專題｜多位專家多維度詳談商用密碼應(yīng)用新標(biāo)準(zhǔn)和新要求

演講主要內(nèi)容：

商用密碼目展現(xiàn)出一些新特點(diǎn)和新范式，一是政策先行；二是自主可控；三是創(chuàng)新應(yīng)用。

演講原文：

密碼作為國家重要的戰(zhàn)略資源，是保障網(wǎng)絡(luò)信息安全的核心技術(shù)的基礎(chǔ)支撐，在這方面密碼技術(shù)是網(wǎng)絡(luò)空間安全的核心技術(shù)，是技術(shù)發(fā)展的基礎(chǔ)支撐，新基建密碼建設(shè)是非常基礎(chǔ)的，同時(shí)密碼也會為其他的新基建提供安全保障。特別是密碼法的出臺，讓我們看到商用密碼有了更大的施展空間，展現(xiàn)出一些新的特點(diǎn)和新的范式，一是政策先行。使用密碼已經(jīng)成為法律義務(wù)，以前密碼想怎么做怎么做，用大量國外密碼，今天通過《密碼法》，《密碼法》我個(gè)人理解是從?？毓芾碜呦蚍ㄖ乒芾硪粋€(gè)非常重要的轉(zhuǎn)折點(diǎn)，這樣一個(gè)轉(zhuǎn)折會推動我們整個(gè)市場的擴(kuò)大，推動我們產(chǎn)業(yè)的興旺發(fā)達(dá)。

二是自主可控。密碼產(chǎn)業(yè)支撐行業(yè)的發(fā)展，推動信息技術(shù)的自主可控，為密碼提供了更大的空間，而我們整個(gè)密碼行業(yè)，也全面地、全身心地投入到自主可控這樣一個(gè)大潮里邊去。最近應(yīng)該說，我們廣大的密碼企業(yè)都非常忙，現(xiàn)在全國的各個(gè)省市、各個(gè)委辦局，都在進(jìn)行自主可控的招標(biāo)，負(fù)責(zé)這個(gè)業(yè)務(wù)的人最近特別忙，密碼企業(yè)全面地深入到這樣的自主可控領(lǐng)域，這也是我們這個(gè)行業(yè)新的熱點(diǎn)和特點(diǎn)。

三是創(chuàng)新應(yīng)用給密碼帶來更好的市場空間。我們大家看到無紙化的推動，全面地智能化的推動，物聯(lián)網(wǎng)的推動，帶給我們很多很多的機(jī)會，我們這次在疫情期間，今年北京大學(xué)的畢業(yè)生都使用的是電子成績單，電子畢業(yè)證，電子學(xué)位證，這里邊全是基于我們密碼的可靠電子簽名來解決的事情，以前我們做密碼的都是談軍事、外交，現(xiàn)在我們發(fā)現(xiàn)，每個(gè)老百姓的身邊都是我們的密碼，這樣帶來了新機(jī)會。

演講主要內(nèi)容：

第一、密碼與網(wǎng)絡(luò)安全的關(guān)系；第二、密碼的作用；第三、《密碼法》的實(shí)施到底是什么意思？

演講原文：

首先講一下密碼與網(wǎng)絡(luò)安全的關(guān)系。其實(shí)密碼是一個(gè)非常古老的學(xué)科，他在沒有網(wǎng)絡(luò)的時(shí)候就已經(jīng)存在了，凱撒密碼來自于公元前，公元前什么網(wǎng)絡(luò)也沒有，什么資源也沒有，計(jì)算機(jī)最早源于1946年，當(dāng)然英國可能最早，但是他保密沒有發(fā)展起來，所以保密可能害了英國，網(wǎng)絡(luò)1980年開始事始，密碼比圖靈機(jī)比網(wǎng)絡(luò)都早得多，所以密碼對網(wǎng)絡(luò)安全有更大的范疇。密碼現(xiàn)在我們認(rèn)為它是科學(xué)，它有自己的度量體系，支持的范圍超出了網(wǎng)絡(luò)安全，比如他有隨機(jī)性的問題，熵就是隨機(jī)性的一個(gè)度量，可以一比特一比特的度量，是有共識的。安全問題密碼也是有度量的，比如他可以說密碼128比特安全性，他也是有度量的，算法安全是有可證明安全體系的，是通過數(shù)學(xué)體系證明的，網(wǎng)絡(luò)安全差一點(diǎn)，網(wǎng)絡(luò)安全是一個(gè)技術(shù)，正在走向科學(xué)，度量體系尚維形成，沒有量化度量方式，所以沒有科學(xué)，而且理論體系尚未建立，在十三五里面我們專門列了項(xiàng)目，希望支持網(wǎng)絡(luò)安全成為科學(xué)，但到今天為止我們沒有看到任何苗頭說網(wǎng)絡(luò)安全會成為一門科學(xué)，只是技術(shù)，但密碼是科學(xué)。說明密碼對網(wǎng)絡(luò)安全的作用是兩回事兒，差太遠(yuǎn)了。

第二，密碼的作用。首先，計(jì)算機(jī)和網(wǎng)絡(luò)安全是走向密碼的懷抱。為什么這樣，因?yàn)槲覀円呀?jīng)走過了網(wǎng)絡(luò)軟件化的時(shí)代，這是我的一個(gè)判斷，我們是不是進(jìn)入網(wǎng)絡(luò)環(huán)時(shí)代，計(jì)算機(jī)安全已經(jīng)走入可信計(jì)算，做防火墻等最終依賴是代碼安全，代碼安全依靠可信計(jì)算，可信計(jì)算靠密碼的數(shù)字簽名，可信計(jì)算目前已經(jīng)全面應(yīng)用，大家所有計(jì)算機(jī)，包括手機(jī)里面都有數(shù)字簽名，如果沒有數(shù)字簽名手機(jī)很快完蛋了，如果沒有數(shù)字簽名PC機(jī)也完蛋了，所以現(xiàn)在可信計(jì)算已經(jīng)成為計(jì)算機(jī)安全的基礎(chǔ)。

