01  宏观（guān）政策（cè）为密码泛在化保驾护航（háng）

密（mì）码是保障网（wǎng）络（luò）空间安全的（de）核（hé）心技（jì）术和基础支（zhī）撑。过（guò）去，密码主要用来保护重要IT系统的通信与存（cún）储（chǔ）安全问题，普通老（lǎo）百（bǎi）姓很（hěn）少和（hé）它打交道。如今（jīn），密码已（yǐ）经应用（yòng）到各行各业，影响我们（men）生活（huó）的（de）方方（fāng）面面。密码产品也从（cóng）传统的密码机、密钥（yào）管理系（xì）统等整机形态，衍生发展为安全芯片、软件密码（mǎ）模块、IP核、密码板（bǎn）卡（kǎ）等不同形（xíng）态，密（mì）码和IT技术呈现融（róng）合发展的趋势，密码的（de）服务化更是打破了密码产品的形态限制。密码应用已经呈现出多元化、融合（hé）化、泛在化等新（xīn）特点（diǎn）。

近（jìn）年（nián）来（lái），我国（guó）不（bú）断健全密码相关的政策（cè）法规（guī），先后制定和实施了网络安（ān）全法、密码法、36号文、GM/T0054、等（děng）保 2.0标（biāo）准等（děng）系列法规政策（cè）标准，从顶层构建了密码与网信（xìn）事（shì）业的宏伟蓝（lán）图。在宏观政策的指引（yǐn）下（xià），我国（guó）密码（mǎ）事业经历了从无到（dào）有、从（cóng）初创到规范完善的阶段，取得了跨越式的发展，这也为全面推进密码工作（zuò）和密码泛在化应（yīng）用奠（diàn）定了坚实有力（lì）的（de）基础。

02  安（ān）全风险呈现泛在化趋势

物联网、云计算、5G、大数据、人工智能等创新技术（shù）正在加速驱动物理世界与信息世（shì）界的（de）融合。我们在享受高新技术带来的信息红（hóng）利的同时，也无（wú）形（xíng）中打破（pò）了固有的网络边界，加剧（jù）了（le）信息泛在化的发展趋势。物理（lǐ）世界与信息空间（jiān）的（de）泛在融合，也将物（wù）理空（kōng）间的违法（fǎ）破坏行为引（yǐn）入虚（xū）拟（nǐ）世界，网络空间变得更（gèng）加复杂。

信息技术的（de）融合，既加速了信息化进程（chéng），也增大了网络攻击的可能性，网络安全问题（tí）异常（cháng）严峻。近年来网络安全事件层出不（bú）穷（qióng）、形式（shì）各异，涉及到物联网安全（quán）、数据安全、虚（xū）拟化安（ān）全（quán）等（děng）方（fāng）方（fāng）面面。比（bǐ）如，在（zài）物联网领域，视频监控弱密码、偷（tōu）拍、DDoS攻（gōng）击等事（shì）件屡（lǚ）见不鲜；大（dà）量智（zhì）能（néng）门锁存（cún）在通信监听、门卡复制、APP攻击等安（ān）全风险；传感（gǎn）器网络（luò）等（děng）无（wú）人值守设备（bèi）分布广泛，被攻破而不被发现的（de）事件也时常（cháng）被事后（hòu）报道。随着信息技术的发展，网络安全风险加（jiā）速扩散，网络安（ān）全问题已然泛化。

03  密（mì）码（mǎ）技术的泛在（zài）化应用思路（lù）

面对快速（sù）发展的信息（xī）技术及泛（fàn）在多（duō）变的网（wǎng）络安全需（xū）求，需要对网络（luò）空间进行体系性的安全（quán）防护。密码是网络信息（xī）安全的核（hé）心技术（shù），是整个网络信任体系的基础支（zhī）撑，依（yī）托密码技术在认证（zhèng）、加（jiā）密等方面的重要作用，构建以密码为基（jī）石的网络安（ān）全体（tǐ）系，能够有力解决网（wǎng）络与信息安全问题。我（wǒ）们在开展具体（tǐ）密码工作时，需（xū）注意密码技（jì）术与业务应（yīng）用的结合。在不（bú）同的业务场景中，应当采（cǎi）用不同的密码技（jì）术路线或者（zhě）组合。总的来说，包括（kuò）经典（diǎn）密码技术（shù）、创新密码技术、前沿密码技（jì）术三个方（fāng）面。

