01  宏观政策（cè）为密码泛在化（huà）保驾护航

密码是保（bǎo）障网络空间安全的核心技（jì）术和基础支撑。过去，密码主要用来保护（hù）重（chóng）要IT系统的通信与存（cún）储安全问题，普通老百姓（xìng）很少（shǎo）和它（tā）打交道。如今（jīn），密码（mǎ）已（yǐ）经应用到各行各（gè）业（yè），影响我们生活（huó）的方（fāng）方面面。密（mì）码产品也从（cóng）传统的密码机、密钥管（guǎn）理（lǐ）系统（tǒng）等整机形态，衍生发展为安全芯片、软件密码模块、IP核、密码板卡等不同形态，密码和IT技（jì）术呈现融合（hé）发展（zhǎn）的趋势，密（mì）码（mǎ）的服务（wù）化更是打破了密（mì）码产品的形态限（xiàn）制。密码应用已经呈现出多元化、融合（hé）化、泛在化等新特点。

近年（nián）来，我国（guó）不断健（jiàn）全密码相（xiàng）关的政策法规，先后制定（dìng）和实施（shī）了网络安（ān）全法、密码法（fǎ）、36号（hào）文、GM/T0054、等保 2.0标准等系列法规政策标准，从顶层构建了密码与（yǔ）网信事业的宏伟蓝（lán）图。在宏（hóng）观政策的指（zhǐ）引下，我（wǒ）国密码事业经历了从（cóng）无到有、从初创到规（guī）范完善的阶段（duàn），取得了跨（kuà）越式的发展（zhǎn），这也为（wéi）全面推进密码（mǎ）工作和（hé）密码泛在化应用奠（diàn）定了坚（jiān）实有力的基础。

02  安全风（fēng）险呈现（xiàn）泛在化（huà）趋势

物（wù）联网（wǎng）、云计算、5G、大数（shù）据（jù）、人（rén）工智能等创新技（jì）术正在加速驱动物理世界与信（xìn）息（xī）世界的融（róng）合。我们在享（xiǎng）受高新（xīn）技术带来的信息（xī）红利（lì）的同时，也无形中打破了固（gù）有的（de）网络边界，加剧了信息泛在（zài）化的（de）发展趋势。物理世（shì）界与信息空间的泛在融（róng）合，也（yě）将物理空（kōng）间的违（wéi）法破坏（huài）行（háng）为引入（rù）虚（xū）拟（nǐ）世（shì）界（jiè），网络空间变得更加复杂。

信息技术的融合（hé），既加速了（le）信息化进程，也增大了网络攻击的可（kě）能性，网络安（ān）全问题异常严峻。近年来（lái）网络安（ān）全事件层出不穷、形式各异，涉及到物联网（wǎng）安全、数据（jù）安全、虚拟化安全等方方面面。比如，在（zài）物（wù）联网领域，视（shì）频监控弱密（mì）码、偷拍、DDoS攻（gōng）击等事件（jiàn）屡见不鲜；大量智能门锁存在通信监听、门卡复制、APP攻击等安全风险；传感器网络等（děng）无（wú）人值守设备分布（bù）广泛，被（bèi）攻破而（ér）不被发现的事件（jiàn）也时常被事后报道。随着信息技术的发展（zhǎn），网（wǎng）络安全风（fēng）险加速扩（kuò）散，网络安全问题已然泛（fàn）化（huà）。

03  密码技（jì）术的泛在化应用思路

面对（duì）快速发展（zhǎn）的信息技术及泛在多变的（de）网络安全需求，需要（yào）对网络空间进行体系性的安（ān）全防护。密码是（shì）网络信息安全的核（hé）心技术，是（shì）整个（gè）网络信（xìn）任（rèn）体系的（de）基础支撑（chēng），依托密码（mǎ）技术在（zài）认证、加密等方面的重要作用，构建以密码为基石的网络安全体系，能够有力解（jiě）决网络与信（xìn）息（xī）安全问题。我们在开展具体密码工（gōng）作时，需注意密码技术与业（yè）务（wù）应用的（de）结合（hé）。在（zài）不同的（de）业务场景中，应当采用不同的密（mì）码技术路线或者组合。总（zǒng）的来说，包（bāo）括经典密码技（jì）术、创新密（mì）码技术（shù）、前沿密码技（jì）术三（sān）个（gè）方面。

