首页 > CEO博客

第二届武汉网络安全创新论坛云安全分论坛

密码保障云安全
零信技术(深圳)有限公司 王高华
2025年4月23日

第二届武汉网络安全创新论坛云安全分论坛
下载 演讲PPT

尊敬的各位领导和各位来宾:

我是沃通CA的创始人和前CEO,被360安全集团收购后再创业创立了零信技术,就是零信任+密码技术,今天讲的这个密码当然是指我国商用密码。咱们第二届论坛的主题非常好--融合·创新·突破,网络安全需要 融合 什么?当然是要融合商用密码。网络安全需要创新的是什么?当然是深度融合商用密码,让商用密码能像网络安全产品一样得到普及应用。网络安全需要突破什么?就是用商用密码打造我国网络安全底座!现在的安全底座是RSA密码体系,很不安全,无法用于保障我国网空安全。云服务是网络空间的最重要的服务之一,云安全当然不能没有密码保障,并且应该是深度融合到网安产品(包括云服务)中实现密码应用自动化的保障,云服务只有深度融合密码应用,才能保障云安全。这是我今天演讲的主题思想:融合·创新·突破=网安+密码

如何深度融合密码,我们先来看一个统计数据,看看全球前十三大SSL证书提供商是谁,各自的证书签发量和排名情况如何(截至到3月30日的数据)。排名第一位是浏览器厂商Mozilla牵头的一个免费SSL证书自动化管理项目—Let’s Encrypt,全球信任的有效的SSL证书签发总数为11亿多张,Let’s Encrypt占48%,接近一半,5.3亿张当然都是自动化签发的才有可能这么大的量。重点讲一下云平台厂商,谷歌云排第二位,1.6亿张,GoDaddy老牌域名注册商(互联网公司)排名第三,微软云排名第四,亚马逊云排名第六位,他们在为各种云服务自动化签发SSL证书,这个值得我国所有云平台商学习。Cloudflare是一个云安全厂商,免费提供CDN服务,只有你选用其CDN+WAF 服务,会免费自动化为用户网站配置SSL证书,自动化实现HTTPS加密的CDN+WAF服务,这个非常值得所有CDN/WAF服务厂商学习!第三组是传统CA机构,这些CA机构由于对SSL证书自动化管理响应慢,全球第一大CA机构DigiCert沦落到第5位,第二大Sectigo为第7位。有意思是全球网安一哥思科签发的SSL证书全球排名第11位,这些证书都是自动化为各种网安设备和各种物联网设备配置SSL证书,不仅思科这样,全球排名前十的其他9大网安厂商包括Palo Alto、Fortinet、Check Poin、Juniper、赛门铁克、F5等等都已经实现了网安设备及相关网络服务的SSL证书自动化,不同的是这些证书由Let’s Encrypt和谷歌签发。这些也非常值得我国网安厂商学习!

第二届武汉网络安全创新论坛云安全分论坛

全球前十三大SSL证书提供商中,软件厂商SSL 证书市场份额占48%,云厂商SSL 证书占38%,CA机构只占12%,网安厂商占1%。所以,大家一定不要一说起SSL证书就是CA机构的事情,全球市场不是这样的。因为SSL证书所实现的HTTPS加密是万物互联安全的底座,无论是软件厂商、云平台和互联网公司,还有网安厂商都需要抓住这个核心安全市场,这非常值得我国相关厂商学习借鉴。而SSL证书这么多规模的普及应用当然只有实现自动化签发和部署才能实现,这11亿多张SSL证书中超过90%都是自动化签发和部署的,自动化实现HTTPS加密。

反观我国云平台厂商,仍处在提供云主机、CDN服务和WAF服务的传统模式,仍然需要用户向CA申请SSL证书,拿到证书都上传到云平台上使用,没有像国际云平台一样实现自动化默认配置SSL证书!而网安厂商几十年来还是在卖已经严重饱和的老三样产品,大家都抱怨太卷了,其实应该看看上面的国际市场大家都在做什么就应该知道该去做什么了,那就是所有网安产品深度融合密码应用。这个市场要想做起来,还真得网安企业下场才行,仅靠CA机构和密码企业是拿不下来的,因为网安企业经过将近三十年的打拼,培养了一大批能打胜仗的市场营销队伍和技术过硬的研发队伍。

