摘　要：密碼是國(guó)之重器，是網(wǎng)絡(luò)信息發(fā)展的安全基因。密碼在 5G 網(wǎng)絡(luò)中應(yīng)用的需求隨著5G 網(wǎng)絡(luò)的發(fā)展不斷加深加快。拓寬商用密碼在 5G 網(wǎng)絡(luò)中應(yīng)用的范圍，提升 5G 商用密碼的應(yīng)用安全能力，賦能行業(yè)數(shù)智化轉(zhuǎn)型，推動(dòng)高質(zhì)量的數(shù)字經(jīng)濟(jì)發(fā)展，做強(qiáng)做優(yōu) 5G 商用密碼應(yīng)用生態(tài)鏈，充分發(fā)揮商用密碼在 5G 網(wǎng)絡(luò)、數(shù)據(jù)、合規(guī)管理等方面的重要作用，構(gòu)建完備的 5G 商用密碼體系具有重要的價(jià)值意義。為此，立足標(biāo)準(zhǔn)，從網(wǎng)絡(luò)接入認(rèn)證、數(shù)據(jù)安全防護(hù)、安全合規(guī)管理方面分析商用密碼算法應(yīng)用的融合創(chuàng)新思路，更好地為垂直行業(yè)發(fā)展注入動(dòng)能。

內(nèi)容目錄：

1　商用密碼應(yīng)用現(xiàn)狀
2　融合創(chuàng)新的方向思路
2.1　網(wǎng)絡(luò)安全保障
2.2　數(shù)據(jù)安全守護(hù)
2.3　安全合規(guī)管理
3　賦能行業(yè)
4　結(jié)　語(yǔ)

密碼作為保障網(wǎng)絡(luò)安全最有效、最可靠最經(jīng)濟(jì)的關(guān)鍵核心技術(shù)，在維護(hù)國(guó)家安全、促進(jìn)經(jīng)濟(jì)發(fā)展、保護(hù)人民群眾利益中發(fā)揮著越來(lái)越重要的作用。密碼作為國(guó)之重器，是網(wǎng)絡(luò)信息發(fā)展的安全基因，是保障網(wǎng)絡(luò)與數(shù)據(jù)安全的核心技術(shù)產(chǎn)業(yè)，也是推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展，構(gòu)建網(wǎng)絡(luò)強(qiáng)國(guó)的基礎(chǔ)支撐。

隨著 5G 網(wǎng)絡(luò)的飛速發(fā)展與行業(yè)的不斷融合，以及行業(yè)數(shù)字化轉(zhuǎn)型的深度與廣度的發(fā)展，密碼技術(shù)應(yīng)用在 5G 網(wǎng)絡(luò)中的需求不斷攀升，密碼本身作為安全的重要內(nèi)核，在 5G 中的作用越來(lái)越凸顯，尤其近幾年來(lái)隨著國(guó)際環(huán)境的風(fēng)云變幻，我國(guó)自主可控能力需求進(jìn)一步提升，更加強(qiáng)調(diào)商用密碼的應(yīng)用，特別是重要基礎(chǔ)設(shè)施行業(yè)對(duì)商用密碼的應(yīng)用需求更加明確，紛紛把網(wǎng)絡(luò)建設(shè)與商用密碼應(yīng)用作為“三同步”的重要要求。此外，隨著國(guó)家一系列法律法規(guī)的出臺(tái)，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《密碼法》《網(wǎng)絡(luò)安全法》和《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例》等相繼實(shí)施，有力地指引并推動(dòng)了商用密碼的應(yīng)用，不斷拓寬密碼在行業(yè)應(yīng)用的廣度與深度，更加凸顯商用密碼在促進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、數(shù)字產(chǎn)業(yè)化等方面的重要作用。

