導讀：當前，新一代信息技術(shù)不斷發(fā)展，推動人類社會從“信息化”向“網(wǎng)絡化”“智能化”轉(zhuǎn)變，開啟了萬物互聯(lián)新時代，復雜的萬物互聯(lián)環(huán)境使得網(wǎng)絡空間面臨迥異以往的嚴峻安全挑戰(zhàn)。為維護網(wǎng)絡空間安全，我國陸續(xù)發(fā)布實施商用《網(wǎng)絡安全法》和《密碼法》等法律法規(guī)，為網(wǎng)絡安全保障體系建設和密碼應用推廣工作指明了方向，但在物聯(lián)網(wǎng)等重點領(lǐng)域，商用密碼應用推廣工作還存在較大發(fā)展空間。

1

引言

當前，物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等新一代信息技術(shù)不斷發(fā)展，推動人類社會從“信息化”向“網(wǎng)絡化”“智能化”轉(zhuǎn)變，開啟了萬物互聯(lián)新時代。與此同時，復雜的萬物互聯(lián)環(huán)境使得網(wǎng)絡空間面臨迥異以往的嚴峻安全挑戰(zhàn)。密碼作為國家重要戰(zhàn)略資源，是保障網(wǎng)絡空間安全的核心技術(shù)和基礎(chǔ)支撐，是解決物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡安全問題的重要手段。本文針對物聯(lián)網(wǎng)領(lǐng)域密碼應用情況開展了集中研究，系統(tǒng)梳理了物聯(lián)網(wǎng)領(lǐng)域密碼應用現(xiàn)狀，深入分析了存在的問題和困難，并研究提出了下一步建議。

2

應用現(xiàn)狀：

安全威脅加劇，密碼應用推廣初步啟動物聯(lián)網(wǎng)技術(shù)在智慧城市、智慧醫(yī)療、智能汽車、智能家居和可穿戴智能設備等領(lǐng)域應用廣泛，具有連接數(shù)量多、并發(fā)訪問高、數(shù)據(jù)規(guī)模大等特點。在物聯(lián)網(wǎng)環(huán)境下，網(wǎng)絡安全邊界愈發(fā)模糊，安全威脅多元，攻擊手段多樣，風險隱患突出，對人民生命財產(chǎn)、社會公共服務，甚至國家總體安全造成嚴重影響。（1）物聯(lián)網(wǎng)安全防護體系亟待完善近年來，物聯(lián)網(wǎng)領(lǐng)域安全事件頻發(fā)，高危漏洞頻現(xiàn)，再次敲響了安全警鐘。研究顯示，2016年物聯(lián)網(wǎng)惡意軟件（Mirai）感染全球超過250萬臺視頻監(jiān)控設備，發(fā)動的拒絕服務攻擊導致美德大規(guī)模斷網(wǎng)。2017年物聯(lián)網(wǎng)病毒（BrickerBot和Satori）快速傳播，超過1000萬臺物聯(lián)網(wǎng)設備和數(shù)十萬臺家庭路由器遭受攻擊。2019年數(shù)十款智能門鈴、門鎖、攝像頭、手表、音箱等電子設備爆出安全漏洞，多達80萬個網(wǎng)絡IP設備暴露在漏洞攻擊之下。不難看出，網(wǎng)絡安全威脅正在向物聯(lián)網(wǎng)領(lǐng)域加速滲透，對個人隱私保護、數(shù)據(jù)安全防護、終端身份認證等提出了更高的要求。（2）物聯(lián)網(wǎng)密碼應用工作加快部署為解決物聯(lián)網(wǎng)領(lǐng)域面臨的網(wǎng)絡安全風險，國家有關(guān)部門組織產(chǎn)學研用各方力量積極開展技術(shù)探索和產(chǎn)品攻關(guān)，加速推動國產(chǎn)商用密碼在物聯(lián)網(wǎng)領(lǐng)域的應用推廣，在終端設備身份認證、敏感信息加密保護等方面進行了有益的嘗試。一方面部分頭部企業(yè)深入開展商用密碼融合應用創(chuàng)新，通過公鑰基礎(chǔ)設施（PKI）數(shù)字證書技術(shù)，建立了基于SM2、SM9等國產(chǎn)商密算法的終端設備身份認證體系，強化設備身份安全防護。另一方面，密碼廠商加大研發(fā)力度，利用SM3、SM4等國產(chǎn)商密算法，對物聯(lián)網(wǎng)業(yè)務場景中的信息數(shù)據(jù)進行加密，實現(xiàn)了個人隱私信息和重要敏感數(shù)據(jù)的機密性、完整性保護。

