01  宏观政（zhèng）策为密码泛在化保（bǎo）驾护航

密码（mǎ）是保障（zhàng）网络空间安全的（de）核心技术和（hé）基础支（zhī）撑。过去（qù），密码主要（yào）用来保护重要IT系统的通信与存储安全问题，普通（tōng）老百姓很少和它打交道。如今，密码已（yǐ）经（jīng）应用到各行（háng）各业，影响我们（men）生活的方方面面。密码产（chǎn）品也从传统的密码机、密钥管（guǎn）理系（xì）统等整（zhěng）机形态（tài），衍生发展为安全（quán）芯片、软件密码模块、IP核、密码板卡等不同形态，密码和IT技术呈现融（róng）合发展的（de）趋势，密码的服（fú）务化更（gèng）是（shì）打破了（le）密（mì）码产品（pǐn）的形态（tài）限制（zhì）。密码应用已经呈现出多元化、融合（hé）化、泛在化等新特点。

近年来（lái），我国不断（duàn）健全密码相（xiàng）关的政（zhèng）策法规，先后制定（dìng）和实施了（le）网络安全法、密码法、36号文、GM/T0054、等保 2.0标准等系（xì）列（liè）法规政策标准，从顶层构建了密码与网信事（shì）业的（de）宏伟蓝图。在宏观政策（cè）的指引下（xià），我国（guó）密码事业经（jīng）历了（le）从无到有、从初创到规范完善的阶（jiē）段，取得（dé）了跨（kuà）越式的发（fā）展，这也为全（quán）面推进密（mì）码工作和密码泛在化应用奠定（dìng）了坚（jiān）实有力的基础。

02  安全风险呈（chéng）现（xiàn）泛在化趋势

物联网、云计算（suàn）、5G、大数据、人工智（zhì）能等创新技术正在加速驱动物理世（shì）界（jiè）与信息世界（jiè）的（de）融合。我们在享受高新（xīn）技（jì）术（shù）带（dài）来的信息红利的同时，也无（wú）形中打破了固（gù）有的网络边界（jiè），加剧了信息泛（fàn）在化的发展（zhǎn）趋势。物理世界与信息空（kōng）间的泛在融合（hé），也将物理空间的（de）违法破坏行为（wéi）引（yǐn）入虚拟世界，网络空间变得更加（jiā）复杂（zá）。

信息技术的融合，既加速了（le）信息化（huà）进程（chéng），也（yě）增大了网络攻击的可（kě）能性（xìng），网络安全问题异常严（yán）峻。近年来（lái）网络安全事件（jiàn）层出不穷、形式各异（yì），涉及到物（wù）联网安全、数据安全、虚拟化安全等（děng）方方面面。比如（rú），在物联网领域，视频监控（kòng）弱（ruò）密码、偷拍、DDoS攻（gōng）击等事件屡见不鲜；大（dà）量（liàng）智（zhì）能（néng）门锁存在通信（xìn）监听、门卡复制、APP攻击（jī）等安全风险；传感器（qì）网络等（děng）无人值守（shǒu）设（shè）备分布广泛，被攻破而不（bú）被发现的事件也时（shí）常被事后报道。随着（zhe）信（xìn）息技术的发展，网络安全（quán）风险加速（sù）扩散，网络安全（quán）问题已然泛（fàn）化。

03  密码技术的泛（fàn）在化应（yīng）用思路

面对（duì）快速发展的信息（xī）技术及泛在多变的网络安全需求，需要对（duì）网络（luò）空间进行体系性的安全防护。密（mì）码是网（wǎng）络信息安全（quán）的核（hé）心技术，是整个网络信任体系的（de）基础支撑，依托密码（mǎ）技术在认证、加密等方面的重要（yào）作用，构建（jiàn）以（yǐ）密码为基石（shí）的（de）网络安全体（tǐ）系，能够有力解决网络与信息（xī）安全问题。我们在开展具体密码（mǎ）工作（zuò）时（shí），需注意密码技术与业务应（yīng）用的结合。在（zài）不同的（de）业（yè）务场景（jǐng）中，应（yīng）当采用（yòng）不同的密码技术（shù）路线或者组合（hé）。总的来说，包（bāo）括经典密码技术、创新密码（mǎ）技术、前沿密码技术（shù）三（sān）个方（fāng）面。

