演講主要內容：

商用密碼目展現出一些新特點和新范式，一是政策先行；二是自主可控；三是創新應用。

演講原文：

密碼作為國家重要的戰略資源，是保障網絡信息安全的核心技術的基礎支撐，在這方面密碼技術是網絡空間安全的核心技術，是技術發展的基礎支撐，新基建密碼建設是非常基礎的，同時密碼也會為其他的新基建提供安全保障。特別是密碼法的出臺，讓我們看到商用密碼有了更大的施展空間，展現出一些新的特點和新的范式，一是政策先行。使用密碼已經成為法律義務，以前密碼想怎么做怎么做，用大量國外密碼，今天通過《密碼法》，《密碼法》我個人理解是從專控管理走向法制管理一個非常重要的轉折點，這樣一個轉折會推動我們整個市場的擴大，推動我們產業的興旺發達。

二是自主可控。密碼產業支撐行業的發展，推動信息技術的自主可控，為密碼提供了更大的空間，而我們整個密碼行業，也全面地、全身心地投入到自主可控這樣一個大潮里邊去。最近應該說，我們廣大的密碼企業都非常忙，現在全國的各個省市、各個委辦局，都在進行自主可控的招標，負責這個業務的人最近特別忙，密碼企業全面地深入到這樣的自主可控領域，這也是我們這個行業新的熱點和特點。

三是創新應用給密碼帶來更好的市場空間。我們大家看到無紙化的推動，全面地智能化的推動，物聯網的推動，帶給我們很多很多的機會，我們這次在疫情期間，今年北京大學的畢業生都使用的是電子成績單，電子畢業證，電子學位證，這里邊全是基于我們密碼的可靠電子簽名來解決的事情，以前我們做密碼的都是談軍事、外交，現在我們發現，每個老百姓的身邊都是我們的密碼，這樣帶來了新機會。

演講主要內容：

第一、密碼與網絡安全的關系；第二、密碼的作用；第三、《密碼法》的實施到底是什么意思？

演講原文：

首先講一下密碼與網絡安全的關系。其實密碼是一個非常古老的學科，他在沒有網絡的時候就已經存在了，凱撒密碼來自于公元前，公元前什么網絡也沒有，什么資源也沒有，計算機最早源于1946年，當然英國可能最早，但是他保密沒有發展起來，所以保密可能害了英國，網絡1980年開始事始，密碼比圖靈機比網絡都早得多，所以密碼對網絡安全有更大的范疇。密碼現在我們認為它是科學，它有自己的度量體系，支持的范圍超出了網絡安全，比如他有隨機性的問題，熵就是隨機性的一個度量，可以一比特一比特的度量，是有共識的。安全問題密碼也是有度量的，比如他可以說密碼128比特安全性，他也是有度量的，算法安全是有可證明安全體系的，是通過數學體系證明的，網絡安全差一點，網絡安全是一個技術，正在走向科學，度量體系尚維形成，沒有量化度量方式，所以沒有科學，而且理論體系尚未建立，在十三五里面我們專門列了項目，希望支持網絡安全成為科學，但到今天為止我們沒有看到任何苗頭說網絡安全會成為一門科學，只是技術，但密碼是科學。說明密碼對網絡安全的作用是兩回事兒，差太遠了。

第二，密碼的作用。首先，計算機和網絡安全是走向密碼的懷抱。為什么這樣，因為我們已經走過了網絡軟件化的時代，這是我的一個判斷，我們是不是進入網絡環時代，計算機安全已經走入可信計算，做防火墻等最終依賴是代碼安全，代碼安全依靠可信計算，可信計算靠密碼的數字簽名，可信計算目前已經全面應用，大家所有計算機，包括手機里面都有數字簽名，如果沒有數字簽名手機很快完蛋了，如果沒有數字簽名PC機也完蛋了，所以現在可信計算已經成為計算機安全的基礎。