為了更好地推進(jìn) 5G 網(wǎng)絡(luò)與垂直行業(yè)的融合，充分發(fā)揮商用密碼在 5G 網(wǎng)絡(luò)中的作用，同時(shí)賦能垂直行業(yè)發(fā)展，采用我國(guó)自主研發(fā)的商用密碼算法替代國(guó)際通用算法顯得至關(guān)重要，對(duì)提速垂直行業(yè)數(shù)智化進(jìn)程，構(gòu)建高質(zhì)量的數(shù)字經(jīng)濟(jì)，增強(qiáng)我國(guó)自主可控和網(wǎng)絡(luò)安全能力具有重要意義。但在實(shí)際執(zhí)行時(shí)，商用密碼的應(yīng)用面臨著一系列挑戰(zhàn)：一方面，5G 網(wǎng)絡(luò)協(xié)議與商用密碼應(yīng)用協(xié)議的兼容性，物聯(lián)網(wǎng)終端的海量接入，車(chē)聯(lián)網(wǎng)高可靠、低時(shí)延的高要求，5G網(wǎng)絡(luò)對(duì)密碼的需求更加急迫且呈現(xiàn)定制化，輕量化、高效密碼算法成了 5G 網(wǎng)絡(luò)密碼應(yīng)用的關(guān)鍵指標(biāo)；另一方面，商用密碼產(chǎn)品與 5G 網(wǎng)絡(luò)設(shè)備的適配性，密碼相關(guān)網(wǎng)元改造的難易程度等都需要從長(zhǎng)計(jì)議。此外，原有的密碼設(shè)備替換周期長(zhǎng)，業(yè)界所使用的密碼技術(shù)、產(chǎn)品、算法等大都是國(guó)外的，占據(jù)了不可小覷的密碼技術(shù)市場(chǎng)份額，想在短期內(nèi)替換或者升級(jí)原有設(shè)備，使其支持商用密碼存在一定的難度。從市場(chǎng)動(dòng)向來(lái)看，密碼廠商與 5G 設(shè)備廠商呈現(xiàn)并行發(fā)展，耦合性較弱，密碼廠商不了解 5G 網(wǎng)絡(luò)環(huán)境，更不要說(shuō)如何用好密碼。設(shè)備廠商在密碼產(chǎn)品研發(fā)方面積累較少，經(jīng)驗(yàn)沒(méi)有密碼廠商豐富，如密碼產(chǎn)品認(rèn)證測(cè)評(píng)有瓶頸，如何發(fā)力商用密碼在 5G 網(wǎng)絡(luò)中的應(yīng)用是 5G 網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)，也是難點(diǎn)。促進(jìn)商用密碼在 5G 網(wǎng)絡(luò)中用得好，用得全，用得精，讓 5G+ 商用密碼成為行業(yè)創(chuàng)新發(fā)展的助推器和執(zhí)牛耳者，這是一個(gè)值得認(rèn)真思考和探討的方向。為此，本文從商用密碼自身出發(fā)，結(jié)合行業(yè)需求，梳理密碼在 5G 網(wǎng)絡(luò)中的應(yīng)用現(xiàn)狀，立足國(guó)內(nèi)外標(biāo)準(zhǔn)發(fā)展趨勢(shì)，從3 個(gè)方面探討商用密碼在 5G 網(wǎng)絡(luò)中的融合創(chuàng)新思路。

