作者：中国电子技术标准化研究院 周睿康，姚相振，黄晶晶，李琳

摘要：当前，新一代信息技术不断展，推动人类社会从“信息化”向“网络化”“智能化”转变，开启了万物互联新时代，复杂的万物互联环境使得网络空间面临迥异以往的严峻安全挑战。为维护网络空间安全，我国陆续发布实施商用《网络安全法》和《密码法》等法律法规，为网络安全保障体系建设和密码应用推广工作指明了方向，但在物联网等重点领域，商用密码应用推广工作还存在较大发展空间。

关键词：物联网；商用密码；密码应用；网络空间安全

Abstract: The continuous development of a new generation ofinformation technology has promoted the transformation of humansociety from "informatization" to "networking" and "intelligence",starting a new era of interconnection of all things. The complexinterconnection environment of all things makes cyberspace face asevere security challenge different from the past. In order to maintainthe security of cyberspace, China has issued and implemented"Cybersecurity Law", "Cryptography Law" and other laws andregulations, which pointed out the direction for the construction of thecybersecurity system and the promotion of cryptographic applications.However, in key areas such as the Internet of Things, there is still muchspace for development in the promotion of commercial cryptographyapplications.

Key words: Internet of things; Commercial cipher; Cryptographicapplications; Cyberspace security

1　引言

当前，物联网、人工智能、大数据等新一代信息技术不断发展，推动人类社会从“信息化”向“网络化”“智能化”转变，开启了万物互联新时代。与此同时，复杂的万物互联环境使得网络空间面临迥异往的严峻安全挑战。密码作为国家重要战略资源，是保障网络空间安全的核心技术和基础支撑，是解决物联网环境下网络安全问题的重要手段。本文针对物联网领域密码应用情况开展了集中研究，系统梳理了物联网领域密码应用现状，深入分析了存在的问题和困难，并研究提出了下一步建议。

2　应用现状：安全威胁加剧，密码应用推广初步启动

物联网技术在智慧城市、智慧医疗、智能汽车、智能家居和可穿戴智能设备等领域应用广泛，具有连接数量多、并发访问高、数据规模大等特点。在物联网环境下，网络安全边界愈发模糊，安全威胁多元，攻击手段多样，风险隐患突出，对人民生命财产、社会公共服务，甚至国家总体安全造成严重影响。

（1）物联网安全防护体系亟待完善

近年来，物联网领域安全事件频发，高危漏洞频现，再次敲响了安全警钟。研究显示，2016年物联网恶意软件（Mirai）感染全球超过250万台视频监控设备，发动的拒绝服务攻击导致美德大规模断网[1] 。2017年物联网病毒（BrickerBot和Satori）快速传播，超过1000万台物联网设备和数十万台家庭路由器遭受攻击[2]。2019年数十款智能门铃、门锁、摄像头、手表、音箱等电子设备爆出安全漏洞，多达8万个网络IP设备暴露在漏洞攻击之下[3]。不难看出，网络安全威胁正在向物联网领域加速渗透，对个人隐私保护、数据安全防护、终端身份认证等提出了更高的要求。

（2）物联网密码应用工作加快部署

为解决物联网领域面临的网络安全风险，国家有关部门组织产学研用各方力量积极开展技术探索和产品攻关，加速推动国产商用密码在物联网领域的应用推广，在终端设备身份认证、敏感信息加密保护等方面进行了有益的尝试。一方面部分头部企业深入开展商用密码融合应用创新，通过公钥基础设施（PKI）数字证书技术，建立了基于SM2、SM9等国产商密算法的终端设备身份认证体系，强化设备身份安全防护。另一方面，密码厂商加大研发力度，利用SM3、SM4等国产商密算法，对物联网业务场景中的信息数据进行加密，实现了个人隐私信息和重要敏感数据的机密性、完整性保护。

3　问题分析：体系亟待健全，密码推广力度仍需加大

随着国产商用密码应用的推广，物联网领域安全防护能力得到提升。据国家信息安全漏洞共享平台（CNVD）和国家信息安全漏洞库（CNNVD）统计，近五年我国物联网领域网络安全高危漏洞已呈现出明显下降趋势。但是，在推动商用密码应用的过程中，我们发现还存在政策标准缺失、产业支撑不足、创新氛围不浓等实际问题，掣肘物联网领域安全保障体系建设，密码应用推广工作体系还需进一步完善。

