01  宏观政策为密（mì）码泛（fàn）在化保驾护航

密码是保障网络空间安（ān）全的（de）核（hé）心技术和基础支撑。过去，密码（mǎ）主要用来（lái）保护（hù）重要IT系（xì）统的通信与存储安全问题，普（pǔ）通老（lǎo）百姓（xìng）很少和它（tā）打交道。如（rú）今，密码已（yǐ）经应用到各行各（gè）业，影（yǐng）响我（wǒ）们生活的方方面（miàn）面。密码（mǎ）产品（pǐn）也从传统的密码机、密钥管（guǎn）理系（xì）统等整机形态（tài），衍生发（fā）展（zhǎn）为安全芯片、软（ruǎn）件密码模块、IP核、密（mì）码板卡等（děng）不同形态，密码和IT技术呈（chéng）现融合发展的趋势（shì），密码（mǎ）的（de）服务化更是打破（pò）了密码产品的形态限制（zhì）。密码（mǎ）应用已经呈现出多元化、融合化、泛在化等新特点（diǎn）。

近（jìn）年来，我国不断健全密码相关（guān）的政策法规（guī），先后制定（dìng）和实施了（le）网络安全（quán）法、密码法、36号文、GM/T0054、等保 2.0标准等（děng）系列法规政策标准，从顶层（céng）构建（jiàn）了密码与网信事（shì）业的宏伟蓝图。在（zài）宏观政策的指引下，我国密码事（shì）业经历了从无到有（yǒu）、从初（chū）创到规（guī）范完善的阶段，取（qǔ）得了跨（kuà）越式的发展，这也为全面推（tuī）进密码工作和密码泛在化应用奠定了坚实有力的基础（chǔ）。

02  安全风险（xiǎn）呈现泛在化趋（qū）势

物联网、云计算、5G、大（dà）数据、人工智（zhì）能（néng）等创新技术正在加速（sù）驱动物理世界（jiè）与信息世（shì）界的融合。我（wǒ）们在享受（shòu）高新技术带来的信息红利的同时，也（yě）无形中打破（pò）了固有的网络（luò）边（biān）界，加剧了信（xìn）息泛在化的发展趋势。物理世界（jiè）与信息空间的泛在融合（hé），也将物理空间（jiān）的违法破坏行为（wéi）引入虚拟世（shì）界，网络（luò）空间变得（dé）更加复杂。

信息（xī）技（jì）术的融合，既加速了信（xìn）息化（huà）进程，也增大了（le）网（wǎng）络攻击的可能性，网络（luò）安全问题异常严峻。近年（nián）来（lái）网络安全（quán）事件（jiàn）层出（chū）不穷（qióng）、形式各异，涉及到物联（lián）网安全、数据安（ān）全、虚拟化安全等（děng）方方面（miàn）面。比如，在物联网领（lǐng）域，视频监（jiān）控（kòng）弱密（mì）码、偷拍、DDoS攻（gōng）击等事件屡（lǚ）见不鲜；大量（liàng）智能（néng）门锁存（cún）在通信监听、门卡复（fù）制（zhì）、APP攻击（jī）等安（ān）全风险（xiǎn）；传感器网络等无人值守设备（bèi）分布广泛，被攻破而不（bú）被发现的事件也（yě）时（shí）常被事后报道。随着信（xìn）息技术（shù）的发展，网络（luò）安全风险加（jiā）速扩散，网络安全问题已然泛化（huà）。

03  密码（mǎ）技术的（de）泛在化应用思路

面对快速发展的（de）信息技术及泛在多变（biàn）的（de）网络安全需求，需（xū）要对（duì）网络空间进行体系性的安全防（fáng）护（hù）。密码是网络信息安（ān）全的核（hé）心技术，是整个网络信任（rèn）体系的基础（chǔ）支撑，依托密码技术在（zài）认证、加密等方面（miàn）的重要作用，构建以密码为基石（shí）的网络安（ān）全体系，能够（gòu）有力解决网络与（yǔ）信（xìn）息安全问题。我们在（zài）开展具体密（mì）码工作时（shí），需（xū）注意密码技术与业务应用的结合。在不同的（de）业务场景中，应当采用不（bú）同（tóng）的（de）密码技（jì）术（shù）路线或者组合。总的来说，包括经典密码技术、创新密码技术（shù）、前沿（yán）密码技术三个（gè）方面。

