密码泛在化实践者之路

嘉宾：周俊，曾任中国电子科技集团第三十研究所研究室主任。长期从事网络安全、信息保密相关技术和产品的研究，牵头和参与多个国家重大课题的研究工作，并拥有多项发明专利，曾获密码科学技术进步奖评审委员会科技进步一等奖，工业和信息化部国防科学进步三等奖等。

索引

国家政策法规从顶层推动了密码的泛在化应用；密码应用是体系性的技术工程，技术路线的选择应结合实际；终端的密码产品部署需要因地制宜，存在着差异性；密码服务化可集中解决分散的、广泛的、场景化的密码应用需求；基础软硬件可基于内嵌密码的安全CPU构建内生安全机制；密码从业者需至少具备三方面密码能力；密码泛在化，大有可为。

01 宏观政策为密码泛在化保驾护航
02 安全风险呈现泛在化趋势
03 密码技术的泛在化应用思路
04 终端侧的密码产品部署
05 密码的服务化之道
06 基础软硬件的内生安全机制
07 典型案例
08 密码应用推进思考
09 从业者建议
10 密码泛在化的未来

01 宏观政策为密码泛在化保驾护航

密码是保障网络空间安全的核心技术和基础支撑。过去，密码主要用来保护重要IT系统的通信与存储安全问题，普通老百姓很少和它打交道。如今，密码已经应用到各行各业，影响我们生活的方方面面。密码产品也从传统的密码机、密钥管理系统等整机形态，衍生发展为安全芯片、软件密码模块、IP核、密码板卡等不同形态，密码和IT技术呈现融合发展的趋势，密码的服务化更是打破了密码产品的形态限制。密码应用已经呈现出多元化、融合化、泛在化等新特点。

近年来，我国不断健全密码相关的政策法规，先后制定和实施了网络安全法、密码法、36号文、GM/T0054、等保 2.0标准等系列法规政策标准，从顶层构建了密码与网信事业的宏伟蓝图。在宏观政策的指引下，我国密码事业经历了从无到有、从初创到规范完善的阶段，取得了跨越式的发展，这也为全面推进密码工作和密码泛在化应用奠定了坚实有力的基础。

02 安全风险呈现泛在化趋势

物联网、云计算、5G、大数据、人工智能等创新技术正在加速驱动物理世界与信息世界的融合。我们在享受高新技术带来的信息红利的同时，也无形中打破了固有的网络边界，加剧了信息泛在化的发展趋势。物理世界与信息空间的泛在融合，也将物理空间的违法破坏行为引入虚拟世界，网络空间变得更加复杂。

信息技术的融合，既加速了信息化进程，也增大了网络攻击的可能性，网络安全问题异常严峻。近年来网络安全事件层出不穷、形式各异，涉及到物联网安全、数据安全、虚拟化安全等方方面面。比如，在物联网领域，视频监控弱密码、偷拍、DDoS攻击等事件屡见不鲜；大量智能门锁存在通信监听、门卡复制、APP攻击等安全风险；传感器网络等无人值守设备分布广泛，被攻破而不被发现的事件也时常被事后报道。随着信息技术的发展，网络安全风险加速扩散，网络安全问题已然泛化。

03 密码技术的泛在化应用思路

面对快速发展的信息技术及泛在多变的网络安全需求，需要对网络空间进行体系性的安全防护。密码是网络信息安全的核心技术，是整个网络信任体系的基础支撑，依托密码技术在认证、加密等方面的重要作用，构建以密码为基石的网络安全体系，能够有力解决网络与信息安全问题。我们在开展具体密码工作时，需注意密码技术与业务应用的结合。在不同的业务场景中，应当采用不同的密码技术路线或者组合。总的来说，包括经典密码技术、创新密码技术、前沿密码技术三个方面。

经典密码技术指的是常见的对称密码、PKI/CA公钥密码及标识密码技术。这类密码技术属于基石性技术，已经被广泛应用，能够解决传统信息系统安全认证与数据加密等问题。

我们重点想提一些创新密码应用的工作思路。我们在实践过程中，发现诸如工业控制、移动办公、智能家居等新兴场景都存在密码应用需求，然而受限于具体场景和环境，传统的密码技术往往无法直接应用。此时，我们就需要转变思路，对密码应用的方法进行创新和调整。第一种思路是“融”，即密码融合设计，在设计之初将密码流程融入到业务应用及通信协议中，避免后期堆叠密码设备带来的性能开销、系统损害等影响。第二种思路是“变”，我们对传统密码技术进行场景化的适配改造，以应对差异化的密码需求，如轻量化密码协议、短证书等。第三种思路是“合”，我们可以对加密、认证、授权、安全管理等功能进行整合，以能力打包的形式对接应用系统，提供“一揽子”的密码解决方案，减轻应用的密码集成难度，快速实现密码赋能。

密码技术在不断发展，学术界对零信任、区块链、安全多方计算、同态加密、格密码、抗量子密码等前沿密码技术进行了广泛的研究，部分成果已经应用到信息系统中，相信未来前沿密码技术会得到更加广泛和全面的应用。

