01  宏观（guān）政（zhèng）策为密码泛在化保（bǎo）驾护（hù）航

密码是保障（zhàng）网络空间安全的核心（xīn）技术（shù）和基（jī）础支撑。过去，密码主要用来保护重要IT系统的通信与存（cún）储（chǔ）安全问（wèn）题，普通老百姓很少和它打交道。如今（jīn），密码已经应用到各行各业（yè），影响我们生活（huó）的方方面面。密码产品也（yě）从传（chuán）统的密（mì）码机（jī）、密钥管理（lǐ）系统（tǒng）等整（zhěng）机（jī）形态（tài），衍生发（fā）展为安全芯片、软件密（mì）码（mǎ）模块、IP核、密码板卡（kǎ）等不同形态，密码和IT技术呈现融合（hé）发（fā）展的趋（qū）势（shì），密码的服务（wù）化（huà）更是打破了密码产品的形态（tài）限制（zhì）。密码应用已经呈现出多元化、融合化、泛在化等新特点。

近年来（lái），我国不（bú）断（duàn）健全密码相关的政策法规，先后（hòu）制定和实施（shī）了（le）网络安全法、密码（mǎ）法（fǎ）、36号文、GM/T0054、等保（bǎo） 2.0标准等系列法规（guī）政策标准，从（cóng）顶（dǐng）层构建了密（mì）码（mǎ）与网信事业的宏伟蓝图。在宏观政策的指引下，我国密码（mǎ）事（shì）业经历了（le）从（cóng）无到有、从初创到规范完善（shàn）的阶段，取得了跨越式的发展（zhǎn），这（zhè）也为全面（miàn）推进密码工（gōng）作（zuò）和密码泛在化应用奠定了坚实有力的基础。

02  安全风险呈（chéng）现泛在化趋（qū）势

物联网（wǎng）、云计算、5G、大数（shù）据、人（rén）工（gōng）智能等（děng）创新技术（shù）正在加速驱（qū）动（dòng）物（wù）理（lǐ）世界与信息世界的融合（hé）。我们在享受高新技术（shù）带来（lái）的信息红利的同时，也无形中打破了固有的网络边界，加剧（jù）了信息泛在化的发（fā）展趋势。物理（lǐ）世界与信（xìn）息空间的泛在融合（hé），也将物理（lǐ）空间的违（wéi）法破（pò）坏行为（wéi）引入虚拟（nǐ）世（shì）界，网络空间变得更加复杂（zá）。

信（xìn）息（xī）技术的融（róng）合，既加（jiā）速了信息化进程，也增大了（le）网络攻（gōng）击的可能性，网络安全问题异（yì）常（cháng）严峻（jun4）。近年来网络安全（quán）事件层出（chū）不穷（qióng）、形式各异，涉及（jí）到物（wù）联网安全、数据安全、虚拟（nǐ）化安全等方方面（miàn）面。比如，在物联网领域，视（shì）频（pín）监控弱密码、偷（tōu）拍、DDoS攻（gōng）击等事件屡见不鲜；大（dà）量智能门锁（suǒ）存在通（tōng）信监听（tīng）、门卡复制、APP攻（gōng）击等安全风险；传感器网（wǎng）络（luò）等（děng）无（wú）人值守设备（bèi）分布广泛，被（bèi）攻破而不被发现的事件也时常被事后报道。随着信息技术的发展，网（wǎng）络安全风险加速扩散，网络安全问题已然泛化。

03  密码（mǎ）技术的泛在化应用思（sī）路

面对快速发展的信息技术及泛在（zài）多变的网络（luò）安全需求（qiú），需要对（duì）网络空间进（jìn）行体系性的安全防护。密码（mǎ）是网络信息安全的（de）核心技术，是整（zhěng）个网络信任（rèn）体系（xì）的基础支撑，依托密码技术在（zài）认证、加密等（děng）方面的重要作用，构建以密（mì）码为基石的网（wǎng）络安全体系，能（néng）够有力解（jiě）决网络与信息安（ān）全问题。我（wǒ）们在（zài）开展具体密码工作时，需注（zhù）意密码技术与业务应用的（de）结合。在不同的（de）业务场景（jǐng）中（zhōng），应（yīng）当采（cǎi）用不同的密码技（jì）术路线或者组合。总（zǒng）的来说，包括经典密码技术、创新（xīn）密码技术、前沿密码技（jì）术三个方（fāng）面。

