01  宏观政策为密码泛在化保驾护航

密码是保障网络空间安（ān）全的（de）核心技术（shù）和基础支撑。过去，密码主（zhǔ）要用来保护（hù）重要IT系统的（de）通信与存储安（ān）全（quán）问题，普（pǔ）通老百（bǎi）姓很少和它打交道。如今，密（mì）码已（yǐ）经（jīng）应用到各行各业，影响我们生活（huó）的（de）方方面面（miàn）。密码产品也从传统的密码机、密（mì）钥管理系统等整机形态（tài），衍生（shēng）发展为安全芯片、软件密码模块、IP核、密码板卡（kǎ）等（děng）不同形（xíng）态，密码和IT技术（shù）呈现融合发（fā）展的趋势，密码的服务化更是（shì）打破了密码产品的（de）形态（tài）限制。密码应（yīng）用已经呈现出多元化、融合化、泛在化等（děng）新特点。

近年来，我国不断健（jiàn）全密码（mǎ）相关的政策法规，先后制定和（hé）实施了网络安全（quán）法、密码法、36号文（wén）、GM/T0054、等保 2.0标准等（děng）系列法规政策标准，从顶层构（gòu）建了（le）密码与网（wǎng）信事（shì）业的宏伟蓝图。在（zài）宏观政策（cè）的指引下，我国密码（mǎ）事（shì）业经历了（le）从无到有、从初创到（dào）规范（fàn）完善的（de）阶段（duàn），取得了跨（kuà）越式的（de）发展，这也为全（quán）面推进密码工作和密（mì）码（mǎ）泛（fàn）在（zài）化应（yīng）用（yòng）奠定了坚实（shí）有力的基础。

02  安全（quán）风险呈（chéng）现（xiàn）泛（fàn）在化趋势

物联网、云计算（suàn）、5G、大数据、人工智能等创新技术正（zhèng）在加（jiā）速驱动物理世界（jiè）与信息世界的融合。我们在享受高新技术带来的信息红（hóng）利的同时，也无形中打破了固有的网（wǎng）络（luò）边界（jiè），加剧了信息泛（fàn）在化的（de）发展趋势（shì）。物理世界（jiè）与信（xìn）息空间的泛在融合，也将（jiāng）物理（lǐ）空间的违法（fǎ）破坏行（háng）为引入虚拟世界，网络空间变得更加复杂。

信息技术的融合，既加速（sù）了信息化（huà）进程，也（yě）增大（dà）了（le）网络攻击的可能性，网络（luò）安全问题（tí）异常（cháng）严峻。近年来网（wǎng）络安（ān）全事件层出不穷、形（xíng）式各异，涉及到物联网安全、数（shù）据安全、虚拟化安（ān）全等方方面面。比如（rú），在物联网领域，视频监（jiān）控弱密码、偷拍、DDoS攻（gōng）击等（děng）事件（jiàn）屡见不鲜（xiān）；大量智能门锁存在通信（xìn）监（jiān）听、门（mén）卡复制、APP攻击（jī）等安全风（fēng）险；传感器网络等无人值守设备（bèi）分布广泛，被攻破而不被（bèi）发现的事件也时常被事后报道。随着信息技术的（de）发展，网络安全风险加速扩（kuò）散，网络安（ān）全问（wèn）题已然泛化。

03  密码技术（shù）的泛在化应用思（sī）路

面对快速发（fā）展的（de）信息技术及泛在（zài）多变的网（wǎng）络安全需求，需（xū）要对网络空间进行（háng）体系性（xìng）的安全防护（hù）。密码是网（wǎng）络信息安（ān）全的核心（xīn）技术（shù），是整个（gè）网络信任体系的（de）基础支撑（chēng），依托密码技术在认证（zhèng）、加密等方面的重要作（zuò）用，构建（jiàn）以密码（mǎ）为基石的网（wǎng）络安全体系（xì），能够有力解决网络与（yǔ）信息安（ān）全（quán）问题。我（wǒ）们在开展具体密码工作时，需注意密码技（jì）术与业务应（yīng）用（yòng）的结合。在不同的业（yè）务场景（jǐng）中，应当采用不同（tóng）的密码技术（shù）路线或者组合。总的来说，包括经典密码技术、创（chuàng）新密码（mǎ）技术、前（qián）沿密码技术三个方面（miàn）。

