作者：中國電子技術(shù)標準化研究院 周?？?，姚相振，黃晶晶，李琳

摘要：當前，新一代信息技術(shù)不斷展，推動(dòng)人類(lèi)社會(huì )從“信息化”向“網(wǎng)絡(luò )化”“智能化”轉變，開(kāi)啟了萬(wàn)物互聯(lián)新時(shí)代，復雜的萬(wàn)物互聯(lián)環(huán)境使得網(wǎng)絡(luò )空間面臨迥異以往的嚴峻安全挑戰。為維護網(wǎng)絡(luò )空間安全，我國陸續發(fā)布實(shí)施商用《網(wǎng)絡(luò )安全法》和《密碼法》等法律法規，為網(wǎng)絡(luò )安全保障體系建設和密碼應用推廣工作指明了方向，但在物聯(lián)網(wǎng)等重點(diǎn)領(lǐng)域，商用密碼應用推廣工作還存在較大發(fā)展空間。

關(guān)鍵詞：物聯(lián)網(wǎng)；商用密碼；密碼應用；網(wǎng)絡(luò )空間安全

Abstract: The continuous development of a new generation ofinformation technology has promoted the transformation of humansociety from "informatization" to "networking" and "intelligence",starting a new era of interconnection of all things. The complexinterconnection environment of all things makes cyberspace face asevere security challenge different from the past. In order to maintainthe security of cyberspace, China has issued and implemented"Cybersecurity Law", "Cryptography Law" and other laws andregulations, which pointed out the direction for the construction of thecybersecurity system and the promotion of cryptographic applications.However, in key areas such as the Internet of Things, there is still muchspace for development in the promotion of commercial cryptographyapplications.

Key words: Internet of things; Commercial cipher; Cryptographicapplications; Cyberspace security

1　引言

當前，物聯(lián)網(wǎng)、人工智能、大數據等新一代信息技術(shù)不斷發(fā)展，推動(dòng)人類(lèi)社會(huì )從“信息化”向“網(wǎng)絡(luò )化”“智能化”轉變，開(kāi)啟了萬(wàn)物互聯(lián)新時(shí)代。與此同時(shí)，復雜的萬(wàn)物互聯(lián)環(huán)境使得網(wǎng)絡(luò )空間面臨迥異往的嚴峻安全挑戰。密碼作為國家重要戰略資源，是保障網(wǎng)絡(luò )空間安全的核心技術(shù)和基礎支撐，是解決物聯(lián)網(wǎng)環(huán)境下網(wǎng)絡(luò )安全問(wèn)題的重要手段。本文針對物聯(lián)網(wǎng)領(lǐng)域密碼應用情況開(kāi)展了集中研究，系統梳理了物聯(lián)網(wǎng)領(lǐng)域密碼應用現狀，深入分析了存在的問(wèn)題和困難，并研究提出了下一步建議。

2　應用現狀：安全威脅加劇，密碼應用推廣初步啟動(dòng)

物聯(lián)網(wǎng)技術(shù)在智慧城市、智慧醫療、智能汽車(chē)、智能家居和可穿戴智能設備等領(lǐng)域應用廣泛，具有連接數量多、并發(fā)訪(fǎng)問(wèn)高、數據規模大等特點(diǎn)。在物聯(lián)網(wǎng)環(huán)境下，網(wǎng)絡(luò )安全邊界愈發(fā)模糊，安全威脅多元，攻擊手段多樣，風(fēng)險隱患突出，對人民生命財產(chǎn)、社會(huì )公共服務(wù)，甚至國家總體安全造成嚴重影響。

（1）物聯(lián)網(wǎng)安全防護體系亟待完善

近年來(lái)，物聯(lián)網(wǎng)領(lǐng)域安全事件頻發(fā)，高危漏洞頻現，再次敲響了安全警鐘。研究顯示，2016年物聯(lián)網(wǎng)惡意軟件（Mirai）感染全球超過(guò)250萬(wàn)臺視頻監控設備，發(fā)動(dòng)的拒絕服務(wù)攻擊導致美德大規模斷網(wǎng)[1] 。2017年物聯(lián)網(wǎng)病毒（BrickerBot和Satori）快速傳播，超過(guò)1000萬(wàn)臺物聯(lián)網(wǎng)設備和數十萬(wàn)臺家庭路由器遭受攻擊[2]。2019年數十款智能門(mén)鈴、門(mén)鎖、攝像頭、手表、音箱等電子設備爆出安全漏洞，多達8萬(wàn)個(gè)網(wǎng)絡(luò )IP設備暴露在漏洞攻擊之下[3]。不難看出，網(wǎng)絡(luò )安全威脅正在向物聯(lián)網(wǎng)領(lǐng)域加速滲透，對個(gè)人隱私保護、數據安全防護、終端身份認證等提出了更高的要求。

