01  宏观政策为（wéi）密码泛在（zài）化保驾护航（háng）

密（mì）码是保（bǎo）障（zhàng）网络空间安全（quán）的核心技（jì）术和基础支撑。过（guò）去，密码主要（yào）用来保护重要IT系统（tǒng）的（de）通信与存（cún）储安全问题，普通老百姓很少和（hé）它打交道。如（rú）今，密码已经应用到各行各（gè）业，影响我们生活的方方面面。密码产品也从传统（tǒng）的密码机、密钥管理（lǐ）系统等整机形态，衍生发展为安全（quán）芯片、软件（jiàn）密（mì）码模块、IP核、密码板卡（kǎ）等不同形态，密码和IT技术呈现融合（hé）发展的趋（qū）势，密（mì）码的服务化更（gèng）是打破了密（mì）码产（chǎn）品的形（xíng）态限制。密码应用已经（jīng）呈现出多元（yuán）化、融合化、泛在化等新（xīn）特点（diǎn）。

近年来，我国不断健全密码（mǎ）相关（guān）的政策（cè）法规，先后制（zhì）定（dìng）和（hé）实施了网络安全法、密码法、36号文（wén）、GM/T0054、等保（bǎo） 2.0标准等系（xì）列（liè）法规政策标准，从（cóng）顶层构（gòu）建了（le）密码与网信事业的宏伟蓝图（tú）。在宏观（guān）政策（cè）的指引下，我国密码事业（yè）经历了从（cóng）无到有、从初创到规范（fàn）完善的（de）阶段，取（qǔ）得了跨越（yuè）式的发（fā）展，这也为全面推进密码工作和密码泛（fàn）在（zài）化应（yīng）用奠（diàn）定（dìng）了坚实有力的（de）基础（chǔ）。

02  安全风险呈现泛在化趋势（shì）

物联网、云（yún）计算、5G、大数据、人工智能等（děng）创新技术正在加速驱动物理世界（jiè）与信息世界的融合。我们在享受高新技术带来的信息红利的同时，也无形中打破了固有的网络边界，加剧了信息泛（fàn）在化的发展趋势。物理世界与信息空（kōng）间的泛在融合，也将物理（lǐ）空（kōng）间的（de）违法破（pò）坏行为引入虚拟世界（jiè），网络空间（jiān）变得更加复杂。

信息技（jì）术的融合（hé），既加速（sù）了信息化进程，也增大了网络（luò）攻击的可能性，网络安（ān）全问题异常严峻。近年来网络安全事件层出（chū）不穷（qióng）、形式各异，涉及到物联（lián）网（wǎng）安全、数据安全、虚拟化安全等方方面面。比如（rú），在物（wù）联网领（lǐng）域（yù），视频（pín）监控弱密（mì）码、偷拍、DDoS攻击等事件屡见不鲜；大量（liàng）智能门锁存在通信监听、门卡复制、APP攻（gōng）击（jī）等安（ān）全风险；传感（gǎn）器网络等无人值守设备分布（bù）广泛，被（bèi）攻破（pò）而不（bú）被发现的事件（jiàn）也时常被（bèi）事（shì）后（hòu）报道。随着信息技术的发展，网络安（ān）全风险加速扩散，网络（luò）安全问题已（yǐ）然泛化。

03  密码技（jì）术的泛在化应用思路

面对快速发展的（de）信息技术及泛在多变的（de）网络安全（quán）需求，需要对（duì）网络空间进行体（tǐ）系性（xìng）的安（ān）全防（fáng）护。密码是网络信（xìn）息安全的核心技术，是整个网络信任体系的基础支撑，依托密码技术在认证、加密等（děng）方面的重要（yào）作用，构建以密码为（wéi）基（jī）石（shí）的网络安全体系，能（néng）够有力解决网络与信息安全问题。我们在（zài）开（kāi）展具体密码工作时，需注（zhù）意密（mì）码技（jì）术（shù）与业务应用的（de）结合。在不同的业务场景中，应当采（cǎi）用不同的密（mì）码技术路线或（huò）者组合。总的来说，包括经典（diǎn）密码技术、创新密码技术、前沿密码技术三（sān）个方面。

