一、《密码法》推进我国密码科学智能化的发展 

　　记者：沈院士您好，感谢您百忙之中接受我们的专访。2019年10月26日，全国人大常委会通过《中华人民共和国密码法》（以下简称《密码法》），该法将自2020年1月1日起施行。作为我国密码学领域的第一个国家科技进步一等奖获得者、资深密码学家、中国工程院院士，请谈一谈您的感受？ 

　　沈昌祥：密码是一项重要的基础性的核心技术，是保障国家网络信息安全的最基础，最核心的支撑，是维护国家安全和网络主权的“命门”和“命脉”。作为我国密码技术方面的第一个大法，《密码法》的颁布施行，促进了密码法制化进程，规范了密码的应用和管理，建立了密码的法律地位，进一步推动了我国密码科学向智能化发展。  

　　我在1985年曾说过，我们密码发展具有四个里程碑：第一是计算机化，第二是网络化，第三是信息化，第四是智能化。现在看来，前三个里程碑信息化密码保障已经实现。以前密码没有立法，没有从制度上给予其相关的法律地位，存在很大的欠缺，现在我们通过立法，使密码有了法制规范和保障。《密码法》的颁布，必将大力推进我国智能化密码保障的发展。 

　　二、密码应用进入智能化时代 

　　记者：您曾获得两个“国家科技进步一等奖”，也曾对密码发展的方向进行比较准确的预测。您认为密码智能化时代呈现了什么样的特征？其分水岭是什么？面对新时期新的网络安全形势和密码技术新挑战，您觉得我们又该如何应对？ 

　　沈昌祥：我获得的第一个国家科技进步一等奖是密码系统的计算机化，第二个是密码系统的网络化。以前密码都是人工、密码本等方式，我做的是用计算机，用软件来编密码算法。我们1981年做成，1982年应用，美国1978年做成软件编码DES，我们跟美国之间只差两三年，而且我们做得很有特色，是跟汉字编辑、汉字打印一体的密码系统。因此，密码系统的计算机化，在当时是具有颠覆性创新的。密码智能化时代是伴随着新的网络安全形势和密码技术新挑战的到来，以及对这些问题的应对解决而伴生的。随着信息化的发展，网络安全的威胁不可能消除，只会更加隐蔽和多样化，从窃听破译到网络直接攻击；而另一方面，在IT系统自身方面，其逻辑不全和体系结构缺陷弊端凸显，从而容易被攻击者所破坏和利用。因此，我觉得，在新的网络安全形势下，对于密码技术所肩负的维护国家网络安全的使命来说，主动免疫可信计算的成果比我之前获得两个国家一等奖成果中的任何一个都要大，可信计算3.0正是跨入密码智能化新时代的一个标志。 

　　1.网络安全的威胁和挑战已发生变化，传统密码手段已难以应对。在现实社会中，网络威胁是永远的主题。比如黑客群体为了谋求财富，对人们的资产和财富采取病毒攻击；敌对势力利用APT对基础设施实施暴恐攻击；而一些霸权国家，会以网络战的形式达到去侵犯他国国家主权等目的。这些都是客观存在，难以消除的网络威胁。另一方面，网络空间仍然非常脆弱。采用冯.诺依曼结构的图灵通用计算机最初是用于实现计算自动化目标，未能考虑网络攻击的防护问题，从而增加了安全风险和隐患。安全风险的实质是IT系统设计不能穷尽所有逻辑组合，必定存在逻辑不全的缺陷，从而被攻击者所利用。一千行以上代码极有可能存在一个以上逻辑不全有缺陷的BUG，这是大家公认的，我们也不可能把缺陷和漏洞都找齐。因此，存在大量的有缺陷的逻辑被攻击者所利用是安全的永远主题。事实表明，传统的杀病毒、防火墙、入侵检测等“老三样”已难以应对人为攻击，且容易被攻击者利用，找漏洞、打补丁的传统思路不利于整体安全。只有可信可用方能实现安全交互，只有实现密码智能化，采用主动免疫的方式才能实现积极防御，只有自主创新方能实现安全可控。以密码为基因的可信计算模型改变了传统计算机“封堵查杀”式的被动防御，有效降低了安全风险。 