我們又進(jìn)入更新的時(shí)代，我們叫做網(wǎng)絡(luò)軟件化時(shí)代時(shí)代，虛擬化軟硬件分離，計(jì)算機(jī)或者網(wǎng)絡(luò)其實(shí)就變成一段代碼，所以在網(wǎng)上買一個(gè)計(jì)算機(jī)就在網(wǎng)上飄著，就是一段代碼，什么都不是，因?yàn)槲覀冞€有軟件定義網(wǎng)絡(luò)，網(wǎng)絡(luò)是什么？網(wǎng)絡(luò)也是一段代碼，放過去就定義一個(gè)新的網(wǎng)絡(luò)，網(wǎng)絡(luò)虛擬化，包括防火墻，包括路由器，都是網(wǎng)絡(luò)功能，都會去虛擬化，所以軟件定義一切，導(dǎo)致所有的數(shù)字安全隱患也得靠密碼，所以軟件安全、代碼安全，密碼將是未來網(wǎng)絡(luò)安全或者計(jì)算機(jī)安全決定性因素。所以我們說網(wǎng)絡(luò)與系統(tǒng)安全，最后走向系統(tǒng)安全，它的完整、真實(shí)、保密、可用，都會成為未來網(wǎng)絡(luò)安全的核心要素，所以系統(tǒng)和網(wǎng)絡(luò)安全研究會逐步走向密碼的學(xué)術(shù)領(lǐng)域，這是我說的第一個(gè)預(yù)測。

其次，我們已經(jīng)進(jìn)入信息協(xié)作的時(shí)代。什么叫做信息協(xié)作？就是工業(yè)化協(xié)作，工業(yè)化發(fā)展和專業(yè)化的服務(wù)是未來網(wǎng)絡(luò)的一個(gè)重點(diǎn)，就是你沒有一件事情是你自己能干的。舉個(gè)例子，你要做一個(gè)創(chuàng)新，你的數(shù)據(jù)采集可能自己沒有那么多采集點(diǎn)，你的數(shù)據(jù)處理可能沒有這么大的機(jī)器，還是高網(wǎng)上，你的產(chǎn)品銷售可能倚賴淘寶，你的數(shù)據(jù)收取可能倚賴支付寶，所有軟件靠人家終端幫你看，所以我們網(wǎng)上的創(chuàng)新活動完全是依靠協(xié)作來走的，這是工業(yè)化的產(chǎn)物，也是云計(jì)算我們的重要啟示，就是自給自足的信息系統(tǒng)已經(jīng)不存在了，現(xiàn)在我們走向了服務(wù)購買，大家都協(xié)作，協(xié)作已經(jīng)成為未來網(wǎng)絡(luò)的生活方式。

生活方式的特點(diǎn)，農(nóng)業(yè)時(shí)代是自給自足，工業(yè)時(shí)代的食品安全是三聚氰氨、毒牛奶和蘇丹紅之類的東西，PC時(shí)代的信息安全是防病毒、防泄露、防入侵，協(xié)作時(shí)代的信息安全就是有毒信息的防止，叫信息處理安全，跟我們現(xiàn)在的安全完全不一樣。

怎么辦？我們會看到支持協(xié)作怎么支持？密碼最開始節(jié)支持協(xié)作，密碼簽名就是一種協(xié)作，我簽了名你能驗(yàn)證，但是你不能假冒我的簽名，這就是一種協(xié)同，未來同態(tài)密碼也是云計(jì)算的協(xié)同，你給我加減乘除都算了但是你不知道我放的是什么，這是協(xié)作，未來是不是有更好的密碼呢？混淆密碼可能是未來協(xié)作的發(fā)展方向。我把功能給你，你幫我做好，做完你給我，你什么都不知道，我把錢付給你結(jié)束了，協(xié)作重要的也是靠密碼，我們已經(jīng)走向這個(gè)時(shí)代，密碼會起到很重要的作用。

再有，我們已經(jīng)進(jìn)入數(shù)字經(jīng)濟(jì)時(shí)代，要發(fā)展數(shù)字經(jīng)濟(jì)，數(shù)字財(cái)富保護(hù)已經(jīng)成為我們這個(gè)時(shí)代的核心技術(shù)，數(shù)字經(jīng)濟(jì)如果保護(hù)不了財(cái)富什么也不是，經(jīng)濟(jì)不可能發(fā)展，如果財(cái)富沒有保護(hù)就完蛋了，信息數(shù)據(jù)承載著國家和人民的財(cái)富，資產(chǎn)這些東西，包括未來的控制指令、日程安排都是數(shù)據(jù)，都需要保護(hù)，這些保護(hù)可能都需要密碼，數(shù)字時(shí)代生產(chǎn)關(guān)系的保護(hù)可能更重要，大家沒人研究，都講數(shù)據(jù)安全。生產(chǎn)關(guān)系的安全是未來網(wǎng)絡(luò)安全重要的因素，我們在十三五講了保護(hù)生產(chǎn)關(guān)系的安全，保護(hù)生產(chǎn)關(guān)系安全的密碼，比如區(qū)塊鏈，通過錢和私鑰的綁定，這些類似的技術(shù)可能是數(shù)字經(jīng)濟(jì)時(shí)代最核心的保護(hù)生產(chǎn)關(guān)系的技術(shù)。所以我們說，在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)字安全、主體安全，還有主客體的安全，密碼大有可為。

另外，密碼保護(hù)網(wǎng)絡(luò)共同體時(shí)代的主權(quán)?，F(xiàn)在所有網(wǎng)絡(luò)都在一起，逃不過這一張巨大的網(wǎng)，我們的生活都在這個(gè)網(wǎng)上，而且網(wǎng)已經(jīng)變成多元化了，有時(shí)候我們說物理隔離，物理隔離有用嗎？有一點(diǎn)點(diǎn)用，但是在多維環(huán)境下其實(shí)沒用，為什么？這玩意兒輻射吧，天線有時(shí)候輻射吧？一不小心光又輻射出去了，在多維形勢下網(wǎng)絡(luò)連接太多了，網(wǎng)絡(luò)維度太多，又有WIFI這些，物理隔離太難弄了，基本上做不到。所以我們說，黑客無處不在，多維網(wǎng)絡(luò)連接，網(wǎng)絡(luò)攻擊已經(jīng)形成，我們誰都逃不了。

怎么辦理？有人提出零信任，我們沒法信任內(nèi)網(wǎng)，沒法信任物理隔離，零信任最基本的原理是什么？就是叫數(shù)字鑒別和無處不在的加密將成為新形勢下的要求，所以都要加密，這個(gè)東西部知道輻射不輻射，不知道未來通不通，我們零到哪里去呢？我們對內(nèi)網(wǎng)什么都不信任，對員工都不信任，零到哪里去？最后就是一個(gè)Key，別的都不信任，所以從Key開始一層層地建立信任體系，由Key信任我的代碼，由這段代碼信任那段代碼，組成自己的信任體系，那就是零信任的基本，我覺得這個(gè)非常好。

在網(wǎng)絡(luò)命運(yùn)共同體下，密碼是保護(hù)網(wǎng)絡(luò)共同體時(shí)代的主權(quán)的最為重要的基礎(chǔ)技術(shù)，所以談網(wǎng)絡(luò)主權(quán)如果沒有密碼基本上沒有戲。