经（jīng）典密码（mǎ）技术指的是常见的对（duì）称（chēng）密码、PKI/CA公钥密码及标识密码技术（shù）。这类密码技术属于基石性（xìng）技术，已（yǐ）经被广泛应用，能够（gòu）解决（jué）传统信息系统安全认（rèn）证与数据加（jiā）密（mì）等问题。

我们重点想提（tí）一些创新（xīn）密（mì）码应（yīng）用的（de）工作思路。我们在实践（jiàn）过程中，发现诸如工业控制、移动办公、智能家居等新兴场景都存在密码应用需求，然而受限（xiàn）于具体场景和环境，传统的密码（mǎ）技术往往无法直接（jiē）应用。此时，我们就（jiù）需要转变思路，对密码应用的（de）方法进行创新和调整。第一种思（sī）路是（shì）“融（róng）”，即密码融合设计，在设计（jì）之初将（jiāng）密（mì）码流程（chéng）融入到业务应用及（jí）通信协议中，避（bì）免后期堆叠密（mì）码设备带（dài）来的性能（néng）开销、系统（tǒng）损害等（děng）影响。第二种思路（lù）是“变”，我们对传统密码技术进（jìn）行场景化的（de）适配改造，以应对差异（yì）化的密码需（xū）求，如轻（qīng）量（liàng）化密码协议、短（duǎn）证书（shū）等。第三种思（sī）路是“合”，我们可以对加密、认证（zhèng）、授权、安全管理等功能进行整合，以能力打包的形式（shì）对接（jiē）应用系统，提供“一揽子（zǐ）”的密码解决方（fāng）案，减轻应用的（de）密码集成难度，快速实（shí）现密码赋（fù）能。

密码技术在（zài）不断发展，学术界对零信任、区块（kuài）链、安全多方计算、同态加密、格密码、抗量（liàng）子密码（mǎ）等（děng）前沿密码技术进行了广泛的（de）研（yán）究（jiū），部（bù）分成果已经应用到信（xìn）息系统中，相信未来前沿密码技（jì）术会得到更加（jiā）广泛和（hé）全面的应用。

04  终（zhōng）端侧的密码产（chǎn）品部署

终端种（zhǒng）类众多、形态各异。不同种类的终（zhōng）端在价格成（chéng）本、网（wǎng）络数据能力、软硬件架（jià）构等方面存在着巨大区（qū）别，终端侧的密码产品（pǐn）部署需求（qiú）也存在着差异性（xìng），需要因（yīn）地制宜。

终端（duān）侧的密码产品部署（shǔ）主要涵（hán）盖（gài）三种形（xíng）式：安装软件密码（mǎ）模块（kuài）、内嵌硬件密码模块以（yǐ）及（jí）外接安全网关。对于PC、手（shǒu）机、高（gāo）性（xìng）能（néng）嵌入式设备（bèi），我们可以部署（shǔ）软件密码模块，借助CPU的（de）强大运算能力，实现高性能的密码（mǎ）运算，无需额外增（zēng）加硬（yìng）件成本。面向智能门锁、车载控制器等安全性较高（gāo）的终端，我们（men）可以采用设备内嵌密码硬件的方式（shì），包括板载安全芯（xīn）片、内接密码（mǎ）模块、使用基于密码的安全通信模（mó）组等，提供硬件级安全防护能力（lì），保障设（shè）备安（ān）全。针（zhēn）对微型传感器、大型（xíng）进口设备（bèi）、老旧（jiù）IT设（shè）备等难以施行密码改造的场（chǎng）景（jǐng），我们可以（yǐ）接（jiē）入（rù）安全网关（guān），通过门卫式（shì）安全防护，保证设（shè）备的接入安全（quán）与通（tōng）信安全问题。