经典密码技（jì）术指的是（shì）常见的对称（chēng）密码、PKI/CA公钥密码及标识密码技术（shù）。这类密码（mǎ）技术属于基石性技术，已经被（bèi）广泛应用，能够解决传统（tǒng）信息系统安全认证与数据加密（mì）等（děng）问题。

我（wǒ）们重点想提一（yī）些创新密码应用的工（gōng）作思路。我们在实践过程（chéng）中，发现诸如工（gōng）业控制（zhì）、移动（dòng）办公、智能家居（jū）等新兴（xìng）场景都存在密码应用需求，然（rán）而受限于具体（tǐ）场景和环境（jìng），传统的密（mì）码技术往往无（wú）法直接应（yīng）用。此时，我们就需要转（zhuǎn）变思路，对（duì）密（mì）码（mǎ）应用（yòng）的（de）方法（fǎ）进行创（chuàng）新和调整。第一种思路是“融（róng）”，即密码融合设（shè）计，在设计之初将密码流程融入到（dào）业务（wù）应用及通（tōng）信协议中，避（bì）免（miǎn）后期堆（duī）叠密（mì）码设（shè）备（bèi）带来的性能开销、系统损害（hài）等影响。第二种（zhǒng）思（sī）路是“变”，我们对传统密（mì）码技术进行场景化的（de）适配改（gǎi）造（zào），以（yǐ）应（yīng）对差异化的密码需求（qiú），如（rú）轻量化密码协议（yì）、短证书等。第三种思路是（shì）“合”，我们可以对加密（mì）、认证（zhèng）、授权、安全管理等（děng）功能（néng）进行整合，以能力打包的形式对接应用系统，提供“一揽子”的密码解决（jué）方案（àn），减轻应用的密码（mǎ）集成（chéng）难度，快速（sù）实（shí）现密码赋能。

密码技术（shù）在不断发展，学术界（jiè）对（duì）零信任（rèn）、区（qū）块链、安全多方（fāng）计（jì）算、同（tóng）态加密、格密码、抗量子密码等前（qián）沿（yán）密码技术进行了广泛的研究，部分成（chéng）果已经应用到信息系统中，相信未来前沿密（mì）码（mǎ）技术会得到更（gèng）加广（guǎng）泛和全面的应用。

04  终端侧的密码产品部署

终端种类（lèi）众多、形态各异。不同种类（lèi）的终端（duān）在价格成（chéng）本、网络（luò）数据能力、软硬件架构等方面存（cún）在（zài）着（zhe）巨大区别，终端侧的密码（mǎ）产品部署需求也存在（zài）着差异性，需（xū）要因地制（zhì）宜。

终（zhōng）端侧的（de）密码产品（pǐn）部署（shǔ）主要涵盖三种形（xíng）式：安装软件密码模（mó）块、内嵌（qiàn）硬件密码（mǎ）模块以及（jí）外接安全（quán）网关。对（duì）于PC、手（shǒu）机、高性能嵌入（rù）式设备，我们可以部署软件密码（mǎ）模（mó）块，借助CPU的强（qiáng）大运（yùn）算能力，实（shí）现高（gāo）性能的密码运算，无（wú）需额外（wài）增加硬件（jiàn）成本。面向（xiàng）智（zhì）能门（mén）锁（suǒ）、车（chē）载控制器等安全性较高（gāo）的终端，我们可以采（cǎi）用设备内嵌密码硬件（jiàn）的方式，包括板载安全芯片、内接密码（mǎ）模块、使用基于密（mì）码的（de）安全通（tōng）信（xìn）模组等，提供硬件级（jí）安全防护能（néng）力，保（bǎo）障设备安（ān）全。针对微型（xíng）传感器、大型进口设备、老旧IT设备等难以施行密（mì）码改造的场景（jǐng），我们可以接入安（ān）全网（wǎng）关，通过门卫式安全防（fáng）护（hù），保证设备的接入安全与（yǔ）通（tōng）信安全问题。