三、《密碼法》的實(shí)施是號角，也是挑戰(zhàn)?！睹艽a法》的實(shí)施吹響進(jìn)軍新時(shí)代的號角，網(wǎng)絡(luò)軟件化的時(shí)代，密碼決定網(wǎng)絡(luò)與系統(tǒng)安全，信息協(xié)作化的時(shí)代，密碼推動網(wǎng)絡(luò)工業(yè)化發(fā)展，數(shù)字經(jīng)濟(jì)化的時(shí)代，密碼成為數(shù)字經(jīng)濟(jì)發(fā)展的核心技術(shù)，命運(yùn)共同體的時(shí)代，密碼保護(hù)網(wǎng)絡(luò)與系統(tǒng)主權(quán)。

《密碼法》法制化管理密碼技術(shù)，適合這個(gè)時(shí)代的特色，大家要協(xié)作，沒有法律，沒有框架大家也做不了，我們國家《密碼法》做到很多優(yōu)秀點(diǎn)，第一，利用全球智慧的勇氣：所有企業(yè)一視同仁，面向全球市場的戰(zhàn)略：國際標(biāo)準(zhǔn)化戰(zhàn)略，人才培養(yǎng)與科技發(fā)展的挑戰(zhàn)：重視重視再重視，密碼，是我國趕超世界技術(shù)的一個(gè)優(yōu)秀的根據(jù)地，因?yàn)槊艽a我們是最有基礎(chǔ)的，最有好處的，通過這個(gè)在技術(shù)領(lǐng)域的根據(jù)地就是密碼?！睹艽a法》的實(shí)施對我們真的是號角，是一個(gè)挑戰(zhàn)。

演講主要內(nèi)容：

一、商用密碼應(yīng)用技術(shù)體系；二、商用密碼技術(shù)標(biāo)準(zhǔn)；三、商用密碼的典型方案。

演講原文：

一、商用密碼應(yīng)用技術(shù)體系

首先，報(bào)告商用密碼體系之前，需要了解商約密碼的技術(shù)特征，從三個(gè)方面總結(jié)一些特征點(diǎn)。目前大家對內(nèi)生安全呼聲很高，也很深刻，但是核心技術(shù)就是密碼技術(shù)。第二，密碼技術(shù)貫穿整體、全部，也就是從底層硬件開始，從芯片開始，硬件平臺開始，這是底層，無論通用計(jì)算機(jī)也好，網(wǎng)絡(luò)設(shè)備也好，都有操作系統(tǒng)，在操作系統(tǒng)之上就是應(yīng)用服務(wù)器，或者中間件，大型系動或者應(yīng)用器系統(tǒng)中間件平臺是非常重要的，中間件之上構(gòu)建我們的平臺業(yè)務(wù)，密碼貫穿整個(gè)體系，整個(gè)層次。

第三，密碼技術(shù)的應(yīng)用需要從系統(tǒng)開始規(guī)劃和設(shè)計(jì)開始，盡量滿足各個(gè)層次的要求。因?yàn)榇蠹铱梢钥吹?，從上面兩個(gè)特征來講，密碼嵌入式安全技術(shù)，無論從領(lǐng)域和業(yè)務(wù)都需要，如果在某一層規(guī)劃和設(shè)計(jì)時(shí)候，如果沒有進(jìn)行密碼應(yīng)用設(shè)計(jì)，在后面改動各方面會有非常大的困難，密碼應(yīng)用核心點(diǎn)從開始的規(guī)劃和設(shè)計(jì)開始，就要進(jìn)入到設(shè)計(jì)里去。

第二個(gè)方面，密碼在業(yè)務(wù)應(yīng)用系統(tǒng)的作用。應(yīng)用作用實(shí)際上密碼技術(shù)在整個(gè)業(yè)務(wù)體系中的作用包含四方面，第一，實(shí)現(xiàn)正確的身份鑒別和權(quán)限的控制，第二，保證關(guān)鍵數(shù)據(jù)的真實(shí)性和完整性，第三，保證關(guān)鍵數(shù)據(jù)的機(jī)密性，第四，實(shí)現(xiàn)關(guān)鍵操作的不可否認(rèn)性?；诿艽a的特征和密碼在應(yīng)用系統(tǒng)的作用我們可以構(gòu)架出密碼系統(tǒng)的應(yīng)用技術(shù)體系。

這個(gè)應(yīng)用技術(shù)體系是一個(gè)通用的技術(shù)體系，在大系統(tǒng)實(shí)現(xiàn)來講，密碼應(yīng)用體系可以包含四個(gè)層次，最底層是密碼的算法層次，密碼是由數(shù)學(xué)算法實(shí)現(xiàn)的，包括對稱算法、非對稱算法、簽名算法、哈希算法，為了算法的實(shí)現(xiàn)和應(yīng)用，構(gòu)成了工程實(shí)現(xiàn)，第一部分是密碼應(yīng)用設(shè)備的支撐層，在這一層密碼單元具體的運(yùn)算和實(shí)現(xiàn)，包括常用的加密機(jī)、加密卡、云加密設(shè)備、SDK、USDK、密碼模塊。密碼實(shí)現(xiàn)這一層，我們構(gòu)建面向業(yè)務(wù)的密碼服務(wù)層，因?yàn)樵诘讓用艽a設(shè)備都是密碼運(yùn)算單元，為了滿足應(yīng)用系統(tǒng)的千變?nèi)f化和豐富的業(yè)務(wù)需求，所以我們要構(gòu)建一層密碼應(yīng)用的服務(wù)層，包含針對密碼具體應(yīng)用包裝業(yè)務(wù)，包含身份認(rèn)證，還有加密的協(xié)議，電子簽名，還有實(shí)踐戳服務(wù)，還有一系列應(yīng)用服務(wù)，這些應(yīng)用服務(wù)可以對上層直接提供業(yè)務(wù)和接口，這就包含了平臺側(cè)和終端側(cè)兩端進(jìn)行實(shí)現(xiàn)。

為了保證實(shí)現(xiàn)，為了保證從底層、應(yīng)用層、芯片層、業(yè)務(wù)層的安全和體系的建立，我們建立密碼的基礎(chǔ)設(shè)施，密碼的基礎(chǔ)設(shè)施是從底層到上頭都需要貫穿，包含我們常用到的密碼基礎(chǔ)設(shè)施，包含密鑰系統(tǒng)，這就是密碼整體應(yīng)用技術(shù)體系。

