11月3日,在第55次ISO/IEC联合技术委员会信息安全技术分委员会(SC27)德国柏林会议上,含有我国SM2与SM9数字签名算法的ISO/IEC14888-3/AMD1《带附录的数字签名第3部分:基于离散对数的机制-补篇1》获得一致通过,成为ISO/IEC国际标准,进入标准发布阶段。SM2和SM9数字签名算法是我国SM2椭圆曲线密码算法标准和SM9标识密码算法标准的重要组成部分,用于实现数字签名,保障身份的真实性、数据的完整性和行为的不可否认性等,是网络空间安全的核心技术和基础支撑。 SM2与SM9数字签名算法成为ISO/IEC国际标准,标志着我国向国际标准化组织(ISO)和国际电工委员会(IEC)贡献中国智慧和中国标准取得重要突破,将进一步促进我国在密码技术和网络空间安全领域的国际合作和交流。

2017年10月30日至11月3日，ISO/IEC JTC1 SC27（信息安全分技术委员会）工作组会议在德国柏林召开。全国信息安全标准化技术委员会组织中国代表团一行40人参加了会议，中国电子技术标准化研究院杨建军副院长担任代表团团长。此次会议主要讨论和推进了在研制修订标准项目、研究项目、新立项项目和标准路线图等内容。我国代表团重点推动了以下国际标准提案和贡献，一是包含我国密码算法SM2和SM9的ISO/IEC 14888-3补篇《带附录的数字签名　第3部分：基于离散对数的机制 补篇1》进入正式发布阶段；包含我国三元对等实体鉴别技术提案内容的ISO/IEC 9798-3《实体鉴别 第3部分：使用数字签名技术的机制》顺利通过国际标准草案（DIS）投票。二是包含我国密码算法SM4的ISO/IEC 18033-3的补篇2《加密算法 第3部分：分组密码 补篇2》顺利进入第一版补篇草案（PDAM）阶段；我国牵头的ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分：安全和隐私》进入第三版工作草案阶段。三是我国主导提出的ISO/IEC 27070《虚拟信任根安全要求》通过了新项目提案（NWIP）立项，进入工作草案（WD）阶段；我国主导提出的2项研究项目《量子密钥分发的安全要求、测试和评估方法》、《大数据安全实施指南》以及我国联合参与的1项研究项目《ICT可信评估框架指南》获批立项。四是我国主导提出的3项有关互联网服务可信连接、大数据安全能力成熟度模型和生物特征识别身份认证主题的研究项目，获批延长6个月继续研究。五是我国两名专家被任命为ISO/IEC 27035-3《信息安全事件管理 第3部分：事件响应操作指南》和ISO/IEC 15408-2《信息技术 安全技术 IT安全评价准则 第2部分：安全功能组件》的联合编辑。 会上，我代表团还全面介绍了2018年4月由我国承办的、将在湖北武汉召开的SC27工作组会议和全体会议的筹备情况，获得了与会专家的一致好评。 通过此次参会，中国代表团圆满完成了预定参会任务和工作目标，取得了丰富的成果，同时，全面了解和掌握了当前国际网络安全标准的研究热点与发展趋势，为进一步实质性参与网络安全国际标准化工作，办好2018年4月国际标准会议，提升国际标准话语权和影响力奠定了基础。