（2）物聯(lián)網(wǎng)密碼應用工作加快部署

為解決物聯(lián)網(wǎng)領(lǐng)域面臨的網(wǎng)絡(luò )安全風(fēng)險，國家有關(guān)部門(mén)組織產(chǎn)學(xué)研用各方力量積極開(kāi)展技術(shù)探索和產(chǎn)品攻關(guān)，加速推動(dòng)國產(chǎn)商用密碼在物聯(lián)網(wǎng)領(lǐng)域的應用推廣，在終端設備身份認證、敏感信息加密保護等方面進(jìn)行了有益的嘗試。一方面部分頭部企業(yè)深入開(kāi)展商用密碼融合應用創(chuàng )新，通過(guò)公鑰基礎設施（PKI）數字證書(shū)技術(shù)，建立了基于SM2、SM9等國產(chǎn)商密算法的終端設備身份認證體系，強化設備身份安全防護。另一方面，密碼廠(chǎng)商加大研發(fā)力度，利用SM3、SM4等國產(chǎn)商密算法，對物聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景中的信息數據進(jìn)行加密，實(shí)現了個(gè)人隱私信息和重要敏感數據的機密性、完整性保護。

3　問(wèn)題分析：體系亟待健全，密碼推廣力度仍需加大

隨著(zhù)國產(chǎn)商用密碼應用的推廣，物聯(lián)網(wǎng)領(lǐng)域安全防護能力得到提升。據國家信息安全漏洞共享平臺（CNVD）和國家信息安全漏洞庫（CNNVD）統計，近五年我國物聯(lián)網(wǎng)領(lǐng)域網(wǎng)絡(luò )安全高危漏洞已呈現出明顯下降趨勢。但是，在推動(dòng)商用密碼應用的過(guò)程中，我們發(fā)現還存在政策標準缺失、產(chǎn)業(yè)支撐不足、創(chuàng )新氛圍不濃等實(shí)際問(wèn)題，掣肘物聯(lián)網(wǎng)領(lǐng)域安全保障體系建設，密碼應用推廣工作體系還需進(jìn)一步完善。

（1）重點(diǎn)領(lǐng)域政策標準供給亟待加強

2019年《密碼法》正式發(fā)布，對商用密碼應用推廣提出了明確要求。全國信息安全標準化技術(shù)委員會(huì )和全國密碼行業(yè)標準化技術(shù)委員會(huì )積極貫徹有關(guān)要求，組織研制了一系列密碼相關(guān)國家標準、行業(yè)標準，但物聯(lián)網(wǎng)等特定領(lǐng)域的密碼應用標準和測評規范尚存空缺。在智能家居、可穿戴設備、視頻監控等重要應用場(chǎng)景中，缺少相應政策標準指導企業(yè)建立“同步規劃、同步建設、同步運行”的密碼應用機制。

（2）產(chǎn)業(yè)鏈上下游協(xié)同能力有待提升

密碼算法在物聯(lián)網(wǎng)領(lǐng)域的融合創(chuàng )新應用具有極強的技術(shù)性和復雜度，目前商用密碼應用開(kāi)發(fā)和適配工作存在較高的技術(shù)難度，企業(yè)須投入大量配套資源完成商用密碼應用改造，導致產(chǎn)品成本大幅提高。此外，物聯(lián)網(wǎng)設備的計算、存儲、通信資源極為有限，密碼算法的應用必然增加算力消耗，對加密芯片、嵌入式軟件、通信協(xié)議的性能和功能要求更為嚴苛，產(chǎn)業(yè)鏈現有技術(shù)產(chǎn)品供給與實(shí)際應用需求存在差距[4]。

（3）密碼應用推廣良性氛圍尚需營(yíng)造

物聯(lián)網(wǎng)領(lǐng)域相關(guān)企業(yè)對商用密碼的應用開(kāi)發(fā)和技術(shù)改造仍然處于政策驅動(dòng)階段，受研發(fā)成本和技術(shù)能力的限制，主動(dòng)使用商用密碼解決復雜網(wǎng)絡(luò )環(huán)境下安全問(wèn)題的意愿不強。同時(shí)，相關(guān)企業(yè)缺乏專(zhuān)業(yè)機構的指導與支持，商用密碼安全應用意識不足，部分產(chǎn)品未對密鑰進(jìn)行安全保護，密碼使用僅限于單點(diǎn)設備，對數據采集、傳輸、使用和存儲未實(shí)現全生命周期安全防護，相關(guān)法律、政策、標準的宣貫力度仍需加強。