針對密碼應(yīng)用體系已經(jīng)寫入了密碼的行業(yè)標(biāo)準(zhǔn)，這是在密碼行業(yè)標(biāo)準(zhǔn)中對公鑰密碼技術(shù)體系具體實(shí)現(xiàn)的框架圖，跟前面這張圖基本一致。最上層密碼設(shè)備服務(wù)層，包含了密碼設(shè)備的實(shí)現(xiàn)，包括云密碼設(shè)備和專用密碼設(shè)備，上一層涉及到典型的密碼應(yīng)用，包括身份認(rèn)證、電子簽名等，右側(cè)是密碼基礎(chǔ)設(shè)施，包括密鑰管理系統(tǒng)，密鑰的證書管理系統(tǒng)等系統(tǒng)，還有一些支撐體系，還有時(shí)間服務(wù)的支撐體系，在密碼服務(wù)層整體之上，構(gòu)建業(yè)務(wù)應(yīng)用系統(tǒng)，這個(gè)就是整個(gè)密碼應(yīng)用技術(shù)體系的構(gòu)成。

二、商用密碼技術(shù)標(biāo)準(zhǔn)。

針對剛才講到的按照密碼應(yīng)用技術(shù)體系，我們要實(shí)現(xiàn)和實(shí)施、固化，必須用標(biāo)準(zhǔn)的形勢固化、定型，只有標(biāo)準(zhǔn)定型之后才有可能實(shí)現(xiàn)密碼大規(guī)模應(yīng)用。針對密碼標(biāo)準(zhǔn)的密碼應(yīng)用技術(shù)體系，設(shè)計(jì)商用密碼的技術(shù)體系和標(biāo)準(zhǔn)，商用密碼標(biāo)準(zhǔn)里面，在技術(shù)層次，這個(gè)圖從三個(gè)維護(hù)闡述了商用密碼的技術(shù)框架，第一個(gè)層次，技術(shù)層次，分成三大類，密碼基礎(chǔ)類、基礎(chǔ)設(shè)施類、密碼產(chǎn)品類、應(yīng)用支撐類、密碼應(yīng)用類、密碼檢測類、商用密碼的管理類，這是在管理維度。

從技術(shù)應(yīng)用角度也可以針對具體行業(yè)具體應(yīng)用，可以界定行業(yè)的標(biāo)準(zhǔn)，比如金融標(biāo)準(zhǔn)，通訊標(biāo)準(zhǔn)，電力行業(yè)標(biāo)準(zhǔn)、交通標(biāo)準(zhǔn)，這是把密碼應(yīng)用和具體行業(yè)結(jié)合，進(jìn)一步細(xì)化。第三個(gè)維度，管理緯度，從密碼權(quán)威和發(fā)布等級來看，把密碼標(biāo)準(zhǔn)劃分成國家標(biāo)準(zhǔn)、密碼行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)，通常是密碼的國家標(biāo)準(zhǔn)由密碼行業(yè)標(biāo)準(zhǔn)進(jìn)行升級，經(jīng)過廣泛實(shí)踐和應(yīng)用，升級成國家標(biāo)準(zhǔn)，這是當(dāng)前密碼的標(biāo)準(zhǔn)體系。

在技術(shù)緯度上進(jìn)一步劃分的這張圖，是對密碼緯度標(biāo)準(zhǔn)技術(shù)緯度進(jìn)行進(jìn)一步劃分，包含了產(chǎn)品的標(biāo)準(zhǔn)、檢測的標(biāo)準(zhǔn)，還有針對產(chǎn)品來講也進(jìn)行各種分類。

目前我們國家已經(jīng)發(fā)布了國密行業(yè)標(biāo)準(zhǔn)91項(xiàng)，其中有26項(xiàng)升級為國家標(biāo)準(zhǔn)，這些設(shè)備的這些標(biāo)準(zhǔn)涵蓋的內(nèi)容非常豐富，包含了密碼基礎(chǔ)類標(biāo)準(zhǔn)、密碼算法類標(biāo)準(zhǔn)，算法類標(biāo)準(zhǔn)包括公鑰算法等，另外包括基礎(chǔ)設(shè)備類的密碼標(biāo)準(zhǔn)，包括密碼的公鑰基礎(chǔ)設(shè)施標(biāo)準(zhǔn)，還有證書認(rèn)證相關(guān)的密鑰系統(tǒng)標(biāo)準(zhǔn)。應(yīng)用系統(tǒng)標(biāo)準(zhǔn)里面制定大量的應(yīng)用系統(tǒng)標(biāo)準(zhǔn)，包括密碼服務(wù)的接口標(biāo)準(zhǔn)、通用標(biāo)準(zhǔn)。

為了密碼更好落地實(shí)施，制定了很多商用密碼產(chǎn)品的標(biāo)準(zhǔn)，指導(dǎo)產(chǎn)品設(shè)備的生產(chǎn)、制造和認(rèn)證，包含最核心的一個(gè)基礎(chǔ)的標(biāo)準(zhǔn)就是通用技術(shù)要求，這里升級為國家標(biāo)準(zhǔn)，也就是密碼模塊安全技術(shù)要求。針對具體設(shè)備，也定了很多其他的標(biāo)準(zhǔn)，包括VPN設(shè)備的標(biāo)準(zhǔn)，可信計(jì)算的標(biāo)準(zhǔn)，對稱密鑰管理規(guī)范標(biāo)準(zhǔn)、遠(yuǎn)程監(jiān)控標(biāo)準(zhǔn)等一系列標(biāo)準(zhǔn)。

另外一方面，包括密碼應(yīng)用類標(biāo)準(zhǔn)，這涉及到行業(yè)類應(yīng)用標(biāo)準(zhǔn)，包括網(wǎng)銀的金融卡密碼標(biāo)準(zhǔn)等相關(guān)標(biāo)準(zhǔn)，還有電子公文交換的密碼標(biāo)準(zhǔn)。

第四大類，檢測標(biāo)準(zhǔn)，針對剛才談到的通用密碼設(shè)備標(biāo)準(zhǔn)和行業(yè)的密碼應(yīng)用要求，密標(biāo)委制定一系列密碼檢測標(biāo)準(zhǔn)，還有管理標(biāo)準(zhǔn)，對密碼生產(chǎn)、制造、檢測規(guī)定管理標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)都是公開的，可以從網(wǎng)上獲得。

下面針對國內(nèi)標(biāo)準(zhǔn)做稍微詳細(xì)的一些解讀和解釋，大家目前經(jīng)常會用到的，以及這次密碼測評依據(jù)和標(biāo)準(zhǔn)，就是信息系統(tǒng)密碼應(yīng)用的基本要求，這個(gè)密碼標(biāo)準(zhǔn)以前正在升級成國家標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)從系統(tǒng)的物理安全、網(wǎng)絡(luò)的通信安全，設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全四個(gè)層面提出了等級保護(hù)不同級別的密碼技術(shù)應(yīng)用要求。