我們又進入更新的時代，我們叫做網絡軟件化時代時代，虛擬化軟硬件分離，計算機或者網絡其實就變成一段代碼，所以在網上買一個計算機就在網上飄著，就是一段代碼，什么都不是，因為我們還有軟件定義網絡，網絡是什么？網絡也是一段代碼，放過去就定義一個新的網絡，網絡虛擬化，包括防火墻，包括路由器，都是網絡功能，都會去虛擬化，所以軟件定義一切，導致所有的數字安全隱患也得靠密碼，所以軟件安全、代碼安全，密碼將是未來網絡安全或者計算機安全決定性因素。所以我們說網絡與系統安全，最后走向系統安全，它的完整、真實、保密、可用，都會成為未來網絡安全的核心要素，所以系統和網絡安全研究會逐步走向密碼的學術領域，這是我說的第一個預測。

其次，我們已經進入信息協作的時代。什么叫做信息協作？就是工業化協作，工業化發展和專業化的服務是未來網絡的一個重點，就是你沒有一件事情是你自己能干的。舉個例子，你要做一個創新，你的數據采集可能自己沒有那么多采集點，你的數據處理可能沒有這么大的機器，還是高網上，你的產品銷售可能倚賴淘寶，你的數據收取可能倚賴支付寶，所有軟件靠人家終端幫你看，所以我們網上的創新活動完全是依靠協作來走的，這是工業化的產物，也是云計算我們的重要啟示，就是自給自足的信息系統已經不存在了，現在我們走向了服務購買，大家都協作，協作已經成為未來網絡的生活方式。

生活方式的特點，農業時代是自給自足，工業時代的食品安全是三聚氰氨、毒牛奶和蘇丹紅之類的東西，PC時代的信息安全是防病毒、防泄露、防入侵，協作時代的信息安全就是有毒信息的防止，叫信息處理安全，跟我們現在的安全完全不一樣。

怎么辦？我們會看到支持協作怎么支持？密碼最開始節支持協作，密碼簽名就是一種協作，我簽了名你能驗證，但是你不能假冒我的簽名，這就是一種協同，未來同態密碼也是云計算的協同，你給我加減乘除都算了但是你不知道我放的是什么，這是協作，未來是不是有更好的密碼呢？混淆密碼可能是未來協作的發展方向。我把功能給你，你幫我做好，做完你給我，你什么都不知道，我把錢付給你結束了，協作重要的也是靠密碼，我們已經走向這個時代，密碼會起到很重要的作用。

再有，我們已經進入數字經濟時代，要發展數字經濟，數字財富保護已經成為我們這個時代的核心技術，數字經濟如果保護不了財富什么也不是，經濟不可能發展，如果財富沒有保護就完蛋了，信息數據承載著國家和人民的財富，資產這些東西，包括未來的控制指令、日程安排都是數據，都需要保護，這些保護可能都需要密碼，數字時代生產關系的保護可能更重要，大家沒人研究，都講數據安全。生產關系的安全是未來網絡安全重要的因素，我們在十三五講了保護生產關系的安全，保護生產關系安全的密碼，比如區塊鏈，通過錢和私鑰的綁定，這些類似的技術可能是數字經濟時代最核心的保護生產關系的技術。所以我們說，在數字經濟時代，數字安全、主體安全，還有主客體的安全，密碼大有可為。

另外，密碼保護網絡共同體時代的主權。現在所有網絡都在一起，逃不過這一張巨大的網，我們的生活都在這個網上，而且網已經變成多元化了，有時候我們說物理隔離，物理隔離有用嗎？有一點點用，但是在多維環境下其實沒用，為什么？這玩意兒輻射吧，天線有時候輻射吧？一不小心光又輻射出去了，在多維形勢下網絡連接太多了，網絡維度太多，又有WIFI這些，物理隔離太難弄了，基本上做不到。所以我們說，黑客無處不在，多維網絡連接，網絡攻擊已經形成，我們誰都逃不了。