经典密码（mǎ）技术指的是（shì）常见（jiàn）的对（duì）称密码、PKI/CA公（gōng）钥密码及标识（shí）密码（mǎ）技（jì）术。这类密（mì）码技术属于基石性技术，已经被（bèi）广（guǎng）泛应用，能够解决传统信息系统安全认证与数据（jù）加密等问题（tí）。

我们重点想提一些创新密码应用的工作思路（lù）。我们在实践过（guò）程中，发现诸如工业控（kòng）制、移动办公、智（zhì）能（néng）家居等（děng）新兴场景都存在密码应用（yòng）需（xū）求，然而受（shòu）限于具体场景和（hé）环境（jìng），传统（tǒng）的密（mì）码技（jì）术往往无法（fǎ）直（zhí）接应用。此时（shí），我们就需要转变思路，对密（mì）码应用的方法进行创新（xīn）和（hé）调（diào）整。第一（yī）种思（sī）路是“融”，即（jí）密码融合（hé）设计，在设计之初将密（mì）码（mǎ）流（liú）程融入（rù）到业（yè）务应用及通信协议（yì）中（zhōng），避免后期（qī）堆叠密码（mǎ）设备带来的性能开销、系统损害等影（yǐng）响。第（dì）二种思路是（shì）“变”，我们（men）对传统（tǒng）密码技术（shù）进行场（chǎng）景化（huà）的适配（pèi）改（gǎi）造（zào），以应对差异（yì）化的密码需（xū）求（qiú），如轻量化密码（mǎ）协议、短证书（shū）等。第三种（zhǒng）思路（lù）是“合（hé）”，我们可以对加密（mì）、认证、授权、安全管理等功能进行整合，以能力（lì）打包的形式（shì）对接应（yīng）用系（xì）统，提供“一揽子”的密码解（jiě）决方案（àn），减轻应（yīng）用的密码集成难（nán）度，快（kuài）速（sù）实现密码赋能。

密码技术在不断发展，学术界对（duì）零（líng）信任、区（qū）块链（liàn）、安（ān）全多方计算、同态加密、格密码、抗量子密（mì）码等前沿密码技术进行了广泛（fàn）的研究，部分成果已经应用到信（xìn）息系（xì）统中（zhōng），相信未来前沿密码（mǎ）技（jì）术会得到更加广泛和全面的（de）应用。

04  终端侧的（de）密码产（chǎn）品（pǐn）部署

终端种类众多、形（xíng）态各异。不（bú）同种（zhǒng）类的（de）终端在价（jià）格成本（běn）、网络数据（jù）能力、软硬（yìng）件（jiàn）架构等方面存在（zài）着巨大区别，终端（duān）侧（cè）的（de）密码产品部署需求也（yě）存在着差（chà）异性，需要（yào）因地制宜。

终端侧的密码产品（pǐn）部署主要涵盖三种形式：安装软件密码模块（kuài）、内嵌硬件密码模块以及外接安全（quán）网关（guān）。对于PC、手机、高性能嵌入式设备（bèi），我们可以部署软（ruǎn）件密码（mǎ）模（mó）块（kuài），借助（zhù）CPU的（de）强大运算能力（lì），实现高（gāo）性能的（de）密码运算，无需额外（wài）增加（jiā）硬（yìng）件（jiàn）成本（běn）。面向智能门锁、车载控制器等安全性较高的（de）终（zhōng）端，我们可以采用设备内嵌密码硬件的方式，包括板载安全（quán）芯片、内接（jiē）密码模块、使（shǐ）用基于密码的安全通信模组等，提供硬件级（jí）安全防护能力，保障（zhàng）设（shè）备安全。针（zhēn）对微型传（chuán）感器、大型进口设备、老（lǎo）旧IT设备等难以施行密码改造的场景（jǐng），我们（men）可以接入安全网关（guān），通过门卫式安全防护（hù），保证设备的接入（rù）安全与通信（xìn）安全问题。

