了用户身份认证与公钥密码算法；第6章介绍了通信安全与密码协议，主要包括SSL和IPSec两个主流的密码协议；第7章介绍的是口令加密和密钥交换，除了介绍算法编码实现，还介绍了它们的应用场景。第三部分为密码应用安全与合规，包括第8章和第9章，介绍用密码技术建设合规应用以及密码安全性评估，主要包括密码应用的设计、安全需求分析方法和密码应用的评估。评估主要介绍了密评的发展、政策依据与测评流程方法。附录为主要密码技术的常用信息汇总和标准规范的算法属性等，方便读者查询。

编者为了推广商用密码技术，促进商用密码技术合规、正确和有效应用，特编写本书，希望能给各类企业或政府机关的信息化建设人员提供一个使用密码技术的指导建议，也给从事密评工作的安全评估人员提供一本技术和政策的参考用书。密码使用者能通过本书真正明白各种密码技术和算法是如何正确使用的，最终做到安全、有效、正确地使用密码技术、产品和服务，这是本书的最终目标。

由于密码技术涉及的方面较多，知识面广，再加上编者个人认知能力的局限性，错漏之处在所难免。如果书中有不足之处，还望读者能批评指正，给出宝贵意见。

感谢中电信数智科技有限公司安全评测业务部的支持，使编者能够将密评工作的点滴汇聚成本书；感谢在本书编写过程中提供了宝贵建议的安全评测业务部的领导和同事，以下姓名排名不分先后：黄鹏、邱杰、李景清、徐赵虎、乌明轩、徐晓燕；感谢家人的支持，因为平时工作任务较重，写作只能在业余时间完成，幸有家人的理解。

编者