怎么辦理？有人提出零信任，我們沒法信任內網，沒法信任物理隔離，零信任最基本的原理是什么？就是叫數字鑒別和無處不在的加密將成為新形勢下的要求，所以都要加密，這個東西部知道輻射不輻射，不知道未來通不通，我們零到哪里去呢？我們對內網什么都不信任，對員工都不信任，零到哪里去？最后就是一個Key，別的都不信任，所以從Key開始一層層地建立信任體系，由Key信任我的代碼，由這段代碼信任那段代碼，組成自己的信任體系，那就是零信任的基本，我覺得這個非常好。

在網絡命運共同體下，密碼是保護網絡共同體時代的主權的最為重要的基礎技術，所以談網絡主權如果沒有密碼基本上沒有戲。

三、《密碼法》的實施是號角，也是挑戰。《密碼法》的實施吹響進軍新時代的號角，網絡軟件化的時代，密碼決定網絡與系統安全，信息協作化的時代，密碼推動網絡工業化發展，數字經濟化的時代，密碼成為數字經濟發展的核心技術，命運共同體的時代，密碼保護網絡與系統主權。

《密碼法》法制化管理密碼技術，適合這個時代的特色，大家要協作，沒有法律，沒有框架大家也做不了，我們國家《密碼法》做到很多優秀點，第一，利用全球智慧的勇氣：所有企業一視同仁，面向全球市場的戰略：國際標準化戰略，人才培養與科技發展的挑戰：重視重視再重視，密碼，是我國趕超世界技術的一個優秀的根據地，因為密碼我們是最有基礎的，最有好處的，通過這個在技術領域的根據地就是密碼。《密碼法》的實施對我們真的是號角，是一個挑戰。

演講主要內容：

一、商用密碼應用技術體系；二、商用密碼技術標準；三、商用密碼的典型方案。

演講原文：

一、商用密碼應用技術體系

首先，報告商用密碼體系之前，需要了解商約密碼的技術特征，從三個方面總結一些特征點。目前大家對內生安全呼聲很高，也很深刻，但是核心技術就是密碼技術。第二，密碼技術貫穿整體、全部，也就是從底層硬件開始，從芯片開始，硬件平臺開始，這是底層，無論通用計算機也好，網絡設備也好，都有操作系統，在操作系統之上就是應用服務器，或者中間件，大型系動或者應用器系統中間件平臺是非常重要的，中間件之上構建我們的平臺業務，密碼貫穿整個體系，整個層次。

第三，密碼技術的應用需要從系統開始規劃和設計開始，盡量滿足各個層次的要求。因為大家可以看到，從上面兩個特征來講，密碼嵌入式安全技術，無論從領域和業務都需要，如果在某一層規劃和設計時候，如果沒有進行密碼應用設計，在后面改動各方面會有非常大的困難，密碼應用核心點從開始的規劃和設計開始，就要進入到設計里去。

第二個方面，密碼在業務應用系統的作用。應用作用實際上密碼技術在整個業務體系中的作用包含四方面，第一，實現正確的身份鑒別和權限的控制，第二，保證關鍵數據的真實性和完整性，第三，保證關鍵數據的機密性，第四，實現關鍵操作的不可否認性。基于密碼的特征和密碼在應用系統的作用我們可以構架出密碼系統的應用技術體系。

這個應用技術體系是一個通用的技術體系，在大系統實現來講，密碼應用體系可以包含四個層次，最底層是密碼的算法層次，密碼是由數學算法實現的，包括對稱算法、非對稱算法、簽名算法、哈希算法，為了算法的實現和應用，構成了工程實現，第一部分是密碼應用設備的支撐層，在這一層密碼單元具體的運算和實現，包括常用的加密機、加密卡、云加密設備、SDK、USDK、密碼模塊。密碼實現這一層，我們構建面向業務的密碼服務層，因為在底層密碼設備都是密碼運算單元，為了滿足應用系統的千變萬化和豐富的業務需求，所以我們要構建一層密碼應用的服務層，包含針對密碼具體應用包裝業務，包含身份認證，還有加密的協議，電子簽名，還有實踐戳服務，還有一系列應用服務，這些應用服務可以對上層直接提供業務和接口，這就包含了平臺側和終端側兩端進行實現。