總體技術(shù)要求包含的涉及到密碼算法和采用，密碼技術(shù)的采用和密碼產(chǎn)品的采用，以及密碼服務(wù)，對這四方面進(jìn)行規(guī)定。這個(gè)標(biāo)準(zhǔn)制定依據(jù)對標(biāo)，根據(jù)等級保護(hù)的要求，對于我們現(xiàn)有的信息系統(tǒng)建設(shè)一般按照等級保護(hù)要求需要?jiǎng)澐殖伤膫€(gè)級別，一級二級三級四級，對應(yīng)等級保護(hù)四個(gè)等級的要求，密碼技術(shù)應(yīng)該涉及到什么層次呢？在這個(gè)標(biāo)準(zhǔn)里面做了比較詳細(xì)的規(guī)定。第一個(gè)層次，在等級保護(hù)里面信息系統(tǒng)建設(shè)中對安全物理環(huán)境要求，對密碼的安全物理環(huán)境要求有身份兼并、電子門檻記錄數(shù)據(jù)完整性、飾品記錄數(shù)據(jù)完整性、密碼模塊實(shí)現(xiàn)，對密碼等級做了規(guī)定。對一級系統(tǒng)來說是可采用，二級是宜采用，推薦使用密碼技術(shù)，符合三級等保的是應(yīng)使用，三級或三級以上的信息系統(tǒng)中，對實(shí)現(xiàn)安全物理環(huán)境是必須的選擇，如果產(chǎn)品中用到密碼模塊，需要用到二級以上的密碼模塊。

安全通信網(wǎng)絡(luò)密碼應(yīng)用要求，包括交換機(jī)、路由器、防火墻、網(wǎng)絡(luò)安全設(shè)備這些，也存在身份鑒別、數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性、通道安全、密碼模塊實(shí)現(xiàn)，針對三級以上的系統(tǒng)，密碼技術(shù)采用都是一種必須的選項(xiàng)。對二級系統(tǒng)采用推薦性的選用。

對于網(wǎng)絡(luò)安全邊界的要求，這些設(shè)備要求，密碼規(guī)范中也進(jìn)行了要求，同樣是對于三級系統(tǒng)密碼的網(wǎng)絡(luò)邊界的設(shè)備所采用的密碼技術(shù)，對于三級系統(tǒng)必須采用，對于二級系統(tǒng)推薦采用。

對于下面的核心計(jì)算環(huán)境，就是安全的計(jì)算環(huán)境，特別業(yè)務(wù)系統(tǒng)用在大量的計(jì)算環(huán)境上，所用到的設(shè)備和計(jì)算環(huán)境，包含設(shè)備主機(jī)、服務(wù)器、終端，這個(gè)在等級保護(hù)兩面同樣劃分為一級二級三級四級，在計(jì)算環(huán)境和設(shè)備中，同樣涉及到用戶的身份認(rèn)證、管理員的身份認(rèn)證、信息訪問控制、信息完整性、管理通道的完整性、重要成分完整性，對于二級系統(tǒng)，建議采用密碼技術(shù)來實(shí)現(xiàn)這些保護(hù)，對于三級或者三級以上系統(tǒng)，對于計(jì)算環(huán)境這些單元都要采用密碼技術(shù)進(jìn)行保護(hù)。其中，密碼模塊保護(hù)也需要具備二級和二級以上方面的安全能力。

第四個(gè)方面，關(guān)于應(yīng)用和數(shù)據(jù)方面，這也是目前等級保護(hù)的重要內(nèi)容，也是信息系統(tǒng)里面核心的數(shù)據(jù)資產(chǎn)。應(yīng)用數(shù)據(jù)是大量的采用了用戶的身份認(rèn)證、訪問控制和數(shù)據(jù)傳輸?shù)陌踩?、?shù)據(jù)加密的安全，以及存儲日志的安全、重要系統(tǒng)的加載、重要程序的加載和卸載問題，以及實(shí)現(xiàn)業(yè)務(wù)層面的防篡改要求，必須使用密碼技術(shù)才能做到完整保護(hù)，在標(biāo)準(zhǔn)里面，要求在三級和三級以上的系統(tǒng)必須采用密碼技術(shù)保護(hù)，在二級系統(tǒng)推薦采用密碼技術(shù)來實(shí)現(xiàn)。這就涉及到密碼設(shè)備包含統(tǒng)一認(rèn)證系統(tǒng)、數(shù)字證書系統(tǒng)、訪問控制系統(tǒng)、文件加密系統(tǒng)等等。

除了剛才講的設(shè)備層和運(yùn)算層、服務(wù)層，還有密鑰管理，在信息系統(tǒng)建設(shè)中，用到密碼就離不開密鑰管理，針對密鑰管理系統(tǒng)，同樣密碼管理也采用密碼技術(shù)才能保護(hù)，所以涉及到密鑰管理系統(tǒng)必須采用密碼技術(shù)進(jìn)行保護(hù)。

最后標(biāo)準(zhǔn)里面涉及到安全上的管理要點(diǎn)，對于安全的制定，安全管理制度規(guī)定，人員管理規(guī)定，同樣在等級保護(hù)中，在系統(tǒng)設(shè)計(jì)中，設(shè)計(jì)安全的密碼管理制度和人員管理制度。在事實(shí)和應(yīng)急方面，設(shè)計(jì)密碼的實(shí)施方案和應(yīng)急方案。

三、商用密碼應(yīng)用典型方案

商用密碼的典型方案，商用密碼的設(shè)計(jì)和實(shí)施核心點(diǎn)有幾個(gè)原則，最重要的一個(gè)原則就是三同步原則，同步規(guī)劃、同步建設(shè)、同步運(yùn)用，密碼是內(nèi)嵌技術(shù)，嵌入應(yīng)用的各個(gè)層面，所以必須在系統(tǒng)建設(shè)初期就進(jìn)行同步規(guī)劃和建設(shè)，當(dāng)然其他的原則包括頂層設(shè)計(jì)原則、科學(xué)性原則、完備性原則、可行性原則。