经典密码（mǎ）技术指的是常（cháng）见的对称密码、PKI/CA公钥密码及标（biāo）识密码（mǎ）技（jì）术（shù）。这类密码技术属（shǔ）于基石性技术，已经被广泛（fàn）应用，能够（gòu）解决传统（tǒng）信息系统安（ān）全（quán）认证与数据加密等问题。

我们重点想（xiǎng）提一些创新（xīn）密码应用的工作思路。我们（men）在实践（jiàn）过程中（zhōng），发现诸如工业控制、移动（dòng）办（bàn）公（gōng）、智能家居等新（xīn）兴场景都（dōu）存在密码应用需求，然（rán）而（ér）受限于具体场景和（hé）环境（jìng），传统的密（mì）码技（jì）术往往无法直（zhí）接应用。此时，我们就需要转变思路，对密（mì）码应用（yòng）的方法进行创新和（hé）调（diào）整。第一种（zhǒng）思路是（shì）“融”，即（jí）密码融合设计，在设计之初将密码流程融入（rù）到业务应用及（jí）通信协议中，避免后（hòu）期堆叠（dié）密码设备带来的性能开（kāi）销、系统损害（hài）等影响。第二种思路是“变”，我们对传统密码技术进行场景化的适配（pèi）改（gǎi）造，以应对差异（yì）化的密码需（xū）求，如轻量化（huà）密（mì）码协议（yì）、短证书等。第三种（zhǒng）思路是“合”，我们可以对加密、认证、授权、安全管理等（děng）功（gōng）能进行整合，以（yǐ）能力（lì）打包的形式（shì）对接应用系统，提供“一（yī）揽子”的密码解决方案，减轻应（yīng）用的密码集成难度，快（kuài）速实现密码赋能。

密码技（jì）术在不（bú）断发展，学术界对零（líng）信任、区块链、安全多方计算、同态加（jiā）密、格密码、抗量子（zǐ）密码等前（qián）沿密码技术进（jìn）行（háng）了广泛（fàn）的研究，部分（fèn）成果已经（jīng）应用到信息（xī）系统（tǒng）中，相信未来前沿密（mì）码技术会得到更加广泛和（hé）全面的应用。

04  终端侧的密码（mǎ）产（chǎn）品（pǐn）部（bù）署

终端种类众多（duō）、形态各（gè）异。不同种（zhǒng）类的终端在价格成本、网络数据能力、软硬件（jiàn）架构等（děng）方面存（cún）在着巨大（dà）区别，终端（duān）侧（cè）的密码产品部署（shǔ）需求也存在（zài）着差异性，需要（yào）因地制宜。

终端侧的密码产品部署（shǔ）主要涵盖三（sān）种形式：安（ān）装软件密码模块、内嵌硬（yìng）件密码模块（kuài）以及外接安全网关。对于PC、手机、高性能嵌入（rù）式（shì）设备，我们可以部署软件密码模块（kuài），借（jiè）助CPU的强大运（yùn）算能力，实现高性能的密码运算，无需额外（wài）增加硬件成（chéng）本。面向（xiàng）智能（néng）门（mén）锁、车载控制器等（děng）安全性较高（gāo）的终端，我们（men）可以采用设备内（nèi）嵌密（mì）码硬（yìng）件的方式（shì），包括板（bǎn）载安全芯片、内接密码模块（kuài）、使用基（jī）于密码的安（ān）全通信模（mó）组等（děng），提供硬件级安全防护能力，保障设备安全（quán）。针对微型传感器、大型进口（kǒu）设（shè）备、老旧IT设备等难以施行（háng）密码改造（zào）的场景，我们可以接（jiē）入安全网关，通（tōng）过门卫式安（ān）全防护（hù），保证设备的接入安全与通信（xìn）安全（quán）问题。

