首页 > CEO博客

密码赋能人工智能安全广西商用密码协会专家 王高华
2025年4月15日

密码赋能人工智能安全
下载 讲座PPT

尊敬的各位领导、各位来宾:

今天的密码科普讲座的题目是协会指定的题目,是一个大课题,本人是密码专家,不是AI专家,所以重点还是讲密码,讲一讲密码如何保障人工智能安全,这是人工智能产业快速健康发展的重要保障,希望本讲座的内容能对广西乃至全国在人工智能产业和密码产业的发展有所启发。

一、 人工智能存在的两个与密码相关的安全问题

Deepseek从春节到现在一直在持续火爆中,各行各业包括政府部门纷纷本地化部署Deepseek大模型系统实现各行各业的AI应用,这是大好事。

密码赋能人工智能安全

但是,有关研究发现,几乎所有本地化部署的系统都是以http明文方式访问,这无法保障AI输出数据不会被非法篡改和非法窃取。这是AI应用安全存在的问题之一。AI应用安全的另一个关键问题是:如何保障训练AI所需的原始数据的全生命周期安全,这是AI应用的成败关键,如果给AI的数据是被篡改和污染的数据,那其生成的结果将是灾难性的结果,这个安全问题必须高度重视,这是人工智能产业成败的关键!AI是工具,数据是核心。

二、 密码保障人工智能安全,核心是HTTPS加密

要解决AI应用存在的两个安全问题,当然离不了密码应用。不仅在部署大模型时必须部署SSL证书实现HTTPS加密方式访问AI应用,而且必须全面采用密码技术来保障AI数据安全,只有AI大模型所需的数据是真正的原始数据,才能得出正确的结果!

依据《数据安全法》第三条对“数据处理”的定义,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。在这个七个数据处理环节中,每个环节都离不开密码应用—数字签名、加密、时间戳和身份认证,其中最重要的一个环节是数据传输,这是其他六个环节都离不开的,因为数据只有流通才能产生价值。所以,数据安全的“七寸”是数据传输,必须保护数据的传输安全,不做好这个安全保护,其他安全保护都是空中楼阁,这就是数据的“在途”安全,唯一可靠的技术就是HTTPS加密,数据在全生命周期中的流通传输都必须是通过https加密通道传输,只有这样才能有效保障每一个数据处理过程中的数据处于有效保护中,使得数据从生产到销毁的全生命周期都处于持续安全状态。这也是《数据安全法》所定义的“数据安全”要求,“指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”

密码赋能人工智能安全

也就是说,AI安全存在的两个问题都离不开HTTPS加密,这是全球第一大密码应用,从1994年发明了HTTPS加密以来一直在保障全球万物互联安全,包括人工智能安全。下面就重点讲HTTPS加密,如果广西能在AI产业起步时同步做好密码保障工作,一定会领先全国!

三、 密码科普--什么是商密HTTPS加密?如何实现商密HTTPS加密自动化?

1. 什么是HTTP?什么是HTTPS?浏览器如何展示这两类网站?

首先讲讲什么是HTTP?为何所有浏览器都对http访问的网站提示“不安全”?大家可以使用任何浏览器访问一下广西壮族自治区人民政府的官网www.gxzf.gov.cn,所有浏览器都会提示“不安全”,为什么?点击微软Edge浏览器的“不安全”图标会显示:此网站没有证书。由于此连接不安全,信息(如密码或信用卡)不会安全地发送到此网站,并且可能被其他人截获或看到。 大家再访问一下咱们柳州市人民政府的官网www.liuzhou.gov.cn,浏览器一样提示“不安全”,谷歌浏览器的提示是“攻击者可能会盗取这些信息”。

密码赋能人工智能安全

我接着讲什么是HTTPS?什么是商密HTTPS?HTTP是明文传输,加了一个“S”是Secure (安全)的意思,HTTPS就是安全超文本传输协议。大家看看实现了HTTPS加密的网站浏览器是如何展示的。使用零信浏览器访问中央人民政府官网www.gov.cn,会显示加密锁标识、WAF防护标识和网站身份信息,而使用谷歌浏览器访问,会显示“安全”,点击tune图标,会显示连接安全和证书有效。再使用零信浏览器访问湖南省人民政府官网www.hunan.gov.cn,零信浏览器不仅显示加密锁标识,而且还会显示一个 m 标识,点击 m 标识,会显示“商密合规,密保合规”和该连接使用国产密码SM2算法实现HTTPS加密,这个 m 标识是网站已完成密改的好标识,显示这个标识就能直观告诉用户此网站已经完成商密改造,正在使用商密算法实现HTTPS加密。同样,零信浏览器访问公安部官网一样会显示商密加密标识。