為了保證實現，為了保證從底層、應用層、芯片層、業務層的安全和體系的建立，我們建立密碼的基礎設施，密碼的基礎設施是從底層到上頭都需要貫穿，包含我們常用到的密碼基礎設施，包含密鑰系統，這就是密碼整體應用技術體系。

針對密碼應用體系已經寫入了密碼的行業標準，這是在密碼行業標準中對公鑰密碼技術體系具體實現的框架圖，跟前面這張圖基本一致。最上層密碼設備服務層，包含了密碼設備的實現，包括云密碼設備和專用密碼設備，上一層涉及到典型的密碼應用，包括身份認證、電子簽名等，右側是密碼基礎設施，包括密鑰管理系統，密鑰的證書管理系統等系統，還有一些支撐體系，還有時間服務的支撐體系，在密碼服務層整體之上，構建業務應用系統，這個就是整個密碼應用技術體系的構成。

二、商用密碼技術標準。

針對剛才講到的按照密碼應用技術體系，我們要實現和實施、固化，必須用標準的形勢固化、定型，只有標準定型之后才有可能實現密碼大規模應用。針對密碼標準的密碼應用技術體系，設計商用密碼的技術體系和標準，商用密碼標準里面，在技術層次，這個圖從三個維護闡述了商用密碼的技術框架，第一個層次，技術層次，分成三大類，密碼基礎類、基礎設施類、密碼產品類、應用支撐類、密碼應用類、密碼檢測類、商用密碼的管理類，這是在管理維度。

從技術應用角度也可以針對具體行業具體應用，可以界定行業的標準，比如金融標準，通訊標準，電力行業標準、交通標準，這是把密碼應用和具體行業結合，進一步細化。第三個維度，管理緯度，從密碼權威和發布等級來看，把密碼標準劃分成國家標準、密碼行業標準、團體標準，通常是密碼的國家標準由密碼行業標準進行升級，經過廣泛實踐和應用，升級成國家標準，這是當前密碼的標準體系。

在技術緯度上進一步劃分的這張圖，是對密碼緯度標準技術緯度進行進一步劃分，包含了產品的標準、檢測的標準，還有針對產品來講也進行各種分類。

目前我們國家已經發布了國密行業標準91項，其中有26項升級為國家標準，這些設備的這些標準涵蓋的內容非常豐富，包含了密碼基礎類標準、密碼算法類標準，算法類標準包括公鑰算法等，另外包括基礎設備類的密碼標準，包括密碼的公鑰基礎設施標準，還有證書認證相關的密鑰系統標準。應用系統標準里面制定大量的應用系統標準，包括密碼服務的接口標準、通用標準。

為了密碼更好落地實施，制定了很多商用密碼產品的標準，指導產品設備的生產、制造和認證，包含最核心的一個基礎的標準就是通用技術要求，這里升級為國家標準，也就是密碼模塊安全技術要求。針對具體設備，也定了很多其他的標準，包括VPN設備的標準，可信計算的標準，對稱密鑰管理規范標準、遠程監控標準等一系列標準。

另外一方面，包括密碼應用類標準，這涉及到行業類應用標準，包括網銀的金融卡密碼標準等相關標準，還有電子公文交換的密碼標準。

第四大類，檢測標準，針對剛才談到的通用密碼設備標準和行業的密碼應用要求，密標委制定一系列密碼檢測標準，還有管理標準，對密碼生產、制造、檢測規定管理標準，這些標準都是公開的，可以從網上獲得。

下面針對國內標準做稍微詳細的一些解讀和解釋，大家目前經常會用到的，以及這次密碼測評依據和標準，就是信息系統密碼應用的基本要求，這個密碼標準以前正在升級成國家標準，該標準從系統的物理安全、網絡的通信安全，設備和計算安全、應用和數據安全四個層面提出了等級保護不同級別的密碼技術應用要求。

