密码管理
    为了保护计算机和信息系统中的敏感信息，有选择地采取技术上的和相关程序上的安全防护措施是各组织在信息安全管理体系中的迫切需求。使用基于密码机制的安全系统来保护敏感信息是行之有效的方法。被保护信息的机密性和完整性等安全特性由相应密码模块的功能来实现。因此，将密码模块置于信息安全系统中以及相应的密码管理就
显得尤为重要。
    在当今网络化、信息化的时代，密码技术的运用已经深入到各行各业以及人们的日常生活的各个方面。小到智能电话卡、银行信用卡，大到电子商务、电子政务，从个人到公司，从组织到政府，无一例外地越来越依赖密码技术所提供的保护。随着信息和信息技术的发展，电子数据交换逐步成为人们交换信息的主要形式。密码在信息安全领域中的应用将会不断拓宽，信息安全对密码的依赖也会越来越大。密码从最原始的利用一种变换来保护信息的秘密性，发展到适应当今信息技术的现代密码学，不仅用于解决信息保护的秘密性，而且也用于解决信息的完整性、可用性、可控性和不可抵赖性等。因此，可以说密码技术是保护信息安全的最有效手段，也是保护信息安全的最关键技术。
    密码是一门科学，作为运用于军事和政治斗争的一种技术，有着悠久的历史。密码在古代就被用于传递秘密消息。在近代和现代战争中，传递情报和指挥战争均离不开密码，外交斗争中也离不开密码。密码一般用于信息通信传输过程中的保密和存储中的保密。随着计算机和信息技术的发展，密码技术的发展也非常迅速，应用领域不断扩展。密码除了用于信息加密外，也用于数据信息签名和安全认证。这样，密码的应用也不再只局限于为军事、外交斗争服务，它也广泛应用在社会和经济活动中。当今世界己经出现了密码应用的社会化和个人化趋势。例如:可以将密码技术应用在电子商务中，对网上交易双方的身份和商业信用进行识别，防止网上电子商务中的“黑客”和欺诈行为:应用于增值税发票中，可以防伪、防篡改，杜绝了各种利用增值税发票偷、漏、逃、骗国家税收的行为，并大大方便了税务稽查:应用于银行支票鉴别中，可以大大降低利用假支票进行金融诈骗的金融犯罪行为:应用于个人移动通信中，大大增强了通信信息的保密性等等。
    过去密码的研制、生产、使用和管理都是在封闭的环境下进行的。1970 年代以来，随着计算机、通信和信息技术的发展，密码领域也发生了新的变化。密码应用范围日益扩大，社会对密码的需求更加迫切，密码研究领域不断拓宽，密码研究也从专业机构走向社会和民间，密码技术得到了空前的发展。
    基于密码的安全系统的设计和实现涉及密码模块的设计和实现。所谓密码模块就是一个硬件、软件、固件或其他相关组件的组合，用以实现密码的逻辑和处理。密码模块是提供密码服务(如加解密、签名、鉴别等)的系统或应用的一部分，也是整个安全系统的核心。
    然而，密码学和密码机制不仅仅是一个与各个国家的外交和军事机构有关的问题，而且对于公民或个人与代表社会的国家之间的长久利益冲突有深远的影响。一方面，公民或公司通过有效的密码体制来保护公民的私人空间或公司商业利益，这是他们无可辩驳的权利。另一方面，国家又有法律所赋予的责任，必须保护国家的内外安全，而这又需要获取加密的消息来获得情报。因此，必然就会存在国家利益和个人利益的矛盾与冲突。
    关于密码技术涉及的国家利益问题，各个国家的政策不尽相同。由于密码技术作为商品的特殊性，在美国，政府凭借其信息技术的优势，通过出口信息安全和密码产品来达到控制、获取别国信息的目的，并且在不同的时期适时的调整其密码管理政策。例如，美国政南最初限制40 位密钥长度以上的密码产品出口，继而同意具有密钥托管或密钥恢复功能的强密码出口，这些政策都是美国政府可以控制和解读的，更不用说在密码芯片和操作系统中还会隐藏着人们尚未发现的危险性更大的一些"限门"和"木马"。一旦国家科益发生冲突，那些隐藏的木马可能会在某些秘密指令下激活起来，破坏或篡改系统中的重要信怠，或把这些重要信息通过网络秘密的发送出去。对此，我们必须有清醒的
认识。
