淺談密碼技術在電信運營商數字化轉型中的應用

羅瑞盟，劉宏偉，毛 盾，張婧宇，雷 陽，唐昊同

（聯通數字科技有限公司，北京 100032）

2022年1月，國務院印發《“十四五”數字經濟發展規劃》[1]。數字經濟是繼農業經濟、工業經濟之后的主要經濟形態，以數據資源為關鍵要素，以信息網絡為主要載體，以新興技術融合應用、全面數字化轉型為重要推力，促進公平與效率更加統一的新數字經濟形態。數字經濟以數字化產業、產業數字化、數字化治理和數據價值化為核心體系。電信運營商既是數字產業化的核心企業，又是賦能產業數字化的中堅力量，加快推進數字化治理、挖掘數據要素價值已成趨勢[2]。

云計算、物聯網、大數據、5G、量子通信、量子計算、區塊鏈等新技術和新應用層出不窮，密碼工作也迎來了新責任、新使命和新起點[3]。密碼作為國家重要的戰略資源，是維護網絡安全最有效、最可靠、最經濟的技術手段，在加密保護、安全認證等網絡信息關鍵技術方面發揮著重要作用[4]。我國數字經濟逐步邁向由弱變強、提速優化的新臺階，電信運營商將迎來“重塑發展模式、優化發展賽道”的發展新機遇。電信運營商屬于數字產業化的核心成員[5]，其數字化轉型既要聚焦于新興技術，也要加強密碼技術與新技術、新業態的應用融合，充分發揮密碼的安全衛士作用，為國家安全和經濟社會發展有力護航。

1 我國商用密碼的發展

我國密碼技術的發展經歷了古典密碼、機械密碼、現代密碼三個階段，在這個過程中，密碼技術在保密與破譯、竊密與反竊密的激烈博弈中不斷演變，密碼學由一門藝術發展成為一門科學[6]。1999年，我國《商用密碼管理條例》發布。經過20余年的發展，商用密碼技術及應用取得了豐碩的成果。2020年1月，《密碼法》的頒布實施填補了我國密碼領域的法律空白[7]，為密碼工作的科學化、法制化、規范化管理提供了根本遵循和法律保障。

1.1 商用密碼標準的發展

當前，商用密碼行業標準分為基礎類標準、應用類標準、檢測類標準和管理類標準[8]。基礎類標準為其他三類標準提供了底層、共性支撐（如術語、算法、協議、產品等）；檢測類標準為基礎類標準和應用類標準提供了合法性檢測的功能，保障商用密碼使用的合法性；管理類標準為其他三類標準提供了管理功能；應用類標準為上層具體的密碼產品、服務應用提供支持。在相關部門的共同努力下，我國密碼標準正快速走向國際。我國SM系列算法已納入ISO/IEC標準，對促進我國商用密碼產業發展、提升我國商用密碼的國際影響力具有重要意義。

1.2 商用密碼產品的發展

商用密碼產品是指實現密碼運算、密鑰管理等密碼相關功能的硬件、軟件、固件或其組合。按照形態，商用密碼產品可以劃分為軟件、芯片、模塊、板卡、整機和系統六大類[6]。根據市場監管總局官方數據統計，截至2022年6月，通過檢測認證的商用密碼產品已達1253款，形成了較完整的商用密碼產品體系和產業鏈條。豐富的產品類型滿足了各類信息系統的需要，更好地適應了商用密碼產業發展趨勢。

1.3 商用密碼應用安全性評估

商用密碼應用安全性評估（簡稱“密評”），是指在采用商用密碼技術、產品和服務集成建設的網絡與信息系統中，對其密碼應用的合規性、正確性、有效性等進行評估[6]。密評的開展是應對網絡安全嚴峻形式的迫切需要，是規范商用密碼應用的客觀要求，也是信息系統運營者和主管部門必須承擔的法定責任。密評體系的建立能更有效地解決商用密碼應用中的不廣泛、不規范、不安全等突出問題。

經過多年的積累和發展，密評制度體系逐步健全成熟，密評隊伍不斷壯大規范。國家密碼管理部門在密評機構的培育認定上，堅持“總量控制、科學布局、擇優選取、培育輔導、行政許可”的總體思路[6]。自2017年開展密評試點工作以來，培育了48家（國家密碼管理局42號文公開發布）+25家（本行業、本地區內部通知）共計73家密評試點機構。

1.4 我國商用密碼發展趨勢及建議

“標準引領發展，標準建立信任”，我國的密碼算法標準已陸續走向國際，但設施類、產品類、測評類、應用類等大多數標準未成為國際標準。要實現密碼強國的目標，我們應加強與國際標準化組織的對話與合作，積極推進我國密碼標準的國際化進程，打造具有中國特色的國際化密碼標準。

密碼算法是密碼技術的核心。我國2019年舉辦的全國密碼算法競賽取得了圓滿成功，遴選出了一大批優秀的密碼算法，為我國的商用密碼算法做了很好的儲備，但還存在一些不足。新型計算模式（如量子計算和生物計算）的出現對密碼算法的安全性提出了新的挑戰，研制可以抵抗量子攻擊的新一代密碼算法已經成為當務之急。

2 電信運營商的密碼應用需求

數字時代呼喚安全創新。密碼是國之重器，是數字技術發展的安全保障，是保障網絡與數據安全的核心技術，也是推動我國數字經濟高質量發展、構建網絡強國的“撒手锏”技術。從實戰需求看，日趨嚴峻的網絡與數據安全威脅使得數字經濟迫切需要密碼技術這個“壓艙石”，以有效抵御外部黑客攻擊、防止內部人員泄密。從合規需求看，以密評為抓手落實《密碼法》的相關要求，并結合《網絡安全法》《數據安全法》《個人信息保護法》等法律法規要求，電信運營商的密碼應用新需求也在不斷涌現。面對電信運營商龐大復雜的業務現狀，需要不斷提升安全服務保障意識，加強密碼技術在真實性、保密性、完整性和不可否認性等方面的應用，構建完善的電信運營商網絡安全架構體系。