经（jīng）典密（mì）码技术指的是常（cháng）见的对称（chēng）密（mì）码、PKI/CA公（gōng）钥密码（mǎ）及标识密码技术。这类密码（mǎ）技（jì）术属于（yú）基（jī）石（shí）性（xìng）技术，已经被广泛应用（yòng），能够解决传统信息系统（tǒng）安全认证与数据加密等问题。

我（wǒ）们重点想提（tí）一些创新（xīn）密码应用（yòng）的工作思路。我们在实践过程中（zhōng），发现诸如工（gōng）业控制、移动办公（gōng）、智能家居（jū）等（děng）新兴（xìng）场景（jǐng）都存在（zài）密码应用需（xū）求，然而（ér）受限于（yú）具体场景和环境（jìng），传统的密码技术往（wǎng）往无（wú）法直（zhí）接应用。此（cǐ）时，我们就需要转（zhuǎn）变思路，对（duì）密码应（yīng）用的方法进行创新和调整。第一种思路是“融”，即密码融合设计，在设计之初（chū）将密码流程（chéng）融入（rù）到业务应用及通信（xìn）协议中，避免后期堆叠密码设备带来的（de）性（xìng）能开销、系统损害等影响（xiǎng）。第二（èr）种（zhǒng）思路是“变”，我们对传统密（mì）码技术进行场景化的适配改造，以应对（duì）差（chà）异化的（de）密码需求，如轻量化密码协议、短证（zhèng）书等。第（dì）三种（zhǒng）思路（lù）是“合”，我们可（kě）以对加密、认证、授权、安全（quán）管理等（děng）功能（néng）进（jìn）行整合，以能力打包（bāo）的形式对接应（yīng）用（yòng）系（xì）统，提供“一揽子（zǐ）”的密码解决方案，减轻应（yīng）用的（de）密码（mǎ）集（jí）成难度，快速实现（xiàn）密码赋（fù）能。

密码技术在不断发展，学术界对零信任（rèn）、区块（kuài）链、安全多方计算、同态加（jiā）密（mì）、格密码、抗量子（zǐ）密码等（děng）前沿密码技术（shù）进行了广泛（fàn）的研究，部分成果（guǒ）已经应用到信息系统中，相信未来前（qián）沿密（mì）码（mǎ）技术会（huì）得到更加广泛和全面的（de）应用（yòng）。

04  终端（duān）侧的密（mì）码产（chǎn）品部署

终（zhōng）端种类众多、形态（tài）各（gè）异。不（bú）同种类的终端（duān）在价格成本、网络数据能力、软硬件架构等方面存在（zài）着巨大区别，终端侧的密码产品部署需求（qiú）也存在着差（chà）异性（xìng），需要因地制宜。

终端（duān）侧的密（mì）码产品部署主要涵（hán）盖三种形式：安装软件密码模块、内嵌硬（yìng）件密码模块以及（jí）外接安（ān）全网关。对于PC、手机（jī）、高性能（néng）嵌入（rù）式设备，我们可以部署软件（jiàn）密码（mǎ）模块，借助CPU的强大运算能力，实现（xiàn）高（gāo）性能的（de）密码（mǎ）运算，无需额外增加硬（yìng）件（jiàn）成本。面向智能门锁（suǒ）、车载控制器等安全性较高（gāo）的（de）终端，我们（men）可以采用设备内嵌密码硬件的方（fāng）式，包括板载安全芯片、内接密码模（mó）块（kuài）、使用基于（yú）密码的安全通信模组等，提供硬（yìng）件级安全（quán）防护能力，保障设备安全（quán）。针对微型传感器、大型进口（kǒu）设备、老旧IT设备等难以（yǐ）施行密码改造（zào）的场（chǎng）景（jǐng），我们可以接入安（ān）全网关，通过门卫式安全防护，保（bǎo）证设备的接入安全（quán）与通信安（ān）全问题。

