背景介紹

隨著近年來外部的國際貿易沖突和技術封鎖，內部互聯網的快速發展，IOT領域的崛起，以及金融領域的變革愈演愈烈，安全高度不斷上升。擺脫對國外技術和產品的過度依賴，建設行業網絡安全環境，增強我國行業信息系統的安全可信顯得尤為必要和迫切。密碼算法是保障信息安全的核心技術，尤其是最關鍵的銀行業核心領域長期以來都是沿用3DES、SHA-1、RSA等國際通用的密碼算法體系及相關標準，存在安全隱患，天翼云積極響應國家政策，支持國密標準，為金融等政企客戶提供更加安全的加密算法。

天翼云邊緣安全加速平臺-安全與加速服務，支持自主部署域名證書，證書算法支持國際和國密標準，并允許同個域名雙證書并行。即網關支持雙算法證書應用，智能識別和匹配適用算法。在客戶端環境支持國密算法時，自動選擇國密算法證書，在客戶端環境僅支持國際算法時，自動選擇國際算法證書，自動建立匹配算法加密通道。

國密介紹

國密算法，即國家商用密碼算法。是由國家密碼管理局認定和公布的密碼算法標準及其應用規范，其中部分密碼算法已經成為國際標準。如SM系列密碼，SM代表商密，即商業密碼，是指用于商業的、不涉及國家秘密的密碼技術。

商用密碼有很多，以下列舉了常用的國際跟國產商用密碼：

密碼分類
國產商用密碼
國際商用密碼
對稱加密
分組加密/塊加密
SM1/SCB2、SM4/SMS4、SM7
DES、IDEA、AES、RC5、RC6
ZUC（祖沖之算法）、SSF46
RC4
非對稱/公鑰加密
大數分解
/
RSA、DSA、ECDSA、Rabin
離散對數
SM2、SM9
DH、DSA、ECC、ECDH
密碼雜湊/散列
SM3
MD5、SHA-1、SHA-2

• SM1是一種分組加密算法
  對稱加密算法中的分組加密算法，其分組長度、秘鑰長度都是128bit，算法安全保密強度跟 AES 相當，但是算法不公開，僅以IP核的形式存在于芯片中，需要通過加密芯片的接口進行調用。采用該算法已經研制了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品，廣泛應用于電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
• SM2是非對稱加密算法
  它是基于橢圓曲線密碼的公鑰密碼算法標準，其秘鑰長度256bit，包含數字簽名、密鑰交換和公鑰加密，用于替換RSA/DH/ECDSA/ECDH等國際算法。可以滿足電子認證服務系統等應用需求，由國家密碼管理局于2010年12月17號發布。SM2采用的是ECC 256位的一種，其安全強度比RSA 2048位高，且運算速度快于RSA。
• SM3是一種密碼雜湊算法
  用于替代MD5/SHA-1/SHA-2等國際算法，適用于數字簽名和驗證、消息認證碼的生成與驗證以及隨機數的生成，可以滿足電子認證服務系統等應用需求，于2010年12月17日發布。它是在SHA-256基礎上改進實現的一種算法，采用Merkle-Damgard結構，消息分組長度為512bit，輸出的摘要值長度為256bit。
• SM4是分組加密算法
  跟SM1類似，是我國自主設計的分組對稱密碼算法，用于替代DES/AES等國際算法。SM4算法與AES算法具有相同的密鑰長度、分組長度，都是128bit。于2012年3月21日發布，適用于密碼應用中使用分組密碼的需求。
• SM7也是一種分組加密算法
  該算法沒有公開。SM7適用于非接IC卡應用包括身份識別類應用(門禁卡、工作證、參賽證)，票務類應用(大型賽事門票、展會門票)，支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通、公交一卡通)。
• SM9是基于標識的非對稱密碼算法
  用橢圓曲線對實現的基于標識的數字簽名算法、密鑰交換協議、密鑰封裝機制和公鑰加密與解密算法，包括數字簽名生成算法和驗證算法，并給出了數字簽名與驗證算法及其相應的流程。并提供了相應的流程。可以替代基于數字證書的PKI/CA體系。SM9主要用于用戶的身份認證。據新華網公開報道，SM9的加密強度等同于3072位密鑰的RSA加密算法，于2016年3月28日發布。

相關標準：

• 2014年：國家密碼管理局發布標準《GMT 0024-2014》規范了國密算法套件：ECC_SM4_SM3、ECDHE_SM4_SM3。
• 2020年：國家標準化管理委員會發布標準《GBT_38636-2020》，將國密套件重新規范命名為：ECC_SM4_CBC_SM3、ECDHE_SM4_CBC_SM3，并且新增了GCM模式下的算法套件：ECC_SM4_GCM_SM3、ECDHE_SM4_GCM_SM3以及基于RSA證書的算法套件：RSA_SM4_CBC_SM3、RSA_SM4_GCM_SM3、RSA_SM4_CBC_SHA256、RSA_SM4_GCM_SHA256。
• 2021年：IETF工作組正式發布國際標準《rfc8998》，該標準在TLS1.3上定義了使用國密算法的套件：TLS_SM4_GCM_SM3、TLS_SM4_CCM_SM3，使用ECDHE_SM2密鑰協商算法，取消了 Client 證書的要求和server 雙證書要求。

天翼云邊緣安全加速平臺-安全與加速服務支持的國密算法套件

• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_CBC_SM3（GMT 0024-2014 ECC_SM4_SM3）。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_CBC_SM3 （GMT 0024-2014 ECDHE_SM4_SM3）。
• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_GCM_SM3。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_GCM_SM3。

適用場景

特別適合銀行、證券等對數據安全要求極高的行業。

注意事項

• 天翼云邊緣安全加速平臺-安全與加速服務支持SM2（橢圓曲線公鑰密碼算法）和SM3（雜湊算法）標準，提供更加安全的HTTPS傳輸協議（即國密HTTPS加密能力）。
• 如果您需要同時兼容國密和國際密碼算法，請同時部署國密證書和HTTPS證書。
• 使用國密算法，需要您提供國密簽名證書及私鑰、國密加密證書及私鑰。

配置說明

使用國密HTTPS涉及的配置項如下：

如您需要配置國密HTTPS，請提交工單給天翼云客服，由其幫您配置。