经典密码技术指（zhǐ）的（de）是常见（jiàn）的对称密码、PKI/CA公钥密码及标识密码（mǎ）技（jì）术（shù）。这类密码技术（shù）属于基石性技术，已经被广泛应（yīng）用，能够解（jiě）决（jué）传统信息系统安全（quán）认证与数据加密等问题。

我们重点想提（tí）一些创新（xīn）密码应用的工作思路。我们在实践过程中，发现诸如工业（yè）控制、移动办公、智能家居等新兴场景（jǐng）都存在密（mì）码应用需求，然而受限于具体场景和（hé）环境（jìng），传统（tǒng）的密码技术往（wǎng）往无法（fǎ）直（zhí）接应用（yòng）。此时，我（wǒ）们就需（xū）要转变（biàn）思路，对密码（mǎ）应用（yòng）的方法进行（háng）创新和调整。第一种思路是“融”，即密码融合设计，在设（shè）计之初（chū）将密码流程融入（rù）到业务应用（yòng）及通信（xìn）协议中，避免后期（qī）堆叠（dié）密码设备带来的性能开销、系统损害等（děng）影响。第二种思路是“变”，我们（men）对（duì）传统密码技术进行场景（jǐng）化的适（shì）配改（gǎi）造（zào），以（yǐ）应对差（chà）异化的密码需求（qiú），如轻（qīng）量化密码协议、短证书（shū）等。第三种思路是“合”，我们可以对加密、认证、授（shòu）权、安全管理等功能进行整合，以能力（lì）打（dǎ）包的形式（shì）对接应用（yòng）系统，提供“一揽子”的密码解决方案，减轻应用的（de）密码集成难度，快速（sù）实（shí）现密码赋能。

密码技（jì）术在不断发展，学术（shù）界对零（líng）信任、区块（kuài）链、安全（quán）多（duō）方计（jì）算、同态加密、格（gé）密码、抗量（liàng）子密码等前沿密（mì）码技术进行了广泛（fàn）的（de）研究，部分成果（guǒ）已经应用到信息系统中，相信未来前（qián）沿密码技术会（huì）得到（dào）更加广泛（fàn）和（hé）全面（miàn）的（de）应（yīng）用（yòng）。

04  终（zhōng）端侧的密码产（chǎn）品部署

终端种类众多、形（xíng）态各异。不同种类（lèi）的（de）终端在价格成本、网络数据能力、软硬（yìng）件（jiàn）架（jià）构等方面存在着巨大（dà）区别，终端侧的密码（mǎ）产品部署（shǔ）需（xū）求也存在（zài）着（zhe）差异性，需要因地制宜。

终端侧的密码产品部署主要涵盖（gài）三种形式：安（ān）装软件密码模块（kuài）、内嵌硬（yìng）件密码模块以及（jí）外（wài）接安全网（wǎng）关。对于PC、手（shǒu）机（jī）、高性能嵌入式（shì）设备，我们可以部署软件（jiàn）密码（mǎ）模（mó）块，借助CPU的强大运算能力（lì），实现高性能（néng）的密码运算，无（wú）需额外（wài）增加硬件成本。面（miàn）向（xiàng）智能门（mén）锁、车载控制器（qì）等安全性（xìng）较（jiào）高的（de）终端（duān），我们可以采用设备内嵌密码硬（yìng）件的方式（shì），包括板载安全芯片、内接密码模块、使用基于密（mì）码的安全通信模组等，提供硬件级安全防护能力，保障设备安（ān）全。针对微型传感器、大型进口设备、老旧IT设备等难以施行（háng）密码改造的场景（jǐng），我们可以接入安（ān）全网关，通过（guò）门卫式安全防护，保证设（shè）备的接入安全与通信安全问题。