05  密（mì）码的服（fú）务化之道

近年来，越来越多的应用迁移上云（yún）。我们如果要（yào）分（fèn）别（bié）对不同的信息系（xì）统进行密码应（yīng）用，工作量巨大，密码（mǎ）资（zī）源浪费严（yán）重。此时，我们（men）可以借助云化、虚拟化的思想将密（mì）码能力服务化，按（àn）需提供密（mì）码资源（yuán），不同应用系（xì）统只需通过服务调用（yòng）的方式即可安全（quán）地获取密码能力（lì），从而快速实现密码应用改造。

一个可（kě）行的实（shí）践路线是构建（jiàn）密码服务平台。我所在的卫士通公司作为综合实力较强的密码企（qǐ）业，正（zhèng）在从传统（tǒng）密（mì）码产品提供商向平台型安全服务提供（gòng）商转型，密码（mǎ）服务平台（tái）便是（shì）一个（gè）重要的抓手。密（mì）码服务平台（tái）不直接提供密（mì）码（mǎ）产品，面向应（yīng）用提供场景化的密（mì）码服务，提升合（hé）规的（de）密码（mǎ）应用效率，降低（dī）应用与密码对接的难度。我们看到，越来越（yuè）多（duō）的政务云（yún）正在采（cǎi）用密码（mǎ）服务平台，实现云上应用的快速对（duì）接（jiē）。可以预见，密码服务是促进密（mì）码（mǎ）泛在化落地的重（chóng）要且（qiě）有效的（de）技术路径。

06  基（jī）础软硬件（jiàn）的内生安（ān）全机制

长久以来，计算机系（xì）统基础软硬件的安全及密码措施都是各自为政，较为独立。如果要做一个安全浏览器，我（wǒ）们可能（néng）会在浏览（lǎn）器内部（bù）集成（chéng）OpenSSL算法库；如果要做（zuò）一个加密数据库，我们可能为数据库配用密码（mǎ）硬件；如果要做安全启动，我们（men）需要为计算机（jī）配置TPCM、TCM等可信计（jì）算芯片。计算机系统（tǒng）各个软（ruǎn）硬件之（zhī）间的密码能力缺乏（fá）协（xié）同（tóng），烟囱式存在（zài）。另外，各类（lèi）软硬件厂商自行建设密码，也存在着（zhe）合规性的问题。

我们在构建自主信息系统时，可以从系统体系（xì）的（de）角（jiǎo）度出发，使用一套密码方案，贯通计（jì）算（suàn）机基（jī）础软硬件的各个环节，实（shí）现密码运算（suàn）和可（kě）信计算。基（jī）础（chǔ）此种思想，如卫士通（tōng）与龙芯联（lián）合（hé）推出（chū）的内嵌安全SE的国产处理（lǐ）器，打通了（le）CPU、Bioses、操作系统、中间件、数据库、浏览器（qì）等各环节，构建了内（nèi）生安（ān）全的基础软硬件密码应用生（shēng）态。

07  典型案例

分享两个场景化案例。一是视（shì）频融合通（tōng）信，包含（hán）视频（pín）监控、直播、会商等（děng）多种业务模式。我（wǒ）们可以采用端到（dào）端的安全方式对视频终端、服务（wù）端进行密码改造，对（duì）大（dà）带宽、高（gāo）清、多路（lù）、实时音视频进行加解密。GB35114便是此类方式（shì）的标（biāo）准化落地，未来也将会有更多音（yīn）视频密码应用（yòng）的标准指导相（xiàng）关工作。二（èr）是（shì）物联网（wǎng）密码应用，我们可以建立覆盖（gài）物联网“端-边（biān）-网（wǎng）-云”的密码应用（yòng）体系。端，指的是（shì）物（wù）联（lián）网（wǎng）终端侧部署（shǔ）安（ān）全芯（xīn）片/软件密（mì）码模块等（děng）密码产品，实现（xiàn）终端（duān）安（ān）全（quán）防护；边，指的是提（tí）供安全边（biān）缘网关，安全接入（rù）物联网终端；网，指的是基于密码（mǎ）技术（shù）保障物（wù）联网（wǎng）通信（xìn）安全；云，指（zhǐ）的是物联（lián）网平台具（jù）备密（mì）码与安（ān）全能力。