3

問題分析：

體系亟待健全，密碼推廣力度仍需加大隨著國產(chǎn)商用密碼應用的推廣，物聯(lián)網(wǎng)領(lǐng)域安全防護能力得到提升。據(jù)國家信息安全漏洞共享平臺（CNVD）和國家信息安全漏洞庫（CNNVD）統(tǒng)計，近五年我國物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡安全高危漏洞已呈現(xiàn)出明顯下降趨勢。但是，在推動商用密碼應用的過程中，我們發(fā)現(xiàn)還存在政策標準缺失、產(chǎn)業(yè)支撐不足、創(chuàng)新氛圍不濃等實際問題，掣肘物聯(lián)網(wǎng)領(lǐng)域安全保障體系建設，密碼應用推廣工作體系還需進一步完善。（1）重點領(lǐng)域政策標準供給亟待加強2019年《密碼法》正式發(fā)布，對商用密碼應用推廣提出了明確要求。全國信息安全標準化技術(shù)委員會和全國密碼行業(yè)標準化技術(shù)委員會積極貫徹有關(guān)要求，組織研制了一系列密碼相關(guān)國家標準、行業(yè)標準，但物聯(lián)網(wǎng)等特定領(lǐng)域的密碼應用標準和測評規(guī)范尚存空缺。在智能家居、可穿戴設備、視頻監(jiān)控等重要應用場景中，缺少相應政策標準指導企業(yè)建立“同步規(guī)劃、同步建設、同步運行”的密碼應用機制。（2）產(chǎn)業(yè)鏈上下游協(xié)同能力有待提升密碼算法在物聯(lián)網(wǎng)領(lǐng)域的融合創(chuàng)新應用具有極強的技術(shù)性和復雜度，目前商用密碼應用開發(fā)和適配工作存在較高的技術(shù)難度，企業(yè)須投入大量配套資源完成商用密碼應用改造，導致產(chǎn)品成本大幅提高。此外，物聯(lián)網(wǎng)設備的計算、存儲、通信資源極為有限，密碼算法的應用必然增加算力消耗，對加密芯片、嵌入式軟件、通信協(xié)議的性能和功能要求更為嚴苛，產(chǎn)業(yè)鏈現(xiàn)有技術(shù)產(chǎn)品供給與實際應用需求存在差距。（3）密碼應用推廣良性氛圍尚需營造物聯(lián)網(wǎng)領(lǐng)域相關(guān)企業(yè)對商用密碼的應用開發(fā)和技術(shù)改造仍然處于政策驅(qū)動階段，受研發(fā)成本和技術(shù)能力的限制，主動使用商用密碼解決復雜網(wǎng)絡環(huán)境下安全問題的意愿不強。同時，相關(guān)企業(yè)缺乏專業(yè)機構(gòu)的指導與支持，商用密碼安全應用意識不足，部分產(chǎn)品未對密鑰進行安全保護，密碼使用僅限于單點設備，對數(shù)據(jù)采集、傳輸、使用和存儲未實現(xiàn)全生命周期安全防護，相關(guān)法律、政策、標準的宣貫力度仍需加強。

4

后續(xù)展望：

強化應用實踐，建設世界一流密碼強國針對當前物聯(lián)網(wǎng)領(lǐng)域密碼應用存在的問題和困難，應按照《密碼法》有關(guān)要求，進一步強化頂層設計、統(tǒng)籌產(chǎn)業(yè)發(fā)展、抓好宣貫培訓，夯實物聯(lián)網(wǎng)領(lǐng)域密碼安全的應用基礎(chǔ)，形成更為完備的應用推廣工作體系，為建設世界一流的密碼強國筑牢發(fā)展根基。第一，構(gòu)建物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣制度體系。結(jié)合物聯(lián)網(wǎng)領(lǐng)域技術(shù)能力和產(chǎn)業(yè)環(huán)境，組織制定并實施“一行一策”，形成國產(chǎn)商用密碼應用推廣政策標準。重點推動智能家居、可穿戴設備、視頻監(jiān)控等領(lǐng)域密碼應用標準落地實施，形成法律、政策、標準相互銜接、互為補充的制度體系，促進行業(yè)健康有序發(fā)展。第二，打造物聯(lián)網(wǎng)商用密碼協(xié)同發(fā)展優(yōu)質(zhì)生態(tài)環(huán)境。產(chǎn)學研用各方力量須進一步形成工作合力，搭建供需對接平臺，加大產(chǎn)業(yè)供給和釋放應用需求，增強軟硬件研發(fā)和應用技術(shù)改造。上下游企業(yè)圍繞應用實施加大聯(lián)合攻關(guān)力度，打造基于商用密碼的物聯(lián)網(wǎng)設備身份認證體系，構(gòu)建密鑰安全分發(fā)機制，形成樣板工程，降低應用成本，優(yōu)化產(chǎn)業(yè)生態(tài)。第三，營造物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