總體技術要求包含的涉及到密碼算法和采用，密碼技術的采用和密碼產品的采用，以及密碼服務，對這四方面進行規定。這個標準制定依據對標，根據等級保護的要求，對于我們現有的信息系統建設一般按照等級保護要求需要劃分成四個級別，一級二級三級四級，對應等級保護四個等級的要求，密碼技術應該涉及到什么層次呢？在這個標準里面做了比較詳細的規定。第一個層次，在等級保護里面信息系統建設中對安全物理環境要求，對密碼的安全物理環境要求有身份兼并、電子門檻記錄數據完整性、飾品記錄數據完整性、密碼模塊實現，對密碼等級做了規定。對一級系統來說是可采用，二級是宜采用，推薦使用密碼技術，符合三級等保的是應使用，三級或三級以上的信息系統中，對實現安全物理環境是必須的選擇，如果產品中用到密碼模塊，需要用到二級以上的密碼模塊。

安全通信網絡密碼應用要求，包括交換機、路由器、防火墻、網絡安全設備這些，也存在身份鑒別、數據完整性、數據機密性、通道安全、密碼模塊實現，針對三級以上的系統，密碼技術采用都是一種必須的選項。對二級系統采用推薦性的選用。

對于網絡安全邊界的要求，這些設備要求，密碼規范中也進行了要求，同樣是對于三級系統密碼的網絡邊界的設備所采用的密碼技術，對于三級系統必須采用，對于二級系統推薦采用。

對于下面的核心計算環境，就是安全的計算環境，特別業務系統用在大量的計算環境上，所用到的設備和計算環境，包含設備主機、服務器、終端，這個在等級保護兩面同樣劃分為一級二級三級四級，在計算環境和設備中，同樣涉及到用戶的身份認證、管理員的身份認證、信息訪問控制、信息完整性、管理通道的完整性、重要成分完整性，對于二級系統，建議采用密碼技術來實現這些保護，對于三級或者三級以上系統，對于計算環境這些單元都要采用密碼技術進行保護。其中，密碼模塊保護也需要具備二級和二級以上方面的安全能力。

第四個方面，關于應用和數據方面，這也是目前等級保護的重要內容，也是信息系統里面核心的數據資產。應用數據是大量的采用了用戶的身份認證、訪問控制和數據傳輸的安全、數據加密的安全，以及存儲日志的安全、重要系統的加載、重要程序的加載和卸載問題，以及實現業務層面的防篡改要求，必須使用密碼技術才能做到完整保護，在標準里面，要求在三級和三級以上的系統必須采用密碼技術保護，在二級系統推薦采用密碼技術來實現。這就涉及到密碼設備包含統一認證系統、數字證書系統、訪問控制系統、文件加密系統等等。

除了剛才講的設備層和運算層、服務層，還有密鑰管理，在信息系統建設中，用到密碼就離不開密鑰管理，針對密鑰管理系統，同樣密碼管理也采用密碼技術才能保護，所以涉及到密鑰管理系統必須采用密碼技術進行保護。

最后標準里面涉及到安全上的管理要點，對于安全的制定，安全管理制度規定，人員管理規定，同樣在等級保護中，在系統設計中，設計安全的密碼管理制度和人員管理制度。在事實和應急方面，設計密碼的實施方案和應急方案。

三、商用密碼應用典型方案

商用密碼的典型方案，商用密碼的設計和實施核心點有幾個原則，最重要的一個原則就是三同步原則，同步規劃、同步建設、同步運用，密碼是內嵌技術，嵌入應用的各個層面，所以必須在系統建設初期就進行同步規劃和建設，當然其他的原則包括頂層設計原則、科學性原則、完備性原則、可行性原則。

網絡整體架構，這是我們常看到的網絡整體方案架構，無論做等級保護還是密碼應用測評，都會面臨同樣應用系統和同樣的網絡，在這個網絡中，包含了網絡接入設備，網絡安全邊界設備，包括防火墻和應用系統、管理中心，在系統中我們如何設計密碼？密碼從這張圖上一下看不出設備，在設備中都需要含有密碼技術，比如說需要SSLVPN網關，需要防火墻、路由器，訪問控制、底層運算也需要密碼技術，都含有密碼技術。對于應用層來講，應用層系統需要外掛建立密碼支撐系統、支撐平臺，包含了認證系統、數據中心、密鑰管理中心、身份認證協同。