05  密（mì）码的服务（wù）化（huà）之道

近年来，越来越多的应（yīng）用迁移上云。我们如（rú）果要分（fèn）别（bié）对不（bú）同的信（xìn）息系统进行密码应用，工作量巨大，密码（mǎ）资源浪费严重。此时，我（wǒ）们可以借（jiè）助（zhù）云（yún）化、虚拟化的思（sī）想将密（mì）码能力服（fú）务化，按需提供密码资源，不同应用系统（tǒng）只需通过服务调用的方式即可安（ān）全地获取（qǔ）密（mì）码能力，从而快速实现密码应用改造（zào）。

一个可行的实践路线是构建密码服务平台。我所在的卫士通公司作为综合实力（lì）较强（qiáng）的密码企业，正在从传统密（mì）码产品提供商向平台（tái）型安全服（fú）务提供商转型，密（mì）码（mǎ）服务平台便（biàn）是（shì）一个重（chóng）要的抓手。密码服务（wù）平台不直接提供密码产品，面向应用提供场景（jǐng）化的密码服务，提升合规的密码应（yīng）用效率，降低应用与（yǔ）密码对接的难度（dù）。我们看到，越来越多的政（zhèng）务云正在（zài）采用密码服务平台，实（shí）现（xiàn）云（yún）上应用的（de）快速（sù）对接。可以预见，密码（mǎ）服务是促进密码泛在化落地的重要且有效的技术路径（jìng）。

06  基础（chǔ）软硬件的内（nèi）生安全机制

长久以（yǐ）来（lái），计算机系统基础软硬件的安全及密码（mǎ）措施都是各自为政，较为独立（lì）。如（rú）果要做一个安全浏览器，我们可能会在浏览器内（nèi）部（bù）集成OpenSSL算（suàn）法库；如果要做一个加密数据（jù）库（kù），我们可能为数据（jù）库配用密码硬件；如（rú）果要（yào）做安全启（qǐ）动，我们（men）需（xū）要为计算机配置TPCM、TCM等可信计算芯片（piàn）。计算机系统（tǒng）各个软硬件之间的密（mì）码能力缺乏协同，烟囱式存在。另外，各（gè）类（lèi）软硬件厂商自行（háng）建设密码，也存在着合规（guī）性的问（wèn）题。

我（wǒ）们在构（gòu）建自（zì）主信（xìn）息系（xì）统时，可（kě）以从系统体系的角度出发，使用一套密码方案（àn），贯通计算机基（jī）础软（ruǎn）硬件的（de）各个环节，实现密码运算和可（kě）信计算。基础此种思想，如卫（wèi）士通（tōng）与龙芯联合（hé）推出的内嵌安全SE的国产处（chù）理（lǐ）器，打通了CPU、Bioses、操作系统、中（zhōng）间件、数据（jù）库、浏（liú）览器等各环节（jiē），构建了内生安全的（de）基础软硬（yìng）件密码应用生态。

07  典型案例（lì）

分享两个场景化案例。一是视频（pín）融合通信（xìn），包含视频监控、直播（bō）、会商等（děng）多种（zhǒng）业务（wù）模式。我们可以采用端到端的安全方式（shì）对视频终（zhōng）端、服务（wù）端进行密码改造（zào），对大带宽、高清、多路、实时音视频进行加解密。GB35114便（biàn）是此类方式的标（biāo）准化落（luò）地，未来也（yě）将会有更多音视频密（mì）码（mǎ）应用的（de）标准指导（dǎo）相关工作。二（èr）是物联网密码应用，我们可（kě）以建（jiàn）立（lì）覆盖物联（lián）网“端-边-网-云”的密码应用体系。端，指的是物联网终（zhōng）端侧（cè）部署安（ān）全（quán）芯片/软件密码模块等密码产品，实（shí）现终端（duān）安全防护（hù）；边（biān），指的（de）是提供安（ān）全边缘网（wǎng）关，安全接入物联（lián）网（wǎng）终端；网，指的是（shì）基于密码技术保（bǎo）障物联网通信安全；云，指的是物联网平台具备（bèi）密码与安全能力。