4　后續展望：強化應用實(shí)踐，建設世界一流密碼強國

針對當前物聯(lián)網(wǎng)領(lǐng)域密碼應用存在的問(wèn)題和困難，應按照《密碼法》有關(guān)要求，進(jìn)一步強化頂層設計、統籌產(chǎn)業(yè)發(fā)展、抓好宣貫培訓，夯實(shí)物聯(lián)網(wǎng)領(lǐng)域密碼安全的應用基礎，形成更為完備的應用推廣工作體系，為建設世界一流的密碼強國筑牢發(fā)展根基。

第一，構建物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣制度體系。結合物聯(lián)網(wǎng)領(lǐng)域技術(shù)能力和產(chǎn)業(yè)環(huán)境，組織制定并實(shí)施“一行一策”，形成國產(chǎn)商用密碼應用推廣政策標準。重點(diǎn)推動(dòng)智能家居、可穿戴設備、視頻監控等領(lǐng)域密碼應用標準落地實(shí)施，形成法律、政策、標準相互銜接、互為補充的制度體系，促進(jìn)行業(yè)健康有序發(fā)展。

第二，打造物聯(lián)網(wǎng)商用密碼協(xié)同發(fā)展優(yōu)質(zhì)生態(tài)環(huán)境。產(chǎn)學(xué)研用各方力量須進(jìn)一步形成工作合力，搭建供需對接平臺，加大產(chǎn)業(yè)供給和釋放應用需求，增強軟硬件研發(fā)和應用技術(shù)改造。上下游企業(yè)圍繞應用實(shí)施加大聯(lián)合攻關(guān)力度，打造基于商用密碼的物聯(lián)網(wǎng)設備身份認證體系，構建密鑰安全分發(fā)機制，形成樣板工程降低應用成本，優(yōu)化產(chǎn)業(yè)生態(tài)。

第三，營(yíng)造物聯(lián)網(wǎng)領(lǐng)域商用密碼應用推廣濃厚氛圍。進(jìn)一步加大政策標準的宣貫力度，開(kāi)展商用密碼安全應用技術(shù)培訓，引導物聯(lián)網(wǎng)領(lǐng)域頭部企業(yè)在智能家居、可穿戴設備、視頻監控等關(guān)鍵設備中規范應用商用密碼技術(shù)。落實(shí)《密碼法》有關(guān)規定，切實(shí)做好商用密碼安全性評估，形成有依據、有指導、有評價(jià)的應用推廣機制。

作者簡(jiǎn)介：

周?？担?990-），男，浙江東陽(yáng)人，工程師，碩士，現就職于中國電子技術(shù)標準化研究院，主要研究方向為工控安全、密碼學(xué)、網(wǎng)絡(luò )空間安全等。

姚相振（1984-），男，山東濟南人，高級工程師，博士，現任中國電子技術(shù)標準化研究院網(wǎng)絡(luò )安全研究中心主任，主要研究方向為工業(yè)互聯(lián)網(wǎng)安全、工控安全、網(wǎng)絡(luò )空間安全等。

黃晶晶（1985-），女，安徽合肥人，高級工程師，博士，現就職于中國電子技術(shù)標準化研究院，主要研究方向為密碼學(xué)、網(wǎng)絡(luò )空間安全、工業(yè)數據安全等。

李　琳（1983-），男，山東濟南人，高級工程師，博士，現就職于中國電子技術(shù)標準化研究院，主要研究方向為工業(yè)互聯(lián)網(wǎng)安全、工控安全、網(wǎng)絡(luò )空間安全等。

參考文獻：

[1] 劉劍, 蘇璞睿, 楊珉, 和亮, 張源, 朱雪陽(yáng), 林惠民. 軟件與網(wǎng)絡(luò )安全研究綜述[J]. 軟件學(xué)報, 2018,29(01):42 - 68.

[2] 王宸東, 郭淵博, 甄帥輝, 楊威超. 網(wǎng)絡(luò )資產(chǎn)探測技術(shù)研究[J]. 計算機科學(xué), 2018, 45 (12) : 24 - 31.

[3] 張星, 張克雷, 桑鴻慶, 張浩然, 魏佩儒, 周鴻屹. 2019物聯(lián)網(wǎng)安全年報[J]. 信息安全與通信保密,2020,313 (01) : 45 - 62.

[4] 陳釗, 曾凡平, 陳國柱, 張燕詠, 李向陽(yáng). 物聯(lián)網(wǎng)安全測評技術(shù)綜述[J]. 信息安全學(xué)報, 2019, 4 (03) : 2 - 16.

摘自《自動(dòng)化博覽》2021年10月刊