“任何管理监督机制、规则约束机制都不如技术‘围栏’可靠。”见到张振峰研究员是在北京最美丽的秋天，中国科学院软件研究所外的国槐树翻飞起鲜黄的叶子。别人眼中飞舞的叶片，在密码学家眼中可能会瞬间定格，叶片的方向、姿态均被捕捉，组成一列字符串，用于核验。“过去的实体鉴别技术，核验时必须知道‘身份’，现在通过新的YZ机制核验，可以不亮明‘身份’就鉴别用户的合法性。”打个比方，新机制能做到核验密码时只见“叶片”，却不知道是哪棵树掉下来的。近日，张振峰接受科技日报记者专访。此前不久，他主导的匿名实体鉴别机制（YZ机制）正式发布为ISO国际标准，成为我国在网络空间安全领域取得的少数几个自主研制的国际标准之一。“这是首个面向口令鉴别的隐私保护国际标准，实现对用户隐私最有力的保护。”张振峰说，“口令鉴别是信息世界最常用的实体鉴别技术，每天发生数亿次，以前靠‘管’但也会有漏洞，技术手段保护隐私是最保险的。”听！中国在世界舞台发声2015年4月，国际标准化组织（ISO）信息安全分技术委员会的工作会场震动了，因为中国——那年，中国在一次会议上提出了3个机制申请进入国际标准。其中有2个由张振峰主导参与。“一向比较安静的中国，这是要做什么？”当年很多会议代表对这突如其来的转变产生了好奇。他们料想不到，中国究竟有哪样的技术储备或者还会有什么奇招。张振峰回忆，国际标准的入围之路不可能通衢平坦。“我们提出申请后，就咨询了一些资深专家的意见，得到的回复是，‘目前没有从中看到太多的技术优势’。”获得这样的反馈让张振峰坐卧不安。他对自己主导研发的密码技术很了解，优势肯定有，但如何让它被知晓？不被知晓有两个可能。一是自己的表述不够明晰；二是细分领域中，各国代表不一定都是“行家”。无论哪一种，都应想办法促成信息的传递。回来之后，张振峰紧急组织实验室的中坚力量，只为一个任务——寻找压倒性优势，明确地表达出来，并刊登在标准化专家重点关注的刊物上。几个未知的攻关、一篇论文的写成和投出、几轮的审核和等待，所有这些留给张振峰和团队的只有半年时间。“在下次的ISO工作组会议前，要让各国专家真正理解新技术的优势。”张振峰说。如果说机会是留给有准备的人，那么幸运是给有实力的人。2015年10月，在一次工作组会议上，中国工作组的信息准确而及时地“以论文之口”传达给了专家。“他们看到了我们的研究，也了解了新技术的优势。”张振峰松了口气，信息的有效传递，让中国提出的标准贡献在国际上获得一致认可。在国际舞台上获得话语权，张振峰将其归结为明显的技术先进性。“这是一个研讨技术的组织，”张振峰说，“我们甚至可以在会议上直接和他国代表对算法先进性进行辩论。”越辩越明，真正的技术优势在辩论中广而周知，中国的密码机制凭借硬实力被国际同行认可。做！应用是心心念念的事今年9月16日，张振峰去山东讲演，他用浅显的语言介绍了YZ机制的工作原理和主要作用。第二天，就有企业电话追过来问：“希望在芯片里实现这个技术，应该怎么做。”“尽管它已是国际标准，但很少有企业把这个技术用在产品中。”张振峰说，现在它成为了国际标准，就会启动一个“新技术落地应用”的倒逼过程。企业产品“走出去”，采用国际标准，在出海过程中将走得更顺畅。“我们已实现了一套隐私保护的在线身份系统，可以提供用户可控的身份隐私保护，希望能被应用，”张振峰认为，好技术要落地才更有价值，“YZ机制不仅能做到周全地保护，还摆脱了对专用硬件的依赖，对于应用落地是非常‘友好’的。”张振峰说，之前那些不易被攻破的密码保护需要U盾等附加装置，用这个算法就不需要了，软件企业可做出独立的安全方案。“我们也在推进YZ机制成为国家标准。”张振峰说，这会便于国内企业应用。“我们将来有义务给业界讲清楚，这些标准是做什么用的，使它在互联网上发挥作用。”张振峰希望未来会有不少软件企业走出国门时发现：我们已经准备好了。国际上，将以严苛的方式保护公民个人信息，如欧盟新数据隐私法规即将生效，对企业的要求更严。“还好我们未雨绸缪，企业将不至于铩羽而归。”他说。那时，也许不会有人记得有人在国际会议的演讲台前侃侃而谈，不会感激有人为“中国制造”走出国门扫去了荆棘。