奥联科技：夯实信息安全的根基

长期以来，我们把安全防护的重点放到了边界，然而木马、病毒的威胁还是日益严重。在信息化的时代，重要的是数据，因为我们依赖于数据进行分析。信息安全的根本，最终还是要保护好我们的数据。而要做到这些，就离不开密码技术。

信息安全的核心是保密，保密的核心是密码，对于底层的密码不去突破，发展的规模将会非常有限。

建立标准正当时密码学领域是30年一突破，而IBC（即基于标识的密码技术）技术从提出来到今天已经有20年左右的时间，目前正是取得突破的时候。

刘保华：目前安全业内，很少有安全厂商以密码为核心发展信息安全。除了一些国有科研机构，其他的都很少提到密码。目前密码研究是一个什么样的状况？

王李琰：目前商用密码这一块儿，科研机构研究的大部分是在对称密码上，而大部分的厂商甚至忽略了对于密码的研究，这正是国内信息安全厂商难以壮大的原因之一。信息安全的核心是保密，保密的核心是密码，对于底层的密码不去突破，发展的规模将会非常有限。非对称密码的研究在国外相当广泛，也是我们公司的主要研究对象。我们公司在IBC上花了大量精力，提交了两项IEEE国际标准和两项IETF国际标准，拥有多项专利，并且主持了IBC算法国家标准SM9的制定，就是希望能够从信息安全的核心出发，将IBC发展成为一个产业链，更好地发展壮大。

我经常讲，我们要做好密码研究很难。难在一方面我们要从市场公司的角度发展，要尽快推出应用，不要管那么多的标准。但是另一方面，从整个国家在国际行业里面的地位考虑，我们不得不去向IEEE和IETF等组织提交标准。我们做密码的公司要花很大的精力去做技术的工作，而不是去做市场的工作。我们希望能够在未来，尤其是在互联网和移动网络融合的过程中，在未来20年的新密码体系建立过程中，我们国家在这个领域不要像DVD标准那样跟人家叫板，要将更多的精力放在实际市场应用拓展上。

刘保华：奥联是一个民营企业，而密码研究是一个看起来是充满了荆棘和艰难的发展道路，作为民营企业为什么要这么去做，怎么能够保证在这条道路上成功地做下去呢？

王李琰：我们公司在创业的时候只有六七个人，当时做IBC主要是我们现在的CTO程朝晖博士的一句话。他说有一个新的密码体系，叫做基于标识的密码体系。这个技术是1984年做PKI的三个科学家在总结PKI密码体系不足的基础上提了一个新的模型，这个模型就是IBC标准的模型。

在决定做IBC的过程中，我们也看到了整个产业对密码产品的发展需求，这是随着整个网络的发展不断展现出来的，而且这些是逐渐在融合，我们定义为边界安全，怎么去保护边界的。

边界安全会遇到同质化的问题。这么多年做边界安全，从防火墙到VPN一步一步到第三层、第四层、第五层做起来，也会汇总的。防火墙也涉及到了VPN，也涉及到了IPS，做IPS上面也有防火墙的模块，把VPN的模块加起来，慢慢我们就做了UTM，最后统一管理才能协同作战。这就解决了网络上的问题。边界安全解决得差不多的时候，还是会有木马等各种各样的东西，还会涉及到认证，所以从边界回来，我们又回到木马的问题。在信息化的时代，尤其重要的是你的数据。任何信息都是依赖于数据，做数据分析，因此数据才是需要保护的核心东西。

到现在为止我也不能保证说一直做下去就能成功，我们是基于什么样的战略和思想？美国人在这个领域也提供了很多东西，但是他们是全封闭的。我们把方法做出来之后，包括我们提供标准的结果、标准的服务，也可能有其他的领域，当然不可能是所有的领域。像一些我们感兴趣的领域，我们提交一些标准，正因为我们的力量弱小，我们希望开放。产生它有它的好处，有它优秀的地方。我们提交了标准之后，标准的接口不够，我们希望有更多的人来使用。比如说在很多领域里面其他的安全厂商要用我们的接口，实际上这种方式可以开发出很有竞争力的产品。

IT是一个变化非常快的产业，在它发展、变化非常快的时候，我们一定要想到它在什么地方需要慢。而密码学研究正是一个需要打好基础、不断积累的工作。

刘保华：对密码方面的知识，目前熟悉的人并不多，国内真正理解的人更少。因此对密码技术而言，有一个好技术很好，但是不见得可以推进。所以我想了解一下，对于ＩＢＣ，你们打算以什么样的方式进行推广？

王李琰：传统的密码体系是PKI，也就是公开密钥体系。我们则专注于IBC密码体系的研究应用。IBC的全称是Identity-based Cryptograph，是一个基于标识的密码系统。在这几年里，我们完成了基础库的开发，完成了智能密钥，特别是我们为应用厂商设计了安全应用编程接口。我们的市场策略就是以IBC作为一个产业链，和应用厂商进行全方位的合作，运用IBC的独特优势，将政府、行业、大型企业现有的应用升级为满足安全需要的真正的安全系统。

刘保华：４月份，我们报社承办了第九届中国信息安全大会。会上有专家提出，２０年的密码辉煌最后将以安全方面的失败告终，你怎么看这个问题。   

王李琰：我本人并没有这么悲观，我觉得某些专家的观点可能是基于边界安全、基于网络安全去讲，或者过于理论化了。的确任何密码系统都不可能做到绝对安全，从理论上都有破解的可能，但现有密码系统是安全的，因为破解一个密码是需要代价的，我们最终的目标就是将这个代价加大到难以承受：如果用穷举法算一万年，不是不可以，但你获得的信息价值是否与你付出的代价相称？投入产出比是否有价值？我觉得密码的定位应该是在这里。而且从技术角度来说，一个密码体系的破解，同时也孕育着一个新的密码体系的诞生。

做研发的人喜欢从深入的角度去考虑，但如果从另外一个角度来说，尤其是做市场的人会考虑方便性和应用性。因为每增加一分安全强度可能会带来使用的不方便，所以我们认为一个好的安全厂商、一个好的安全产品提供的安全服务，定位应该是在代价的对比上，然后要考虑应用性，用户使用非常方便。

刘保华：我注意到你刚才说奥联在ＩＢＣ方面申请了很多专利和标准，包括去年１２月份《中国标识密码方法》的确定，是一件大事。在ＩＢＣ标准方面你们最新的进展是什么样的？

王李琰：我们现在更多的是在做基础密码库的完善，偏向于怎么样做好从算法到密码库和密码引擎的承接，怎么样做到更好更开放的接口，使更多的人可以用上这项技术。

我们目前做的工作是已经完成了IBC的一个编程接口，在此基础上，为应用厂商开发了一个安全应用开发工具包，也可以为应用厂商提供安全中间件，这些都是我们IBC的新的标准，为的是让应用厂商不必去了解IBC后面的密码处理过程，保证应用软件的兼容性。

中国缺乏在这个技术领域的研究，因此我们希望有一天可以成立一个IBC的研究院，奥联在IBC研究方面已经付出了很多精力。当然，我们作为一个企业必须要有产出和收益，当我们还没有到那么大的规模可以自己有财力维持研究院的发展的时候，我们只能是做一部分的研究，然后把市场推动起来。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。