后面兩個片子介紹兩個實際的應用層的密碼應用案例，這是典型的手機銀行、往上銀行密碼應用安全方案。上面這一層是銀行的業務系統，包含業務交易系統和賬戶系統，為了保證安全，在銀行系統里需要建立密碼的支撐平臺，密碼的服務平臺。密碼服務平臺包含哪些東西？最頂層的核心的密碼運算設備，以及電子簽名驗簽服務器，數字證書系統，密鑰服務系統，移動端應用后臺需要建立移動端手機密鑰管理系統，終端側同樣內嵌密碼模塊，支持銀行的業務應用，在PC端可以采用U盾或內置密碼模塊，手機端是手機終端密碼模塊，手機中斷密碼模塊可以達到二級要求。

第二個方案案例云密碼服務支撐蒲臺，大量的政務云和商業云普遍采用，行業云也普遍采用，業務在集中，業務集中氣量，根據我們要求，對業務應用系統需要單獨進行等級保護的測評和密碼應用的測評，同樣，對于每個業務應用系統如果單建合同是不合適的，在云上很難建設，所以針對云系統、云平臺，需要建立一整套的云密碼服務支撐平臺，需要云密碼服務器，高速的簽名驗簽服務器，CA數字系統，針對手機端要有手機盾密碼平臺，我們要建立云密碼服務平臺，它為云上所有業務系統提供支撐和服務，在通訊方面構建完整的（英文）平臺，采用多種傳輸，在終端通過密碼模塊實現終端的業務安全。

演講主要內容：

第一、商用密碼在通信領域的應用；第二、后5G和6G方面通訊網應該怎么做

演講原文：

首先講第一部分，商用密碼在通信領域的應用。我們在整個通信領域來看，一般都是講端到端，從設備本身到網絡再到應用整個過程，在整個過程中，我們很多業務都使用了密碼技術，它包括在專用的特定的芯片里面算法，在手機中進行使用，大家可能熟知的技術里面就使用這樣一種方式。

另外，物聯網、智慧城市安全解決方案中，很重要的一點是連接，在連接中，很關鍵的地方在于互聯網接入大網過程中，它的連接安全性怎么控制，這上面我們有一個叫安全報的攙進，也有很多應用了，這里面如何做一些密碼。包括在業務應用方面，現在疫情期間，云視訊應用量非常大，開會等需要視頻加密，做了加密視頻的應用。我們非常高興在4G里面，我們把128已經放進去了，包括ES、SM3哈希都是我們的算法，在電信網的設備中，特別在UE等三個關鍵設備中都有相應的應用，在限令層面是UE到ME，流量上面都開啟了這樣的應用。

包括加密電話，密話應用也是我們所的設計，現在有幾萬臺使用，最主從通信網來看是很小眾的應用，滿足特定場景上的應用，在華為的Mete系統終端，包括小米、OPPO各種手機上面都適配了相關加密終端，有大概三萬多臺應用，特別在四川省推薦這塊，四川省委標桿性應用，在新疆也有這樣的應用。很關鍵的一點，在設計中我稍微參與了一些，設計中有一個點，它應該怎么去做，因為它是一個全球密碼，符合要求。

我們設計開發一款產品叫安連寶，是大量互聯網終端接入情況下，我們傳統侵入式的把密碼一開始把它放進去不現實，比如手機終端還很現實，因為手機終端第一品牌量不大，第二，資源相對是無限的，但是對于一些物聯網終端來講，資源比較受限，第二品牌量泰達，所以可信的根的設計加入進去是很難的，我們創新系統提出，從物聯網接入第一個位置，就是物聯網邊界網關設備，把物聯網設備接入它，如果從網絡側看下去每一個網關就是一個設備，物聯網接入設備就是外設，這樣一種連接模式構建類似的一個可信的（英文），下面接了一些物聯網的NOTE，形成一個核心的系統，再接入大網，這種模式也在我們整個移動體系下得以在4G環境下已經有了大概6萬多臺的推廣，為現在的智慧城市和一些物聯網典型行業應用提供了一些點。