2.1 密碼技術在云計算中的應用

云計算正在成為電信運營商的戰略重點，體現了未來網絡的協作模式，傳統密碼技術已經無法滿足云服務的安全需求，需要在密碼服務中持續開展創新研究。一是在密碼技術方面，建立有效的隔離控制機制，防止資源非授權訪問；建立敏感數據的真實性和完整性保護機制，保障數據存儲和傳輸安全；建立新一代統一身份認證平臺，實現所有應用的單點登錄，保障用戶身份和權限的動態同步；建立虛擬化安全機制，為虛擬化環境中數據、網絡和計算資源提供全方位的保護。二是在密碼管理方面，建立大規模的密鑰管理體系，實現密鑰生成、存儲、導入導出、分發、使用、備份和恢復、歸檔、銷毀全生命周期的管理；建立數據管理體系，進行數據加密存儲、訪問控制、安全共享等，保障數據安全；建立門禁系統、視頻監控、指紋識別等物理管控機制，包含機房等物理環境的安全。三是在安全審計方面，建立行為及日志記錄機制，對記錄數據應加密存儲并進行有效簽名，保障數據的機密性、完整性和抗抵賴性。

2.2 密碼技術在大數據中的應用

在數字經濟時代，在海量數據的使用、傳輸和共享方面，密碼技術起到了關鍵性安全保護作用。大數據時代，數據安全的需求已經從傳輸擴展到了存儲和處理，特別是在各種數據上云的時代，云存儲對密碼技術提出了新的要求，如密文計算、全同態加密、安全多方計算等。

2.3 密碼技術在物聯網中的應用

物聯網的快速發展對密碼技術提出了新的挑戰。在物聯網的應用場景中，重點保護的是物聯網終端設備信息的采集、管理、分析以及參數和控制指令的下發。海量弱終端的信息保護不僅僅局限于輕量級對稱密碼算法，同樣需要公鑰密碼算法來提供更豐富的功能。基于傳統公鑰密碼算法運算的復雜性和負載能力，很多弱終端無法承受，基于格的抗量子密碼算法的出現為設計輕量級公鑰密碼算法提供了新思想。

2.4 密碼技術在區塊鏈中的應用

區塊鏈誕生以來，因其本身的不可篡改、可溯源、去中心化等特性而逐漸受到人們的廣泛關注。我國三大電信運營商均在區塊鏈領域有不同程度的研究，探索區塊鏈在電信行業的應用場景。密碼技術主要用于區塊鏈系統中的交易簽名驗簽、默克爾樹結構、共識機制、信息加密、權限控制、P2P網絡通信等方面。密碼技術主要滿足以下需求：一是交易用戶的身份鑒別真實性和權限控制需求；二是交易的抗抵賴性需求；三是用戶匿名和隱私性保護需求；四是敏感信息的機密性需求；五是交易記錄和賬本的完整性需求。

2.5 密碼技術在5G網絡中的新應用

5G網絡是未來社會信息服務基礎設施，其生命周期預計為2020—2040年[9]。密碼技術可為5G網絡終端到核心網（信令）、外部數據網絡的安全傳輸提供安全保障。在快速發展的信息時代，5G網絡中的密碼產品應用逐漸趨于輕量化、芯片化。在諸多電信行業的業務應用中，基于新興密碼技術，5G網絡安全將實現從外掛式的安全防護向內生式的嵌入安全跨越，對5G應用場景中的數據和平臺訪問提供持續的統一認證和精細化的管控。

3 電信運營商的密碼應用建議

信息技術發展不斷推動密碼科技創新，為電信運營商的數字化轉型注入了新動力。密碼與新技術領域融合更為緊密，云計算技術的快速應用推動了密碼算法設計理論進入全同態時代，物聯網催生了輕量級、芯片化的密碼算法及產品的設計與發展，量子計算使得基于格、基于多變量、基于雜湊函數、基于編碼的抗量子密碼算法設計不斷涌出[10]。

一是發揮央企責任擔當，積極開展電信運營商的密碼行業應用標準的研究與制定。三大運營商作為國家信息化建設的主力軍，兼備數字基因與產業視角，具有獨特的能力體系，更要積極制定電信行業的密碼應用標準規范，引領密碼技術在數字化轉型過程中的深度融合，進一步強化核心技術的自主可控。

二是貫徹落實《密碼法》要求，組織遴選重要信息系統分階段開展密評試點工作。密碼應用從金融領域拓展到其他重要領域，核心目標是提升基礎信息網絡、重要信息系統、重要工業控制系統和面向社會服務的政務信息系統這四類重要網絡和信息系統的網絡空間安全密碼保障能力。電信運營商應積極落實相關要求，分階段開展密評試點工作，確保新建系統實現“三同步一評估”，即同步規劃、同步建設、同步運行、定期評估；已建系統，應當定期開展評估。

三是筑牢密碼安全防線，全面普及密碼基礎知識，規范密碼應用和管理。密碼基礎知識缺失已成為開展基礎業務工作的“攔路虎”，需加強密碼基礎知識的宣貫與普及，實現技術與業務的高度融合；要解決人才匱乏導致密碼應用不合規、不有效、不正確的技術瓶頸，加強內部培養與外部引進，打造一支屬于電信行業多位一體的綜合性密碼技術人才隊伍。■