大家都知道,现在是万物互联时代、移动互联网时代、AI时代,数据为王时代,传统网安厂商只提供堡垒防护产品,这些产品只能保护服务器端安全,无法保障数据从堡垒流到用户手中的安全,因为攻击者不再去攻击难攻的服务端,而是坐等在传输通道上直接把明文数据截走,这个非常容易得手!而如果实现了HTTPS加密,则数据是以密文方式传输,就无法得手了,也就是用密码保障了数据传输安全。既然传统网安市场已经严重饱和过剩,那么网安市场的重点就应该转移到如何保护数据传输安全来,这就是HTTPS加密,这就能理解为何国际云平台厂商、软件厂商和网安厂商都挤进了这个市场!这是数据市场的核心安全!我国云平台厂商和网安厂商应该向国际大厂学习,为用户自动化提供HTTPS加密服务,提供国密HTTPS加密自动化服务。

第二届武汉网络安全创新论坛云安全分论坛

传统的HTTPS加密实现方式是部署RSA算法SSL证书,但是俄乌冲突发生后西方CA吊销了俄罗斯政府和银行网银实现HTTPS加密所需的SSL证书并且断供,导致俄罗斯政务服务和网银服务无法正常访问,这给我国的HTTPS加密安全敲响了警钟,因为我国已实现了HTTPS加密的政府网站和网银系统也是部署RSA算法SSL证书,俄罗斯的遭遇就是前车之鉴,我国也极有可能遭遇断供和禁用,部署的RSA算法SSL证书无法保证我国网络服务包括政务服务和网银服务等的不间断可靠运行!这就是为何《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》等法律法规都要求关键信息基础设施必须采用商用密码进行保护,实现商密HTTPS加密。

第二届武汉网络安全创新论坛云安全分论坛

我们再来看看这个HTTPS加密市场有多大和实现HTTPS加密有多难,31个省市自治区政府域名所申请国际SSL证书的总和只有1633张,湖北省排名倒数第二,大家可以使用任何浏览器访问一下湖北省人民政府官网和湖北政务服务网,都显示“不安全”,这就是没有部署SSL证书实现HTTPS加密。我国大陆地区*.gov.cn域名申请的SSL证书数量比一个台湾省的还少!而一个香港地区的证书申请量比31个省市自治区的总和要多一千多张,多63%!澳门这么小的地方几乎是上海市的两倍。这只能说明两点:一是这个市场很大,还只是起步阶段,仅靠CA机构是拿不下的;二是实现HTTPS加密很难,特别是国密HTTPS加密更难,常用的国际浏览器都不支持国密,常用的Web服务器也不支持国密,大流量网站所需的CDN和WAF服务都不支持国密,传统CA机构只能签发用于安全认证的USB Key客户端证书,不能签发用于HTTPS加密的国密SSL证书,改造工作对现有业务系统伤害很大,会严重影响不能停机的业务系统的正常提供服务,这些都是难题。这就难怪31个省市自治区只有3个省政府官网实现了国密HTTPS加密,国务院45个部委只有一个公安部官网实现了国密HTTPS加密,二十大银行网银系统只有一个兴业银行实现了国密HTTPS加密。

还有更难的马上就要来了,那就是5月13日落地的缩短SSL证书有效期为47天的国际标准,现在SSL证书有效期为一年,也就是一年申请和部署一次证书,从明年3月15日起,SSL证书有效期缩短为200天,一年需要申请和部署两次,这个也许还能接受,如果只有几个网站的话;从后年3月15日起,SSL证书有效期缩短为100天,一年需要申请和部署4次,一个网站都受不了,更何况有上千个、上万个网站的政务云用户,必须实现自动化申请和部署了!而从2029年3月15日起,SSL证书有效期为47天,每月需要申请和部署1次,这个没有自动化绝对是不可能实现的了。这对用户来讲是一个大挑战,而对于云平台和网安厂商来讲,绝对是一个大商机!