加密視頻會議，兩種模式，一種，云端會議模式，一種入駐式會議模式，在兩種會議模式上通過VSBC的會話系統，形成加密會議的開展，目前在山西、寧夏都有一定的落地。

下面重點分享一下我們在后5G和6G方面通訊網應該怎么做。

因為剛才很多領導和專家都講了很多，剛才跟鄭老師聊，在5G時代里面，如果說4G是改變生活的話，5G應該改變社會。5G改變社會它和4G有什么樣的區別？我理解最重要的區別是，我們逐漸地把這張通信網絡這個大的網絡分成兩類，一類叫做消費網絡，一類叫做產業，更準確一點，一類以自然人組成的，在網上的個體，一類是以法人或者組織機構為核心的一類群體進行的形勢。

在這樣的形勢下，我們發現個人在上網的時候什么時間都行，因為靈活，組織不行，組織不考慮我不能跟誰做生意，更多考慮我跟誰做生意，這就引來我們對整個網絡設計理念上的變化，就是從傳統的風險控制，風險是一種概率性的問題，包括三個方面，脆弱性資產，算出來一個風險價值，其中算法里面包含很多概率性問題。但是從現實角度來看，它其實是一種確定性的理念，所以如果從設計上來講，就是由概率性的風險控制向確定性的信任價值，重在信任建立，負在風險控制，這樣一個網絡設計，以信任為基礎，確保網絡的可預期性。

第二，防護的指導權在哪兒，防護指導權在產業互聯網里面不應該是終端自由化的過程，而應該是業務開展和業務應用，因為未來網絡更多存在確定性。確定性網絡里面除了算力、存儲，它的安全性，整個業務，像QS等等，一系列的東西，可能會給予客戶確定性的服務，而非以前的方式，所以安全可能在這里面形成確定性的內生是未來網絡中內生家里的重要部分。

第三個，運營方式的變化。業務的主體可能會從個人轉移到網絡的運營方，所以，它的信任基點也會從個人向運營方發展，這個做消費互聯網的可能難以轉換，這種形勢變化在產業互聯網上會有很大的發展。傳統網絡安全形勢和高通量、低延時的產業互聯網安全形勢會有變換，由于帶寬增高使得終端算力不斷降低形成重網絡輕終端的產業格局變化，再有可靠性增強和域內安全強組織化，而域間形成信任傳遞，另外信任鏈保護從設備到操作系統到應用到數據。

整個這塊網絡體系的變化，我們把它定義為可傳遞信任鏈的安全賦能系統，這套系統里面講了這十個字之后，我們認為有三項技術非常重要的三項技術，第一，信任鏈的建立，云計算技術，第二，信任的傳遞，應該是共識技術，第三，安全賦能技術，因為從運營商角度來講，看到全網大量數據，這種數據的采集和分析，當然包括一些類似公司，可能有很多這樣的數據，這些數據在組織方面進行情報的交換，會使得全網有一個非常非常強大的安全大腦，在這里面我們也希望運營商協同其他廠商為我國形成安全大腦，形成支持運用。

這里講到支持運用，這不是今天的重點，但是這是運營的核心，它是需要核心計算保護的，因為整個支持數據采集過程，以及智慧形成之后的下發過程，都需要一套信任的基點傳遞，否則會喪失。

這個就是我們在一個很粗糙的對未來網絡的內生安全設計，我們會看到，在頂端的安全能力嚴謹都是云網融合的系統，安全能力的輸出背后是一套威脅情報，是運營的系統，是從數據到支持到決策的過程。在網絡層面，會形成核心的一個連接，核心連接基于底層的是設備本身從根到操作系統到應用的建立過程。但是，因為域內是強管理的，它的運營權是域內組織的運營權，但是端是通過一些共識機制協同的信任鏈的傳遞過程，這是我們對于整個的預期。