05  密（mì）码的服务化之道

近年（nián）来（lái），越来越多的应用（yòng）迁移上（shàng）云。我（wǒ）们（men）如果要（yào）分别对不同的信息系统进行密码（mǎ）应用，工作量巨大（dà），密码资源浪（làng）费严重（chóng）。此时，我们可（kě）以借（jiè）助云化、虚拟化的思（sī）想（xiǎng）将密码（mǎ）能力服务（wù）化，按（àn）需提供密码资源，不同应用系统只（zhī）需通过服务（wù）调用的方式即可安全地获取密码能力，从而快速（sù）实现密（mì）码应用（yòng）改造。

一个可行的（de）实（shí）践路线是构（gòu）建密码服（fú）务（wù）平台。我所在的卫士通公司作（zuò）为综合实力较强的密码（mǎ）企业，正在从（cóng）传统密（mì）码产品提供商向平台型安全服（fú）务提供商转（zhuǎn）型（xíng），密码服（fú）务平台便是（shì）一（yī）个（gè）重要的抓手。密码服务平台不直接（jiē）提供密码产品，面（miàn）向应用（yòng）提供场景化的（de）密码服务，提升合（hé）规的密码应用效率，降低应用（yòng）与密（mì）码对接的难（nán）度。我们看到，越来越多的政务云正（zhèng）在采用密码服务平台（tái），实现云上应用的快速对接。可以预见，密码服务（wù）是促进密码泛在化落地的（de）重（chóng）要且有效的技术路径。

06  基础软硬（yìng）件（jiàn）的内生安全机制（zhì）

长久以来，计算机系统基础软硬件的安全及密码措施都（dōu）是各（gè）自为（wéi）政，较（jiào）为（wéi）独立。如果要（yào）做一（yī）个安全浏览器，我们可能会在浏览器（qì）内部集成OpenSSL算（suàn）法库；如果要做（zuò）一个加密（mì）数据库，我（wǒ）们可（kě）能为数（shù）据库配用（yòng）密码硬件；如果要做安全启动，我们需要为计算机配置（zhì）TPCM、TCM等可信计（jì）算芯片。计算机系统各个软硬件之间的密码能力缺乏（fá）协同，烟囱式存在。另外，各类软硬件厂（chǎng）商自行建设密码（mǎ），也存在着合规性的（de）问题。

我们在构（gòu）建自（zì）主（zhǔ）信息（xī）系（xì）统时（shí），可以从（cóng）系统体系的角度出（chū）发，使（shǐ）用一套密（mì）码（mǎ）方案，贯通计（jì）算机基础软硬（yìng）件的各个环节，实现密（mì）码运算和（hé）可信计（jì）算。基础（chǔ）此种思想，如（rú）卫士（shì）通与龙芯联合推出的内嵌安全SE的（de）国（guó）产处（chù）理器，打通（tōng）了CPU、Bioses、操作系（xì）统、中（zhōng）间件、数据库（kù）、浏览器等各环节，构建了内生安全（quán）的基础软硬件密码（mǎ）应用（yòng）生态。

07  典型（xíng）案例

分（fèn）享两个场景化案例（lì）。一是视频融合通信，包含视频监控、直播（bō）、会商等多种（zhǒng）业务模式。我们可以采用端到（dào）端的安全方式对视频（pín）终端、服务端进行密码（mǎ）改造，对大带宽、高清、多路、实时音视（shì）频（pín）进行加解密。GB35114便是此类（lèi）方式（shì）的标准化落地，未来（lái）也将会有（yǒu）更多音视频密码应（yīng）用的（de）标准指导相关（guān）工作。二（èr）是物联网密码应用，我（wǒ）们可（kě）以建立覆盖物联（lián）网（wǎng）“端（duān）-边-网-云”的密码应用体（tǐ）系。端，指的是物联网终端侧（cè）部署安全芯片/软件密码模块等密码产品，实现终端安全防（fáng）护；边，指（zhǐ）的是提供安全（quán）边缘网关（guān），安全接入物联网终端；网，指的（de）是基于密码技（jì）术（shù）保障物（wù）联（lián）网（wǎng）通（tōng）信安全；云，指的是物联网平台具备密（mì）码（mǎ）与安全能力。

