01  宏观政策为密码泛在化保（bǎo）驾护航

密码是保（bǎo）障网络空间安全（quán）的核（hé）心技术和（hé）基础支撑。过去，密码（mǎ）主要用来（lái）保护重要IT系统（tǒng）的通（tōng）信与存储安全问题，普通（tōng）老百姓（xìng）很少和它打（dǎ）交道（dào）。如今（jīn），密码已经应用到各（gè）行各业，影响（xiǎng）我们生活的方方面面。密码产品也（yě）从（cóng）传统的密码机、密钥管理系统等整机形态，衍生发展（zhǎn）为安全芯片（piàn）、软件密码模块、IP核、密码板卡等不同形态，密（mì）码和IT技术呈（chéng）现融合发展的趋势，密码的（de）服务化更是打破（pò）了密码产品的形态限制。密码应用（yòng）已经呈（chéng）现（xiàn）出多（duō）元化、融合化、泛在化等新特点。

近（jìn）年来，我国不断健全密码相关的（de）政策（cè）法规（guī），先（xiān）后制定和实施了网（wǎng）络安全法、密码法、36号文（wén）、GM/T0054、等保（bǎo） 2.0标准等系列法（fǎ）规政策标准，从顶层构建（jiàn）了密码与网信事业的（de）宏伟蓝图。在宏观（guān）政策的指引下，我国密（mì）码事业经历（lì）了从无到有、从（cóng）初创（chuàng）到规范完善的阶段，取得了跨越式的发展，这也为全面推进（jìn）密码（mǎ）工作（zuò）和（hé）密码泛在化应用（yòng）奠定了坚实（shí）有力的基（jī）础。

02  安（ān）全风险呈现泛在（zài）化趋势

物联网、云计算、5G、大数据、人工智能等创（chuàng）新技术正在加（jiā）速驱动物理世界（jiè）与信息世界的融合。我们在享受高新技术（shù）带来的信息红利的同时，也无形中打（dǎ）破了固有的网络边界，加剧（jù）了信（xìn）息泛（fàn）在（zài）化的（de）发展趋势。物理世界与信息空间的泛在融合，也将物理空间的违法破（pò）坏行（háng）为引（yǐn）入虚拟（nǐ）世界，网络空间变得更加复杂。

信息技（jì）术的融（róng）合，既加速了信息化进程（chéng），也增（zēng）大了网络攻击的可能性（xìng），网络（luò）安全问（wèn）题异常严峻。近年来（lái）网络（luò）安（ān）全事件层（céng）出不（bú）穷（qióng）、形式各异（yì），涉及到（dào）物联（lián）网安全、数（shù）据安全（quán）、虚（xū）拟化安全（quán）等方方面（miàn）面。比如（rú），在物联网领域，视频监控弱密码（mǎ）、偷拍、DDoS攻击等（děng）事件（jiàn）屡见（jiàn）不鲜；大量智能门（mén）锁存在（zài）通信监听、门（mén）卡复制、APP攻击（jī）等安（ān）全风（fēng）险；传感器网络等无人（rén）值守设（shè）备分布广泛，被攻破而（ér）不被（bèi）发现（xiàn）的（de）事（shì）件也时（shí）常（cháng）被事（shì）后报道（dào）。随着信息技术的发展（zhǎn），网络安全（quán）风（fēng）险加速（sù）扩散，网络安（ān）全问题已然泛化。

03  密码（mǎ）技术的泛在（zài）化应用思路

面对快速发（fā）展的信息技术及（jí）泛在（zài）多变的网络安全需求，需要对网络（luò）空间进（jìn）行（háng）体系性的安全防护。密码是（shì）网络信（xìn）息安全的核心技（jì）术，是整个（gè）网络信任体系的基础（chǔ）支撑，依托密码技（jì）术在（zài）认证、加密（mì）等方面的重要作（zuò）用，构建以密码为基石的网（wǎng）络安全（quán）体系，能够（gòu）有力（lì）解决网络与（yǔ）信息安全问题。我们在（zài）开展具体密码工作（zuò）时，需注意密码技术与业务应用的（de）结合。在（zài）不同（tóng）的业务（wù）场（chǎng）景中，应（yīng）当采（cǎi）用不同的密码技术路线或者组合。总的来说，包（bāo）括经典密码（mǎ）技术、创新密（mì）码（mǎ）技（jì）术（shù）、前（qián）沿密码技术三个方（fāng）面。