    加强对商用密码管理是目前国际上通行的做法。例如美国政府对密码出口的严格管制，其目的之一便是控制密码技术外流，以免为执法机关和情报机构"非正常获取"信息增加困难;其二是监控密码市场的发展情况:最后则是出于外交政策的需要。
    我国的商用密码管理原则，在中共中央办公厅1996 年27 号文中，明确了我国发展和管理商用密码实行"统一领导，集中管理，定点研制，专控经营，满足使用"的20字方针。
    商用密码的应用领域十分广泛，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。比如:商用密码可用于企业内部的各类敏感信息的传输加密、存储加密，防止非法第三方获取信息内容:也可用于各种安全认证、网上银行、数字签名等。
    根据1999 年10 月7 日国务院发布实施的《商用密码管理条例》第一章第二条规定:"本条例所称商用密码，是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品"。
    如何来理解《条例》中对商用密码的定义呢?第一，它明确了商用密码是用于"不涉及国家秘密内容的信息"领域，即非涉密信息领域。商用密码所涉及的范围很广，凡是不涉及国家秘密内容的信息，又需要用密码加以保护的，均可以使用商用密码。第二，它指明了商用密码的作用，是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证，是现代密码的主要应用之一。第三，定义将商用密码归结为商用密码技术和商用密码产品，也就是说，商用密码是商用密码技术和商用密码产品的总称。而商用密码技术，则是指能够实现商用密码算法的加密、解密和认证等功能的技术(包括密码算法编程技术和密码算法芯片、加密卡等的实现技术)。商用密码技术是商用密码的核心，国家将商用密码技术列入国家秘密，任何单位和个人都有责任和义务保护商用密码技术的秘密。
    由原国家密码管理委员会办公室变更而来的国家密码管理局，履行对全国的密码管理职能，自成立以来，先后发布了《电子认证服务密码管理办法》及相应的《证书认证系统密码及其相关安全技术规范》。并于2006 年1 月1 日起，施行《商用密码科研管理规定》、《商用密码产品生产管理规定》和《商用密码产品销售管理规定》。
    国家密码管理局于2006 年1 月6 日发布公告，公布了"无线局域网产品须使用的系列密码算法"包括:
    ·对称密码算法：SMS4;
    ·签名算法：ECDSA;
    ·密钥协商算法ECDH;
    ·杂凑算法SHA-256;
    ·随机数生成算法:自行选择。
    其中， ECDSA 和ECDH 密码算法须采用国家密码管理局指定的楠圆曲线和参数。
    这是国内官方公布的第一个商用密码算法系列。经过曲折和艰难的历程，我国商用密码终于掀开了神秘的E纱。该系列算法的公布是我国密码管理的突破性进展，对我国信息化安全和信息安全产业的健康发展必将起到关键性作用，对电子商务的发展也将起到推动作用，在我国信息化发展史上，具有里程碑的性质。
    虽然公布的算法仅是指定给无线局域网产品使用的算法，但是它的公布在某种意义上代表了商用密码发展方向，将开辟我国密码管理的新航道。在其后的发展中，会有适合于更广泛范围应用的、种类更加丰富的密码算法公布于众。
    有了公开的密码算法，密码和信息安全产品的研制者将有统一的标准和规范可以依循，可以将更多的精力放在产品技术和服务质量的竞争上:密码和信息安全产品的使用者可以不再担心由于产品的互操作性和可替代性差引起的另类安全问题:密码研究者可以有更加令人兴奋、更具现实意义和更具挑战性的研究课题。具有政治意义的是，此举向国际上展示了我国密码研究的实力和密码管理的胆略。此外，有了我国自己的普适性(指的是适用于高、中、低端软硬平台)的密码标准，密码使用者将不再面临不得不违背管理部门的要求而使用国外密码算法的尴尬。
    根据国家密码管理局的最新公告，于2007 年12 月29 臼起施行《可信计算密码支撑平台功能与接口规范》于2008 年1 月8 日起施行《IPSec VPN 技术规范》。