05  密码的服务化之道

近年来，越来越多的应用迁移上云。我（wǒ）们（men）如果要分别对不同的信息系统进行密码应用（yòng），工（gōng）作（zuò）量巨大，密码（mǎ）资（zī）源（yuán）浪（làng）费严重（chóng）。此时，我们可以借（jiè）助云化、虚拟化的思想（xiǎng）将密（mì）码能力（lì）服务化，按需提供密码（mǎ）资源（yuán），不（bú）同应（yīng）用系统只需通过（guò）服务调用的方式即可安全（quán）地（dì）获取密码能力，从而（ér）快速实现密码应用（yòng）改造。

一个可行的实践路线是构（gòu）建密码服务平台。我所在的卫士通公司作为综（zōng）合实力较强的（de）密码（mǎ）企业，正在从（cóng）传统密码产品提供商向平台型安全服务提（tí）供商转型（xíng），密码服务平台便是一个重要的（de）抓手。密码服务平台不直接提供（gòng）密码产品，面向应用提供场景化的密码（mǎ）服务，提升合规的密（mì）码应用效率，降（jiàng）低应用与密码（mǎ）对接的难（nán）度。我们看到，越来（lái）越多的政务云正在（zài）采用密码（mǎ）服务平台（tái），实现云上应用的快速对接（jiē）。可（kě）以预见，密（mì）码服务是促进密码泛在化落（luò）地的重要且有效的技术路径。

06  基础软硬件的内（nèi）生安全机制

长久以来，计（jì）算机（jī）系统基础软硬件的安全及（jí）密码措施都（dōu）是各自（zì）为政，较为独立。如果要做一个安（ān）全浏览器，我们（men）可能会在（zài）浏览（lǎn）器内部集成（chéng）OpenSSL算法库；如果要做（zuò）一个加（jiā）密（mì）数据库，我们可（kě）能为数据（jù）库（kù）配（pèi）用（yòng）密码硬件（jiàn）；如果要做（zuò）安全启动，我们需要为计算（suàn）机配置TPCM、TCM等可信计算芯片。计（jì）算机系统（tǒng）各个软硬件之间（jiān）的密码能（néng）力缺乏协同，烟囱式存（cún）在。另外，各类软硬件厂商自行建设密码（mǎ），也存在着合规性的（de）问题。

我（wǒ）们在构建自主信息系（xì）统（tǒng）时，可以从系统体系的角度出发，使用（yòng）一套（tào）密码方案，贯通计算（suàn）机基础软硬（yìng）件的各（gè）个环节，实现密码运算和可信计算。基础（chǔ）此种思想，如卫士通与龙芯联合推（tuī）出的内嵌安全SE的国产处（chù）理器（qì），打通了CPU、Bioses、操作系统（tǒng）、中间件、数据库、浏览器等各环（huán）节，构建了内生安全的基础软硬（yìng）件密码应用生态。

07  典型案例（lì）

分享两（liǎng）个场景（jǐng）化案例。一是视（shì）频融合通信，包含视频监（jiān）控、直播（bō）、会商等多种业务模式。我们可以采用端到端的（de）安全方式对视频终（zhōng）端、服务端进行密码改造，对大带宽、高清、多路（lù）、实时（shí）音视频进行（háng）加解（jiě）密。GB35114便（biàn）是此类方式的标准化落地，未（wèi）来也将会有更多音视频（pín）密（mì）码（mǎ）应用的标准指（zhǐ）导相关工作。二是物联网密（mì）码应用，我们可以建立覆盖（gài）物联网（wǎng）“端（duān）-边-网-云”的密码应用体系。端（duān），指的是物（wù）联网终（zhōng）端侧（cè）部署安（ān）全芯片/软件密码模（mó）块等密码产（chǎn）品，实现终端安（ān）全防（fáng）护；边，指的是提供安全边缘网关，安全接入（rù）物联网（wǎng）终（zhōng）端；网，指的是（shì）基（jī）于（yú）密码技术（shù）保（bǎo）障（zhàng）物联网通信安全；云，指的是物联网（wǎng）平台具（jù）备密码与安全能力。