经典密码（mǎ）技术指的是常见的对称（chēng）密码、PKI/CA公（gōng）钥（yào）密码及标识（shí）密码技术。这（zhè）类密码技术属于（yú）基石性技术，已经被广泛应用，能够解决传统信息系统安全认证与数据加密等（děng）问题（tí）。

我们重点想提一些创新密码应（yīng）用的工作思路。我们（men）在实践（jiàn）过程中，发现（xiàn）诸如工（gōng）业控制（zhì）、移动办（bàn）公、智能（néng）家居等新兴场景都存（cún）在密码应用需求，然而（ér）受限于（yú）具体场景和环境（jìng），传（chuán）统的密码技术往往无（wú）法直接应用（yòng）。此（cǐ）时，我（wǒ）们（men）就需要转变思路（lù），对密码应用的方（fāng）法进行创新（xīn）和调整。第一种（zhǒng）思路是“融”，即密码融合设计，在设计之（zhī）初（chū）将密码流程融入到（dào）业务应用及通信协（xié）议中，避免后期堆（duī）叠密码设备带来的性能开销（xiāo）、系统损害等（děng）影（yǐng）响。第二种思路是“变”，我们（men）对传（chuán）统密码技术进行场（chǎng）景化的适配改造，以（yǐ）应（yīng）对差异化（huà）的密码需求，如轻量化密码（mǎ）协议（yì）、短证（zhèng）书等。第三种思路是（shì）“合”，我们可以对（duì）加密、认证、授权、安全管理等功能进行整合，以能力（lì）打包的（de）形（xíng）式对接应用（yòng）系统，提供“一（yī）揽子（zǐ）”的密码解决方（fāng）案，减轻应（yīng）用的密码集成难度，快速实（shí）现密码（mǎ）赋能（néng）。

密码技术在不断发展，学术界对零信任、区（qū）块链、安全多方计算（suàn）、同态（tài）加（jiā）密、格密码（mǎ）、抗量子密（mì）码（mǎ）等前沿密码（mǎ）技术进行了广泛的研（yán）究（jiū），部分成果已经应用到信息系统中，相信未（wèi）来（lái）前沿密码技术会得到更加广泛和全面的应用。

04  终端侧的密码产品（pǐn）部（bù）署（shǔ）

终端（duān）种类众多（duō）、形态各（gè）异。不同（tóng）种类的终端在价格成（chéng）本（běn）、网络数据能力、软硬件架（jià）构等方面存在着巨大区别，终端侧的密（mì）码产品部（bù）署需求（qiú）也（yě）存在着差异性，需（xū）要因地制宜。

终端侧的密（mì）码产品部署主要涵盖三（sān）种形式：安（ān）装软件密码模块、内嵌硬件密码模块（kuài）以及外（wài）接安（ān）全网关。对于（yú）PC、手机、高性能嵌入式设备，我们可以部署软件（jiàn）密码（mǎ）模块，借（jiè）助CPU的强大运（yùn）算能力，实现高性能（néng）的（de）密码（mǎ）运算，无需额外增加硬件成（chéng）本（běn）。面向智能门锁、车载控（kòng）制器等安全性较高的终端，我们（men）可以（yǐ）采用设备内嵌密码（mǎ）硬（yìng）件的方式（shì），包括板载安（ān）全芯片、内接密码模（mó）块、使（shǐ）用（yòng）基（jī）于密码的安全通信模组（zǔ）等，提供硬（yìng）件级（jí）安全防护能力，保障（zhàng）设备安全。针对微型（xíng）传（chuán）感器、大型进口设备、老旧IT设备等难以（yǐ）施行密（mì）码（mǎ）改造的场景，我们可以接入安全网（wǎng）关，通过门卫式安全防护（hù），保（bǎo）证设备的（de）接入安全与通信安全问题。