05  密码（mǎ）的（de）服务化之道

近年来，越来越多的（de）应用迁（qiān）移上云（yún）。我（wǒ）们如果要（yào）分别对不同的信息（xī）系统进行（háng）密码应用，工作（zuò）量巨大，密码资源浪费严重（chóng）。此时，我们可以借助云化、虚拟化（huà）的（de）思想将（jiāng）密码能力服（fú）务（wù）化，按需（xū）提供密码（mǎ）资源（yuán），不（bú）同应用系统只需通过（guò）服务调（diào）用（yòng）的方（fāng）式即可安全地获（huò）取密码能（néng）力，从而快速实现密码应用改造。

一个可行的实践路线是构建密码服务平台。我所在的（de）卫士通公司作为（wéi）综合实力较强的密（mì）码企业，正在从传统密码产品提供商向平台（tái）型（xíng）安全服务提供商转型，密码服务平台便（biàn）是一个（gè）重要的抓手。密（mì）码服（fú）务平（píng）台不直接提供密码产（chǎn）品，面向应用提供场景化的密码服（fú）务，提（tí）升合规的密码应用（yòng）效率，降低应用（yòng）与密码对接的难度。我们看到，越来越多的政务云正在采用密码（mǎ）服务平台，实现云（yún）上应用（yòng）的（de）快速对接。可以预见（jiàn），密码服务是促（cù）进（jìn）密（mì）码泛在化落地的（de）重要且（qiě）有效（xiào）的技（jì）术路径（jìng）。

06  基础软硬件的内生安（ān）全机制

长久以来（lái），计算机系统基（jī）础软硬件的（de）安全（quán）及密码措（cuò）施（shī）都是各自为政，较为独立（lì）。如果（guǒ）要做（zuò）一个安全浏览器，我们（men）可能会在浏览器内（nèi）部集成（chéng）OpenSSL算法库；如果要做一个加（jiā）密数据库，我们可能为数据库配用密码硬（yìng）件；如（rú）果要做（zuò）安（ān）全启（qǐ）动（dòng），我们需要为计算（suàn）机（jī）配置TPCM、TCM等（děng）可信计算芯片。计算机系统各个软硬件之间（jiān）的密码能力缺乏协同，烟囱式存在（zài）。另外，各类软硬件厂商（shāng）自（zì）行建设密码，也存在着（zhe）合规性的问题。

我们在构建自主（zhǔ）信息系（xì）统（tǒng）时，可（kě）以从系统体系的角（jiǎo）度出发，使用（yòng）一套密码方案，贯通计算（suàn）机基础（chǔ）软硬件的各（gè）个环节（jiē），实现密码运算和可信计算（suàn）。基础此种思想（xiǎng），如卫士通与龙芯联合推出（chū）的（de）内（nèi）嵌安全SE的（de）国产（chǎn）处理器，打通了CPU、Bioses、操作系统（tǒng）、中间件、数据库、浏览（lǎn）器等各环节（jiē），构建了内生安全（quán）的基础软（ruǎn）硬件密码应用生态（tài）。

07  典型案例

分享两（liǎng）个（gè）场景化案例（lì）。一是视（shì）频融合通信，包含视频监控、直播、会商（shāng）等（děng）多种（zhǒng）业务模式。我们可以采（cǎi）用端到端的安全方式对视频终端、服务端（duān）进行（háng）密码改造，对大带宽、高清、多路（lù）、实时音视频进行加解密。GB35114便（biàn）是此（cǐ）类方式（shì）的标准化落地，未（wèi）来也将（jiāng）会有更多音视频密码应用的标准指导（dǎo）相关工作。二是物联网（wǎng）密码应用，我们可以（yǐ）建（jiàn）立覆盖物联网“端-边-网-云”的（de）密码应用体系。端，指的是物联网终（zhōng）端侧部（bù）署安全芯（xīn）片/软件密码模块等密码（mǎ）产品，实现终端安全防护；边，指（zhǐ）的（de）是提（tí）供安全边缘网关，安全接入物联网终端；网，指的是基于（yú）密码技术保（bǎo）障物联网通信安全；云，指的是（shì）物联网（wǎng）平台具备密码与安全（quán）能（néng）力（lì）。