1 商用密碼應(yīng)用現(xiàn)狀

移動(dòng)通信網(wǎng)絡(luò)技術(shù)的發(fā)展離不開(kāi)標(biāo)準(zhǔn)的指引，標(biāo)準(zhǔn)中規(guī)定了密碼應(yīng)用的方方面面，包括密碼算法、密鑰長(zhǎng)度、密碼協(xié)議等。結(jié)合 5G 網(wǎng)絡(luò)發(fā)展現(xiàn)狀，在標(biāo)準(zhǔn)方面，3GPP 里定義了一些有關(guān) 5G 網(wǎng)絡(luò)中密碼應(yīng)用的基本要求。5G 網(wǎng)絡(luò)除了繼承 4G 網(wǎng)絡(luò)的信令完整性保護(hù)（必選使用）、信令面和用戶面數(shù)據(jù)機(jī)密性保護(hù)（可選使用），還增加了用戶面數(shù)據(jù)完整性保護(hù)（可選使用）的能力，在算法使用上無(wú)線側(cè)仍然使用 AES、SNOW 3G、ZUC， 密 鑰 長(zhǎng) 度 是 128 bit，ZUC 算法的優(yōu)先級(jí)默認(rèn)不是最高。此外，用戶號(hào)碼隱私保護(hù) 、密鑰的派發(fā)體系到認(rèn)證向量的生成，涉及的算法均是國(guó)際通用密碼算法。我國(guó)在標(biāo)準(zhǔn)上的努力從未停止，自主研發(fā)的一系列標(biāo)準(zhǔn)也在不斷地輸入到國(guó)際標(biāo)準(zhǔn)中，自 2015 年 5 月起， 陸 續(xù) 向 ISO 提 出 了 將 SM2、SM3、SM4 和SM9 算法納入國(guó)際標(biāo)準(zhǔn)的提案。2017 年，SM2和 SM9 數(shù)字簽名算法正式成為 ISO/IEC 國(guó)際標(biāo)準(zhǔn)；2018 年，SM3 算法正式成為 ISO/IEC 國(guó)際標(biāo)準(zhǔn)；2020 年 4 月，ZUC 算法正式成為 ISO/IEC國(guó)際標(biāo)準(zhǔn)；2021 年 3 月，SM9 標(biāo)識(shí)加密算法正式成為 ISO/IEC 國(guó)際標(biāo)準(zhǔn)。2021 年 6 月 25 日，我國(guó) SM4 分組密碼算法由國(guó)際標(biāo)準(zhǔn)化組織 ISO/IEC 正式發(fā)布，成為 ISO/IEC 國(guó)際標(biāo)準(zhǔn)；2021 年10 月 22 日，我國(guó) SM9 密鑰協(xié)商協(xié)議作為國(guó)際標(biāo)準(zhǔn) ISO/IEC 11770-3，至此，SM9 算法成為中國(guó)密碼技術(shù)領(lǐng)域首個(gè)全體系納入 ISO/IEC 標(biāo)準(zhǔn)的非對(duì)稱密碼算法。加快推動(dòng)商用密碼算法標(biāo)準(zhǔn)在5G 網(wǎng)絡(luò)中的應(yīng)用編制，有助于提升我國(guó)移動(dòng)通信領(lǐng)域的自主可控能力建設(shè)，擴(kuò)大國(guó)際話語(yǔ)權(quán)。

在商用密碼市場(chǎng)發(fā)展方面，近年來(lái)我國(guó)商用密碼行業(yè)規(guī)模不斷擴(kuò)大，整體呈上升趨勢(shì)。從 1996 年我國(guó)確立商用密碼發(fā)展戰(zhàn)略以來(lái)，經(jīng)過(guò)多年的發(fā)展，商用密碼管理體制和標(biāo)準(zhǔn)體系已逐漸健全，產(chǎn)品數(shù)量和市場(chǎng)規(guī)模保持較高速度增長(zhǎng)，創(chuàng)新成果不斷涌現(xiàn)，密碼融合應(yīng)用方面取得長(zhǎng)足進(jìn)步。我國(guó)商用密碼產(chǎn)品品類(lèi)現(xiàn)已涵蓋從芯片、板卡、整機(jī)到系統(tǒng)的全產(chǎn)業(yè)鏈條，形成了較為完整的商用密碼產(chǎn)品供給體系。隨著商用密碼“放管服”改革的深入推進(jìn)，商用密碼的發(fā)展將進(jìn)一步加快，商用密碼產(chǎn)品創(chuàng)新成果不斷涌現(xiàn)。2020 年在新冠肺炎疫情流行的客觀環(huán)境下，我國(guó)商用密碼產(chǎn)業(yè)仍取得高速發(fā)展，總體規(guī)模達(dá)到 466 億元，較 2019 年增長(zhǎng)了33.14%。在政策環(huán)境與市場(chǎng)需求的共同作用下，商用密碼產(chǎn)業(yè)將迎來(lái)高速增長(zhǎng)機(jī)遇，預(yù)計(jì) 2023年商用密碼行業(yè)規(guī)模有望達(dá)到 937.5 億元。SM系列算法的成熟度不斷增強(qiáng)，加速了上、中、下游產(chǎn)業(yè)的全面融合和推廣應(yīng)用，商用密碼算法在加密強(qiáng)度和運(yùn)算性能上都優(yōu)于同類(lèi)國(guó)際通用算法。例如 SM2 算法抗攻擊能力優(yōu)于國(guó)際算法，性能相當(dāng)，但簽名長(zhǎng)度更短；SM4 算法密鑰擴(kuò)展和加密的資源重用硬件資源占用少，安全強(qiáng)度高；SM3 算法能抵御差分分析且具有較強(qiáng)的擴(kuò)散性，實(shí)現(xiàn)面積和性能占優(yōu)。

