上期“双峰会”之后，小伙伴纷纷留言私信小编想要主题演讲的稿子，必须满足各位小伙伴，分享脱水版干货如下：

　　密码是随着人类战争而发展起来的，尤其在二战中，加密与解密的博弈直接决定了战争的胜负。我们是幸运的一代，经历了很长一段没有战争的和平岁月，在这个阶段，科技进步、经济腾飞，全球一体化协同发展。全球化也引起了一场新的战争——金融战，在坐的各位都是这场战争中的战士。在金融战中，密码仍然继续履行着它的使命，但也摆脱不了它为战争服务的宿命。

　　通过安御道合的视角和大家分享一下过去金融战中的密码应用。

　　首先我们来看银行卡阶段。银行卡，一张小小的塑料卡片，今天我们已经习惯使用，可在诞生之初，它却改变了用钱必须去银行的传统习惯，最早被人们称为“塑料代币”。根据统计，截至今年上半年，我国发卡总量已经达86亿张，占全球发卡量的40%多，人均持卡6张，2019年全年持卡交易3220亿笔，金额860万亿。有如此成绩，密码居功至伟。

　　银行卡推广初期采用的是EMV标准，1999年三大卡商联合制定标准的时候，国际通用商用密码应用已经有20多年的积累，为EMV的推行提供了安全基础，到2007年我国PBOC2.0发布，采用的仍然是国际密码算法。我们国家商用密码起步较晚，1999年发布了《商用密码管理条例》，但商用密码算法还不成熟，仍处于学习和发展阶段，直到2010年SM2、SM3等国产商用密码发布，才有了我们自己的商用密码算法，到今天为止，我国商用密码算法已经有了较完整的体系，并且在算法国际化方面也取得了不错的成绩。在此基础上，2012年发布了PBOC3.0，算法全盘国产化，彻底和EMV告别。

　　算法国产化十分必要，密码是国之利器，网络空间安全是国家安全的重要组成部分，“没有网络安全就没有国家安全”，密码是网络空间安全的强力支撑，覆盖网络空间安全的网络基础安全、系统安全、应用安全和业务安全等全部知识领域。2013年“斯诺登”事件就曝光了美国国家安全局与RSA的一份协议，要求RSA公司在公布的算法中留有数学后门，以便于美方在需要的时候能利用。大家可想而知，算法自主性对一个国家的重要意义了。随着互联网技术的发展，金融科技进入“网络银行”时代，网银进一步丰富了金融科技元素，从“塑料代币”进入了“数字代币”时代。

　　网银经历了“银行网站”、“简单银行业务”到“线上线下业务融合”几个阶段。互联网因其开放性，网银需要更强大的安全服务。新的安全载体“数字证书”逐渐被用户所接受。PKI作为数字证书的管理体系，同时也是密码技术的一种应用体系，其所生产的数字证书作为密码载体，不仅解决了在网络银行环境下的密码分发问题，还使得密码应用走到了前端，密码成为一种看得见、摸得着的技术，特别是二代key，通过用户的参与，进一步提高了业务安全性。

　　“没有永恒的安全，只有未知的风险”。互联网从空间和时间延展了金融服务，同时延展了安全风险；互联网提供了便捷的金融服务，也纵容了对便捷性的无限追求。作为服务提供商，只能不断的在安全与便捷之间寻找着平衡。此时，数字证书又成了业务发展的障碍，数字证书介质无法适应不断更新的移动设备，因为“利益”点不在安全上，数字证书管理变成了用户的“负担”。

　　为了“利益”，引流技术不断创新。“二维码”和“刷脸”支付大行其道，从噱头到推广，经历了政策与技术的不断完善。现在用户只管“花钱、约（车）下（单）”，机构在默默守护。方便就会带来更多的安全风险，密码除了做身份认证、保护用户钱的安全，还要提供设备认证、用户隐私数据安全。没有一家金融服务机构希望用了刷脸识别功能后，用户的面部数据成为黑客的目标，因为这太敏感了。敏感到只是一个口误都能带来巨大的麻烦，李开复在一次采访中，谈到早期旷视与阿里合作的时候，不小心说成了“数据共享”，引得两家公司赶紧出来辟谣，李开复本人要马上出来澄清“口误”。但凡真的沾惹了，那就是安全事件。所以作为应用了刷脸、指纹、虹膜等生物识别能力的金融服务公司，一定记得要采用国产商用密码算法对这些数据加以保护。从采集终端开始，到网络传输、存储、比对等各个环节，加密无死角，这才能降低自我风险。

　　前面我们从三个场景回顾了金融科技中密码的应用，结合当前金融科技的焦点话题，未来金融行业与IoT的融合将是新的趋势。在这种趋势下，金融科技面临的安全问题就变得更加复杂，除了我们前面分析的已有场景的金融业务安全外，还要深入分析IoT安全问题，以及IoT和金融科技融合的安全问题。

　　我们总结有两个核心点：

　　一、 操控指令安全。基于存储设备的“数字货币”操作，均通过指令完成，等同于IoT领域中的OT技术。就需要考虑指令本身的机密性、完整性，发送指令者身份合法性、接受指令者身份合法性等问题。