　　2.可信计算已经成为共识。从科学角度认识网络安全，应包括三个方面的内容：即利用逻辑缺陷攻击的网络安全是永远的主题，可信免疫的计算模式与结构，以及安全可信的系统架构。安全可信计算就是为了应对网络安全威胁和攻击、完善逻辑正确验证理论、弥补计算体系结构及信息系统工程的缺失而产生。它以达到有效防御攻击，确保完成计算任务的逻辑组合不被篡改和破坏，实现正确计算为最终目标。中国可信计算源于1992年立项研制的可信计算综合安全防护系统（智能安全卡），于1995年2月底通过测评和鉴定。20多年来，经过长期技术攻关和市场应用，形成了自主创新安全可信体系。当前，我们的安全可信计算3.0可信计算已广泛应用于增值税防伪、彩票防伪、二代居民身份证安全系统等国家重要信息系统中，成为跨入密码智能化新时代的一个标志。免疫可信计算的安全可信是我最早在国内提出，现在已被写入法律、战略和制度，成为共识和国家意志。推广安全可信在《中华人民共和国网络安全法》（以下简称网络安全法）、《国家网络空间安全战略》，以及网络安全等级保护制度2.0标准中均有相关明确要求。在《网络安全法》第十六条就曾指出：“国务院和省、自治区、直辖市人民政府应当统筹规划，加大投入，扶持重点网络安全技术产业和项目，支持网络安全技术的研究开发和应用，推广安全可信的网络产品和服务，保护网络技术知识产权，支持企业、研究机构和高等学校等参与国家网络安全技术创新项目”。 

　　《网络安全法》规定，采取数据分类、重要数据备份和加密等措施维护网络运行安全。网络安全等级保护制度2.0标准要求：全面使用安全可信的产品和服务来保障关键基础设施安全。规定涉及网络及传输的国家秘密信息和三级以上应用，应依法采用密码保护，并使用国家密码管理部门认可的密码技术、产品和服务。《国家网络空间安全战略》提出：“夯实网络安全基础”，强调“尽快在核心技术上取得突破，加快安全可信的产品推广应用”。 

　　三、以密码为基因，实现密码智能化的免疫系统是怎样建立的？ 

　　记者：作为一个学数学的密码学家，近年来您却将生物免疫系统概念引入到密码和安全领域，能否请您进一步介绍下这个观点？ 

　　沈昌祥：1.为什么要用主动免疫去代替传统密码被动调用安全手段？人体有许许多多无穷无尽的缺陷，各种病毒成天来攻击，但为什么大部分人还能健康的生活和工作呢？因为人体有免疫系统。没有免疫系统的IT设备系统，就像是一个没有带免疫系统的孩子，身体非常脆弱，整天只能生活在无菌状态和环境下。用杀病毒来开展“治疗”，用防火墙进行“隔离”，查找漏洞和打补丁进行“预防”。社会上大部分人都是认为安全就是杀病毒、找漏洞、建防火墙和打补丁，但这些都只是表面现象，是人们出于无奈应对现实之举，并不能解决安全的实质问题。因此，我认为，找漏洞打补丁会走向反面，正确科学的做法应该是使得逻辑缺陷不被攻击者所利用。主动免疫可信计算是在计算运算的同时进行安全防护，计算全程可测可控，不被干扰。在可信支持的双体系结构中，采用一种运算和防护并存的主动免疫的新计算模式，以密码为基因实施身份识别、状态度量、保密存储等功能，及时识别“自己”和“非己”成分，从而破坏与排斥进入机体的有害物质，相当于为网络信息系统培育了免疫能力。 

　　2.密码是安全的免疫基因。就像人体免疫也有免疫基因一样，安全的免疫基因是密码。以密码为基因的安全免疫系统具有三大功能：第一，能识别系统病毒，即身份识别；第二，能及时发现系统病毒侵入身体以后出现的异常情况，叫状态度量；第三，生物体重要元素也是密码保护的，就是生物编码保护，即保密存储。以上三大保障，使系统能及时识别自己的成分，排斥破坏进入集体的有害物资，实现从被动防御向主动免疫的转变。 

　　3.创新可信密码体系。安全免疫可信计算密码体系主要是在三方面进行了创新：1）密码机制创新，采用对称与公钥密码相结合体制，提高了安全性和效率；2）密码算法创新，全部采用国有自主设计的算法，定义了可信计算密码模块（TCM）；3）证书结构创新，采用双证书结构，简化了证书管理，提高了可用性和可管性。此外，还纠正了TCG密码体制的缺失，相关技术已成为ISO国际标准。 

　　4.安全免疫可信计算系统的核心技术和主要功能。借助密码体系创新和五大密码核心技术，较好地实现了安全的五大功能：1） 鉴别性，使用密码身份认证识别做到攻击者进不来；2）可用性，启动操作权限防篡改使进入的攻击者拿不到重要信息；3）机密性，启动重要信息数据信息加密保护，使攻击者无法读懂保密信息；4）完整性，启动数据完整性验证，保证关键信息无法更改；5）不可抵赖性，操作行为确认使任何攻击行为都有痕可循，不可抵赖。可以说，以密码为基因的主动免疫可信计算是密码功能从传统被动挂接调用跨越为由密码主动度量确保主机安全执行的核心支撑，与生命体必定有免疫系统类同，有计算节点必定有密码可信系统，使密码工作跨入了智能化新时代，可信计算3.0成为我国密码跨入智能化生活的里程碑。 

