01  宏观（guān）政（zhèng）策为密码泛在化保驾护航（háng）

密码是保障网络（luò）空间安全的核心技术和基础支撑。过去，密码主要用（yòng）来保护重要IT系统（tǒng）的通信与存（cún）储安全问题，普通老百姓很少和它（tā）打交道。如今，密（mì）码已（yǐ）经应用到各行（háng）各业，影响我（wǒ）们生活的方方面面。密码（mǎ）产品也从传统的密码机、密钥管理（lǐ）系统等整（zhěng）机形（xíng）态，衍生发展为安全芯（xīn）片、软件（jiàn）密（mì）码模块、IP核、密（mì）码板卡等不（bú）同形态，密码（mǎ）和IT技术呈（chéng）现融合发展的趋势，密（mì）码（mǎ）的服务化更是打破了密码（mǎ）产品的（de）形态限制。密码应用已经呈现出多元化、融合化、泛在化等新特（tè）点。

近年（nián）来，我国不断健全（quán）密码相（xiàng）关的政策法规（guī），先后制定和实施了（le）网络安全法、密码法、36号文（wén）、GM/T0054、等保 2.0标准等系（xì）列法规（guī）政策标准，从顶层构建了密码与网信事业的宏伟蓝（lán）图。在宏观政（zhèng）策的指引下，我国密码事业经历了（le）从无到（dào）有（yǒu）、从初创到规范完（wán）善的（de）阶段，取得了跨越式的（de）发展，这也为全（quán）面推进密码工作（zuò）和密码（mǎ）泛在化应用奠定（dìng）了（le）坚实（shí）有力的基础。

02  安全风（fēng）险呈现泛在（zài）化（huà）趋（qū）势

物联网、云计（jì）算、5G、大数（shù）据、人（rén）工智（zhì）能等创新技术正在加速驱动物（wù）理世界与信（xìn）息世界的（de）融合。我们在享受高新技术带来（lái）的信息红利的同时，也无形中（zhōng）打破了固有的网络边界，加（jiā）剧了（le）信息泛在化的发展趋势。物理世（shì）界（jiè）与信息（xī）空间的泛在融合，也将物理空间的（de）违法破坏行（háng）为引入（rù）虚拟世界，网络空间变得更（gèng）加复杂。

信息技（jì）术（shù）的融合，既加速了信（xìn）息化进程（chéng），也增（zēng）大了网络攻击的可能（néng）性，网络安全问题异常严峻。近（jìn）年来网络安全事件层出（chū）不穷、形式（shì）各异，涉（shè）及到物联网安全、数据安全（quán）、虚拟（nǐ）化安全（quán）等方方面面。比（bǐ）如，在物联网领域，视频监控弱密码、偷拍（pāi）、DDoS攻击等事件屡见（jiàn）不（bú）鲜；大量智能（néng）门锁（suǒ）存在通（tōng）信监听、门卡复（fù）制（zhì）、APP攻（gōng）击等安全风险；传（chuán）感器网络等无人值守设备分布广泛，被攻破（pò）而不被发现的事件也（yě）时常被事（shì）后报道。随着信息（xī）技术的发展，网络安全风险加速扩散，网（wǎng）络安全（quán）问题（tí）已然泛化。

03  密（mì）码技术的泛在化应用思路

面对快速发展的（de）信息（xī）技术及泛在多变的网（wǎng）络（luò）安（ān）全需求，需要（yào）对（duì）网络空间进行体系性的安（ān）全（quán）防护。密码是网络信息安全的核心技术，是整个网络（luò）信任体系（xì）的（de）基（jī）础支撑，依托密码技（jì）术在认（rèn）证、加密等方面的重要作用，构建以密码（mǎ）为（wéi）基石的网络（luò）安全体系，能够有力解（jiě）决网络与信（xìn）息安全问题。我们在开（kāi）展具体密码工作（zuò）时，需注意密码（mǎ）技术与业（yè）务（wù）应用的结合。在不同的业务（wù）场（chǎng）景（jǐng）中（zhōng），应当（dāng）采用不同的密码技术路线或者（zhě）组合。总的来说，包括（kuò）经典（diǎn）密码（mǎ）技术、创新密码（mǎ）技（jì）术、前沿密码（mǎ）技术三个方面。

