安全企业观点：密码的应用与创新

飞天诚信科技股份有限公司

推动国密算法通过国产芯片落地

密码是网络安全保障体系的“柱石”。密码技术是网络安全技术体系的核心之一，全球目前已经进入信息化时代，而信息安全尤为重要，已经上升到国家战略级别，从企业到国家都非常重视。

密码产业尽管基本实现自主可控，但与现有网络服务及产品的集成存在障碍，重技术轻市场，对系统集成和用户体验的关注有所不足。

这几年，国密算法的发展与应用已经做到了与时俱进。但在实际的应用当中会存在着存储和传递的问题，我们不可能让数据进行明文的存储和明文的传递，那么基于自主知识产权的国产商用密码算法就尤为重要。

同时，芯片或者运算单元运算速度越来越快，就为密码算法的破解提供了可能性。基于硬件的DPA/SPA等旁路的复杂攻击手段也越来越多，随着密码算法的逐步公开以及运算效率的提高，会使得公开的密码算法被破解的难度越来越低，所以未来的国密算法应该更加复杂化才能应对。此外，对于密码人才的培养需要升到战略角度，通过国家政策的推动以及设立专门基金等方式，让更多的企业和专家愿意承担一些算法的研究工作。

发展国密应用是推广普及自主可控的密码技术应用体系的重要抓手。飞天诚信在国家商用密码的推广和应用中积极进取，掌握了一批自主知识产权的国密应用关键技术，取得超过1000件专利。除了自身传统的Ukey，还将国密码算法通过不同的硬件载体应用到产品中，研发了一系列支持国密算法的密码产品，包括智能卡、智能密码钥匙、OTP令牌及动态口令认证系统、支付终端等，服务于超过300家银行等金融机构，为国密算法在金融等领域的普及应用提供支撑。同时，飞天诚信参与多件国密标准的起草工作，已发布国家标准1件、行业标准8件，还在金融等行业标准起草的过程中积极推动融入国密相关要求。

国内金融行业在商用密码算法的应用上一直走在众行业前列，以中国银联为代表的金融行业在制定标准和规范的时候都充分考虑的国产密码算法的重要程度，尽可能地将国密算法应用到实际当中。例如中国银联推出的动态二维码盒子和动态二维码生成器产品都将国密算法的规范和标准应用其中。飞天诚信在随着金融行业的发展也逐渐推出新产品，例如积极推动将国产密码算法通过国产芯片进行落地，也陆续产出了国密系统的Ukey芯片、物联网芯片等。

当然还有很多领域还没有把国产密码算法的应用上升到战略高度，还有一些领域对信息安全自主可控并未做到深入的理解，没有将数据、信息在传递和存储过程中利用国密算法进行保密。

在坚持自主可控、普及应用国密技术的前提下，我们应积极探索国密技术与互联网新技术、新应用的对接与融合，以市场为导向，研制推广新一代密码产品和服务，进一步拓宽国产商用密码应用的力度。未来信息技术基础设施对密码算法和技术的支持将更加广泛，为密码技术的普及应用奠定良好基础。除了传统的密码设备、密码系统之外，密码服务有可能成为密码产业新的发展方向。

密码产业的发展会越来越复杂，伴随着量子计算机的出现，未来这些国密算法有被破解的可能。当下之所以说密码算法安全，是因为针对我们目前的运算能力而言。基于国产商用密码算法自主可控的算法未来应用会越来越广，当全社会各行各业都意识到信息安全重要性，将国产密码算法应用到所属的领域中，会使得各领域的信息化更安全。同时，也会促使国产密码算法通过各种载体更多地惠及百姓生活，使得百姓更能安居乐业，共享信息社会带来的便捷。

深圳奥联信息安全技术有限公司

用SM9算法应对网络安全新挑战

密码技术是解决网络安全的核心技术。从防护措施方面，密码技术是主动防御措施，可以抵御网络攻击“进不来—拿不走—看不懂—改不了——跑不掉”；从网络数据的完整性、保密性和可用性三元组方面，数字签名技术可以保障数据的完整性防止非法篡改，加密技术可以保障数据的保密性，防止非法窃听。

当前密码行业的主要问题在于缺少国产密码应用基础生态。我国目前应用密码为国产的SM1、SM2、SM3、SM4、SM7、SM9等密码算法，Windows、Linux操作系统普遍不支持我国的SM系列密码算法，以Windows系统的SSL/TLS应用为例，国内厂家开发的密码安全应用无法将这些算法和协议与操作系统、浏览器等紧密结合在一起，给用户的感觉是国产密码技术与主流系统总是两张皮，增加了国产密码应用的复杂性。

