FAQ 最佳实践
国密算法应用与信创支持

一、国密算法及信创产业介绍

1.1、什么是国密算法

国密算法是国家密码管理局制定颁布的一系列的密码标准,即已经被国家密码局认定的国产密码算法,又称商用密码(是指能够实现商用密码算法的加密,解密和认证等功能的技术),保障在金融,医疗等领域的信息传输安全。我国制定的密码算法标准,包括SM1、SM2、SM3 、SM4、SM7、SM9、祖冲之密码算法(ZUC)等。国密技术包括加密算法、数字证书、安全芯片等形式,旨在保护国家重要信息的机密性、完整性和可用性。

SM2算法:SM2算法是基于椭圆曲线密码的公钥密码算法标准,其秘钥长度256bit,包含数字签名、密钥交换和公钥加密,用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求。

SM3算法:SM3是中华人民共和国政府采用的一种密码散列函数标准,由国家密码管理局于2010年12月17日发布。相关标准为“GM/T 0004-2012 《SM3密码杂凑算法》”。

在商用密码体系中,SM3主要用于数字签名及验证、消息认证码生成及验证、随机数生成等,其算法公开。据国家密码管理局表示,其安全性及效率与SHA-256相当。

SM4算法:SMS4算法是在国内广泛使用的WAPI无线网络标准中使用的加密算法,是一种32轮的迭代非平衡Feistel结构的分组加密算法,其密钥长度和分组长度均为128。SMS4算法的加解密过程中使用的算法是完全相同的,唯一不同点在于该算法的解密密钥是由它的加密密钥进行逆序变换后得到的。

1.2、什么是信创

信创,即信息技术应用创新,是指在信息技术领域进行创新和发展,推动国产化替代,提高信息技术自主可控能力。信创的目标是减少对国外技术的依赖,提升国内信息技术产业的核心竞争力,信创主要涉及基础硬件、基础软件、应用软件、信息安全等四大领域。

随着信创产业的发展,国内各类ISV厂商,也逐步开始针对信创基础设施进行适配,例如兼容信创CPU、操作系统、数据库、中间件等,使得自有软件能够在信创环境下稳定高效的运行。

二、国密算法的应用(for V7)

国密技术是保障国家信息安全的核心力量。行云堡垒采用国密算法,确保数据的机密性、完整性和可用性。无论是在传输过程中还是存储时,都能有效地保护客户的重要信息,防止数据被窃取或篡改,在产品层面,对国密具有以下应用场景:

2.1、数据加密应用场景

国密数据加密是指采用国家密码管理局批准的密码算法对数据进行加密保护的过程。在行云堡垒中,存在以下采用国密算法加密的应用场景:

1) 用户密码存储与登录认证

创建用户时,采用SM3算法对用户密码进行加密存储。

当用户使用用户名和密码登录到门户时,前端采用SM2算法将数据进行加密,并传输给服务端。

2) 云账户凭证存储

用户在使用AccessKey导入公有云资产时,采用SM4算法将凭证信息进行存储。

3) IT资产密码存储

当用户在创建主机或数据库账户时,采用SM4算法对IT资产的密码进行存储。

2.2、国密浏览器

国密浏览器是指支持国密算法SM2/SM3,支持基于国密算法的SSL协议,支持采用国密SSL证书实现HTTPS加密的网站正常访问的浏览器。它通过使用国密算法对网页内容进行加密传输,确保在网络传输过程中数据的机密性、完整性和真实性。

当客户需要使用国密HTTPS时,必须申请合格的国密SSL证书,并使用专用的国密浏览器。

行云堡垒支持使用国密SSL证书以及使用国密浏览器访问,如果您有此需求,可以考虑采用以下浏览器:

1)密信浏览器:基于Chromium开放源代码项目开发,主要增加了对国密算法 SM2/SM3/SM4的支持,支持国密SSL证书,同时也修改了SSL证书展示界面,采用 V1/V2/V3/V4标识来标识不同类型的SSL证书(DV/IV/OV/EV)。

2)GMSSL国密浏览器:基于Google Chromium浏览器开发,在Chromium浏览器内核中增加了国密SSL的完整功能,并移除了Google服务等无关功能模块。

3)360可信浏览器:由360公司出品,是国内首家支持国密算法和国密 SSL安全协议的浏览器,其内置国产密码模块和安全协议模块,让仅部署了国密SSL证书实现HTTPS的网站实现正常访问。

2.3、国密USB Key

国密 USB Key 是一种采用国家密码技术的安全设备。它通常用于身份认证、数字签名、数据加密等安全操作。

国密 USB Key 的工作原理是将加密密钥存储在硬件设备中,并通过与计算机的 USB 接口进行连接和通信。当需要进行安全操作时,用户将国密 USB Key 插入计算机,系统会自动识别并与之进行交互,从而实现安全功能。下面介绍在行云堡垒中启用USB Key作为用户二次认证的步骤。