密码赋能人工智能安全

2. AI时代、万物互联时代、移动互联网时代更需要HTTPS加密,我国更需要商密HTTPS加密

传统的网络攻击是攻击服务端,所以传统的安全防护是堡垒防护,能保障服务器端安全。但是,现在是移动互联网时代、是万物互联时代、是AI时代,是一个数据在流动的时代,一个让“数据多跑腿”的时代,所以,新的安全威胁是攻击者不攻击服务端,攻不动就懒得去攻了,而是选择更加容易的方式—在数据传输路径上窃取数据和篡改数据,因为HTTP协议是明文传输,非常容易得手。但是,如果是HTTPS加密方式,则就无法得手了,因为所有数据都已经采用密码算法实现了加密变换。

密码赋能人工智能安全

传统的HTTPS加密实现方式是部署RSA算法SSL证书,但是俄乌冲突发生后西方CA吊销了俄罗斯政府和银行网银实现HTTPS加密所需的SSL证书并且断供,导致俄罗斯政务服务和网银服务无法正常访问,这给我国的HTTPS加密安全敲响了警钟,因为我国已实现了HTTPS加密的政府网站和网银系统也是部署RSA算法SSL证书,俄罗斯的遭遇就是前车之鉴,我国也极有可能遭遇断供和禁用,部署的RSA算法SSL证书无法保证我国网络服务包括政务服务和网银服务等的不间断可靠运行!这就是为何《密码法》、《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等法律法规都要求关键信息基础设施必须采用商用密码进行保护,实现商密HTTPS加密。

密码赋能人工智能安全

等保和密改就是要实现商密HTTPS加密,而不是RSA密码算法的HTTPS加密。商密HTTPS加密是确保“网络和通信安全”的必须和唯一技术手段,没有其他技术方案,只有商密HTTPS加密才能保障我国的网络通信安全。也只有实现了商密HTTPS加密,才能真正有效的保障“应用和数据安全”,保障数据从政务系统通过HTTPS加密方式传输到用户设备中。也只有实现了商密HTTPS加密,才能保证政务CDN内容分发的数据传输安全。WAF防护也只有实现了商密HTTPS加密,才能真正保证政务Web应用安全。

我在多场演讲中都把“喝酒不开车,开车不喝酒”来比喻这个等保和密改的合规要求,为什么喝了酒就不能开车呢?认识不高的同志会说这是交规要求的,而认识高的同志会认为这是为了保障自己的生命安全,老婆孩子还在家里等你安全回家!同理,密评和密改不仅仅是为了合规,而是为了保障你的业务系统的持续不间断可靠运行,实现商密HTTPS加密是为了保障政务系统和网银系统不会出现俄罗斯那样的无法访问的安全大事故,因为老百姓已经离不开互联网应用了。企业管理系统实现商密HTTPS加密则是为了保障宝贵的企业数据不会被非法窃取,保障业务系统不会被中断而影响日常生产。

3. 只有自动化实现商密HTTPS加密,才能普及应用商用密码来保障万物互联安全,包括AI安全

在充分了解和认识了商密HTTPS加密的重要性后,我再讲一讲如何实现商密HTTPS加密。商密改造难,这是共识,因为这是要把已经成功渗透到每一个产品和系统中RSA密码体系改为国产密码体系,是要改造一个生态,而不是替换某个产品。就HTTPS加密来讲,常用的国际浏览器都不支持商用密码,常用的Web服务器也不支持商用密码,大流量网站所需的CDN和WAF服务都不支持商用密码,传统CA机构只能签发用于安全认证的USB Key客户端证书,不能签发用于HTTPS加密的商密SSL证书,改造工作对现有业务系统伤害很大,会严重影响不能停机的业务系统的正常提供服务,这些都是难题,这就难怪31个省市自治区只有两个省政府官网实现了商密HTTPS加密,国务院45个部委只有一个公安部官网实现了商密HTTPS加密,二十大银行网银系统只有一个兴业银行实现了商密HTTPS加密。

国际上普及HTTPS加密的解决方案是实现SSL证书自动化管理(ACME),要想普及实现商密HTTPS加密也只有自动化一条路,但是无法采用国际上实现RSA算法HTTPS加密自动化的路子,我国必须采用同时实现商密SSL证书自动化管理和HTTPS加密支持商用密码算法,推荐零信技术打造的端云一体的微改造方案,而不是传统的改造用户Web服务器支持商用密码算法的大改造方案,这个大改造会严重影响用户的不间断的业务运行。而微改造则是不改造原Web服务器,只需在原Web服务器前面部署国密HTTPS加密自动化网关即可,不影响现有Web服务器的正常运行,无需在Web服务器上安装SSL证书,无需升级Web服务器支持商密算法,也无需购买收费的国密浏览器,无缝实现自适应加密算法的HTTPS加密,完全免费的商密浏览器—零信浏览器优先采用商密算法实现商密HTTPS加密,而用户仍然可以使用其他不支持商密算法的浏览器采用RSA算法实现HTTPS加密。