2 融合創(chuàng)新的方向思路

商用密碼與 5G 網(wǎng)絡(luò)的融合創(chuàng)新涉及方方面面，從終端、無(wú)線側(cè)、傳輸網(wǎng)、核心網(wǎng)、邊緣平臺(tái)到企業(yè)用戶側(cè)端到端的應(yīng)用分析，基于密碼的安全機(jī)制成為 5G 網(wǎng)絡(luò)的內(nèi)生要素和必選環(huán)節(jié)，引領(lǐng)信息領(lǐng)域關(guān)鍵核心技術(shù)的創(chuàng)新與突破，進(jìn)一步協(xié)同創(chuàng)新保障信息安全。行業(yè)應(yīng)用是 5G網(wǎng)絡(luò)發(fā)展重要的出發(fā)點(diǎn)與落腳點(diǎn)，應(yīng)關(guān)注行業(yè)發(fā)展需求動(dòng)態(tài)，增強(qiáng) 5G 網(wǎng)絡(luò)與行業(yè)應(yīng)用的黏性。為此，可探索商用密碼在 5G 專網(wǎng)網(wǎng)絡(luò)、數(shù)據(jù)、合規(guī)管理等方面的融合創(chuàng)新能力，設(shè)計(jì)基于國(guó)密的 5G 網(wǎng)絡(luò)體系架構(gòu)，構(gòu)建國(guó)密的數(shù)據(jù)安全保障能力，完善基于國(guó)密的 5G 安全管理機(jī)制等，建立一套由內(nèi)到外，由上及下的 5G 國(guó)密應(yīng)用體系，形成獨(dú)具特色的中國(guó) 5G 國(guó)密專用網(wǎng)絡(luò)，賦能千行百業(yè)，實(shí)現(xiàn)行業(yè)數(shù)字化轉(zhuǎn)型。整體的思路框架如圖 1 所示。

圖 1 5G 網(wǎng)絡(luò)商用密碼應(yīng)用框架

在圖 1 中，法律法規(guī)與標(biāo)準(zhǔn)是基礎(chǔ)，也是支撐與指引，立足現(xiàn)有法律法規(guī)和標(biāo)準(zhǔn)，建立基于商用密碼應(yīng)用的安全體系，研究終端、接入、核心網(wǎng)及應(yīng)用中涉及的各個(gè)密碼應(yīng)用關(guān)鍵技術(shù)，形成增強(qiáng)自身安全可控能力及對(duì)外安全賦能的迸發(fā)勢(shì)能。商用密碼合規(guī)管理與數(shù)據(jù)安全保障貫穿始終，緊密?chē)@密碼 4 個(gè)特性，即機(jī)密性、完整性、認(rèn)證性和不可否認(rèn)性，建立商用密碼應(yīng)用的“四梁八柱”，達(dá)到商用密碼應(yīng)用的可管、可見(jiàn)、可靠、可用的安全目標(biāo)，實(shí)現(xiàn)商用密碼應(yīng)用的長(zhǎng)足發(fā)展。

2.1　網(wǎng)絡(luò)安全保障

網(wǎng)絡(luò)是基礎(chǔ)，密碼是能力。5G 網(wǎng)絡(luò)的發(fā)展越來(lái)越向精細(xì)化邁進(jìn)，網(wǎng)絡(luò)安全越來(lái)越重要，密碼在護(hù)衛(wèi)網(wǎng)絡(luò)安全中發(fā)揮重要的作用，從無(wú)線側(cè)、傳輸網(wǎng)到核心網(wǎng)，密碼的影子隨處可見(jiàn)，密碼與網(wǎng)絡(luò)可結(jié)合的思路可參考以下方向來(lái)切入。