網(wǎng)絡(luò)整體架構(gòu)，這是我們?？吹降木W(wǎng)絡(luò)整體方案架構(gòu)，無論做等級保護(hù)還是密碼應(yīng)用測評，都會面臨同樣應(yīng)用系統(tǒng)和同樣的網(wǎng)絡(luò)，在這個(gè)網(wǎng)絡(luò)中，包含了網(wǎng)絡(luò)接入設(shè)備，網(wǎng)絡(luò)安全邊界設(shè)備，包括防火墻和應(yīng)用系統(tǒng)、管理中心，在系統(tǒng)中我們?nèi)绾卧O(shè)計(jì)密碼？密碼從這張圖上一下看不出設(shè)備，在設(shè)備中都需要含有密碼技術(shù)，比如說需要SSLVPN網(wǎng)關(guān)，需要防火墻、路由器，訪問控制、底層運(yùn)算也需要密碼技術(shù)，都含有密碼技術(shù)。對于應(yīng)用層來講，應(yīng)用層系統(tǒng)需要外掛建立密碼支撐系統(tǒng)、支撐平臺，包含了認(rèn)證系統(tǒng)、數(shù)據(jù)中心、密鑰管理中心、身份認(rèn)證協(xié)同。

后面兩個(gè)片子介紹兩個(gè)實(shí)際的應(yīng)用層的密碼應(yīng)用案例，這是典型的手機(jī)銀行、往上銀行密碼應(yīng)用安全方案。上面這一層是銀行的業(yè)務(wù)系統(tǒng)，包含業(yè)務(wù)交易系統(tǒng)和賬戶系統(tǒng)，為了保證安全，在銀行系統(tǒng)里需要建立密碼的支撐平臺，密碼的服務(wù)平臺。密碼服務(wù)平臺包含哪些東西？最頂層的核心的密碼運(yùn)算設(shè)備，以及電子簽名驗(yàn)簽服務(wù)器，數(shù)字證書系統(tǒng)，密鑰服務(wù)系統(tǒng)，移動端應(yīng)用后臺需要建立移動端手機(jī)密鑰管理系統(tǒng)，終端側(cè)同樣內(nèi)嵌密碼模塊，支持銀行的業(yè)務(wù)應(yīng)用，在PC端可以采用U盾或內(nèi)置密碼模塊，手機(jī)端是手機(jī)終端密碼模塊，手機(jī)中斷密碼模塊可以達(dá)到二級要求。

第二個(gè)方案案例云密碼服務(wù)支撐蒲臺，大量的政務(wù)云和商業(yè)云普遍采用，行業(yè)云也普遍采用，業(yè)務(wù)在集中，業(yè)務(wù)集中氣量，根據(jù)我們要求，對業(yè)務(wù)應(yīng)用系統(tǒng)需要單獨(dú)進(jìn)行等級保護(hù)的測評和密碼應(yīng)用的測評，同樣，對于每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)如果單建合同是不合適的，在云上很難建設(shè)，所以針對云系統(tǒng)、云平臺，需要建立一整套的云密碼服務(wù)支撐平臺，需要云密碼服務(wù)器，高速的簽名驗(yàn)簽服務(wù)器，CA數(shù)字系統(tǒng)，針對手機(jī)端要有手機(jī)盾密碼平臺，我們要建立云密碼服務(wù)平臺，它為云上所有業(yè)務(wù)系統(tǒng)提供支撐和服務(wù)，在通訊方面構(gòu)建完整的（英文）平臺，采用多種傳輸，在終端通過密碼模塊實(shí)現(xiàn)終端的業(yè)務(wù)安全。

演講主要內(nèi)容：

第一、商用密碼在通信領(lǐng)域的應(yīng)用；第二、后5G和6G方面通訊網(wǎng)應(yīng)該怎么做

演講原文：

首先講第一部分，商用密碼在通信領(lǐng)域的應(yīng)用。我們在整個(gè)通信領(lǐng)域來看，一般都是講端到端，從設(shè)備本身到網(wǎng)絡(luò)再到應(yīng)用整個(gè)過程，在整個(gè)過程中，我們很多業(yè)務(wù)都使用了密碼技術(shù)，它包括在專用的特定的芯片里面算法，在手機(jī)中進(jìn)行使用，大家可能熟知的技術(shù)里面就使用這樣一種方式。

另外，物聯(lián)網(wǎng)、智慧城市安全解決方案中，很重要的一點(diǎn)是連接，在連接中，很關(guān)鍵的地方在于互聯(lián)網(wǎng)接入大網(wǎng)過程中，它的連接安全性怎么控制，這上面我們有一個(gè)叫安全報(bào)的攙進(jìn)，也有很多應(yīng)用了，這里面如何做一些密碼。包括在業(yè)務(wù)應(yīng)用方面，現(xiàn)在疫情期間，云視訊應(yīng)用量非常大，開會等需要視頻加密，做了加密視頻的應(yīng)用。我們非常高興在4G里面，我們把128已經(jīng)放進(jìn)去了，包括ES、SM3哈希都是我們的算法，在電信網(wǎng)的設(shè)備中，特別在UE等三個(gè)關(guān)鍵設(shè)備中都有相應(yīng)的應(yīng)用，在限令層面是UE到ME，流量上面都開啟了這樣的應(yīng)用。

包括加密電話，密話應(yīng)用也是我們所的設(shè)計(jì)，現(xiàn)在有幾萬臺使用，最主從通信網(wǎng)來看是很小眾的應(yīng)用，滿足特定場景上的應(yīng)用，在華為的Mete系統(tǒng)終端，包括小米、OPPO各種手機(jī)上面都適配了相關(guān)加密終端，有大概三萬多臺應(yīng)用，特別在四川省推薦這塊，四川省委標(biāo)桿性應(yīng)用，在新疆也有這樣的應(yīng)用。很關(guān)鍵的一點(diǎn)，在設(shè)計(jì)中我稍微參與了一些，設(shè)計(jì)中有一個(gè)點(diǎn)，它應(yīng)該怎么去做，因?yàn)樗且粋€(gè)全球密碼，符合要求。

我們設(shè)計(jì)開發(fā)一款產(chǎn)品叫安連寶，是大量互聯(lián)網(wǎng)終端接入情況下，我們傳統(tǒng)侵入式的把密碼一開始把它放進(jìn)去不現(xiàn)實(shí)，比如手機(jī)終端還很現(xiàn)實(shí)，因?yàn)槭謾C(jī)終端第一品牌量不大，第二，資源相對是無限的，但是對于一些物聯(lián)網(wǎng)終端來講，資源比較受限，第二品牌量泰達(dá)，所以可信的根的設(shè)計(jì)加入進(jìn)去是很難的，我們創(chuàng)新系統(tǒng)提出，從物聯(lián)網(wǎng)接入第一個(gè)位置，就是物聯(lián)網(wǎng)邊界網(wǎng)關(guān)設(shè)備，把物聯(lián)網(wǎng)設(shè)備接入它，如果從網(wǎng)絡(luò)側(cè)看下去每一個(gè)網(wǎng)關(guān)就是一個(gè)設(shè)備，物聯(lián)網(wǎng)接入設(shè)備就是外設(shè)，這樣一種連接模式構(gòu)建類似的一個(gè)可信的（英文），下面接了一些物聯(lián)網(wǎng)的NOTE，形成一個(gè)核心的系統(tǒng)，再接入大網(wǎng)，這種模式也在我們整個(gè)移動體系下得以在4G環(huán)境下已經(jīng)有了大概6萬多臺的推廣，為現(xiàn)在的智慧城市和一些物聯(lián)網(wǎng)典型行業(yè)應(yīng)用提供了一些點(diǎn)。

