国家标准《网络安全技术 公钥密码应用技术体系框架》（征求意见稿）编制说明

一、工作简况

1、任务来源

根据国家标准化管理委员会下达的国家标准制订计划，由格尔软件股份有限

公司牵头编制《网络安全技术公钥密码应用技术体系框架》（国标计划号：

20240396-T-469）。

2、标准编制背景

我国商用密码事业从上世纪90年代末开始起步，随着我国信息化建设的发展，

在同一个计算平台上运行的业务应用越来越多，针对不同业务应用专门设计的密

码系统也越来越多，造成了越来越多的“密码土围子”，即这些不断涌现的定制

化系统，采用专有接口交互数据，难以实现互联互通。此外还面临着用户对商用

密码的认识存在片面性、商用密码的管理工作存在被动性、商用密码产品的研发

存在盲目性、商用密码的应用存在随意性等诸多问题，迫切需要商用密码的体系

化和标准化。

2008年，国家密码管理局商用密码应用技术体系研究总体工作组完成了标准

《公钥密码基础设施应用技术体系框架规范》试行稿的编写，并在业内试行。该

标准试行稿借鉴采用基础设施的思想，给出了公钥密码应用技术体系框架，明确

了框架内各层次的功能和相互关系，预先规划了一批技术和接口标准，定义了这

些标准中接口函数的命名以及错误代码区间。试行结果表明，该标准试行稿的作

用得到了显著体现，规划的标准陆续制定完成，并得到了广泛应用，取得了显著

效果，在密码技术标准化委员会成立后，规划的这些标准又都正式成为了商用密

码的行业标准。

2009年，该标准在全国信安标委立项，由于主观原因，在送审稿接受审查之

后，工作中断未能按时推进，导致在2017年信安标委在梳理审查2011年以前标准

项目的工作中，因拖期予以终止。

该标准是公钥密码应用的基础性、纲领性的标准，是密码标准体系中不可或

缺的重要标准，该标准在2023年重新申请立项并获得批准，补全了商用密码标准

体系中这部分的缺失。

3、主要工作过程

1.2023年5月，2023年第一次信安标委会议周WG3工作组会议上，课题组汇报

了立项材料，会上专家对立项的可行性和必要性进行了讨论；

2.2023年9月25日，课题组在北京召开标准启动会，会上对标准草案做了汇

报，标准的责任专家及相关编制组成员提了相关意见建议；

3.2023年10月23日，编制组开了第二次研讨会，会上继续就标准的内容进一

步细化讨论，建议加标识密码技术加入到框架中；

4.2023年11月2日，在2023年第二次信安标委会议周WG3工作组会议上，课题

组汇报了标准草案，会上专家对于草案相关部分进行了讨论，提出了修改

建议，同意形成征求意见稿；

5.2023年12月-2024年2月，课题组就会议周对标准提出的修改意见进行了逐

一的讨论修改后，形成征求意见稿；

6.2024年3月，全国网安标委WG3工作组在北京组织召开了国家标准《网络安

全技术公钥密码应用技术体系框架》（征求意见稿）专家审查会。与会

专家听取了课题组的汇报，对标准征求意见稿及相关材料进行了审查和质

询；

7.2024年4月，课题组就WG3工作组对标准提出的修改意见进行了逐一的讨论

修改，进一步完善征求意见稿；

8.2024年4月，课题组参与了网络安全国家标准试点工作部署会。会后编制

单位组织会议，牵头单位传达了试点工作部署会的会议精神，各参与单位

就试点工作进行了讨论，对试点的内容进行了分工；

9.2024年5月，课题组提交了试点任务书，参加了wg3工作组组织的试点任务

书答辩；

10.2024年5月，课题组根据试点工作的要求，邀请了相关的专家和领导，组

织召开了本标准试点工作的启动会；

11.2024年5月，网安标委秘书处组织专家对标准的征求意见稿进行专家审查。

与会专家对标准征求意见稿及相关材料进行了审查和质询，提出了意见建

议。课题组根据意见反馈对标准进行了修订。

12.2024年6日，在2024年第一次网安标委会议周WG3工作组会议上，课题组再

次汇报了标准草案，会上专家对于草案相关部分进行了讨论，提出了修改

建议，同意形成征求意见稿

二、标准编制原则和确定主要内容的论据

1、编制原则

本标准的编制原则是：