終端安全至關(guān)重要，5G 終端又大致分為兩類(lèi)，一類(lèi)是 5G 用戶終端，另一類(lèi)是行業(yè)用戶終端。對(duì)終端來(lái)說(shuō)，應(yīng)該具備對(duì)業(yè)務(wù)數(shù)據(jù)的加密能力，從源頭上保障業(yè)務(wù)數(shù)據(jù)的安全性，尤其是業(yè)務(wù)數(shù)據(jù)的機(jī)密性和完整性保護(hù)，防止業(yè)務(wù)信息被竊聽(tīng)和篡改 [2]。此外，重視終端接入認(rèn)證授權(quán)，接入是終端進(jìn)入網(wǎng)絡(luò)的第一道門(mén)檻，拒絕非法終端的接入和合法終端的非法授權(quán)，包括終端接入的主認(rèn)證和二次認(rèn)證。按照 3GPP的標(biāo)準(zhǔn)流程來(lái)看，主認(rèn)證涉及認(rèn)證向量的生成和密鑰，與核心網(wǎng)網(wǎng)元統(tǒng)一數(shù)據(jù)管理（UnifiedData Management，UDM）、 鑒 權(quán) 服 務(wù) 器 功 能（Authentication Server Function，AUSF）等密切相關(guān)，為此，可使用 SM 系列算法替換相應(yīng)的國(guó)際算法，使用 SM2 來(lái)完成密鑰的生成，SM3替 換 密 鑰 導(dǎo) 出 函 數(shù)（Key Derivation Function，KDF）的密鑰派生函數(shù)，SM4 則替換 AES 實(shí)現(xiàn)對(duì)稱加密。此外，無(wú)線側(cè)可設(shè)置非接入控制（Non Access Stratum，NAS）和無(wú)線資源控制（Radio Resource Control，RRC）機(jī)密性與完整性保護(hù)算法優(yōu)先級(jí)，設(shè)置 ZUC 作為最高算法優(yōu)先級(jí)，保障無(wú)線側(cè)信令面和控制面基于國(guó)密的機(jī)密性和完整性保護(hù)。二次認(rèn)證是在主認(rèn)證后，基于企業(yè)自身需求建立的認(rèn)證，目前常見(jiàn)的認(rèn)證框架是可擴(kuò)展認(rèn)證協(xié)議 [3]（Extensible AuthenticationProtocol，EAP），可建立基于國(guó)密的二次認(rèn)證框架，保障終端的安全接入。傳輸側(cè)可建立基于國(guó)密的 IPSec VPN 傳輸通道，構(gòu)建基于國(guó)密的證書(shū)分發(fā)模式和密鑰協(xié)商機(jī)制，高速的對(duì)稱密碼加密算法，使用符合密評(píng)要求的 IPSec 網(wǎng)關(guān)產(chǎn)品，保障各個(gè)網(wǎng)元或平臺(tái)的邊界網(wǎng)絡(luò)安全。核心網(wǎng)基于服務(wù)化架構(gòu)（Service-Based Architecture，SBA），按照 3GPP 標(biāo)準(zhǔn)，網(wǎng)元之間是基于開(kāi)放的 OAUth 2.0 TLS 安全機(jī)制，TLS 協(xié)議目前常見(jiàn)的是 TLS 1.2 版本，TLS 1.3 版本以下均不支持國(guó)密算法套件，如需使用國(guó)密，則需要建立額外的國(guó)密算法機(jī)制，TLS 1.3 版本包含了國(guó)密算法套件（SM2、SM3）。此外，可建立基于應(yīng)用層的國(guó)密應(yīng)用，即端到端的國(guó)密 TLS/SSL 傳輸機(jī)制，通過(guò)配置應(yīng)用層的安全網(wǎng)關(guān)或者軟件化產(chǎn)品，實(shí)現(xiàn)終端到企業(yè)平臺(tái)的國(guó)密加密傳輸保障。

2.2　數(shù)據(jù)安全守護(hù)