從信任來看，這里面也講了，可信的網絡設備我們正在做一些這方面的嘗試，這方面的嘗試主要從兩個角度入手，第一個我們認為，可信計算做的點，因為物聯網以設備為主題，當一個物聯網系統突然發生一些變化，我們有理由相信是人造成的，在物聯網系統里面更多符合預期，符合定義產生的，這里恢復和保證預期的計算方式。

另外一個方向，切入點是在現在的點，在整個網絡功能的虛擬化過程中，通用的計算設備已經可以作為底層整個算力基礎，而在通用算力基礎上建立信任的卯點，用一種保證預期的方式給予他這樣的一個保護的話，對于陸游層面的這塊來講應該比以前更為容易了。所以我們現在從這兩個方向入手，從方向到網絡節點之間建立可信連接。

整個可信鏈傳遞過程，包括剛才講的設備、網絡、應用數據三個層面，我們發現這樣一個標識體系下，上對下是逐層信任的，我們難以想象一個應用數據脫離網絡和設備的環境保障情況下能夠得到一個完整性的保護，其實他只是應用內的一個簡單的數據保護，并不能夠得到一個完全性保護，為什么呢？因為在整個陸游過程中，可能你的數據會陸游到別的地方去，可能你的底層設備身份會被別的替代，所以應用層是向下來保證的，網絡層面不關注你應用信息層面的保證，但是會關注設備層面。這里面還有一個很關鍵的要素是數據，對于數據的傳輸我們正在研究，類似于傳染病學的方法，當一個數據被污染的情況下會怎么樣，這里面包括了保密的數據該怎么去做，沒有加密過的數據該怎么去做，在這個方面我們用了很多標識以及加密搜索的技術，相關論文正在路上。

在設備信任層面我們做到采集設備的狀態到判斷設備的信任性，到下發網絡的策略，全程的信任傳遞過程，對于網絡控制鏈，信任平臺的評估層和完整性的度量方式，這種連接的過程。整個網絡這里面其實華為也有一個特別好的技術在探討，就是關于隱私性和可審計性沖突問題該怎么做，如果從法人角度之間是互信的，法人下邊所有的東西就可以傳遞這樣一個信任，就像兩個人如果不熟，攀談時候找到一個共同相信的人聊跟他的事兒，其實這種信任的傳遞是這樣一個過程。

整個信任的傳遞過程有一個公式叫做能力、信譽，以及這件事對他的重要程度，這三者之間構成信任主體。在我們做的框架內，他的能力是通過云計算進行保證的，他的信譽通過剛才說的安全大腦收集信息來形成的，對于他的重要程度，滿足等級保護要求，對于他的資產和數據價值進行評估，所以三者可以形成可計算、度量的過程。在域間的信任傳遞石，如果信任關系沒有建立好的話，對于域內信息可以保護，這是數據染色的一個過程，這是域間共識機制。

最后講現在中國移動內生SD—WAN應用案例，在多企業分支情況下，依托大腦進行這樣一個業務傳遞是非常多的一種應用，在這里面通過安全賦能，對整個CPE進行一些信任卯點設計，包括訪問控制、防護檢測，以及網絡選擇控制，包括QOS等等進行確定性的服務設計。

我們在陜西石油、廣東高速公路都做了一些案例，這就是廣東高速公路的案例，我們可以看到，這張網在本地的專網和我們的5G網絡中可以進行切換，同時安全性也不受到任何影響，因為我們在我們的5G網絡中有他的可信連接，包括他的業務選擇，在邊界上這臺白色的設備就是我們的產品，在這里面也應用了可信的啟動機制，把他當時的環境安全性得以保證，整體應用了廣東省十個市182個站進行了這個方案的應用，除此之外，我們在陜西石油，福建抗疫過程中也有相應的一些應用。