经典（diǎn）密码技术（shù）指的（de）是常（cháng）见的对（duì）称密码、PKI/CA公钥密码（mǎ）及（jí）标识密码技（jì）术。这类密码技术属于（yú）基石性技（jì）术，已经（jīng）被广泛应用，能够解（jiě）决传统信息系统安全（quán）认证（zhèng）与数（shù）据加密等（děng）问题。

我们重点想提一些创新密（mì）码应用的工作思路。我们在实践过程中，发现诸（zhū）如工业（yè）控制（zhì）、移动办公、智能（néng）家居等新兴场景都存在密码应用（yòng）需求，然而受限于具体场景和环境，传统（tǒng）的密码技术往（wǎng）往无（wú）法直接应用（yòng）。此时，我们（men）就需（xū）要（yào）转变思（sī）路，对（duì）密码（mǎ）应用的方法进行创新和（hé）调整。第一种思（sī）路是“融”，即密码融（róng）合（hé）设计，在设计之初将密（mì）码（mǎ）流程融入到业务应用及通信（xìn）协议中，避（bì）免后期堆叠密码设备带来（lái）的性能开销、系统损（sǔn）害（hài）等影响。第（dì）二（èr）种思路是“变”，我（wǒ）们（men）对传（chuán）统密码技术进行场景化的适配改造，以（yǐ）应对差异（yì）化的密码需求，如轻量化密码协议、短证书等。第三种思路是“合”，我（wǒ）们可以对（duì）加密、认证（zhèng）、授权、安全管（guǎn）理（lǐ）等功能进行整合，以能力打包的形式对接应用（yòng）系统（tǒng），提供（gòng）“一揽子”的密（mì）码解决方案，减轻应用的密码（mǎ）集成难度（dù），快速实现密码赋能。

密码技（jì）术在不断发（fā）展（zhǎn），学术界（jiè）对零信（xìn）任、区（qū）块链（liàn）、安（ān）全多方（fāng）计算（suàn）、同态加密、格密码、抗（kàng）量子密码等前沿（yán）密码技术进行了广泛的研究，部分成果（guǒ）已经应用（yòng）到信息系统中，相（xiàng）信未（wèi）来（lái）前沿密码技术（shù）会得到更加广（guǎng）泛和全面的应用。

04  终端侧的密码（mǎ）产（chǎn）品部署

终端种类众多、形态各异。不（bú）同种类的终端在（zài）价格成本、网络数据（jù）能（néng）力、软硬件架构等（děng）方面存在着（zhe）巨大区别，终端侧的密码（mǎ）产品（pǐn）部署需求也存（cún）在着差异性，需要因地制宜。

终端侧（cè）的密码产（chǎn）品部署主要涵盖三种形式（shì）：安装软件密（mì）码模块（kuài）、内嵌硬件密码（mǎ）模块以及外接安全网关。对于PC、手机（jī）、高（gāo）性能嵌入式设备，我们（men）可以部署软件密码模块，借（jiè）助CPU的强大运（yùn）算能力，实现高（gāo）性能的密码运算，无需额外增加硬（yìng）件成（chéng）本。面（miàn）向智能（néng）门锁、车载（zǎi）控制器等安全性较高的终端，我们可以采用设备（bèi）内嵌密（mì）码（mǎ）硬件的方式（shì），包括板载安全芯片、内接密码模块、使用（yòng）基于（yú）密码的（de）安（ān）全（quán）通信模组等，提供硬件级安全防护能力，保障设备安全。针对微型传（chuán）感器、大型进（jìn）口设备、老（lǎo）旧IT设备等难以施行密（mì）码改造的（de）场景，我们可以接入安全网关（guān），通过门卫（wèi）式安全防护，保证设备的接入安全与通信安全问题。