05  密码的服务化之道

近年来，越（yuè）来（lái）越多（duō）的应（yīng）用迁移（yí）上云。我们如果要分别对不（bú）同的信息系统进（jìn）行密码应用，工作量巨大，密码资源浪（làng）费严重。此时，我们可以借（jiè）助云化、虚（xū）拟（nǐ）化的（de）思想将（jiāng）密码能力（lì）服（fú）务化（huà），按需提供密码（mǎ）资源（yuán），不同（tóng）应用系（xì）统只需通过（guò）服务调（diào）用的方式即可安全地（dì）获取密码能力，从而（ér）快速实现密码应用（yòng）改造。

一个可行（háng）的实践路线是构建密码（mǎ）服务（wù）平（píng）台。我所（suǒ）在的卫士通公司作为综合实（shí）力较强的密码企业，正在（zài）从传统密码产品提供商向平台型安全服务提供商转型，密码服务平台便是一个重（chóng）要的抓手。密（mì）码服务（wù）平（píng）台不直接提供密码产品，面向应用提供场景化（huà）的密码服务，提升合规（guī）的密码应用效（xiào）率，降（jiàng）低应用（yòng）与密码对接的难度。我们（men）看到，越来越多（duō）的（de）政务云正在（zài）采用密码服务平台，实（shí）现云上应用的快速对接。可（kě）以预见，密码服务是促进密码泛在化落地的（de）重要且（qiě）有效的技（jì）术路径。

06  基础（chǔ）软硬件的内生安全机制

长久以来，计算机系统基（jī）础软硬件的安全及密码（mǎ）措施都是各自为（wéi）政（zhèng），较为独立。如果要做一个安全（quán）浏览器，我们可能会在浏览器（qì）内部集成（chéng）OpenSSL算法库；如果（guǒ）要做一（yī）个（gè）加密数据（jù）库，我（wǒ）们可能为数据库配用密码硬件；如果要做安（ān）全启（qǐ）动，我们需要为计算机配置TPCM、TCM等可信计算（suàn）芯片。计算机系统各个软硬件之（zhī）间的密码能力（lì）缺乏协同，烟囱式存在。另外，各类软硬件厂商自行建设（shè）密码，也（yě）存在着合规（guī）性的问题。

我们在构建自主信（xìn）息系统时，可以从系统体（tǐ）系的角（jiǎo）度出（chū）发，使用一（yī）套密码方案（àn），贯通计算机基础软硬件的各个环节，实现密码运算和可信（xìn）计算。基础此种思想（xiǎng），如卫士通（tōng）与龙芯联合推出的（de）内嵌安全SE的国产（chǎn）处理器，打通了CPU、Bioses、操（cāo）作系统（tǒng）、中间件、数据（jù）库（kù）、浏览器等各环（huán）节（jiē），构建了（le）内生安全的（de）基础软硬件密码应用（yòng）生态（tài）。

07  典型案例

分享两个场景化案（àn）例（lì）。一（yī）是视频融（róng）合通信，包含视频监（jiān）控（kòng）、直播、会商（shāng）等多种（zhǒng）业务模式。我们（men）可以采用端到端的安全方式对视频终端、服务端进行密码改造（zào），对（duì）大带宽（kuān）、高（gāo）清（qīng）、多（duō）路、实时（shí）音视频进行加解（jiě）密。GB35114便是此类方式的标准化落（luò）地，未（wèi）来（lái）也将会（huì）有更多（duō）音视频密码应用的标准指导（dǎo）相关工作。二是物联网密码（mǎ）应用，我们可（kě）以建（jiàn）立（lì）覆盖物联网“端-边-网-云”的密（mì）码应用体系。端，指（zhǐ）的是物联网终端（duān）侧部署安全芯片/软件密码模块等（děng）密码产（chǎn）品，实现终端安全防（fáng）护；边，指的是提供安全边缘（yuán）网（wǎng）关，安全接入物联网终端（duān）；网，指（zhǐ）的是基于密码技术（shù）保障物联网通（tōng）信安全；云，指的是物联网平台具备密码与安全能力。