(一)指导性；

本标准是基础性纲领性标准，应能为技术体系框架内相关产品的研制与开发，

相关接口标准的编制，密码系统的集成和服务，应用系统使用密码服务提供指导。

(二)协调性；

本标准遵循国家现有密码政策和国家有关法律法规，框架中所规定的接口函

数命名和错误代码区间不应与现行的密码行业标准和国家标准相冲突。

（三）稳定性

公钥密码应用技术体系框架内各部分的组成、功能和逻辑关系应清晰、明确、

稳定，具有前瞻性，受技术发展影响较小，尽量做到不因技术的发展和应用需求

的变化而发生变化。

2、标准的主要内容及确定主要内容的依据

1）本标准主要内容如下：

1范围

2规范性引用文件

3术语及定义

4公钥密码应用技术体系框架

5框架内各部分间的关系

其中：

第4章给出了公钥密码应用技术体系框架，具体描述了框架中四个层次的功

能和作用。

四个层次分别为密码设备层、通用密码服务层和典型密码服务层以及密码基

础设施层，密码设备层负责密钥管理和基础密码运算，不直接面向业务应用提供

密码服务，如果使用的密码算法发生变化，只需更换这一层的设备，不会引起业

务应用的变化；通用密码服务层和典型密码服务层属于中间件，直接面向业务应

用提供服务，其中通用密码服务层提供加密、解密、签名、验签等密码功能服务，

典型密码服务层提供身份鉴别、访问控制、时间戳和电子签章等各类上层业务应

用都需要的共性密码应用服务，能够使业务应用的开发中，无需花费更多的精力

和开展重复劳动；密码基础设施层包括电子认证、授权管理、时间戳等对密码系

统的共性服务，不直接面向业务应用，因为密码基础设施是为密码系统提供基础

服务，对于应用的开发者来说，业务应用直接访问是额外的负担，且不能保证密

码应用的正确性和合规性，例如证书撤销列表的下载和证书验证等，而这些工作

又不是密码设备的任务，所以标准中包含中间件就有了必要性，通过中间件访问

密码基础设施就具备了合理性。

密码设备的管理主要针对服务端的密码设备，对其进行远程管理及对不同厂

商的设备进行统一管理，也是密码系统的重要功能。对密码设备管理系统来说，

密码设备是它的管理对象，远程管理的内容如密钥分发，参数配置，运维监控、

合规性验证等是它服务的应用，这些应用统称为管理应用，密码设备管理系统负

责为管理应用查找具体的被管对象，在管理应用和具体的被管对象之间建立安全

数据传输通道，在本标准中为落实这个思路，专门规划了设备管理接口。

第5章描述了公钥密码应用技术体系框架内各部分之间的关系，这些关系是

通过接口关联的，所以指出了所需要的接口名称，表1定义了框架内所涉及到的

接口函数命名，并划分了相对应的错误代码区间。

2）本标准编制的主要依据：

本标准编制的主要是依据2008年的试行稿，在此基础上针对标识密码认证机

制的出现、虚拟化实现技术和密码虚拟化部署等新技术，进行了相应的补充完善。

三、主要试验情况分析

本标准目前正在进行验证试点工作，共有二十余家企业参与，试点最终的报

告正在编写中。

四、知识产权情况说明

本标准不涉及专利及知识产权问题。

五、产业化情况、推广应用论证和预期达到的经济效果

本标准是基础性标准，自2008年以来，开展过大量意见征集和研讨，在业

内达到了广泛共识，影响力深远，本标准的制定对商用密码标准体系的建设、商

用密码产品的分类、产品的标准化和产业化、信息系统的密码应用推进发挥了重

要作用，取得了显著效果。

六、采用国际标准和国外先进标准情况

无。

七、与现行相关法律、法规、规章及相关标准的协调性

本标准遵循国家商用密码政策和国家有关法律法规，是商用密码产品标准、密

码接口标准、密码管理标准和密码应用标准等标准的依据，现行的许多标准都是依

据本标准试行稿的规划编制的，不存在相关标准间冲突、重复等协调性问题。

八、重大分歧意见的处理经过和依据

无。

九、标准性质的建议

建议作为国家推荐性标准发布。

十、贯彻标准的要求和措施建议

本标准发布后将积极开展标准的宣贯工作，并依据本标准继续对密码标准体

系进行完善。

十一、替代或废止现行相关标准的建议

无。

十二、其它应予说明