背景介紹

隨著(zhu)近年(nian)來外部的(de)(de)(de)國際貿易沖突和技術封鎖(suo)，內部互聯網(wang)(wang)的(de)(de)(de)快速發展，IOT領域(yu)的(de)(de)(de)崛起(qi)，以(yi)及(ji)金(jin)融領域(yu)的(de)(de)(de)變革愈(yu)演愈(yu)烈，安全高(gao)度不斷上升。擺脫對國外技術和產品的(de)(de)(de)過度依賴，建設(she)行(xing)業網(wang)(wang)絡安全環境，增強我國行(xing)業信(xin)息(xi)系(xi)統的(de)(de)(de)安全可信(xin)顯得尤為必要和迫切(qie)。密(mi)碼算法是(shi)(shi)保障信(xin)息(xi)安全的(de)(de)(de)核(he)心(xin)技術，尤其是(shi)(shi)最關鍵的(de)(de)(de)銀行(xing)業核(he)心(xin)領域(yu)長期以(yi)來都(dou)是(shi)(shi)沿用3DES、SHA-1、RSA等國際通用的(de)(de)(de)密(mi)碼算法體系(xi)及(ji)相關標(biao)準，存在安全隱患，天翼云積極響應國家政(zheng)策，支持國密(mi)標(biao)準，為金(jin)融等政(zheng)企客(ke)戶提(ti)供(gong)更加安全的(de)(de)(de)加密(mi)算法。

天翼(yi)云(yun)全站加速，支(zhi)持(chi)(chi)自(zi)主部署域名證書，證書算(suan)法(fa)支(zhi)持(chi)(chi)國(guo)(guo)際和國(guo)(guo)密(mi)(mi)(mi)(mi)標準，并(bing)允(yun)許同個域名雙證書并(bing)行。即網關支(zhi)持(chi)(chi)雙算(suan)法(fa)證書應用(yong)，智能識別和匹配適用(yong)算(suan)法(fa)。在(zai)客(ke)戶(hu)端環境支(zhi)持(chi)(chi)國(guo)(guo)密(mi)(mi)(mi)(mi)算(suan)法(fa)時，自(zi)動選擇國(guo)(guo)密(mi)(mi)(mi)(mi)算(suan)法(fa)證書，在(zai)客(ke)戶(hu)端環境僅(jin)支(zhi)持(chi)(chi)國(guo)(guo)際算(suan)法(fa)時，自(zi)動選擇國(guo)(guo)際算(suan)法(fa)證書，自(zi)動建立匹配算(suan)法(fa)加密(mi)(mi)(mi)(mi)通道(dao)。

國密介紹

國(guo)密算(suan)法，即國(guo)家(jia)商(shang)用(yong)密碼(ma)(ma)算(suan)法。是由國(guo)家(jia)密碼(ma)(ma)管理局認定和公(gong)布的(de)(de)密碼(ma)(ma)算(suan)法標準及其應(ying)用(yong)規范，其中(zhong)部分(fen)密碼(ma)(ma)算(suan)法已經成為(wei)國(guo)際標準。如SM系列密碼(ma)(ma)，SM代表(biao)商(shang)密，即商(shang)業密碼(ma)(ma)，是指用(yong)于商(shang)業的(de)(de)、不涉及國(guo)家(jia)秘(mi)密的(de)(de)密碼(ma)(ma)技術。

商用(yong)(yong)密碼(ma)有很(hen)多，以下列舉了常用(yong)(yong)的國(guo)際跟(gen)國(guo)產商用(yong)(yong)密碼(ma)：

密碼分類
國產商用密碼
國際商用密碼
對稱加密
分組加密/塊加密
SM1/SCB2、SM4/SMS4、SM7
DES、IDEA、AES、RC5、RC6
序列加密/流加密
ZUC（祖沖之算法）、SSF46
RC4
非對稱/公鑰加密
大數分解