在自主可控方面，与Wintel体系不同，国产操作系统底层未考虑对SM2/3/4/9等密码算法的支持，无法从芯片层、操作系统内核层为密码应用提供基础算法库支撑。

大力发展国密应用，还应该推动国产密码技术走出去，加快国产密码算法标准的国际化，积极开拓密码技术的国际化市场，服务“一带一路”。但要注意，我国密码行业应加强国际知识产权意识，避免密码技术走出去可能出现的知识产权纠纷。

深圳奥联是我国标识密码——SM9算法的原研单位、标注主要编织者，致力于标识密码技术的研发和产业推广。目前，深圳奥联已经承担7项密码行业标准、3项ISO/IEC标准，与中国电信、华为共同起草了5G物联网安全标准。在产业化方面，深圳奥联基于标识密码技术SM9研发了密九邮、密九通、密九联、密九码、密九令等密码安全产品。

目前，我们使用的国产密码算法有SM1/2/3/4/7/9等，形成了以SM2密码算法为核心的PKI密码应用体系，以SM9密码算法为核心的IBC密码应用体系。随着新技术的不断发展，网络安全威胁的多样化，单一密码体制无法满足新业务、新场景对安全的需求。

在实际应用场景上，以奥联的密九邮和密九通产品为例：电子邮件作为传统的互联网通讯工具，由于协议原因，邮件的身份鉴别、传输和存储等环节安全机制脆弱。SM9密码算法是一种标识密码算法，可以使用电子邮件地址等唯一性标识作为公钥，特别适合电子邮件应用的任意点对点通信的场景。相比于使用PKI体制无需依托数字证书传递公钥，具有良好的用户体验。

此外，随着智能手机的普及，公众越来越关注移动通信安全，奥联信息充分发挥SM9标识密码算法的优势，使用手机号码作为公钥，与通信信令系统结合，开发出加密通讯产品——密九通。密九通能够完美适配iOS、Android系统，对智能手机硬件无特殊依赖，基于SM9算法实现加密通话、加密即时通讯、本地文件加密等功能。

随着新技术的不断涌现和普及，对密码应用提出了更高的要求，单一的密码体制无法满足新技术、新应用对安全和易用的矛盾需求，因此必须发挥多个密码体制优势，如SM9在数据加密的优势、SM2在可信身份认证的优势，综合应用多种密码技术解决新技术对网络安全带来的挑战。

未来物联网安全是一个热点，利用密码技术的数据加密、数字签名等技术可以解决IOT安全的众多问题。以SM9的安全应用为例，针对物联网所有设备都具备唯一性标识和“云-管-端”的架构特点，SM9密码算法可以解决物联网设备的身份鉴别、通道加密和云端数据保护。面对欧盟GDPR对个人隐私保护的严格要求，奥联信息的SM9密码技术可以现实个人隐私保护的“一人一密”、“一事一密”。

北京数字认证股份有限公司

创新商用密码服务，共建可信数字世界

数字化浪潮正快速席卷全球，商业智能将客户、物联、生态系统和IT系统推向深度融合，新的信任体系在变革的商业和社会生态中聚合重构。商用密码作为网络信任体系的安全基础支撑，如今已经形成了相当的产业规模。

数字认证公司作为行业领先的商用密码主力军，一直以来都是行业技术创新的重要参与者，也是业内应用模式创新、商业模式创新的重要推动者。面对日新月异的产业演进和各行各业的数字化变革，数字认证公司坚持技术创新引领发展的一贯理念，持续跟进云计算、移动互联网、物联网等新技术发展，将移动互联、云计算等新兴技术融入密码应用创新设计中，不断提升市场适应能力和技术领先水平，助力商用密码产业全面发展。

密码服务搭建信任价值传递的安全通道

信任是简化复杂的机制，是经济交换的润滑剂。据调研，10%的信任提升能够带来36%的经济效益提升，可以说只有信任的社会才能构筑稳定、规模庞大的商业组织以应对全球经济的激烈竞争。然而，在越来越多的误导、欺诈、虚假的数字世界里，信任似乎成为一种稀有资源。

数字世界的信任与物理空间的信任不同，数字信任需要建立社会、企业、个人、算法、数据、设备和业务之间的信任，故在数字信任链上所建立的信任关系相对传统信任模型呈指数增长。在数字世界中，信任是由参与数字业务的所有实体创建的，它可能瞬间建立又瞬间被打破，因此，需要依靠“密码”解决人、机、物的身份标识、身份认证、统一管理、信任传递、行为审计等信任问题，实现信息流、数据流的可靠互联互通，构建安全、可信、可控的网络环境和信任体系。