（1）重点领域政策标准供给亟待加强

2019年《密码法》正式发布，对商用密码应用推广提出了明确要求。全国信息安全标准化技术委员会和全国密码行业标准化技术委员会积极贯彻有关要求，组织研制了一系列密码相关国家标准、行业标准，但物联网等特定领域的密码应用标准和测评规范尚存空缺。在智能家居、可穿戴设备、视频监控等重要应用场景中，缺少相应政策标准指导企业建立“同步规划、同步建设、同步运行”的密码应用机制。

（2）产业链上下游协同能力有待提升

密码算法在物联网领域的融合创新应用具有极强的技术性和复杂度，目前商用密码应用开发和适配工作存在较高的技术难度，企业须投入大量配套资源完成商用密码应用改造，导致产品成本大幅提高。此外，物联网设备的计算、存储、通信资源极为有限，密码算法的应用必然增加算力消耗，对加密芯片、嵌入式软件、通信协议的性能和功能要求更为严苛，产业链现有技术产品供给与实际应用需求存在差距[4]。

（3）密码应用推广良性氛围尚需营造

物联网领域相关企业对商用密码的应用开发和技术改造仍然处于政策驱动阶段，受研发成本和技术能力的限制，主动使用商用密码解决复杂网络环境下安全问题的意愿不强。同时，相关企业缺乏专业机构的指导与支持，商用密码安全应用意识不足，部分产品未对密钥进行安全保护，密码使用仅限于单点设备，对数据采集、传输、使用和存储未实现全生命周期安全防护，相关法律、政策、标准的宣贯力度仍需加强。

4　后续展望：强化应用实践，建设世界一流密码强国

针对当前物联网领域密码应用存在的问题和困难，应按照《密码法》有关要求，进一步强化顶层设计、统筹产业发展、抓好宣贯培训，夯实物联网领域密码安全的应用基础，形成更为完备的应用推广工作体系，为建设世界一流的密码强国筑牢发展根基。

第一，构建物联网领域商用密码应用推广制度体系。结合物联网领域技术能力和产业环境，组织制定并实施“一行一策”，形成国产商用密码应用推广政策标准。重点推动智能家居、可穿戴设备、视频监控等领域密码应用标准落地实施，形成法律、政策、标准相互衔接、互为补充的制度体系，促进行业健康有序发展。

第二，打造物联网商用密码协同发展优质生态环境。产学研用各方力量须进一步形成工作合力，搭建供需对接平台，加大产业供给和释放应用需求，增强软硬件研发和应用技术改造。上下游企业围绕应用实施加大联合攻关力度，打造基于商用密码的物联网设备身份认证体系，构建密钥安全分发机制，形成样板工程降低应用成本，优化产业生态。

第三，营造物联网领域商用密码应用推广浓厚氛围。进一步加大政策标准的宣贯力度，开展商用密码安全应用技术培训，引导物联网领域头部企业在智能家居、可穿戴设备、视频监控等关键设备中规范应用商用密码技术。落实《密码法》有关规定，切实做好商用密码安全性评估，形成有依据、有指导、有评价的应用推广机制。

作者简介：

周睿康（1990-），男，浙江东阳人，工程师，硕士，现就职于中国电子技术标准化研究院，主要研究方向为工控安全、密码学、网络空间安全等。

姚相振（1984-），男，山东济南人，高级工程师，博士，现任中国电子技术标准化研究院网络安全研究中心主任，主要研究方向为工业互联网安全、工控安全、网络空间安全等。

黄晶晶（1985-），女，安徽合肥人，高级工程师，博士，现就职于中国电子技术标准化研究院，主要研究方向为密码学、网络空间安全、工业数据安全等。

李　琳（1983-），男，山东济南人，高级工程师，博士，现就职于中国电子技术标准化研究院，主要研究方向为工业互联网安全、工控安全、网络空间安全等。

参考文献：

[1] 刘剑, 苏璞睿, 杨珉, 和亮, 张源, 朱雪阳, 林惠民. 软件与网络安全研究综述[J]. 软件学报, 2018,29(01):42 - 68.

[2] 王宸东, 郭渊博, 甄帅辉, 杨威超. 网络资产探测技术研究[J]. 计算机科学, 2018, 45 (12) : 24 - 31.

[3] 张星, 张克雷, 桑鸿庆, 张浩然, 魏佩儒, 周鸿屹. 2019物联网安全年报[J]. 信息安全与通信保密,2020,313 (01) : 45 - 62.

[4] 陈钊, 曾凡平, 陈国柱, 张燕咏, 李向阳. 物联网安全测评技术综述[J]. 信息安全学报, 2019, 4 (03) : 2 - 16.

摘自《自动化博览》2021年10月刊