密码赋能人工智能安全

四、 学习《密码法》、《商用密码随机抽查事项清单》和《互联网政务应用安全管理规定》

在讲清楚HTTPS加密后我们再继续学习一下《密码法》和相关的法律法规,了解各种法律法规对实现HTTPS加密的强制要求。

首先学习《密码法》第二条:本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。短短42个字包含了四个方面的含义,第一是明确定义了密码的形态,密码是一项技术,称为密码技术;也可以是一种产品,称为密码产品;也可以是一种服务,称为密码服务。密码以三种形态存在,可以是技术、产品和服务,这为密码从业者指明了发展方向,可以从事密码技术研究,可以从事密码产品研发、生产和销售,也可以提供密码服务,以服务形式来提供密码产品,通常指云密码服务或称密码云服务。第二是明确定义了密码的用途,密码用于加密保护和安全认证,准确理解这个用途非常重要,给密码从业者指明了密码到底该用在什么地方。第一个用途是加密保护,这是用途最广泛的应用,如HTTPS加密、数据加密、邮件加密和数字签名、文档加密和数字签名、软件代码数字签名等。第二个用途是安全认证,用数字签名技术来实现安全可靠的用户身份认证。第三是明确定义了密码的技术路线,通过特定变换的方法来实现,这个特定变换的方法就是密码算法,用密码算法来实现特定变换。特指商用密码算法,如:SM2、SM3、SM4和SM9等,不包括国外的密码算法,这一点非常重要,一定不能搞错。第四是明确定义了密码的保护对象是信息等。信息需要用密码来实现加密保护,信息同时需要密码来实现安全认证后才能获取。等就是所有其他元素都可以用密码来实现加密保护和安全认证。

《密码法》第二十七条明确要求关键信息基础设施必须使用商用密码保护,这个商密保护的重点应该是HTTPS加密。而第三十七条则是如果未使用则处最高一百万元的罚款和直接负责人最高十万元的罚款。

我们再来学习一下网信办、中央编办、工信部和公安部于2024年5月15日联合发布的《互联网政务应用安全管理规定》,第二条明确定义了互联网政务应用是指机关事业单位在互联网上设立的门户网站,通过互联网提供公共服务的移动应用程序(含小程序)、公众账号等,以及互联网电子邮件系统。就是各个以.gov.cn为域名的所有政府部门的官网,如广西壮族自治区人民政府官网。第三条明确地强制要求互联网政务应用必须采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等风险,保障互联网政务应用安全稳定运行和数据安全。第二十九条则是更加明确地要求互联网政务应用应当使用安全连接方式访问,就是HTTPS加密方式访问,而不能是HTTP明文不安全连接方式访问,这是必须的。第二十九条后一句则是明确了这个HTTPS加密连接方式所采用SSL证书必须由拥有电子政务电子认证服务资质的CA机构来提供,就是必须实现商密HTTPS加密。

《规定》第四十一条则是明确了如果违反或者未能正确履行《规定》相关要求的,按照《党委(党组)网络安全工作责任制实施办法》等文件,依规依纪追究当事人和有关领导的责任。这个处罚我个人认为比《密码法》的处罚还重,可见这四个部委对互联网政务服务网站的安全是何等的重视。而第四十二条则是要求所有列入关键信息基础设施的互联网门户网站参照本《规定》有关内容执行,而不仅仅是要求机关事业单位的互联网政务应用。

在四部委《规定》正式施行后的第19天,国家密码管理局就发布了《商用密码随机抽查事项清单(2024年版)》,这是依据《密码法》、《密码管理条例》和《密评管理办法》的执法检查,这种随机抽查方式威慑力更大,一定会查,每个单位都有可能被抽查到!而如何抽查,则会采用现场、书面、网络检查相结合,如:使用零信浏览器访问一下官网看看是否显示商密加密标识即可。而应对抽查的唯一可行方案就是所有网站系统都自动化实现商密HTTPS加密,一劳永逸不怕查。