国际上已经采用ACME(自动化证书管理环境)技术普及实现了HTTPS加密,这都是国际大厂由于实现了SSL证书自动化申请、签发和部署,才得到了普及应用。不仅是云平台,美国政务云也已于2023年4月实现了SSL证书自动化,看看美国政府官网的SSL证书申请记录数据就能看出,其SSL证书每60天更新一次,也就是每60天更新了密钥,切实保障HTTPS加密安全。

但是,国际上的SSL证书自动化管理解决方案无法解决我国的难题,我国需要实现国密HTTPS加密自动化,而不是国际上RSA算法HTTPS加密自动化,前面讲过已经有俄罗斯的前车之鉴。国密ACME等于国际ACME加国密SSL证书和国密算法模块,需要改造Web服务器支持国密算法,改造浏览器支持国密算法(国密浏览器),这就是大家都在说的国密改造难!

零信技术历时三年成功打造了端云一体的微改造方案,而不是传统的改造用户Web服务器支持国密算法的大改造方案,大改造方案会严重影响用户的不间断的业务运行。而微改造则是不改造原Web服务器,只需在原Web服务器前面部署国密HTTPS加密自动化网关即可,不影响现有Web服务器的正常运行,无需在Web服务器上安装SSL证书,无需升级Web服务器支持商密算法,也无需购买收费的国密浏览器,由零信国密HTTPS加密自动化网关自动化对接零信云SSL服务系统,自动化申请和部署双算法SSL证书,无缝实现自适应加密算法的HTTPS加密,完全免费的国密浏览器—零信浏览器优先采用国密算法实现国密HTTPS加密,而用户仍然可以使用其他不支持国密算法的浏览器采用RSA算法实现HTTPS加密。

国密HTTPS加密自动化网关

所以,对于商业云平台来讲,需要学习国际大厂,深度融合密码,拥抱拥抱SSL证书自动化管理技术,建设云SSL服务系统,或者直接对接现有的零信云SSL服务系统,为云主机用户默认自动化配置双算法SSL证书,自动化实现自适应密码算法的HTTPS加密,优先采用国密算法。为CDN用户默认自动化配置双算法SSL证书,自动化实现自适应密码算法的HTTPS加密,优先采用国密算法。为云WAF用户默认自动化配置双算法SSL证书,自动化实现自适应密码算法的HTTPS加密,优先采用国密算法。这样,前面所列出的有多个省政府官网已经采用了商业云平台CDN服务的就可以轻松实现国密HHTPS加密了,轻松完成国密HTTPS加密改造,所以,云平台厂商在普及密码应用作用巨大,深度融合密码应用自动化大有作为!

而对于国家政务云平台和各省各部委政务云平台,则可以通过部署国密HTTPS加密自动化网关构成HTTPS卸载系统自动化实现国密HTTPS加密,原Web服务器零改造,由国密HTTPS加密自动化网关自动对接零信云SSL服务系统,自动化签发双算法SSL证书,快速完成国密HTTPS加密改造,一个省政务云平台一两个月就能全部完成,全省覆盖,快速符合等保、密评和其他法规要求。国密浏览器优先采用国密算法实现HTTPS加密,不怕RSA算法SSL证书断供和吊销!可选政务云SSL服务系统,自主可控,自动化签发专务专用双算法SSL证书。

最后总结一下,我国的多部法律法规都要求应用商用密码来保障我国关键信息基础设施安全,只有普及应用商用密码,才能真正保障设备安全、身份安全、网络安全、应用安全和数据安全,保障云平台安全和云服务安全。这不仅仅是合规需要,更是云平台厂商和网安厂商的巨大市场机会,深度融合密码,创新应用密码,实现质的飞跃和突破,用商用密码打造我国网络安全底座,保障我国万物互联安全。

由于时间关系无法深入讲解,欢迎大家关注零信密码应用研究院公众号(zotrusi),我已经写了210篇密码基础知识、密码应用技术、云安全、网安与密码融合、信创与密码融合等相关文章,六十多万字,一定有你需要的内容。

最后,祝第二届武汉网络安全创新论坛圆满成功!祝大家事业蒸蒸日上!谢谢大家!