　　5.主动免疫可信计算的广泛应用。《国家中长期科学技术发展（2006-2020年）》明确提出“以发展高可信网络为重点，开发网络安全技术及相关产品，建立网络安全技术保障体系”。自主可信计算平台产品设备有三种形态：系统重构可信主机、主板配插PCI可信控制卡、配接USB可信控制模块。可方便地通过可信网络支撑平台把现有设备升级为可信计算机系统，而应用系统不用改动，便于新老设备融为一体，构成全系统安全可信。 

　　近年来，在自主可信计算平台产品的具体应用实践中，均收到了很好的效果。如中央电视台的可信制播环境建设。中央电视台播出42个频道节目，面向全球提供中、英、西、法、俄、阿等语言电视节目，在不能与互联网物理隔离的环境下，建立了可信、可控、可管的网络制播环境，达到四级安全要求，抵御了“永恒之蓝”勒索病毒等攻击，确保节目安全播出，胜利完成了“一带一路”世界峰会的保障任务。如国家电网电力调度系统安全防护建设，电力可信计算密码平台已在34个省级以上调度控制中心使用，覆盖上千套地级以上电网调度控制系统，涉及十几万个节点，有效抵御了各种网络恶意攻击，确保电力调度系统安全运行。 

　　四、对推动《密码法》贯彻落实的几点建议 

　　记者：《密码法》将于2020年1月1日开始正式施行。对于下一步如何按照《密码法》的要求做好贯彻落实，您有什么好的建议？ 

　　沈昌祥：信息时代，国家通过保障网络安全，维护社会稳定、公民利益和国土安全，密码作为其中最核心、基础性的技术，任务非常艰巨。要真正实现《密码法》中所规定的“保障网络与信息安全，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益”的目标，我们必须坚持自主创新、安全可信，同时，还要抢占网络空间安全核心技术的战略制高点。下一步，我们要按照《密码法》的要求，做好贯彻落实，深化在每一个环节，每一个系统，每一个应用。 

　　1.一定要有自己的东西，才不怕人家“断粮”。习近平总书记曾提出“研究进一步加强和改进密码工作的措施，确保密码使用优质高效，确保密码管理安全可靠”。要实现密码的使用优质高效、密码管理的安全可靠，我们一定要强调独立自主、强调核心技术的知识产权。事实证明，不管在任何时代，都一定要有自己的东西，才能不怕人家“断粮”。当然我们自己做未必安全，也许更不安全。但只有我们自己做了，才能做到心里有数，才可以不断进行完善和发展，才有可能达到真正的安全。 

　　2.强化密码新形态和新技术创新，建立可信防务系统。围绕《密码法》的贯彻和落实，我们密码还应该有新的形态、新的技术，要进一步创新。密码的创新就是要改变以前密码是被动挂机的状态。以前密码都是密码机、密码模块，是主程序调用的，但在网络条件下，这些东西很可能被旁路掉、被改变。我们中国的主动免疫可信计算正是针对这些问题，深入到系统中开展主动检查和主动控制，重塑可信安全的免疫系统，达到逻辑缺陷不被攻击者所利用的目标。因此，我们密码工作要真正维护好网络空间的国家主权，不能是以前的到处挂密码机，到处插密码卡，而应是在所有计算机上都建立有以密码为核心的、密码为基因的可信防务系统。  

　　3.在《密码法》的指导下，进一步夯实网络安全等级保护基础。发改委14号令决定以可信计算架构实现等级保护。在设计技术等标准上，分四个级别在所有计算节点基于可信根实现开机到操作系统、应用程序等各个节点的可信验证，还要主动抵御入侵行为、动态关联感知，实现态势预警，最终实现网络空间安全目标。下一步，我们要在《密码法》的指导下，用可信计算3.0进一步促进网络安全等级保护制度的落地。 

　　4.媒体要加大对《密码法》的宣传力度。《密码法》明年初就要施行，在实施的过程中能否很好的落地，取得成效，宣贯非常重要，因此，媒体应大量的宣传。通过宣传、解读和引导，让人们正确地认识《密码法》的意义、内涵和作用，从而严格执行和遵守。同时，宣传《密码法》还要和《网络安全法》相结合，要抽丝破茧，解释问题。密码要转型，转成什么样？虽然我多次讲过，新时期的密码应该是免疫可信计算而不再是密码模块被动外挂接，但对这个观念仍有许多人不知道，就连我们许多搞密码的人都理解不深。因此，媒体一定要强化宣传工作，以更好地推动《密码法》的宣贯实施、推动密码工作的科学发展。 

　　（本文刊登于《中国信息安全》杂志2019年第11期，作者向继志）