05  密（mì）码的服务化之道

近年来，越（yuè）来越多的应用迁移上云。我们如果要（yào）分别对不同的信息系（xì）统进行密码应用，工作量巨大，密码资源浪费严重（chóng）。此时，我们可以借（jiè）助（zhù）云（yún）化、虚拟化的思想将密码能力服务化，按需提供密码（mǎ）资源，不同应用系（xì）统只需通过服务调用的方式（shì）即可安全地获取密码能力，从（cóng）而快速实现密码应用改造。

一个（gè）可行的实践路线是构建密（mì）码服务平台。我所在的卫士（shì）通公司作为（wéi）综（zōng）合实力较强（qiáng）的密（mì）码企（qǐ）业，正在从传统密码（mǎ）产品提（tí）供商向平台型（xíng）安全服（fú）务提供商（shāng）转型，密码服务平台便是一个重要（yào）的抓（zhuā）手。密码服务平台不（bú）直接提供密（mì）码（mǎ）产品，面向应用（yòng）提供场景化的密（mì）码服务，提升合（hé）规的（de）密码应（yīng）用效率，降（jiàng）低应用与（yǔ）密码对接的难度。我们看到，越来越（yuè）多的政务云正在（zài）采用（yòng）密码服务平台，实（shí）现云上应（yīng）用的快速对（duì）接。可以预见（jiàn），密码服务是（shì）促进密码泛在化落地的重要且有（yǒu）效的技术路（lù）径。

06  基础（chǔ）软硬件的内生安全机（jī）制

长久以来（lái），计算机系统基础软硬件（jiàn）的安全及密（mì）码（mǎ）措施（shī）都是各自为（wéi）政，较为独立（lì）。如果要做一个安全浏览器（qì），我们可（kě）能会在浏览器内部集成（chéng）OpenSSL算法库；如果要做一个加（jiā）密数据库，我（wǒ）们可能（néng）为数据库（kù）配用密码硬件；如果要做（zuò）安（ān）全启动，我们需要为计算机配置TPCM、TCM等（děng）可信计（jì）算芯片。计（jì）算（suàn）机（jī）系统各（gè）个软硬件之间的密码能力缺乏协同，烟囱（cōng）式存在。另外，各类软硬件厂商自行建设密码，也存（cún）在着合规（guī）性的（de）问题。

我们（men）在构建（jiàn）自主（zhǔ）信息系统时，可以从系统体（tǐ）系（xì）的角度出发，使用一（yī）套密码方（fāng）案（àn），贯通（tōng）计算机基础软硬件的各（gè）个（gè）环节，实现密码运（yùn）算和可信计（jì）算。基础（chǔ）此种思（sī）想（xiǎng），如卫士通与龙芯联合推出的内嵌安全（quán）SE的（de）国（guó）产处（chù）理器，打通了CPU、Bioses、操作（zuò）系统、中间（jiān）件、数（shù）据库、浏览器等各环节（jiē），构建了内生安全的基础软（ruǎn）硬（yìng）件（jiàn）密码应用生态。

07  典型案（àn）例

分享（xiǎng）两个场景（jǐng）化案例（lì）。一是视频（pín）融（róng）合通信（xìn），包（bāo）含视（shì）频监（jiān）控、直播、会商等多种业务模式。我们（men）可以采用端到（dào）端（duān）的安全方式对视频终端、服务（wù）端进（jìn）行密（mì）码（mǎ）改造，对（duì）大带（dài）宽、高清、多路、实时音视频（pín）进行加解（jiě）密。GB35114便是此类方（fāng）式的标准化落地，未来也将会（huì）有更多音视（shì）频密码应用的标准指导相（xiàng）关工作（zuò）。二是物联网密码应用，我们可以建立覆盖（gài）物联网“端-边-网-云”的密码应用体系。端，指的是（shì）物联网终端侧（cè）部署安全芯片/软件密码模块等密码产品，实现终端安全防护；边，指的是提供安全边缘（yuán）网关，安全接入物联网终端；网，指的是基于密码技（jì）术保障物联网通信（xìn）安（ān）全（quán）；云，指的是物联网平台（tái）具备密（mì）码（mǎ）与安（ān）全（quán）能力。