08  密码（mǎ）应用推（tuī）进思考

密码事（shì）业的政策性较强，我们密码工作者要时刻（kè）关注（zhù）国家政策法规，尤其是中央、地方、大型机关单位的商（shāng）密规划，这将带来（lái）大量的密码泛在化建设项目。另外，随着等保2.0、密评工作的广泛、有序开（kāi）展，更多的细分领域将（jiāng）会开展密码工作，密码市场规模迅速扩大。我们（men）在专（zhuān）注既（jì）有业务领域的同时，应不断开（kāi）拓新的行业用户（hù）和业务领域，拓（tuò）展（zhǎn）密码（mǎ）应用（yòng）的范围。

密（mì）码（mǎ）应（yīng）用和改造需要达到什么程度？是否密码措施越多越好？如（rú）何让更多（duō）的行业用户、企业单位（wèi）放下对密码或安（ān）全（quán）的固有成见，愿意（yì）用（yòng）密码？这些问题（tí）都（dōu）值得我们思（sī）考。我们在（zài）做密码应用和推广的时候，一定要（yào）结合（hé）行业政策与应用实际，按需地开展密码应用，密码应用的强度（dù）不能单一量化，做到合规（guī）的同时，保（bǎo）证相当的安全性。

09  从业者（zhě）建议

在密码泛在化的背景环境下，我（wǒ）们（men）从业者需要哪些方（fāng）面的（de）能力素养？我认为，至少需要三方面的能力。第一，完备（bèi）的密码知识。密码技术（shù）不（bú）断发（fā）展，我们（men）需（xū）要广泛涉（shè）猎密码知识，同时也应当（dāng）潜心钻研一些（xiē）重点的密（mì）码知识，尤其是我们工作中可能用到的密码技（jì）术（shù）。第（dì）二（èr），全栈（zhàn）的（de）密（mì）码设计能力。包括密（mì）码算法、产品（pǐn）化（huà）设计、接口对接、协议优化等（děng）等，只有具备了全（quán）栈的设（shè）计能力，才能应对复杂多变的（de）情况，准确地对密码方（fāng）案进行优化和改造（zào）。第三，快（kuài）速理解业务（wù）应用的能（néng）力。密码和业务不能（néng）是（shì）“两（liǎng）张皮”，密码的（de）设计必须基于业务（wù）实际，密码工作者应（yīng）当理解业务流程（chéng）并梳理出安全痛点及密码应（yīng）用需求（qiú），才能做好密（mì）码建设的实际工作。

1月15日（rì），人（rén）社部发文（wén）拟新增“密码技术应用员（yuán）”职业，并将其定义（yì）为运用（yòng）密码技术，从事信息（xī）系统安全（quán）密码保障的架（jià）构设计、系统集（jí）成（chéng）、检测评估（gū）、运维管理、密码咨询等相（xiàng）关密码服务（wù）的人员。“密（mì）码技（jì）术应用员”作为密码泛在化的一（yī）个专门职（zhí）业被正式提出，这无疑会促进密码泛在化的（de）应用与推广工作。同时，作（zuò）为密码从业者（zhě）的我们，也应（yīng）当参照“密码技术应用员（yuán）”的要求积极（jí）提升个人能力（lì）。

10  密码泛在（zài）化的未来

传（chuán）统信息行业、新技（jì）术（shù）业务领域快速（sù）发展（zhǎn）并（bìng）交相辉映，信息世界正（zhèng）朝着相互渗透（tòu）、多元发（fā）展的方（fāng）向（xiàng）演进。我们有理由相信，未来，密码就（jiù）是信息世界不可或缺的组件（jiàn），密（mì）码（mǎ）也将作为（wéi）泛（fàn）化信息（xī）世界的安全（quán）基石，有力保障（zhàng）信息世界的安全持（chí）续（xù）发（fā）展（zhǎn）。密码（mǎ）人，大有可为。