08  密码应用推进（jìn）思考（kǎo）

密码事（shì）业（yè）的政策性较强，我们（men）密码工作者要时刻关注国家（jiā）政策（cè）法规，尤其是中央、地方、大型（xíng）机关单位（wèi）的商密规（guī）划，这（zhè）将带来大量的密码泛在化建设项目。另（lìng）外，随着等保（bǎo）2.0、密评工作的广泛、有序（xù）开（kāi）展，更多（duō）的细分领域将会开展密码工作（zuò），密码市场规模迅速扩大。我们在专注既（jì）有业务（wù）领域的同（tóng）时，应不（bú）断（duàn）开拓新的行业（yè）用户和业务（wù）领域，拓展密码应用的范围。

密（mì）码应用和改造需（xū）要达到什么程度？是否（fǒu）密码措施（shī）越多越好？如何让更多的（de）行（háng）业用户、企业（yè）单（dān）位（wèi）放下对密码或安全的固（gù）有成（chéng）见，愿意用密码？这些问（wèn）题都值（zhí）得（dé）我（wǒ）们（men）思考。我（wǒ）们（men）在做（zuò）密码应（yīng）用和推广的时候，一定要结合行业政策与应用实际，按需地开展密（mì）码应用，密码应（yīng）用的强度不（bú）能单一量化，做到合规（guī）的同时（shí），保证相当的安全性。

09  从业者建议

在密（mì）码泛在（zài）化（huà）的背景环境（jìng）下，我们从（cóng）业者需要哪些方面的能（néng）力素养？我认为（wéi），至少（shǎo）需要三方面的能力。第一，完备的（de）密（mì）码知识。密码技术不断发展，我们需要广泛（fàn）涉猎密（mì）码知识，同时也应当潜心钻研一些重点的密码（mǎ）知识，尤其是我（wǒ）们（men）工（gōng）作中可能用到的密码（mǎ）技术。第二，全栈的密码设计（jì）能力。包括密码算（suàn）法、产品（pǐn）化设计、接口对接（jiē）、协议优（yōu）化等等（děng），只有具备了全栈的（de）设（shè）计（jì）能力，才能应对复杂多变的情况，准确地对密码方案进行优（yōu）化和改造。第（dì）三，快速理解业务（wù）应用的能力。密（mì）码和业务不能是“两张皮”，密码（mǎ）的设计必须基于业务实际（jì），密码工（gōng）作者应当（dāng）理解业（yè）务流（liú）程并梳理出安全痛点及密码应用（yòng）需（xū）求，才能（néng）做好密码建设的（de）实际工作。

1月（yuè）15日，人社部发（fā）文拟新增“密码技术应用员”职业（yè），并将其定（dìng）义为运用密码技术，从（cóng）事信息（xī）系统安全密（mì）码保障（zhàng）的架构设（shè）计、系统集成、检测（cè）评（píng）估、运维管理、密码咨询等相（xiàng）关密码服务的人员（yuán）。“密码技术应用（yòng）员”作为密（mì）码泛在化（huà）的一个专门职业被正式提出，这无疑会促（cù）进密码（mǎ）泛（fàn）在化（huà）的应用与推广工作。同时，作为（wéi）密码从业者的（de）我（wǒ）们，也应当参照“密码技（jì）术应用员”的（de）要求积极提（tí）升个（gè）人（rén）能力。

10  密（mì）码泛在化的（de）未来

传（chuán）统（tǒng）信息（xī）行业、新技术业务领域（yù）快（kuài）速发展并交相辉映（yìng），信息（xī）世界（jiè）正（zhèng）朝着相互渗透（tòu）、多（duō）元发展的方向演进（jìn）。我们（men）有（yǒu）理由（yóu）相信，未来，密码（mǎ）就是（shì）信息世界不可或缺的组件（jiàn），密码也将作为泛化信息世（shì）界的安全基石（shí），有力保障信息世界（jiè）的安（ān）全（quán）持续发展。密码（mǎ）人，大有可为。