1) 进入管理控制台后,选择“系统管理-认证设置”菜单,在”USB Key认证配置”中可以启用USB Key认证服务(目前支持的产品为飞天诚信ePass3000GM);

2) 将国密USB Key插入计算机,系统将自动检测国密USB key值和PIN码;

3) 前往国密USB key认证配置处签发国密USB key给相关用户;

4) 可以在系统管理->系统配置->门户安全策略中,配置全局的门户登录二次认证;

5) 开启USB Key双因子认证后,用户在登录页输入正确的用户名及密码后进入双因子认证界面,用户插入USB Key等待识别后输入PIN码,PIN码输入正确即可成功登录。

2.4、国密OTP

国密OTP动态令牌是指采用国密算法,获得国家密码管理局颁发的《商用密码产品认证证书》的双因素认证产品。在等保2.0中要求组织机构应采用有国密资质的产品/技术来加强重要系统、设备登录时的身份鉴别和访问管理。

在登录行云堡垒时,仅使用用户名和密码进行认证,有可能因弱口令(弱密码)问题引发攻击事件。因此,为了加固登录账号安全,满足等保合规要求,企业通常会采用RADIUS认证开启国密OTP动态令牌二次身份验证,以实现双因素认证。

下面以宁盾国密OTP动态令牌为例,介绍如何配置国密OTP二次认证,用户OTP动态令牌的绑定过程要求在宁盾配置服务门户中完成,此处省略,不再赘述;

1) 前往管理控制台:系统管理>认证服务器,配置国密OTP服务端认证(RADIUS协议)相关参数;

2) 前往管理控制台,系统管理>门户安全策略,将上步的OTP认证作为RADIUS二次认证;

3) 用户登录门户时,需要输入国密OTP动态令牌客户端密码进行认证。

2.5、国密加密卡

国密加密卡是一种采用国家密码局批准的加密算法和安全技术的加密卡片,它主要用于保护敏感信息的安全,确保数据在传输和存储过程中不被未经授权的第三方获取或篡改,相比单纯的软件加密算法,硬件加密卡更加安全,目前密评过程中,就要求必须使用硬件加密卡作为国密加密手段。

下面以东进PIC-E加密卡为例,介绍如何在行云堡垒中使用国密加密卡:

1) 将东进PIC-E加密卡插入服务器的PIC-E插槽中,并确保卡片与服务器正确连接;

2) 安装适用于东进PIC-E加密卡的驱动程序,通常可以从卡片供应商提供的相关文档或网站上获取;

3) 根据加密卡的使用说明,进行相关的配置,例如设置加密算法、密钥等;

4) 在与行云堡垒集成时,安装部署请选择硬件加密,以确保数据的加密和解密使用加密卡提供的加密功能。

三、信创的支持(for V7)

信创产业的发展是实现信息技术自主可控的关键。积极响应国家号召,致力于推动信创产业的发展,行云绽放始终秉持着开放融合的理念,致力于为客户提供全方位的信创解决方案。我们的产品不仅兼容信创CPU、信创操作系统、信创数据库和中间件,更重要的是,它可以支持不同的信创生态,为产业的协同发展贡献力量,下面列举了一些主要的国产信创产品的兼容说明:

信创CPU X86架构海光、兆芯等国产信创CPU
ARM架构鲲鹏、海思等国产信创CPU
信创操作系统 麒麟系列、统信UOS等基于Linux的国产信创操作系统
信创数据库 基于PostgreSQL协议的人大金仓、瀚高等国产信创数据库
信创中间件 东方通、宝兰德等国产信创负载均衡方案

我们深刻理解每个信创生态都有其独特的特点和优势。因此,我们的产品在设计和研发过程中充分考虑了不同信创生态的需求,确保能够与各种信创环境实现无缝对接。大部分厂商的信创CPU、信创操作系统、信创数据库或中间件,我们的产品都能提供稳定可靠的支持。

这种对不同信创生态的广泛支持,使我们的客户在选择技术方案时拥有更多的灵活性和自主性。他们可以根据自身业务需求和实际情况,选择最适合的信创组合,实现最优的性价比和效能提升。

同时,我们积极与各信创生态的核心厂商展开深入合作,共同推动技术创新和产业发展。通过与产业链上下游企业的紧密协作,我们能够及时获取最新的技术动态和市场需求,不断优化产品的兼容性和适应性。

支持不同的信创生态不仅是我们产品的优势,更是我们对客户的承诺。我们将继续努力,不断提升产品的性能和功能,为客户创造更大的价值。同时,我们也期待与更多的信创产业伙伴携手合作,共同打造一个繁荣、开放的信创生态圈,推动信息技术创新迈向新的高峰。