05  密码（mǎ）的服务化之道（dào）

近年来，越（yuè）来越多的（de）应用迁移上云。我（wǒ）们如果要分别对（duì）不同（tóng）的信息（xī）系统（tǒng）进行密码应（yīng）用，工作（zuò）量巨大（dà），密码（mǎ）资源浪费严重。此时，我们可（kě）以借助云化、虚拟化（huà）的（de）思想将密（mì）码（mǎ）能力服务化，按（àn）需提供密码资源，不同（tóng）应用系统只需通过服务调用的方式即（jí）可安全地获取（qǔ）密码能力（lì），从而快速（sù）实现密码应用改造。

一个（gè）可（kě）行（háng）的实（shí）践路线是构（gòu）建密码服务（wù）平台。我所在的（de）卫士通公司作为综合（hé）实力较强的密码企业（yè），正在从（cóng）传统（tǒng）密码产（chǎn）品提供（gòng）商（shāng）向平台型安全服务提供商转型（xíng），密（mì）码服务平台便是一个重要的抓手。密码服务平台（tái）不直接提供（gòng）密码产品，面向应用提供场（chǎng）景（jǐng）化的密码服务，提升合规的密码应用效率，降低应用与密码对接的难度（dù）。我们看到，越来越（yuè）多的政务云正在采（cǎi）用密码服务平（píng）台，实现云上应用的（de）快速对接（jiē）。可以预见，密码服务是促进（jìn）密码泛在化（huà）落地的重要（yào）且有效的技术（shù）路径。

06  基础软硬件（jiàn）的内（nèi）生安全机制

长（zhǎng）久以来，计算机系统基（jī）础软硬件的安（ān）全及（jí）密码措施都是各自为政，较为独立（lì）。如果要（yào）做一个安全浏（liú）览器，我们（men）可（kě）能会在浏览器内部集成OpenSSL算法库；如果（guǒ）要做一个加密数据（jù）库，我们可能为（wéi）数据（jù）库配（pèi）用密码（mǎ）硬件；如果要做安全启动，我们需（xū）要为计算机配置TPCM、TCM等可（kě）信计算（suàn）芯片。计算机系统各（gè）个软硬（yìng）件之间的（de）密码能力缺乏协同，烟囱式（shì）存在。另外，各（gè）类软硬件厂商自行建设密码，也存在着合规性的问题。

我们在（zài）构建自主信息系统时，可以从（cóng）系统体系的（de）角度出发，使（shǐ）用一套密码方案，贯通计算机基础软硬件（jiàn）的（de）各（gè）个环节（jiē），实（shí）现密码运算和可信计算。基础此种思想，如卫士通与龙芯联合推出的内嵌安全SE的国产处理器，打通（tōng）了CPU、Bioses、操作系统、中间件、数据库、浏览（lǎn）器等各环节，构建了内生安全的基础软（ruǎn）硬件密码应用生态。

07  典型案例

分享两个（gè）场景化（huà）案例。一是视频融合通信（xìn），包含视（shì）频（pín）监控、直播（bō）、会商等多种业务模式。我们可（kě）以采（cǎi）用（yòng）端到端的安（ān）全方式对视频终端（duān）、服务端进行（háng）密码改造，对大带宽、高清、多路、实时音视（shì）频进行（háng）加解密（mì）。GB35114便是此类方式的（de）标准（zhǔn）化落地，未来也将（jiāng）会有（yǒu）更多音视频（pín）密码应用的标（biāo）准指导相关（guān）工（gōng）作（zuò）。二是物联网密（mì）码应（yīng）用，我们可以建立覆盖物联网“端（duān）-边（biān）-网-云”的密（mì）码应用体系。端，指的（de）是（shì）物（wù）联网终（zhōng）端侧（cè）部署安全（quán）芯片/软（ruǎn）件密（mì）码（mǎ）模块等密码产品，实现终端安全（quán）防（fáng）护；边（biān），指的（de）是提供安全边（biān）缘网关，安（ān）全接入物（wù）联网（wǎng）终端；网（wǎng），指的是基（jī）于密码技（jì）术保（bǎo）障物（wù）联网通信安（ān）全；云，指的是物联（lián）网平台具备密码与安全能力。