结合《密码法》、《抽查》和《规定》的要求,这里要强调一下密改和密评工作必须与时俱进,必须帮助用户能满足《规定》的要求和不怕《抽查》。密评就是要评估网络和信息系统的密码应用合规性—是否采用了商用密码算法和相关的商用密码产品,评估是否正确采用,评估采用后是否有效,是否能真正用商用密码来保障网络和信息系统安全。这就是密评三要素—是否采用、是否正确采用、采用后是否有效。《规定》第二十九条要求互联网政务应用应当使用CA机构提供的商密SSL证书来实现HTTPS安全连接方式访问,这就是明确了必须采用、必须正确商用密码来实现HTTPS加密连接。这个就需要第三方密评机构来评估是否已经采用,是否正确采用,采用后是否有效。密评的重点应该是评估用户是否满足《规定》和《抽查》的要求--评估互联网政务应用的网络和通信安全是否正确有效地采用了商用密码技术、产品和服务来保护,那就是检查互联网政务应用是否实现了商密HTTPS加密。密改的重点应该是帮助用户轻松实现商密HTTPS加密,满足《规定》《抽查》的要求。

总结一下,《密码法》和《电子签名法》是基础大法,《网络安全法》、《数据安全法》和《个人信息保护法》是数据安全法律的三驾马车,而《关键信息基础设施安全保护条例》和《商用密码管理条例》则是具体落实商用密码应用要求。只有普及应用商用密码,才能真正保障障设备安全、身份安全、网络安全、应用安全和数据安全,包括保障AI应用安全,保障我国万物互联安全。

密码赋能人工智能安全

五、 密码保障工业互联网和智慧城市的数据安全,从而保障AI应用安全

咱们柳州市是一个工业城市,工业互联网的数据安全急需密码来保障,试想一下,柳工的工程机械的各种运行数据上报服务如果没有采用HTTPS加密,则极有可能被非法窃取,则是企业的巨大损失;而如果被非法篡改,则可能是灾难性的后果。

目前工业互联网的大量联网数据都是http明文通信,这很不安全!工业互联网商密网关负责把各种工业设备的通信协议转换和指令转化,并统一转换为https协议实现各种工业数据的采集、处理和输出,并对接用户端浏览器/APP和工业互联网云平台。由云SSL服务系统自动化为工业互联网商密网关和云平台网关配置双算法双SSL证书,确保不间断的https加密服务。现有工厂业务系统微改造实现商密https加密,保障联网工业数据安全。

而智慧城市建设中的所有摄像头采集数据到云端如果都是明文传输,所有智慧灯杆、水利、土地、交通、城管等等数据采集到云端如果都是明文传输,则都会导致数据在传输和流通过程被篡改和被非法窃取。数据被篡改将导致AI得出错误结果,后果很严重;数据被窃取将导致泄密、系统容易遭遇攻击。必须采用商用密码实现商密HTTPS加密,保障智慧城市数据安全。

而要想普及应用商用密码来实现商密HTTPS加密来保障AI应用安全、保障工业互联网安全、保障智慧城市系统安全,唯一可行的方案是自动化实现,自动化实现各种密码应用。零信技术建设了云密码基础设施,实现证书自动化服务所需算力在“云”,能为HTTPS加密自动化、S/MIME邮件加密自动化、eSign文档签名自动化提供双算法(RSA/SM2)SSL证书、邮件证书和文档证书的自动化签发服务,彻底解决仅“端”无法实现的算力和无法实现的自动化服务能力。而零信浏览器和零信国密HTTPS加密自动化网关则是两个重要的“端”,前者是为了保证用户的关键数据在“端”,彻底解决“仅云”的隐私保护难题;后者是为了实现用户的关键应用在“端”,彻底解决Web服务器为了实现SSL证书自动化需要安装ACME客户端的难题。

密码赋能人工智能安全

最后再简单介绍一下零信技术的“一个网关搞定四个棘手的政务应用系统升级改造难题”的解决方案,传统方案需要投资建设4套系统,分别满足RSA/SM2和IPv4/IPv6的HTTPS加密和WAF防护需求,非常不合理,浪费投资,降低了系统可靠性,提升了系统管理难度!而零信技术的微改造方案则是用户只建一套系统,部署一对国密HTTPS加密自动化网关,就能满足RSA/SM2和IPv4/IPv6的HTTPS加密和WAF防护需求,更合理,更省事,节省投资,大大提升了系统可靠性,降低了系统管理难度!

密码赋能人工智能安全

由于时间有限,今天的密码科普讲座就讲这么多内容。如果大家有兴趣学习密码,欢迎关注零信密码应用研究院公众号:zotrusi,有一个密码讲堂栏目,讲了很多密码基础知识和密码应用,包括给深圳商密协会会员的讲座、阿里云的云谷创新谈、高交会密码讲座等等,其中CEO博客已累计发表文章208篇,共61万多字,一定有您想了解的密码知识。密码事业无限,密码人才奇缺,学密码,懂密码,用好密码,将进一步推动柳州乃至广西和全国的密码应用创新发展,为柳州乃至广西和全国的数字化转型保驾护航,为人工智能保驾护航。

最后,祝本次研讨会圆满成功!祝广西壮族自治区密码事业蒸蒸日上!谢谢大家!