经（jīng）典（diǎn）密码技术（shù）指的（de）是常见的（de）对称密码、PKI/CA公钥密码（mǎ）及标识密码技术（shù）。这（zhè）类（lèi）密码（mǎ）技（jì）术（shù）属于基石性技术，已经（jīng）被广泛应（yīng）用，能够解决传统信息系统安全认证与数据加密等问题。

我们重点想提一些（xiē）创新密（mì）码应用的（de）工作思路。我们在实践过程中，发（fā）现诸如工业控（kòng）制（zhì）、移动办公、智能家居（jū）等新兴场景都存在密码应用（yòng）需（xū）求，然而受限于具（jù）体场景（jǐng）和（hé）环境，传统的密码技术（shù）往往无法直接应用（yòng）。此时，我们就需要转（zhuǎn）变思路，对密码应用的方法进行创新（xīn）和调整。第一种思路是“融”，即密码融合设计，在（zài）设计之初将密码流程融入到业务应（yīng）用及（jí）通信协（xié）议中，避免后（hòu）期堆叠（dié）密码（mǎ）设备带（dài）来的性（xìng）能（néng）开销、系统（tǒng）损（sǔn）害等影响。第二种思路（lù）是“变”，我们（men）对传统密码技（jì）术进行场景化的适（shì）配改（gǎi）造，以应对差异化的密码需求，如轻量化密码（mǎ）协议、短证（zhèng）书（shū）等。第三种思路是（shì）“合”，我们可以（yǐ）对加密、认证、授权、安全管理等功能进行整（zhěng）合，以能（néng）力打包的形式对接应（yīng）用系统，提供“一揽子”的（de）密码解决方（fāng）案，减轻应用的密码（mǎ）集（jí）成难度，快速实现密（mì）码（mǎ）赋能。

密码（mǎ）技术在不（bú）断发（fā）展，学术（shù）界对零信任、区块链、安全（quán）多方计算、同态（tài）加密（mì）、格密码（mǎ）、抗量子密码等前沿密码技术进行了广泛的研究，部分成果已经（jīng）应用到信息系统中，相（xiàng）信未来前沿密码技（jì）术（shù）会得到更加（jiā）广泛（fàn）和全面的应用（yòng）。

04  终端侧的密（mì）码产品（pǐn）部署（shǔ）

终（zhōng）端种类众多、形态各异。不同种（zhǒng）类的终端在（zài）价格（gé）成本（běn）、网络数据能力、软（ruǎn）硬件架构等方面存在着（zhe）巨（jù）大区别，终端侧的（de）密码产（chǎn）品部署需求也存在着差（chà）异性（xìng），需要因地制宜（yí）。

终端侧的密码产品部（bù）署主要（yào）涵盖三种形式：安装软（ruǎn）件密（mì）码模块、内嵌硬件密码（mǎ）模块（kuài）以（yǐ）及外接安全网关。对于PC、手机、高性能嵌入式设备（bèi），我们可以部署（shǔ）软件密码模块，借助（zhù）CPU的（de）强大运算能（néng）力，实现高性能的密码运算，无需额外增加（jiā）硬件成本。面向智能（néng）门（mén）锁、车载控（kòng）制器等安（ān）全（quán）性较高的（de）终端（duān），我们可以采用设备内嵌（qiàn）密码硬件的方式，包括板载安全芯片、内接密码模块（kuài）、使（shǐ）用基于密码的安（ān）全（quán）通信模组等，提供硬件级安全防护能力，保（bǎo）障设（shè）备安全。针对（duì）微型传（chuán）感器、大型进（jìn）口设备（bèi）、老旧IT设（shè）备等（děng）难以施行密码（mǎ）改造的场景，我们（men）可以接入安（ān）全网（wǎng）关（guān），通（tōng）过门（mén）卫式安全（quán）防护（hù），保证设备的接入（rù）安全与通信安全（quán）问题。