密碼是保障數(shù)據(jù)安全的內(nèi)核基因。在數(shù)字經(jīng)濟(jì)時(shí)代，保護(hù)數(shù)據(jù)安全要靠密碼，密碼技術(shù)決定著網(wǎng)絡(luò)與系統(tǒng)安全[4]。數(shù)據(jù)是重要的生產(chǎn)要素，伴隨 5G 網(wǎng)絡(luò)的海量終端接入，數(shù)據(jù)體量不斷擴(kuò)張，數(shù)據(jù)分類(lèi)分級(jí)和敏感程度需求逐步細(xì)化，對(duì)數(shù)據(jù)全生命周期的安全守護(hù)策略越來(lái)越豐富，如靜止?fàn)顟B(tài)下的加密存儲(chǔ)，傳輸狀態(tài)下的防竊取、防篡改，處理過(guò)程中的匿名或者去標(biāo)識(shí)化等。無(wú)論使用什么樣的網(wǎng)絡(luò)安全策略，其核心思想均是為了保護(hù)數(shù)據(jù)安全，因此數(shù)據(jù)是一切防護(hù)的出發(fā)點(diǎn)和歸宿，使用細(xì)粒度化的方式能更好地維護(hù)數(shù)據(jù)安全，如文件級(jí)、磁盤(pán)級(jí)、字段級(jí)等。隨著國(guó)密算法優(yōu)化升級(jí)，SM 系列算法在數(shù)據(jù)存儲(chǔ)、傳輸、處理等全生命周期中的應(yīng)用越來(lái)越廣泛，依托國(guó)產(chǎn)芯片，SM 系列算法的性能不斷提升，如 SM4 算法相較 AES，在數(shù)據(jù)加密方面表現(xiàn)較優(yōu)，有力地提升了數(shù)據(jù)的機(jī)密性、完整性和可用性。例如，數(shù)據(jù)來(lái)源的身份驗(yàn)證采用SM2 或 SM9，機(jī)密性保護(hù)采用 SM4，完整性驗(yàn)證采用 SM3，在數(shù)據(jù)生產(chǎn)、傳輸、處理、存儲(chǔ)等階段，使用一種或多種算法搭配，可實(shí)現(xiàn)數(shù)據(jù)全生命周期的安全防護(hù)?？傊?，數(shù)據(jù)在不同的狀態(tài)下對(duì)密碼的需求不一樣。以數(shù)據(jù)傳輸為例，數(shù)據(jù)的傳輸安全包括信源加密和信道加密，信源加密從數(shù)據(jù)自身出發(fā)，在發(fā)送前利用加密技術(shù)對(duì)數(shù)據(jù)進(jìn)行處理，到接收端再解密。在算法選擇上，大數(shù)據(jù)量多采用對(duì)稱加密算法，加密速度快，SM4 算法使用較多；而信道加密則是通過(guò)建立一個(gè)安全的加密隧道來(lái)保障傳輸數(shù)據(jù)的安全，安全網(wǎng)關(guān)（Virtual Private Network，VPN）是常見(jiàn)的保護(hù)方式。從不同的網(wǎng)絡(luò)層看，有不同的加密協(xié)議，應(yīng)用層主要基于傳輸層安全 性 協(xié) 議（Transport Layer Security，TLS）、 安全外殼協(xié)議（Secure Shell，SSH），網(wǎng)絡(luò)層則基于 IPSec，簡(jiǎn)單來(lái)說(shuō)，VPN 的方式包括網(wǎng)絡(luò)層的IPSec VPN 和應(yīng)用層的 TLS VPN，相應(yīng)的密碼算法涉及密鑰協(xié)商時(shí)用到的 SM2、保障數(shù)據(jù)完整性時(shí)用到的 SM3 以及用于機(jī)密性保障的 SM4。如前所述，每一個(gè)場(chǎng)景下算法的使用并不是單一的，需要結(jié)合多種算法來(lái)共同保障數(shù)據(jù)的安全可靠，所以具體使用需結(jié)合需求應(yīng)用場(chǎng)景。總之，商用密碼在 5G 網(wǎng)絡(luò)數(shù)據(jù)安全方面將大有可為，同時(shí)隨著量子密碼、白盒密碼、格密碼、隱私計(jì)算等新技術(shù)的發(fā)展，未來(lái)商用密碼在 5G網(wǎng)絡(luò)中將勾勒出一幅數(shù)據(jù)藍(lán)圖。