加密視頻會議，兩種模式，一種，云端會議模式，一種入駐式會議模式，在兩種會議模式上通過VSBC的會話系統(tǒng)，形成加密會議的開展，目前在山西、寧夏都有一定的落地。

下面重點(diǎn)分享一下我們在后5G和6G方面通訊網(wǎng)應(yīng)該怎么做。

因?yàn)閯偛藕芏囝I(lǐng)導(dǎo)和專家都講了很多，剛才跟鄭老師聊，在5G時(shí)代里面，如果說4G是改變生活的話，5G應(yīng)該改變社會。5G改變社會它和4G有什么樣的區(qū)別？我理解最重要的區(qū)別是，我們逐漸地把這張通信網(wǎng)絡(luò)這個(gè)大的網(wǎng)絡(luò)分成兩類，一類叫做消費(fèi)網(wǎng)絡(luò)，一類叫做產(chǎn)業(yè)，更準(zhǔn)確一點(diǎn)，一類以自然人組成的，在網(wǎng)上的個(gè)體，一類是以法人或者組織機(jī)構(gòu)為核心的一類群體進(jìn)行的形勢。

在這樣的形勢下，我們發(fā)現(xiàn)個(gè)人在上網(wǎng)的時(shí)候什么時(shí)間都行，因?yàn)殪`活，組織不行，組織不考慮我不能跟誰做生意，更多考慮我跟誰做生意，這就引來我們對整個(gè)網(wǎng)絡(luò)設(shè)計(jì)理念上的變化，就是從傳統(tǒng)的風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)是一種概率性的問題，包括三個(gè)方面，脆弱性資產(chǎn)，算出來一個(gè)風(fēng)險(xiǎn)價(jià)值，其中算法里面包含很多概率性問題。但是從現(xiàn)實(shí)角度來看，它其實(shí)是一種確定性的理念，所以如果從設(shè)計(jì)上來講，就是由概率性的風(fēng)險(xiǎn)控制向確定性的信任價(jià)值，重在信任建立，負(fù)在風(fēng)險(xiǎn)控制，這樣一個(gè)網(wǎng)絡(luò)設(shè)計(jì)，以信任為基礎(chǔ)，確保網(wǎng)絡(luò)的可預(yù)期性。

第二，防護(hù)的指導(dǎo)權(quán)在哪兒，防護(hù)指導(dǎo)權(quán)在產(chǎn)業(yè)互聯(lián)網(wǎng)里面不應(yīng)該是終端自由化的過程，而應(yīng)該是業(yè)務(wù)開展和業(yè)務(wù)應(yīng)用，因?yàn)槲磥砭W(wǎng)絡(luò)更多存在確定性。確定性網(wǎng)絡(luò)里面除了算力、存儲，它的安全性，整個(gè)業(yè)務(wù)，像QS等等，一系列的東西，可能會給予客戶確定性的服務(wù)，而非以前的方式，所以安全可能在這里面形成確定性的內(nèi)生是未來網(wǎng)絡(luò)中內(nèi)生家里的重要部分。

第三個(gè)，運(yùn)營方式的變化。業(yè)務(wù)的主體可能會從個(gè)人轉(zhuǎn)移到網(wǎng)絡(luò)的運(yùn)營方，所以，它的信任基點(diǎn)也會從個(gè)人向運(yùn)營方發(fā)展，這個(gè)做消費(fèi)互聯(lián)網(wǎng)的可能難以轉(zhuǎn)換，這種形勢變化在產(chǎn)業(yè)互聯(lián)網(wǎng)上會有很大的發(fā)展。傳統(tǒng)網(wǎng)絡(luò)安全形勢和高通量、低延時(shí)的產(chǎn)業(yè)互聯(lián)網(wǎng)安全形勢會有變換，由于帶寬增高使得終端算力不斷降低形成重網(wǎng)絡(luò)輕終端的產(chǎn)業(yè)格局變化，再有可靠性增強(qiáng)和域內(nèi)安全強(qiáng)組織化，而域間形成信任傳遞，另外信任鏈保護(hù)從設(shè)備到操作系統(tǒng)到應(yīng)用到數(shù)據(jù)。

整個(gè)這塊網(wǎng)絡(luò)體系的變化，我們把它定義為可傳遞信任鏈的安全賦能系統(tǒng)，這套系統(tǒng)里面講了這十個(gè)字之后，我們認(rèn)為有三項(xiàng)技術(shù)非常重要的三項(xiàng)技術(shù)，第一，信任鏈的建立，云計(jì)算技術(shù)，第二，信任的傳遞，應(yīng)該是共識技術(shù)，第三，安全賦能技術(shù)，因?yàn)閺倪\(yùn)營商角度來講，看到全網(wǎng)大量數(shù)據(jù)，這種數(shù)據(jù)的采集和分析，當(dāng)然包括一些類似公司，可能有很多這樣的數(shù)據(jù)，這些數(shù)據(jù)在組織方面進(jìn)行情報(bào)的交換，會使得全網(wǎng)有一個(gè)非常非常強(qiáng)大的安全大腦，在這里面我們也希望運(yùn)營商協(xié)同其他廠商為我國形成安全大腦，形成支持運(yùn)用。

這里講到支持運(yùn)用，這不是今天的重點(diǎn)，但是這是運(yùn)營的核心，它是需要核心計(jì)算保護(hù)的，因?yàn)檎麄€(gè)支持?jǐn)?shù)據(jù)采集過程，以及智慧形成之后的下發(fā)過程，都需要一套信任的基點(diǎn)傳遞，否則會喪失。