05  密码（mǎ）的服务（wù）化之道

近年来，越来越多的应用迁移上云。我（wǒ）们如果要分别对（duì）不同的（de）信息（xī）系（xì）统进行密码应用，工作量巨大，密码资源浪费（fèi）严重（chóng）。此时（shí），我（wǒ）们（men）可以（yǐ）借助（zhù）云化、虚拟化的思想将密码能力（lì）服务化，按需提供密码资源，不（bú）同（tóng）应（yīng）用（yòng）系统只需通过服务调用的方式即可安全地获取密码能力（lì），从而快速实现密码应用改造。

一个可行的实践路（lù）线是（shì）构建密码服务平台。我所在的（de）卫士通公（gōng）司作为综合实力较强的（de）密码企业（yè），正在（zài）从传统密码产品提供（gòng）商向平台型安全服务提供商转型（xíng），密（mì）码服务平台便是一个重要的（de）抓手（shǒu）。密码（mǎ）服务平台不直接（jiē）提供（gòng）密码（mǎ）产（chǎn）品，面向应（yīng）用提供场（chǎng）景化的密码（mǎ）服务，提升合规的密码应用（yòng）效率，降低（dī）应用与密（mì）码对接（jiē）的（de）难度（dù）。我们看到，越（yuè）来越多的政务云正在采用密（mì）码服（fú）务平台，实现云上应用的快（kuài）速对接。可以预（yù）见（jiàn），密码服务是促进密码泛在化落地的重要且（qiě）有效的技术路径。

06  基础软（ruǎn）硬（yìng）件的内生安全机制

长久以来，计算机（jī）系统（tǒng）基础软硬件的安全及密码措施都是各自为（wéi）政（zhèng），较为独立。如果要做一个安全浏（liú）览（lǎn）器，我们可能会在浏览器（qì）内部集成OpenSSL算法库；如果要做一个（gè）加（jiā）密数据库，我（wǒ）们（men）可能为数据（jù）库配用（yòng）密码硬（yìng）件（jiàn）；如果要做安全启动，我们需（xū）要为（wéi）计算机配置TPCM、TCM等可信计算芯片。计算机（jī）系统（tǒng）各个软硬件之间的密码能力缺乏协同，烟囱（cōng）式（shì）存在。另外（wài），各类软硬件厂商自行建设密（mì）码，也存在着（zhe）合规性的问题。

我们在构（gòu）建自主信息系统（tǒng）时（shí），可以从（cóng）系（xì）统（tǒng）体系的角度（dù）出发，使用（yòng）一套密码方案，贯通计算机基础软硬（yìng）件的各个环节，实现密码运（yùn）算（suàn）和可信计算。基础此种思想，如卫（wèi）士通与龙芯联（lián）合推（tuī）出的内嵌安全SE的国产处（chù）理（lǐ）器，打（dǎ）通了CPU、Bioses、操作系统（tǒng）、中间件、数据库、浏览器等各环节，构建（jiàn）了内（nèi）生安（ān）全的基（jī）础（chǔ）软（ruǎn）硬件密（mì）码（mǎ）应用生态。

07  典型（xíng）案例

分享两个场景化案（àn）例。一（yī）是视频融合通信，包含视频监控、直播、会商等（děng）多种业务模（mó）式（shì）。我们可以采用端（duān）到端的安全方（fāng）式对视频终端、服务（wù）端进行密码改造，对（duì）大带宽、高清、多路、实时音视频（pín）进行加解密。GB35114便（biàn）是此（cǐ）类（lèi）方式的标准化（huà）落地，未（wèi）来也将会（huì）有更多（duō）音视频密码应用的标准指导相关（guān）工作（zuò）。二（èr）是（shì）物联网密码应用，我们可以（yǐ）建立覆盖物联网“端-边-网-云”的密码应用体系。端，指的是物（wù）联网终端侧部署安全芯片/软件密码模（mó）块等（děng）密码产品（pǐn），实（shí）现终端安全防护；边（biān），指的是提供（gòng）安全边缘网关，安（ān）全接入（rù）物联网终端（duān）；网，指的是基于密码技（jì）术保（bǎo）障物联网通信安全；云，指的是物联网平台具备密码与（yǔ）安全能力（lì）。