2.3　安全合規(guī)管理

安全合規(guī)管理在企業(yè)中的占比越來(lái)越大，《2021 商用密碼創(chuàng)新應(yīng)用指南》指出，合規(guī)需求仍然是目前企業(yè)對(duì)商用密碼技術(shù)應(yīng)用的主要驅(qū)動(dòng)力，統(tǒng)一密管、統(tǒng)一認(rèn)證等是企業(yè)用戶重點(diǎn)關(guān)注的商用密碼應(yīng)用訴求。密碼是安全合規(guī)管理的重要特征之一，構(gòu)建一個(gè)密碼安全合規(guī)管理體系能夠及時(shí)發(fā)現(xiàn)異常事件，進(jìn)行影響評(píng)估、合規(guī)評(píng)估、風(fēng)險(xiǎn)評(píng)估，定期發(fā)現(xiàn)安全隱患。為此，亟須構(gòu)建以密碼管理合規(guī)為起點(diǎn)，堅(jiān)持密碼管理問(wèn)題為導(dǎo)向，構(gòu)建安全、可靠、完備的密碼管理體系。梳理 5G 網(wǎng)絡(luò)中密碼使用的合規(guī)情況，以《GB/T 39786—2021 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》《GB/T 37092—2018 信息安全技術(shù) 密碼模塊安全要求》《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》等為指引，采用自查和第三方審查相結(jié)合的方式，開(kāi)展商用密碼應(yīng)用合規(guī)檢測(cè)，對(duì)不符合合規(guī)管理的系統(tǒng)、設(shè)備、平臺(tái)落實(shí)整改。加快加深商用密碼應(yīng)用與安全性評(píng)估檢測(cè)范圍，對(duì)網(wǎng)絡(luò)和信息系統(tǒng)是否采用了商用密碼技術(shù)、產(chǎn)品和服務(wù)進(jìn)行測(cè)評(píng)，對(duì)其密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估，規(guī)范密碼算法、密碼產(chǎn)品、密碼技術(shù)以及密碼服務(wù)使用。另外，密鑰管理是密碼應(yīng)用的重要方面，科克霍夫原則指出系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰。構(gòu)建 5G密鑰管理體系架構(gòu)，保障密鑰全生命周期的安全管理，優(yōu)化密鑰管理流程，定期開(kāi)展合規(guī)測(cè)評(píng)。此外，參考 IPDRR 能力框架模型，從識(shí)別、防護(hù)、檢測(cè)、響應(yīng)、恢復(fù)、反制 6 個(gè)方面 [5]，建立5G 網(wǎng)絡(luò)商用密碼安全合規(guī)框架，管理密碼安全風(fēng)險(xiǎn)，形成檢測(cè)、整改、合規(guī)的閉環(huán)管理模式，筑牢 5G 網(wǎng)絡(luò)安全管理防護(hù)線?；谏逃妹艽a的安全合規(guī)管理的框架如圖 2 所示。

圖 2　基于商用密碼的安全合規(guī)管理的框架

在圖 2 中，商用密碼的安全合規(guī)管理的基礎(chǔ)支撐包括 3 個(gè)方面，即國(guó)家及行業(yè)的安全合規(guī)要求、企業(yè)方面以及第三方安全合規(guī)管理借鑒。其中，國(guó)家及行業(yè)的安全合規(guī)要求是重中之重，包括法律法規(guī)、標(biāo)準(zhǔn)，如密碼法、密評(píng)、等保等；企業(yè)方面主要涉及企業(yè)針對(duì)自身的安全管理要求和企業(yè)標(biāo)準(zhǔn)；第三方安全合規(guī)管理借鑒包括一些成功模型（如 IPDRR）和成功的管理模式等。在審查方式方面，主要包括自查和第三方審查，審查的內(nèi)容包括密碼算法、協(xié)議、密鑰管理、密碼產(chǎn)品和技術(shù)的使用、密碼服務(wù)等，主要檢查密碼應(yīng)用的合規(guī)檢測(cè)。至于審查采取的方式，需要結(jié)合企業(yè)自身的需求，如有的企業(yè)體系較為完善，財(cái)力、物力、人力等比較豐厚，可以二者結(jié)合使用。審查的目的是達(dá)到合規(guī)，因此，整個(gè)流程都會(huì)圍繞檢測(cè)、整改、合規(guī) 3 個(gè)主要方面。這個(gè)過(guò)程是螺旋式的、閉環(huán)的，需要不斷地操作，才能逐步提升企業(yè)的商用密碼應(yīng)用安全合規(guī)管理。其實(shí)這個(gè)架構(gòu)也適用于企業(yè)中其他的管理方向，密碼是其中一個(gè)。在整個(gè)過(guò)程中，人員安全監(jiān)管和風(fēng)險(xiǎn)安全監(jiān)控是全流程參與，人員是必需的，也是必備的，風(fēng)險(xiǎn)管理是企業(yè)的重要關(guān)注點(diǎn)，不能消除風(fēng)險(xiǎn)，但整個(gè)密碼應(yīng)用的安全合規(guī)管理過(guò)程需要降低安全風(fēng)險(xiǎn)，風(fēng)險(xiǎn)的安全監(jiān)控必不可少?；谏逃妹艽a的安全合規(guī)管理框架涉及多個(gè)層面、多種方式、多方人員，需要相互協(xié)調(diào)、共同參與，才能不斷強(qiáng)化商用密碼應(yīng)用的安全合規(guī)管理。