這個(gè)就是我們在一個(gè)很粗糙的對未來網(wǎng)絡(luò)的內(nèi)生安全設(shè)計(jì)，我們會看到，在頂端的安全能力嚴(yán)謹(jǐn)都是云網(wǎng)融合的系統(tǒng)，安全能力的輸出背后是一套威脅情報(bào)，是運(yùn)營的系統(tǒng)，是從數(shù)據(jù)到支持到?jīng)Q策的過程。在網(wǎng)絡(luò)層面，會形成核心的一個(gè)連接，核心連接基于底層的是設(shè)備本身從根到操作系統(tǒng)到應(yīng)用的建立過程。但是，因?yàn)橛騼?nèi)是強(qiáng)管理的，它的運(yùn)營權(quán)是域內(nèi)組織的運(yùn)營權(quán)，但是端是通過一些共識機(jī)制協(xié)同的信任鏈的傳遞過程，這是我們對于整個(gè)的預(yù)期。

從信任來看，這里面也講了，可信的網(wǎng)絡(luò)設(shè)備我們正在做一些這方面的嘗試，這方面的嘗試主要從兩個(gè)角度入手，第一個(gè)我們認(rèn)為，可信計(jì)算做的點(diǎn)，因?yàn)槲锫?lián)網(wǎng)以設(shè)備為主題，當(dāng)一個(gè)物聯(lián)網(wǎng)系統(tǒng)突然發(fā)生一些變化，我們有理由相信是人造成的，在物聯(lián)網(wǎng)系統(tǒng)里面更多符合預(yù)期，符合定義產(chǎn)生的，這里恢復(fù)和保證預(yù)期的計(jì)算方式。

另外一個(gè)方向，切入點(diǎn)是在現(xiàn)在的點(diǎn)，在整個(gè)網(wǎng)絡(luò)功能的虛擬化過程中，通用的計(jì)算設(shè)備已經(jīng)可以作為底層整個(gè)算力基礎(chǔ)，而在通用算力基礎(chǔ)上建立信任的卯點(diǎn)，用一種保證預(yù)期的方式給予他這樣的一個(gè)保護(hù)的話，對于陸游層面的這塊來講應(yīng)該比以前更為容易了。所以我們現(xiàn)在從這兩個(gè)方向入手，從方向到網(wǎng)絡(luò)節(jié)點(diǎn)之間建立可信連接。

整個(gè)可信鏈傳遞過程，包括剛才講的設(shè)備、網(wǎng)絡(luò)、應(yīng)用數(shù)據(jù)三個(gè)層面，我們發(fā)現(xiàn)這樣一個(gè)標(biāo)識體系下，上對下是逐層信任的，我們難以想象一個(gè)應(yīng)用數(shù)據(jù)脫離網(wǎng)絡(luò)和設(shè)備的環(huán)境保障情況下能夠得到一個(gè)完整性的保護(hù)，其實(shí)他只是應(yīng)用內(nèi)的一個(gè)簡單的數(shù)據(jù)保護(hù)，并不能夠得到一個(gè)完全性保護(hù)，為什么呢？因?yàn)樵谡麄€(gè)陸游過程中，可能你的數(shù)據(jù)會陸游到別的地方去，可能你的底層設(shè)備身份會被別的替代，所以應(yīng)用層是向下來保證的，網(wǎng)絡(luò)層面不關(guān)注你應(yīng)用信息層面的保證，但是會關(guān)注設(shè)備層面。這里面還有一個(gè)很關(guān)鍵的要素是數(shù)據(jù)，對于數(shù)據(jù)的傳輸我們正在研究，類似于傳染病學(xué)的方法，當(dāng)一個(gè)數(shù)據(jù)被污染的情況下會怎么樣，這里面包括了保密的數(shù)據(jù)該怎么去做，沒有加密過的數(shù)據(jù)該怎么去做，在這個(gè)方面我們用了很多標(biāo)識以及加密搜索的技術(shù)，相關(guān)論文正在路上。

在設(shè)備信任層面我們做到采集設(shè)備的狀態(tài)到判斷設(shè)備的信任性，到下發(fā)網(wǎng)絡(luò)的策略，全程的信任傳遞過程，對于網(wǎng)絡(luò)控制鏈，信任平臺的評估層和完整性的度量方式，這種連接的過程。整個(gè)網(wǎng)絡(luò)這里面其實(shí)華為也有一個(gè)特別好的技術(shù)在探討，就是關(guān)于隱私性和可審計(jì)性沖突問題該怎么做，如果從法人角度之間是互信的，法人下邊所有的東西就可以傳遞這樣一個(gè)信任，就像兩個(gè)人如果不熟，攀談時(shí)候找到一個(gè)共同相信的人聊跟他的事兒，其實(shí)這種信任的傳遞是這樣一個(gè)過程。

整個(gè)信任的傳遞過程有一個(gè)公式叫做能力、信譽(yù)，以及這件事對他的重要程度，這三者之間構(gòu)成信任主體。在我們做的框架內(nèi)，他的能力是通過云計(jì)算進(jìn)行保證的，他的信譽(yù)通過剛才說的安全大腦收集信息來形成的，對于他的重要程度，滿足等級保護(hù)要求，對于他的資產(chǎn)和數(shù)據(jù)價(jià)值進(jìn)行評估，所以三者可以形成可計(jì)算、度量的過程。在域間的信任傳遞石，如果信任關(guān)系沒有建立好的話，對于域內(nèi)信息可以保護(hù)，這是數(shù)據(jù)染色的一個(gè)過程，這是域間共識機(jī)制。

最后講現(xiàn)在中國移動內(nèi)生SD—WAN應(yīng)用案例，在多企業(yè)分支情況下，依托大腦進(jìn)行這樣一個(gè)業(yè)務(wù)傳遞是非常多的一種應(yīng)用，在這里面通過安全賦能，對整個(gè)CPE進(jìn)行一些信任卯點(diǎn)設(shè)計(jì)，包括訪問控制、防護(hù)檢測，以及網(wǎng)絡(luò)選擇控制，包括QOS等等進(jìn)行確定性的服務(wù)設(shè)計(jì)。

我們在陜西石油、廣東高速公路都做了一些案例，這就是廣東高速公路的案例，我們可以看到，這張網(wǎng)在本地的專網(wǎng)和我們的5G網(wǎng)絡(luò)中可以進(jìn)行切換，同時(shí)安全性也不受到任何影響，因?yàn)槲覀冊谖覀兊?G網(wǎng)絡(luò)中有他的可信連接，包括他的業(yè)務(wù)選擇，在邊界上這臺白色的設(shè)備就是我們的產(chǎn)品，在這里面也應(yīng)用了可信的啟動機(jī)制，把他當(dāng)時(shí)的環(huán)境安全性得以保證，整體應(yīng)用了廣東省十個(gè)市182個(gè)站進(jìn)行了這個(gè)方案的應(yīng)用，除此之外，我們在陜西石油，福建抗疫過程中也有相應(yīng)的一些應(yīng)用。