08  密（mì）码应用推进思考

密（mì）码事业的政策性较强，我们密码工作者要时（shí）刻关注国家政策法规，尤其是中央（yāng）、地方（fāng）、大型机关单位的商密规划，这（zhè）将带来大量（liàng）的密码（mǎ）泛在化建设项目。另外，随着等保2.0、密评工作的广泛、有序（xù）开展，更多的细分领域将会（huì）开展密（mì）码工作，密码市场规模迅速（sù）扩大。我们在专注既有业务领域的同时，应（yīng）不断开拓（tuò）新的行业（yè）用户和业务领域，拓展密码应用的（de）范围。

密码应用和改（gǎi）造需要（yào）达到（dào）什么程度？是否（fǒu）密码措施越多越好？如何让更多的行业用户、企业单位（wèi）放下对密码或安全的固有成（chéng）见，愿意用密码？这（zhè）些问题都值（zhí）得（dé）我们思考。我们（men）在做密码应用和推广的时候（hòu），一定要结合行业政策与应用实际，按需地开展密码应用，密码应用的强度不能单一（yī）量化，做到（dào）合（hé）规的同时，保证相当的安（ān）全性。

09  从（cóng）业者（zhě）建议

在（zài）密码（mǎ）泛在化（huà）的背景（jǐng）环（huán）境下，我们从业者需要（yào）哪（nǎ）些方面（miàn）的能力素养？我认为，至少（shǎo）需要三（sān）方面的能（néng）力。第一（yī），完（wán）备（bèi）的密码知识。密码技术（shù）不断发展，我们需要（yào）广泛（fàn）涉猎密码知识，同（tóng）时也（yě）应当潜心钻研一些重点的密（mì）码知识，尤其是我们（men）工作中可能用到的密码技（jì）术。第（dì）二，全栈的密码（mǎ）设计能力。包括密码算法、产品化设计、接口对接、协（xié）议（yì）优化等等，只有（yǒu）具备了（le）全（quán）栈（zhàn）的设计能力，才能应对复杂多变的情况，准确地对（duì）密码方案进行优化和改造。第三，快速理解业务应用的能力。密码和业务不能是“两（liǎng）张皮”，密码的设（shè）计必须基于业务实（shí）际，密码工作者应当理解业务流程并梳理出安全痛点及密码应（yīng）用需求，才能做好密码建设（shè）的实际工作。

1月15日，人社部（bù）发文拟（nǐ）新增“密码技术应用（yòng）员”职（zhí）业，并（bìng）将其定（dìng）义（yì）为运（yùn）用密码技术，从事信息系统安（ān）全密码保障的（de）架构设计（jì）、系统集成（chéng）、检测评估、运维管理、密码咨询等相关密码（mǎ）服务的人员。“密码技术应用员”作（zuò）为密码泛在化的一个专门职（zhí）业被正式提出，这无疑会促（cù）进密码泛在化的（de）应（yīng）用与推广工作（zuò）。同时（shí），作为密码从业者（zhě）的（de）我们，也应当参照“密码技术（shù）应用员”的要求积极（jí）提升个人能力。

10  密码泛在化的未来

传统信（xìn）息行业（yè）、新技术业务领域快（kuài）速发展并交相辉映（yìng），信息世（shì）界正朝着（zhe）相互渗透、多元发展的方（fāng）向演进。我（wǒ）们有理由（yóu）相信，未（wèi）来，密码就是信息世界不可或缺的（de）组（zǔ）件，密码（mǎ）也将（jiāng）作为（wéi）泛化信息世界的安全基石，有力保障信息世界的安（ān）全持续发展。密码人（rén），大（dà）有（yǒu）可为。