　　二、 数据安全。在IoT与FinTech科技融合的场景，数据安全范围就扩大了，不仅仅包括金融业务数据安全，还要包括设备自身数据安全和用户隐私数据安全。

　　解决这些问题，其核心基础仍然是密码技术。

　　分析过去、展望未来，密码在金融科技中发挥了重要作用，但我们仍然有必要对密码重新认识一下。

　　《密码法》对密码的定义“是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。”

　　这里我们稍微扩展一下：

　　我们在谈论密码的时候，有人就会想到口令。登录应用系统就是用口令啊，而且平时直接称呼为密码，也是完成认证，那么和我们这里说的“密码”是不是一回事呢？我们再详细解读《密码法》的定义，需要采用“特点变换的方法”来完成安全认证的才是密码，举个例子，如果你输入的口令，没有被转换，直接发到服务端进行验证，那就不是密码。但如果做了处理，比如采用摘要算法做了转换，然后再发到服务端进行比对，那这个时候就是《密码法》中定义的密码了。

　　另外还有一个概念是密钥，很多做业务的朋友总是搞不清楚，什么是密码、什么是密钥？一句话就可以解释清楚：密码包括密钥和算法。算法是规则，密钥是使用规则的钥匙，同样的规则，不一样的钥匙，打开不一样的世界。

　　在商用密码体系中，密钥有对称密钥、非对称密钥，同样就有对称算法和非对称算法。

　　在概念定义的基础上，我们看《密码法》中定义的密码的作用。“加密保护”和“安全认证”这两个作用也恰好是我们在金融科技中使用密码的原因，银行卡个人化阶段，会把用户密钥、数字证书灌装进去，在使用时，以便验证持卡用户的身份和卡片的合法性，当进行交易时，再使用交易密钥进行加密保护。

　　前面提到国产密码算法体系已经基本成熟，法律法规我们国家近几年也在不断完善，除了我们分析的《密码法》，还有2004年发布的《电子签名法》、2016年发布的《网络安全法》，以及处于草案阶段的《数据安全法》等等。

　　在法律体系和商用密码标准体系支撑下，未来的商用密码主要工作将聚焦在应用层面，也就是如何用好商用密码，为我国经济发展做出贡献是我们在座的所有战士们应尽的职责。

　　密码的应用有两个关键点要关注：一、场景；二、管理

　　在标准规范的指导下，密码机、密码模块、密码应用设备已经十分成熟，算法体系也相对稳固，密码从业者更多的是需要探索和研究与业务场景的融合，如何使用商用密码技术满足应用安全需求，如何优化商用密码在业务场景中的应用，一定是近几年商用密码领域的重点问题。

　　有了应用场景，例如我们一起讨论的这个题目中，IoT应用在金融科技中，应用环境开放、上亿级的金融用户、请求即答复的低时延要求，这些都是需要考虑的问题，那么就不是单纯的靠一些密码设备和密码模块能满足的。

　　综上，一套完善的管理平台就显得十分必要。

　　安御道合提出基于云构建“312ᴺ”安全服务平台的解决思路，平台把密码技术应用在计算资源、存储资源和网络资源三大资源中，通过一套平台实现统一管理，平台提供软件和硬件两套集成套件，适配刷脸Pad、摄像头、手机、智能手表、POS机等各种设备，满足N种场景的安全需求。平台主要通过人、物的集中管理，实现针对人、物安全分发密钥，同时提供基于密钥的数据加密、人/物身份认证等安全服务，以及统计监管的能力。

　　平台与物联网统一设备管理平台、资产管理平台、智能汽车管理平台、智能家居管理平台、数字货币核心管理平台等进行集成，可满足各种场景的金融业务安全需求，比如前面我们分享过的刷脸支付终端，有了国产密码的赋能，可以保障支付业务数据安全、个人脸部数据机密保护，黑客截获不了、截获了也解不开，甚至国外黑客都没办法。还可以应用在金融体系新的一波智能网点改造中，给智能机器人、智能业务终端、驾驶舱、体验室等众多智能设备，为其颁发标识密钥，进行强身份认证、远程操控指令机密性保护，保证在开放环境下、无人值守环境下金融环境的整体安全性。这对任何一家金融机构来说，都是让用户信任的保障，而不单单是采用技术本身这么简单。

　　方案应用问题解决了，但需要有创新性、需要对金融行业有贡献，对密码行业有贡献，这样的方案才更有意义。根据实践，我们也总结了4点：

　　应用模式创新，主要体现在基于物联网应用场景落地，并且物联网与金融科技融合；

　　     应用技术创新，将密码与物联网设备管理业务流程融合，改变传统的分发、使用的单一流程，增加了注册、签到、下载、应用等金融业务特有的细化流程管理。

　　密码管理创新，主要针对物联场景下，设备多种多样，需要满足多算法需求、多体系需求，做到一型一密、一机一密、一次一密；

　　     密码技术创新，基于传统的密钥管理，提升服务平台的管理能力，做到亿级海量的密钥管理和轻量化通讯保密安全服务，满足海量设备管理和低时延请求的高性能要求。

　　万物互联，IoT无处不在，安全无处不在，密码无处不在。