08  密码应用推进思考

密码（mǎ）事业的政策性较强，我们密（mì）码工作（zuò）者要时刻关（guān）注国家政策法规（guī），尤其是中央（yāng）、地方、大型机关单位的商密规划，这将带来大量的密码泛在化（huà）建设项目。另外（wài），随着等（děng）保2.0、密评工作的广泛、有序开展，更多的细分领域将会开展密码工（gōng）作，密码市场规（guī）模迅速扩大。我们在专注既有业务领域的同时，应不（bú）断开拓新的（de）行（háng）业用户和业务领域，拓展密码应（yīng）用（yòng）的范围。

密码应用和改造（zào）需要达到什（shí）么程度？是（shì）否密码措施（shī）越多越（yuè）好？如何让更多的行业用户、企业单位放下（xià）对密码或（huò）安（ān）全的固有成见，愿意用密码？这些问题都值得我们思考。我们在做密码（mǎ）应用和推广（guǎng）的时候，一（yī）定要结合（hé）行业（yè）政策与应用（yòng）实际，按需地开展密（mì）码应用（yòng），密码应（yīng）用的强度不能单（dān）一（yī）量（liàng）化，做到合规的同时，保证相当的（de）安全性。

09  从业者建议

在（zài）密码泛在化的背景环（huán）境（jìng）下，我们从业者需要哪些方面的能（néng）力素养？我认为，至少需（xū）要三方（fāng）面的能力。第一（yī），完备（bèi）的密（mì）码知识。密码技术不断发展，我们需（xū）要广泛涉（shè）猎密码知（zhī）识，同时也应当潜心钻研（yán）一些重点的密码知识，尤（yóu）其是我们工作（zuò）中可（kě）能用（yòng）到的（de）密码技术。第二，全栈的密码设计能力。包括密码算法、产品化设（shè）计、接口对接、协议优化（huà）等等，只有（yǒu）具备了全栈的设计（jì）能力（lì），才能应对复杂多变（biàn）的情况，准确地对密码（mǎ）方案进行优化和改造。第三，快速理解（jiě）业务（wù）应用的能（néng）力（lì）。密（mì）码和业务不能是“两张皮（pí）”，密码的设计（jì）必须基于业务实际，密码（mǎ）工（gōng）作（zuò）者应当理解业（yè）务流程（chéng）并梳理出（chū）安全痛点及（jí）密码应用需求（qiú），才能做好密（mì）码建（jiàn）设（shè）的（de）实际工（gōng）作。

1月15日，人社部发文（wén）拟（nǐ）新增“密（mì）码技术应用员”职业，并将其定义为（wéi）运用（yòng）密（mì）码技术，从事信息系统安全密码保障（zhàng）的（de）架构设计、系统集成、检测评估、运维（wéi）管理、密码咨询等相关密码服务（wù）的人员。“密码技术应用员”作为密码泛在化（huà）的一个专门（mén）职业被正式提出（chū），这（zhè）无（wú）疑会促进密码泛在化的应用（yòng）与推广工作。同（tóng）时，作为密码从业者（zhě）的我（wǒ）们（men），也应当参（cān）照“密码（mǎ）技术应用员”的要求积极（jí）提升（shēng）个人能力。

10  密码（mǎ）泛在化的未来

传（chuán）统信（xìn）息（xī）行业、新技术（shù）业（yè）务领域快速发展（zhǎn）并交相辉（huī）映（yìng），信息世界正朝着相（xiàng）互渗透、多元（yuán）发展的方向演（yǎn）进。我们有理由相信（xìn），未（wèi）来，密（mì）码（mǎ）就是信息世界不可或缺的组件，密码也将作为泛化信息世界的安全基石，有力（lì）保（bǎo）障信息世界的安（ān）全持续发展（zhǎn）。密码人（rén），大有可（kě）为。