密码技术应该怎么用第二天！

    从行业发展的情况来看，为什么我们要建立为业务系统服务的密钥管理系统，切实把密码能力融入到业务系统中。

    截止到2025-01-07，商用密码产品已有5336个，其中在有效期范围内切状态正常的有3594个。自2020年后密码产品出现大爆发，我们的技术大幅提升了吗？如果没有那么什么导致了产品数量的大爆发？

     硬件在产品中的销售额占比超过70%，尚未出现一家厂商，销售额占比超过行业的20%，这基本上是一个行业发展的初始状态。你可能今天用到的密码产品明天就没了？仔细研究一下可以发现，很多密码产品都比较新，完全没有经过市场的检验，甚至是否是自己的产权都是问题，OEM是很多厂商都干过的事情，渠道在谁手里，产品就在谁那里！这个里大胆估算一下打掉8折，或是本来面目。最多的其他密码模块，就是无法分类的，有些是特殊情况，比如运营商的标准SIM卡作为密码产品，就只能是“其他密码模块”，所以按照这个去查询一下，就可以看到很多有意思的产品，大家可以去查询一下。服务器密码机，签名验签服务器本质上可以是一个东东，变个名字就可以再卖一份钱？同样可以用PCI-E/PCI密码卡来替代，这样更便宜。大部分业务系统的并发量比较小，用密码卡几百就可以搞定，但是不会有人告诉你。

    我曾经给某个比较大公司做过咨询，他被烦恼是：一个业务系统的改造，密码厂商报150W+的硬件产品，但他有几十个这样的业务系统。难道我们就不能自己来改造吗。一个完全不懂得业务的厂家来帮忙业务系统做密码改造，还有比这更搞笑的吗？

   从业务出发，以数据为主线是我们做密钥管理系统/密码服务平台的底层逻辑，把底层逻辑搞清楚，上面用哪个产品，哪些算法都可以很快找到的。

   说明一下，VPN基本是需要用到的，主要是管理员从公网访问内外，维护和发布系统。根据《GB∕T 39786-2021 信息安全技术 信息系统密码应用基本要求》整个规范主要体会一句话“密钥在符合GB/T 37092的密码产品中产生是十分必要的”！

以下是等效的密码产品，如果可以自己的话可以选择密码卡，或者选择带密码能力的CPU芯片【目前一些厂商推出了】其中序号是：商用密码产品认证目录ID

​  从检测规范看服务器密码机,签名验签服务器,云服务器密码机和GM/T 0018《密码设备应用接口规范》没有任何关系，但这几个产品均支持此规范。应用接口对实际使用非常重要，从商用密码认证证书无法了解到。一旦使用某产品的非标接口，很难更换，给实际项目运行带来极大的采购风险和使用风险。我和某些厂商交流过，他们说不可能给0018接口的！我也踩过这样的坑。

举例如下：

1）商用密码厂家不提供GM/T 0018《密码设备应用接口规范》SDK，提供自有封装接口，

达到绑定产品的目的。

2）规范上没有指导密码设备更换的方式，以密码必须在产品中产生，不允许导出为依据，技术上绑定产品

3）以HMAC-SM3在原生接口不支持，要求接口定制等，以绑定某产品。

《GMT 0018-2023 密码设备应用接口规范》已经支持HMAC-SM3但是密码机更换仍需要时间，用户接触到新规范也需要时间。

截止到2025-01-07所有的正常的密码产品如下：