数字认证公司针对数字化革命所带来的产业升级需求和新兴业务模式，实施战略布局，构建了基于国产密码算法的安全可控的密码技术体系，主要用于以身份认证、授权管理和责任认定为主要内容的网络信任体系和信息保护体系建设，能够满足各行业快速发展的可信数字身份、可信数据电文、可信网络行为等一体化网络信任需求。这不仅是体现在密码算法和安全协议等技术层面上的可信，更是体现在整个经济运行、司法环境和社会治理层面的可信。

数字认证以密码服务坚守云服务安全底线

随着云计算、物联网、大数据的不断推广应用，各行业的业务系统云化进程快速推进，密码产业正在从以产品形态提供的密码能力向服务形态的密码服务迁移。云计算的特性对密码服务产生了新的需求，一方面，应用的云化对安全保障措施提出了兼容云化和按需扩展的需求，另一方面，云计算的普及对面向最终客户的基于密码技术的应用提出了云化需求。

数字认证公司研制基于门限分割的密钥管理、多方协同签名计算等新技术，探索基于云计算的密码基础设施服务、平台服务及增值服务，搭建“信手书密码云服务”平台，对外提供密钥服务等密码基础设施服务，数字证书服务、数据加密服务、数字签名服务、可信数字身份管理服务等面向应用的基础密码服务，以及电子合同、电子证照、证据保全等面向公众的数字交付服务。

信手书密码云服务为构建可信的医疗环境，推进医疗信息化智慧化的健康发展提供安全支撑，目前已在全国五百多家医院推广应用。在从入院到出院的过程中，医生签署入院记录、病程记录、医嘱、查房记录及各类检查报告，护士签署护理记录、执行医嘱，患者签署手术知情同意书，信手书密码云服务为签署相关文件提供可信身份认证和签名服务，保障签署行为的真实及可追溯和签署文件的完整，为医院与患者搭建网络环境下的信任桥梁。

数字认证以密码服务捍卫移动互联安全体系

移动互联技术发展日益兴盛，由于其自身安全防护的局限性所带来的安全隐患是移动互联良性健康发展的掣肘。为各类移动业务提供多级安全、部署灵活、方便易用的密码服务成为迫切需求。

数字认证公司基于国产密码算法，研究移动端安全密钥管理技术、基于事件型数字证书技术以及基于WAPI标准的无线统一认证技术，推出了适用于移动互联环境的多种密码服务，用于用户身份真实性的认证、重要业务操作的数字签名、文件电子签署以及事后的行为追溯，为构建移动终端生态安全体系建设提供支撑。

移动互联下的密码服务通过移动终端完成认证与签名，无需额外的终端设备硬件，用户零成本，使用便捷，随时随地随处获取。公众可以使用手机随时随地安全查看自己的健康档案，掌握自己的健康情况；保险代理人可以在使用移动PAD在短短几分钟内完成以往需要十天左右的投保签单工作，所操作生成的电子单证与纸质单证具有同等法律效力；银行柜面业务可在自助业务终端全面开展，地铁、机场等公共场所的移动专用设备安全性得到提高；车联网中车、云、人间数据交互安全得到保障。

数字认证以密码服务为数字化经济提供具有法律效力的数字交付

具有法律效力的数字化交付服务是密码云服务与应用领域业务深度融合的密码增值服务，数字认证公司通过成熟的密码服务体系为客户提供可直接交付使用的电子合同、电子保全、可信归档等数字化进程全链条数字交付。

在某大型集团内部建设的电子合同签署平台是行业应用的标杆，该集团内部全面打通了从数字证书的颁发，到文件的加密，及电子签章的应用等各个环节，保证了 “电子合同”生成、签订、传输、存储、交付等全生命周期的安全性和有效性。

目前，在国内已有大量企业引入了数字认证所提供的基于密码的电子合同、电子保全等数字化交付服务，无缝嵌入企业内部的人力资源管理、供应链管理、核心数字资产安全防护、核心业务风险防控等诸多领域，为企业数字化转型提供强有力的技术支撑。

此外，基于密码服务的数字化交付还被广泛应用于政务、金融、教育、交通、旅游等诸多重要领域，如在保险业电子保单、高校电子成绩单、民航维修电子工单、政府采购电子招投标等各项业务中，实现各类行为主体的认证、授权和责任认定，以及各种电子单据的全生命周期安全保护，从而确保网络空间中的身份可信、内容可信、行为可信，为构建整个网络信任体系提供关键支撑。

“数据就是财富，安全才有价值；融合就是机遇，信任才有基础”——数字认证坚持创变求新的核心发展理念，在由传统CA服务商向新型密码服务提供商的转变进程中实现跨越式发展，期待与产业界同行一起共建可信任的数字世界。

（本文刊登于《中国信息安全》杂志2018年第8期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。