08  密码（mǎ）应用推进（jìn）思考

密码事业的（de）政策（cè）性较强，我们（men）密码工作者要时刻关注国家政策法规，尤其是中央、地方、大型机关单位的商密（mì）规（guī）划，这（zhè）将带来（lái）大（dà）量的（de）密（mì）码泛在化建设（shè）项目。另外，随着等（děng）保2.0、密（mì）评工（gōng）作的广泛、有序（xù）开展，更多的细分领域将会开展密码工作，密（mì）码（mǎ）市场规模迅速（sù）扩大。我们（men）在专注既有业务领（lǐng）域的同时，应（yīng）不断（duàn）开拓（tuò）新的行业用户和业务领域，拓（tuò）展密码应用的范（fàn）围。

密码应用和改造需（xū）要达到（dào）什么（me）程度？是否密码措施越多越好？如何让（ràng）更（gèng）多的行（háng）业（yè）用户（hù）、企业单位放下对（duì）密码（mǎ）或安（ān）全的固有成见，愿意用密码？这些（xiē）问题都值得我们思考。我们（men）在做（zuò）密码应用和（hé）推广的时候，一定要结合（hé）行业政策与应用实（shí）际，按（àn）需地（dì）开展密码应（yīng）用，密（mì）码应用（yòng）的强度不能单一量（liàng）化，做到合（hé）规的同时，保证相当的安全性。

09  从（cóng）业（yè）者建（jiàn）议

在密（mì）码泛在化的背景环（huán）境下，我们从业者需要哪些方面（miàn）的能力（lì）素养？我认为，至少需要三方面（miàn）的能力（lì）。第一，完备的密码知识。密（mì）码技术不断发展，我们需要广泛涉猎密码知识，同（tóng）时也（yě）应当潜心钻研（yán）一些重点的密码知识，尤其是我们（men）工作中可能用到的密码（mǎ）技（jì）术。第二（èr），全栈（zhàn）的密码设（shè）计能力。包括密码算法、产品化设计（jì）、接口对接、协议优化等等，只有具备了全栈的设计（jì）能（néng）力（lì），才能应对复杂（zá）多变的情（qíng）况，准（zhǔn）确地（dì）对（duì）密码方案进行优化和改造。第三，快速理解业务应用的（de）能（néng）力。密（mì）码和业务不（bú）能是“两张皮”，密（mì）码的设计（jì）必须基于业（yè）务实（shí）际，密码工作者应当理解业（yè）务（wù）流程并梳理出安全痛点（diǎn）及密（mì）码应（yīng）用需求，才能做好密码建（jiàn）设的实际工作。

1月15日，人社部（bù）发文拟新增“密码（mǎ）技术应用员”职业（yè），并将其定义为（wéi）运（yùn）用密码（mǎ）技术，从事信息系统安全（quán）密码保障的架构设计、系统（tǒng）集（jí）成、检测评估、运维管理、密码（mǎ）咨（zī）询等相关密码服务的人员（yuán）。“密（mì）码技术应（yīng）用员”作为密码泛在化的一个专门职业被正（zhèng）式提出（chū），这无疑会促进密码（mǎ）泛在化的应用与推广工作。同时，作为密码从（cóng）业者的我们，也应（yīng）当参照（zhào）“密码技（jì）术应用员”的要求积（jī）极提升（shēng）个人能力。

10  密码泛在化的未（wèi）来

传统信息行（háng）业、新技术业（yè）务领域快速（sù）发展（zhǎn）并交相辉映，信息世界（jiè）正朝着（zhe）相（xiàng）互渗透、多元发（fā）展的方向（xiàng）演进。我们有理由相信，未来，密码就是信息（xī）世（shì）界不可或缺的组件，密码（mǎ）也将作为泛（fàn）化（huà）信息世界的安全基石（shí），有力保障信（xìn）息世（shì）界的安全持续发展。密码（mǎ）人，大有可（kě）为。