08  密码应（yīng）用推进思考（kǎo）

密码事业的政策性（xìng）较强，我们密码（mǎ）工（gōng）作者（zhě）要时刻关（guān）注国家政策法规，尤其是（shì）中央、地方（fāng）、大型机关单位的商密规划，这将带来大量的密（mì）码泛在（zài）化建设项目（mù）。另外，随（suí）着等保2.0、密（mì）评工作的（de）广泛、有序开展，更多的细（xì）分领域将会开（kāi）展密（mì）码工（gōng）作，密码市场（chǎng）规模迅速扩（kuò）大。我们在（zài）专注（zhù）既（jì）有业务领域的同（tóng）时，应不断开拓新的行业用（yòng）户和业（yè）务领域，拓展（zhǎn）密码应（yīng）用的范围。

密码应用和（hé）改造需要达（dá）到什么程度？是否密码（mǎ）措施（shī）越多（duō）越好？如何让更多的行业（yè）用户、企（qǐ）业单位放（fàng）下对密码或安全的固有成见，愿意（yì）用（yòng）密码？这（zhè）些问题（tí）都值（zhí）得我们思（sī）考。我们在做密码应用和（hé）推广的时候，一（yī）定（dìng）要结合行业（yè）政策与应（yīng）用（yòng）实际，按（àn）需（xū）地开展密码应用，密码应用的（de）强度不能单一量化（huà），做（zuò）到合规的同（tóng）时（shí），保证相当的（de）安全（quán）性。

09  从业（yè）者建议

在密码泛（fàn）在化的背（bèi）景环境（jìng）下，我们从业者需要（yào）哪（nǎ）些方面的能力（lì）素（sù）养？我认为，至少需（xū）要三方面（miàn）的能力。第一（yī），完备的密码知（zhī）识。密码技术不断发展，我（wǒ）们需要广泛涉猎（liè）密码知识（shí），同（tóng）时也（yě）应（yīng）当潜心钻（zuàn）研一些重点的密码知识，尤其是（shì）我（wǒ）们工作中可（kě）能（néng）用到（dào）的密码技术（shù）。第二，全（quán）栈的密码设（shè）计能力。包括密码算法、产品化设计、接口（kǒu）对接（jiē）、协议优（yōu）化（huà）等等，只有具备（bèi）了（le）全栈（zhàn）的（de）设计能（néng）力，才（cái）能应（yīng）对（duì）复（fù）杂多变的情况（kuàng），准确地对密码方案进行优化和（hé）改造。第三（sān），快（kuài）速理解业务应用的（de）能力。密码和业（yè）务不能是“两张皮”，密码的设计必须（xū）基于（yú）业务实际，密码工作者应当（dāng）理解业务流程（chéng）并梳理出安全痛点及密码应用需求，才能做（zuò）好密（mì）码建设的实际工作（zuò）。

1月15日，人社（shè）部发文拟（nǐ）新增“密码（mǎ）技术应用（yòng）员”职业，并将其定（dìng）义为运（yùn）用密码技术，从事信息系统（tǒng）安（ān）全密码保障的架构设（shè）计、系统集成（chéng）、检测评估、运维管（guǎn）理、密码（mǎ）咨询（xún）等相（xiàng）关密码服务（wù）的人员（yuán）。“密码技（jì）术应用员”作为密码泛在化的（de）一个（gè）专门职业被正式提出（chū），这无疑会促进密码泛在化的（de）应用与（yǔ）推广工作（zuò）。同时（shí），作（zuò）为密（mì）码（mǎ）从业（yè）者（zhě）的我（wǒ）们，也应当参照“密码技术（shù）应用员”的要求积极（jí）提（tí）升个人能力。

10  密码（mǎ）泛在化的未（wèi）来

传统信息行（háng）业、新（xīn）技术业务领域快（kuài）速发展并（bìng）交相辉映（yìng），信息（xī）世界正朝着（zhe）相互（hù）渗透、多元发（fā）展的方向演进。我们有理由相信（xìn），未来，密码就是信息世界不（bú）可或缺的组件，密码也将作为（wéi）泛化信息（xī）世界的安全基石，有力保障信息世（shì）界的安全持续发展。密码（mǎ）人（rén），大（dà）有可为。