04 终端侧的密码产品部署

终端种类众多、形态各异。不同种类的终端在价格成本、网络数据能力、软硬件架构等方面存在着巨大区别，终端侧的密码产品部署需求也存在着差异性，需要因地制宜。

终端侧的密码产品部署主要涵盖三种形式：安装软件密码模块、内嵌硬件密码模块以及外接安全网关。对于PC、手机、高性能嵌入式设备，我们可以部署软件密码模块，借助CPU的强大运算能力，实现高性能的密码运算，无需额外增加硬件成本。面向智能门锁、车载控制器等安全性较高的终端，我们可以采用设备内嵌密码硬件的方式，包括板载安全芯片、内接密码模块、使用基于密码的安全通信模组等，提供硬件级安全防护能力，保障设备安全。针对微型传感器、大型进口设备、老旧IT设备等难以施行密码改造的场景，我们可以接入安全网关，通过门卫式安全防护，保证设备的接入安全与通信安全问题。

05 密码的服务化之道

近年来，越来越多的应用迁移上云。我们如果要分别对不同的信息系统进行密码应用，工作量巨大，密码资源浪费严重。此时，我们可以借助云化、虚拟化的思想将密码能力服务化，按需提供密码资源，不同应用系统只需通过服务调用的方式即可安全地获取密码能力，从而快速实现密码应用改造。

一个可行的实践路线是构建密码服务平台。我所在的卫士通公司作为综合实力较强的密码企业，正在从传统密码产品提供商向平台型安全服务提供商转型，密码服务平台便是一个重要的抓手。密码服务平台不直接提供密码产品，面向应用提供场景化的密码服务，提升合规的密码应用效率，降低应用与密码对接的难度。我们看到，越来越多的政务云正在采用密码服务平台，实现云上应用的快速对接。可以预见，密码服务是促进密码泛在化落地的重要且有效的技术路径。

06 基础软硬件的内生安全机制

长久以来，计算机系统基础软硬件的安全及密码措施都是各自为政，较为独立。如果要做一个安全浏览器，我们可能会在浏览器内部集成OpenSSL算法库；如果要做一个加密数据库，我们可能为数据库配用密码硬件；如果要做安全启动，我们需要为计算机配置TPCM、TCM等可信计算芯片。计算机系统各个软硬件之间的密码能力缺乏协同，烟囱式存在。另外，各类软硬件厂商自行建设密码，也存在着合规性的问题。

我们在构建自主信息系统时，可以从系统体系的角度出发，使用一套密码方案，贯通计算机基础软硬件的各个环节，实现密码运算和可信计算。基础此种思想，如卫士通与龙芯联合推出的内嵌安全SE的国产处理器，打通了CPU、BIOS、操作系统、中间件、数据库、浏览器等各环节，构建了内生安全的基础软硬件密码应用生态。

07 典型案例

分享两个场景化案例。一是视频融合通信，包含视频监控、直播、会商等多种业务模式。我们可以采用端到端的安全方式对视频终端、服务端进行密码改造，对大带宽、高清、多路、实时音视频进行加解密。GB35114便是此类方式的标准化落地，未来也将会有更多音视频密码应用的标准指导相关工作。二是物联网密码应用，我们可以建立覆盖物联网“端-边-网-云”的密码应用体系。端，指的是物联网终端侧部署安全芯片/软件密码模块等密码产品，实现终端安全防护；边，指的是提供安全边缘网关，安全接入物联网终端；网，指的是基于密码技术保障物联网通信安全；云，指的是物联网平台具备密码与安全能力。

08 密码应用推进思考

密码事业的政策性较强，我们密码工作者要时刻关注国家政策法规，尤其是中央、地方、大型机关单位的商密规划，这将带来大量的密码泛在化建设项目。另外，随着等保2.0、密评工作的广泛、有序开展，更多的细分领域将会开展密码工作，密码市场规模迅速扩大。我们在专注既有业务领域的同时，应不断开拓新的行业用户和业务领域，拓展密码应用的范围。

密码应用和改造需要达到什么程度？是否密码措施越多越好？如何让更多的行业用户、企业单位放下对密码或安全的固有成见，愿意用密码？这些问题都值得我们思考。我们在做密码应用和推广的时候，一定要结合行业政策与应用实际，按需地开展密码应用，密码应用的强度不能单一量化，做到合规的同时，保证相当的安全性。

09 从业者建议

在密码泛在化的背景环境下，我们从业者需要哪些方面的能力素养？我认为，至少需要三方面的能力。第一，完备的密码知识。密码技术不断发展，我们需要广泛涉猎密码知识，同时也应当潜心钻研一些重点的密码知识，尤其是我们工作中可能用到的密码技术。第二，全栈的密码设计能力。包括密码算法、产品化设计、接口对接、协议优化等等，只有具备了全栈的设计能力，才能应对复杂多变的情况，准确地对密码方案进行优化和改造。第三，快速理解业务应用的能力。密码和业务不能是“两张皮”，密码的设计必须基于业务实际，密码工作者应当理解业务流程并梳理出安全痛点及密码应用需求，才能做好密码建设的实际工作。

1月15日，人社部发文拟新增“密码技术应用员”职业，并将其定义为运用密码技术，从事信息系统安全密码保障的架构设计、系统集成、检测评估、运维管理、密码咨询等相关密码服务的人员。“密码技术应用员”作为密码泛在化的一个专门职业被正式提出，这无疑会促进密码泛在化的应用与推广工作。同时，作为密码从业者的我们，也应当参照“密码技术应用员”的要求积极提升个人能力。

10 密码泛在化的未来

传统信息行业、新技术业务领域快速发展并交相辉映，信息世界正朝着相互渗透、多元发展的方向演进。我们有理由相信，未来，密码就是信息世界不可或缺的组件，密码也将作为泛化信息世界的安全基石，有力保障信息世界的安全持续发展。密码人，大有可为。

-End-