张振峰依然感觉欣慰，十几年的坚守与执着有了落地时踏实的铿锵之音。坚守！十几年深耕不辍在中国科学院软件研究所的历史上，祖冲之密码曾在国际舞台上发声，这是中国第一个走出去的密码算法。做“顶天、立地”的科学研究，张振峰说，这是软件所的传统。“2014年，我们在可信计算研究中发现了国际标准中存在的若干问题。”张振峰回忆，他们当即开展研究，不仅提出了解决问题的理论模型，并给出了可行的设计方法。后来IBM采用这篇论文中的成果推出了新算法，并被FIDO联盟和万维网联盟的标准采纳。目前，张振峰担任主任的中国科学院软件研究所可信计算与信息保障实验室下设9个方向。“我们的9个小分队，都有自己的方向，而且十几年来一直坚守。”他说。张振峰喜欢现在的工作，理论创新、技术攻关都着眼实际问题。“几年前的一次改革，让我们做出了一些转变。”张振峰说，转变以后，不讲数量讲质量，研究成果连续发表在S&P、CCS、EUROCRYPT等国际顶级会议上。经常会有国外学者来软件所访问和交流，他们从这些国际会议上了解到这样一个团队，在进行着“直击”核心问题的研究工作。“采用先进密码技术，我们现在能做到，当用户将数据存储在云服务器上时，控制权仍在自己手中，云服务提供者无法获得服务器中的数据。”张振峰说，它的应用解决了很多政府机构使用云服务时不可避免的“痛点”——政府数据万一通过云服务提供商泄露怎么办。“任何管理监督机制、规则约束机制都不如技术‘围栏’可靠。”张振峰说。十几年的坚守，他用工匠精神，致力于为信息世界打造一套牢不可破、坚实可信的基础设施。人物档案张振峰，生于1972年2月，中国科学院软件研究所副总工程师、可信计算与信息保障实验室主任；长期从事网络空间安全研究，主攻方向为密码学与安全协议、网络空间信任、区块链安全、后量子密码等。

2016国家网络安全先进典型集体采访现场。　　 9月19日上午，网络安全先进典型表彰仪式在武汉举行，19名网络安全杰出人才、优秀人才及优秀教师受到表彰。在表彰仪式结束后，中国工程院院士沈昌祥、清华大学高等研究院教授王小云、杭州安恒信息技术有限公司董事长兼CEO范渊、北京航空航天大学电子信息工程学院教授刘建伟、四川大学网络空间安全研究院常务副院长陈兴蜀接受集体采访，就网络安全工作回答记者提问。中国工程院院士沈昌祥　　中国工程院院士沈昌祥：核心技术是国家网络空间的命门　　没有网络安全就没有国家安全，因为我们所有的基础设施都与网络信息化有关。总的来说，中国在网络空间安全上，虽然不处于先进地位，但经过这些年的努力，获得很大的进步。我们拥有可控的可信技术，但是我们要继续努力，要加强人才建设来支撑网络强国建设。　　核心技术是国家网络空间的命门，我们有信心，可以抓住核心的技术，也就是说颠覆性的技术，非对称的技术，实现弯道超车，发挥客观优势，为我国建设网络强国做出贡献。清华大学高等研究院教授王小云　　清华大学高等研究院教授王小云：网络安全人才培养要理论和技术并重　　中央网络安全和信息化领导小组成立以后，在网信办、工信部等部门的大力支持下，网络安全人才培养工作取得了显著成效。网络安全是交叉的学科，人才培养首先要综合其他学科的知识点，从科学的角度推动人才培养的工作。另外，除了学科的交叉特性，网络安全人才的培养具有理论特性和技术特性。网络安全发展非常迅速，而网络安全方面的理念和技术是同步发展的。从80年代开始，微软、IBM等公司培养了大批网络安全领域的科学家，近几年，我国相关企业也开始重视网络安全人才的培养，这是一个非常好的模式，我们的大学研究员和企业可以研究一个比较好的人才培养模式，让网络安全的理念和技术同步发展。