3 賦能行業(yè)

5G 網(wǎng)絡(luò)應(yīng)厚植商用密碼能力，發(fā)力密碼能力輸出，為企業(yè)客戶提供基于國(guó)密的二次身份認(rèn)證策略，打造端到端的國(guó)密應(yīng)用傳輸通道，建立基于國(guó)密的密鑰派生體系，形成網(wǎng)絡(luò)可信、傳輸可靠、安全可定制的靈活高效的聚合效應(yīng)?；A(chǔ)電信運(yùn)營(yíng)企業(yè)應(yīng)本著密碼基礎(chǔ)能力“引進(jìn)來(lái)”，融合 5G 能力“走出去”，賦能千行百業(yè)，從打造密碼 +5G 融合應(yīng)用“樣本間”到“商品房”，逐步擴(kuò)大加深密碼在 5G 網(wǎng)絡(luò)中的融合創(chuàng)新，聚焦密碼在網(wǎng)絡(luò)中運(yùn)用的堵點(diǎn)、卡點(diǎn)，疏通攻克，扎實(shí)推動(dòng) 5G+ 商用密碼產(chǎn)業(yè)發(fā)展進(jìn)入快車(chē)道，進(jìn)一步凸顯二者融合的馬太效應(yīng)，打造 5G+ 密碼產(chǎn)業(yè)鏈、生態(tài)鏈“鏈長(zhǎng)”，讓更多密碼的魅力綻放在 5G 盛開(kāi)之花中。

4 結(jié)　語(yǔ)

商用密碼在 5G 網(wǎng)絡(luò)中的融合創(chuàng)新不可能一朝一夕，但是從產(chǎn)業(yè)融合來(lái)看，密碼技術(shù)正在以前所未有的廣度和深度與信息技術(shù)相互促進(jìn)、融合發(fā)展，為網(wǎng)絡(luò)空間的云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等應(yīng)用保駕護(hù)航。加快我國(guó)關(guān)鍵核心技術(shù)自主創(chuàng)新，提升我國(guó)自主研發(fā)芯片的能力，打造高性能密碼產(chǎn)品提速運(yùn)算效率，落實(shí)專業(yè)化、平臺(tái)化的密碼服務(wù)，實(shí)現(xiàn)質(zhì)量升級(jí)、效率提高、服務(wù)完善、縱深防御的商用密碼技術(shù)體系和差異化按需定制的密碼能力輸出，構(gòu)建以商用密碼為基石的 5G 網(wǎng)絡(luò)安全與信任體系生態(tài)，優(yōu)化商用密碼科技發(fā)展戰(zhàn)略布局，實(shí)現(xiàn)政府宏觀調(diào)控引導(dǎo)，讓網(wǎng)絡(luò)可信、數(shù)據(jù)可信、網(wǎng)元可控、安全可見(jiàn)貫穿于整個(gè)生態(tài)，真正實(shí)現(xiàn)基于商用密碼的 5G 內(nèi)生安全能力。

引用格式：陸勰 , 徐雷 , 張曼君 ,等. 商用密碼在 5G 網(wǎng)絡(luò)中融合應(yīng)用的思路探討 [J]. 信息安全與通信保密 ,2023(2):117-124.
作者簡(jiǎn)介 >>>
陸　勰，女，碩士，工程師，主要研究方向?yàn)?5G 網(wǎng)絡(luò)安全、密碼技術(shù)應(yīng)用研究；
徐　雷，男，博士，教授級(jí)高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全研究；
張曼君，女，博士，高級(jí)工程師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全研究；
姚　戈， 女， 博 士， 工 程 師，主要研究方向?yàn)?5G 網(wǎng)絡(luò)安全技術(shù)研究及標(biāo)準(zhǔn)化。
選自《信息安全與通信保密》2023年第2期（為便于排版，已省去原文參考文獻(xiàn)）