08  密码应用推进思考

密（mì）码事业的（de）政策性较强，我们密码（mǎ）工作者要时刻关注（zhù）国家政（zhèng）策法规，尤其是（shì）中央、地（dì）方、大型（xíng）机关单位的商密（mì）规划，这将带来大量的密码泛（fàn）在化建设项目。另外，随着等保2.0、密（mì）评工作的广泛、有序开展（zhǎn），更多（duō）的细分领域将会（huì）开展（zhǎn）密码工作，密（mì）码市场（chǎng）规模迅速扩大。我们在专注既（jì）有（yǒu）业务领域的同时，应不（bú）断开（kāi）拓新的行业用户和业务领域，拓展密码应用的范围。

密码（mǎ）应（yīng）用和（hé）改（gǎi）造需要达到什么程（chéng）度？是否密码措（cuò）施越多越（yuè）好？如何（hé）让更多的行业（yè）用户、企业单（dān）位（wèi）放下对（duì）密码或安全的（de）固（gù）有成（chéng）见，愿意用密码？这（zhè）些问（wèn）题都值得我们思考。我们（men）在做密码应用和推广（guǎng）的时候，一定要结合行业（yè）政策与应用实际，按（àn）需地开展（zhǎn）密码应用，密码应用的强度不能单一量化，做到合规的同时，保证（zhèng）相（xiàng）当（dāng）的安全性（xìng）。

09  从（cóng）业者（zhě）建议

在密码泛在（zài）化的背景环境下（xià），我们从业者需要哪些（xiē）方（fāng）面的能（néng）力素养？我认为，至少需要三方面（miàn）的（de）能力。第一，完（wán）备的密码知识。密（mì）码技术不断（duàn）发（fā）展（zhǎn），我们需要广（guǎng）泛涉猎密码知（zhī）识，同时也应当潜心钻研一（yī）些（xiē）重点（diǎn）的密码知识，尤（yóu）其（qí）是（shì）我们工作中可能用到的密（mì）码技术。第二，全栈（zhàn）的密码设（shè）计能力。包括密码算法（fǎ）、产品（pǐn）化设计、接口对接（jiē）、协议优化等等（děng），只（zhī）有具（jù）备了全（quán）栈（zhàn）的设（shè）计能力，才能（néng）应对（duì）复杂多变（biàn）的情况，准确地对密码（mǎ）方案进（jìn）行（háng）优化（huà）和改造（zào）。第三，快速（sù）理解业（yè）务应（yīng）用的能（néng）力。密码和业务不能是（shì）“两张皮”，密码的设计必（bì）须基于业务实际，密码工作（zuò）者应当理解业务（wù）流程（chéng）并梳理（lǐ）出（chū）安全（quán）痛点及（jí）密码应用需求，才能做（zuò）好密码建设的实际工作。

1月15日，人（rén）社部发文拟新增“密码技术（shù）应用员”职业，并将其定义为运（yùn）用密码技术，从事信息系统（tǒng）安全密码保障的架构设计、系（xì）统集成、检（jiǎn）测评估（gū）、运维管（guǎn）理（lǐ）、密码（mǎ）咨询（xún）等相关（guān）密码服务的（de）人员。“密码技术应（yīng）用员”作为密码（mǎ）泛（fàn）在（zài）化的一（yī）个专（zhuān）门职业被（bèi）正（zhèng）式提（tí）出，这无疑会促进密码泛在化的应用与推（tuī）广工作。同时，作为密（mì）码从业者的我们，也应当参照“密码技术应用员”的要（yào）求（qiú）积极提升个人能力。

10  密码泛在（zài）化的未来

传统信息（xī）行（háng）业、新技（jì）术业务领（lǐng）域快速发展并交相辉映，信息（xī）世界（jiè）正朝着相互渗透、多（duō）元发展的方向演（yǎn）进。我们有理由相（xiàng）信，未来，密码（mǎ）就（jiù）是信息世界不可或缺的组（zǔ）件，密（mì）码也将（jiāng）作为泛化信息世界的（de）安全基石，有力保（bǎo）障（zhàng）信息世界的安全持续发展。密（mì）码（mǎ）人，大有可为。