08  密（mì）码应用推进思考

密码事业（yè）的（de）政策性（xìng）较强，我们密码（mǎ）工作（zuò）者（zhě）要时刻（kè）关注国家政策法规，尤其是中央、地方、大型机关单位的商密规（guī）划（huá），这将带来（lái）大（dà）量的密（mì）码（mǎ）泛在化建设（shè）项目。另外，随着等保2.0、密（mì）评工（gōng）作的（de）广泛、有序（xù）开展，更（gèng）多的细分领域将会开展密码工作（zuò），密码市场（chǎng）规模迅速扩大。我们在专注（zhù）既有业务领域的同时，应不断开拓新的行业用（yòng）户（hù）和（hé）业务领域，拓展密码应（yīng）用的范围。

密（mì）码应用和改造需要达（dá）到什么程（chéng）度？是否密码措施越多越好？如（rú）何让更多（duō）的行（háng）业用户（hù）、企业单位放下对密码或安全（quán）的固有成见，愿（yuàn）意用密码（mǎ）？这些问题都值得我们思考。我们在做密码应用和推广的时候（hòu），一定要（yào）结合行业（yè）政（zhèng）策与（yǔ）应（yīng）用实际（jì），按需地开展密码应用，密（mì）码应用（yòng）的强度（dù）不能单一（yī）量化，做到合规的同时，保证（zhèng）相当的安全性。

09  从业者建（jiàn）议

在（zài）密码泛在（zài）化的背景环（huán）境（jìng）下，我们（men）从业者需要哪（nǎ）些方面的能力素养？我认（rèn）为，至（zhì）少需要三方面的能力。第一，完备的密码知识。密码技术不断发展，我们需要广泛涉猎密码（mǎ）知识，同时（shí）也应当（dāng）潜心（xīn）钻研一些重（chóng）点的密码知识，尤其是我们工作中（zhōng）可能（néng）用到的（de）密码技术。第二（èr），全栈的密码（mǎ）设计能力。包括（kuò）密码算法、产品（pǐn）化设计、接口对（duì）接、协（xié）议优化等（děng）等，只有（yǒu）具备了全栈（zhàn）的设（shè）计（jì）能（néng）力，才能应对（duì）复杂多变的情（qíng）况，准确（què）地对（duì）密码方案进行优化和改造。第三，快速理（lǐ）解业务应用的能力。密（mì）码和业务不能是“两（liǎng）张皮”，密码的（de）设计必须（xū）基于（yú）业务（wù）实际，密码工（gōng）作者应当理（lǐ）解业务流程并梳理出安全痛点（diǎn）及密码应用需求，才能做好密码建设（shè）的实际（jì）工作（zuò）。

1月15日，人社部发文拟新增“密码技术应用员”职业，并将其（qí）定（dìng）义为运用密码技（jì）术，从事信息（xī）系统（tǒng）安全密码保障的架构设计、系统集成（chéng）、检测（cè）评（píng）估、运（yùn）维管理、密码咨（zī）询等（děng）相（xiàng）关密码服务的人（rén）员。“密码（mǎ）技术应用员”作（zuò）为密码泛在化的一个专门职业被（bèi）正式提出，这无疑会促（cù）进密码泛（fàn）在化的应（yīng）用与推（tuī）广工作。同时，作（zuò）为密（mì）码从业者的我们（men），也应当参照（zhào）“密码技术应用员”的要求积极（jí）提升个人能力。

10  密码泛在化的未来

传统信息行业、新技术业（yè）务（wù）领域快速发展并交相辉映，信息（xī）世界正朝（cháo）着相互渗透、多元发（fā）展的（de）方向演进。我们有理由相信，未来，密码就是（shì）信息世（shì）界不可（kě）或缺的组（zǔ）件，密（mì）码（mǎ）也将作为泛（fàn）化信息世界的安全基石，有（yǒu）力保障信息世界的安全持（chí）续发展。密码人，大有可为。