慧敏应用交付网关国密算法应用浅析

　　网络安全已经上升成我国的国家战略。没有网络安全，其它领域的安全就得不到有效保障，而作为网络安全核心的数据安全在整个安全保障体系中尤为重要。保障数据安全的本质就是依靠密码算法和安全体系确保数据在传输和存储过程中安全可控。可以说密码算法是整个安全保障体系的基石，在信息安全中发挥着至关重要的作用。

　　长期以来，我国一直采用国外制定的安全协议和加密算法，而越来越多的国际通用密码算法屡屡发生被破解、被攻击的事件，令网络安全形势不容乐观。根据国家互联网应急中心持续发布的互联网安全威胁报告和国家信息安全漏洞共享平台（CNVD）收集的威胁信息显示，互联网安全形势异常严峻，并且网络安全风险已经向物联网蔓延。

　　因此国家密码管理局一直在积极推进国产密码算法标准化工作，2010年底正式颁布了国产密码算法（即商用密码）的相关标准。国密算法的系列标准已经成为国家密码行业、公共安全行业的重要行业标准，同时也是信息安全技术体系的国家标准。国家在政府、金融、能源、军事等重要领域大力推广国密算法的应用，主要用于对不涉及国家秘密内容但又具有敏感性的内部信息、行政事务信息、经济信息等进行加密保护。

　　国密算法简介

　　国密算法是我国自主研发创新的一套数据加密算法，经过多年的发展，已经颁布多个算法标准，包括SM1、SM2、SM3、SM4、SM7、SM9、祖冲之密码算法（ZUC)等。目前应用最广泛的是SM2、SM3、SM4三种商用密码算法，分别为非对称加密算法、哈希算法和对称加密算法。

　　SM2算法：SM2椭圆曲线公钥密码算法，包括SM2-1椭圆曲线数据签名算法，SM2-2椭圆曲线密钥交换协议，SM2-3椭圆曲线公钥加密算法，实现数字签名与数据加密密钥协商。

　　SM3算法：SM3为密码摘要算法，适用于商用密码应用中的对称密钥生成和完整性校验。

　　SM4算法：SM4分组密码算法用于实现数据加/解密运算，以保证数据和信息的机密性。

　　国密算法与国际通用算法对照表：

　　国密算法的应用领域

　　国密算法的应用非常广泛。除了被直接集成到应用系统之外，也衍生出各种支持国密算法的专用产品。包括：密码机、VPN网关、安全认证网关、应用交付网关、可信计算密码支撑平台等。

　　国密算法推广的主要难题

　　1、支持国密算法的服务器都需要部署硬件国密卡；

　　2、应用服务器平台软件需要改造，集成国密算法套件；

　　3、因为通用Web浏览器对国密算法支持的缺失，导致需要增加投入定制开发国密客户端软件或插件；

　　慧敏应用交付网关国密算法解决方案

　　慧敏应用交付网关针对国密标准推广所遇到的问题，提供一种灵巧的解决方案。首先慧敏产品内置硬件国密卡，同时系统集成了完整的国密算法套件，然后利用自身Web代理的工作角色，全面支持国密算法的应用。通过慧敏产品可以帮助应用系统快速支持国密标准，甚至做到对应用系统零修改。

　　慧敏应用交付网关国密算法应用特点

　　1、支持完整的国密算法

　　慧敏应用交付网关可以工作在Web代理模式下，此时系统集成了完整的国密算法套件，即ECC-SM4-SM3。此算法套件也可以表示成"SM2-SM2-SM4-SM3"，分别对应"公钥加密算法-数字签名算法-对称加解密算法-数据摘要算法"，这些算法用于保障通信数据在网络传输过程中的安全。同时，慧敏产品支持国密双证书体系，支持导入国密双证书、创建自签名国密双证书、生成国密双证书请求文件。

　　2、以最小的投入，满足端到端的国密通信标准

　　因为慧敏应用交付网关作为客户端和服务器之间的代理人，它把业务会话分割成客户端会话和服务器端会话。这两段独立的会话均可以支持国密算法，为应用系统构建端到端的国密通信信道。

　　而且慧敏产品支持客户端和服务器端可以使用不同体系的密码算法套件，这样可以很容易将采用RSA国际通用算法的应用系统改造成支持采用国密算法的应用场景。如果慧敏应用交付网关与应用服务器部署在高可信的网络环境下，甚至还可以维持应用系统采用Http明文协议，而客户端使用国密算法的Https协议通讯。

　　慧敏产品国密算法解决方案可以在应用系统不做任何修改的情况下，支持国密算法。而且这种方案的好处不仅不用对应用系统进行复杂的改造，还能避免在每一台服务器上安装国密卡，节省了硬件投资。

　　3、根据客户端软件的情况，自适应使用国密算法或国际通用算法进行会话协商

　　应用系统在国密算法的改造过程中，有时并不希望采用强制手段而缺失友好性。慧敏应用交付网关解决方案可以根据客户端软件支持密码算法的实际情况，自动适应密码套件。如果客户端软件支持国密算法就优先使用国密算法协商，反之，系统自动使用国际通用算法进行协商。这样即维持了应用系统体验的连续性，也可以逐步推进国密算法的使用。

　　4、与360国密专版浏览器无缝集成，解决国密客户端的问题

　　前面提到国密算法的推广存在客户端软件支持匮乏的问题，因此我们在应用系统改造时，客户端软件的改造也是必要的一个部分。通常的做法是定制国密客户端软件，或者基于通用浏览器上开发国密插件。但是这种方式，使得客户端维护和应用变得比较繁琐和不便。

　　为此，360公司发布支持国密算法标准的国密专版安全浏览器，为加速国密算法标准的推广创造了条件。慧敏应用交付网关实现与360国密专版浏览器的适配，客户使用360国密专版浏览器和慧敏产品的集成方案，可以便捷的将应用系统改造成支持国密算法。

　　慧敏应用交付网关提供一整套便捷的国密算法解决方案，可以最佳性价比帮助应用系统全面、快速地支持国密算法。

　　感兴趣的小伙伴们，快到北京信诺瑞得公司官网（www.sinogrid.com）了解一下慧敏产品吧。