08  密码应用推进思考

密码事（shì）业的政策性较强（qiáng），我们密码工作者要时（shí）刻关注（zhù）国家政策法规，尤其是中央、地方（fāng）、大型机关单位的商密规划，这将带来大量的密码泛在化（huà）建设（shè）项（xiàng）目。另外（wài），随着等保2.0、密评工作的（de）广泛（fàn）、有序开展，更多（duō）的细分领域将会开展密码工（gōng）作（zuò），密码市场规（guī）模（mó）迅（xùn）速扩大（dà）。我们在专注既（jì）有业务领域的同（tóng）时（shí），应不断开拓新的行业（yè）用户（hù）和（hé）业务（wù）领域，拓展（zhǎn）密（mì）码应用的范围。

密码应用和改（gǎi）造需要达到什么程度？是否密码措施（shī）越多越好（hǎo）？如何（hé）让更多（duō）的行业用户、企业（yè）单（dān）位放（fàng）下对密码或安（ān）全的（de）固有成见，愿（yuàn）意用密码？这些（xiē）问题都值（zhí）得（dé）我们思考。我们在做（zuò）密码应用和推广的（de）时（shí）候，一定要（yào）结合行业政策与（yǔ）应用（yòng）实际，按（àn）需地开展密码应（yīng）用，密码应用的强度不能单一量化，做到合规（guī）的同（tóng）时，保证相当的安全性。

09  从业者建（jiàn）议

在密码泛在化的背景环境下（xià），我们从业者需要哪些方面（miàn）的能（néng）力素（sù）养？我（wǒ）认为，至（zhì）少需要三方面的（de）能力。第一，完备的密码知（zhī）识。密（mì）码技（jì）术不断发展，我们需要广泛涉猎密码知识，同时（shí）也应当（dāng）潜心钻（zuàn）研一些重点的密码（mǎ）知（zhī）识，尤其（qí）是我们工（gōng）作中可能用到的密码技术。第二，全栈的密码（mǎ）设计能（néng）力。包括（kuò）密码算法、产（chǎn）品化设计、接口对（duì）接、协议优化等（děng）等，只有具备了（le）全栈的设（shè）计能力，才能应（yīng）对复（fù）杂多变（biàn）的情况，准确（què）地对密码方案（àn）进（jìn）行优化和改造（zào）。第三，快速（sù）理解业务应用的能力。密码（mǎ）和业务不能是（shì）“两张（zhāng）皮”，密码的（de）设（shè）计必须基于业务实际（jì），密码工（gōng）作者（zhě）应当理解业务流程并梳理出安全痛点及（jí）密码应用需求，才能（néng）做（zuò）好（hǎo）密（mì）码建设的实际工（gōng）作。

1月15日，人社部发（fā）文拟新增“密（mì）码技术应用员”职（zhí）业，并将其定义为运用密码技术（shù），从事信息系统安（ān）全密码保障的架（jià）构设计、系统集成、检测（cè）评估、运（yùn）维（wéi）管理、密码咨询（xún）等相关密码服务的人员。“密码技术应用员”作为密码泛在（zài）化的一个专门职业被正式（shì）提出，这无疑会（huì）促进密码（mǎ）泛（fàn）在化的应用与推广工作。同（tóng）时，作为（wéi）密码从业者的我们，也应当参照“密码技术应（yīng）用员”的（de）要求积极提（tí）升（shēng）个人能力。

10  密码泛在（zài）化的未来

传（chuán）统（tǒng）信息行业、新技术业务领（lǐng）域快速（sù）发展（zhǎn）并交相（xiàng）辉映，信息世界（jiè）正朝着相互渗透、多元（yuán）发（fā）展的方向演（yǎn）进。我们有理由相信，未来，密码就是信息（xī）世界不可或缺的组件，密码也将作为泛化信息世界的安全基（jī）石，有力（lì）保障信（xìn）息世界的安全持续（xù）发展。密码人，大有可为。