RSA、DSA、ECDSA、Rabin
離散對數
SM2、SM9
DH、DSA、ECC、ECDH
密碼雜湊/散列
SM3
MD5、SHA-1、SHA-2

• SM1是一種分組加密算法
  對稱加密算法中的分組加密算法，其分組長度、秘鑰長度都是128bit，算法安全保密強度跟 AES 相當，但是算法不公開，僅以IP核的形式存在于芯片中，需要通過加密芯片的接口進行調用。采用該算法已經研制了系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品，廣泛應用于電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
• SM2是非對稱加密算法
  它是基于橢圓曲線密碼的公鑰密碼算法標準，其秘鑰長度256bit，包含數字簽名、密鑰交換和公鑰加密，用于替換RSA/DH/ECDSA/ECDH等國際算法。可以滿足電子認證服務系統等應用需求，由國家密碼管理局于2010年12月17號發布。SM2采用的是ECC 256位的一種，其安全強度比RSA 2048位高，且運算速度快于RSA。
• SM3是一種密碼雜湊算法
  用于替代MD5/SHA-1/SHA-2等國際算法，適用于數字簽名和驗證、消息認證碼的生成與驗證以及隨機數的生成，可以滿足電子認證服務系統等應用需求，于2010年12月17日發布。它是在SHA-256基礎上改進實現的一種算法，采用Merkle-Damgard結構，消息分組長度為512bit，輸出的摘要值長度為256bit。
• SM4是分組加密算法
  跟SM1類似，是我國自主設計的分組對稱密碼算法，用于替代DES/AES等國際算法。SM4算法與AES算法具有相同的密鑰長度、分組長度，都是128bit。于2012年3月21日發布，適用于密碼應用中使用分組密碼的需求。
• SM7也是一種分組加密算法
  該算法沒有公開。SM7適用于非接IC卡應用包括身份識別類應用(門禁卡、工作證、參賽證)，票務類應用(大型賽事門票、展會門票)，支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通、公交一卡通)。
• SM9是基于標識的非對稱密碼算法
  用橢圓曲線對實現的基于標識的數字簽名算法、密鑰交換協議、密鑰封裝機制和公鑰加密與解密算法，包括數字簽名生成算法和驗證算法，并給出了數字簽名與驗證算法及其相應的流程。并提供了相應的流程。可以替代基于數字證書的PKI/CA體系。SM9主要用于用戶的身份認證。據新華網公開報道，SM9的加密強度等同于3072位密鑰的RSA加密算法，于2016年3月28日發布。

相關標準：

• 2014年：國家密碼管理局發布標準《GMT 0024-2014》規范了國密算法套件：ECC_SM4_SM3、ECDHE_SM4_SM3。
• 2020年：國家標準化管理委員會發布標準《GBT_38636-2020》，將國密套件重新規范命名為：ECC_SM4_CBC_SM3、ECDHE_SM4_CBC_SM3，并且新增了GCM模式下的算法套件：ECC_SM4_GCM_SM3、ECDHE_SM4_GCM_SM3以及基于RSA證書的算法套件：RSA_SM4_CBC_SM3、RSA_SM4_GCM_SM3、RSA_SM4_CBC_SHA256、RSA_SM4_GCM_SHA256。
• 2021年：IETF工作組正式發布國際標準《rfc8998》，該標準在TLS1.3上定義了使用國密算法的套件：TLS_SM4_GCM_SM3、TLS_SM4_CCM_SM3，使用ECDHE_SM2密鑰協商算法，取消了 Client 證書的要求和server 雙證書要求。

天翼云全站加速產品支持的國密算法套件

• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_CBC_SM3（GMT 0024-2014 ECC_SM4_SM3）。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_CBC_SM3 （GMT 0024-2014 ECDHE_SM4_SM3）。
• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_GCM_SM3。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_GCM_SM3。

適用場景

特別適合銀行、證券等對數(shu)據(ju)安(an)全要求(qiu)極高的行業(ye)。

注意事項

• 天翼云全站加速支持SM2（非對稱加密算法）、SM3（密碼雜湊算法）、SM4（分組加密算法）標準，提供更加安全的HTTPS傳輸協議（即國密HTTPS加密能力）。
• 如果您需要同時兼容國密和國際密碼算法，請同時部署國密證書和HTTPS證書。
• 使用國密算法，需要您提供國密簽名證書及私鑰、國密加密證書及私鑰。

配置說明

1. 登錄。
2. 單擊左側導航欄【域名管理】-【域名列表】。
3. 在【域名列表】頁面，找到目標域名，單擊【操作】列的【編輯】。
4. 單擊右側【請求協議】，勾選【請求協議】中的【HTTPS】。
5. 單擊右側【HTTPS配置】，選擇域名對應的國密證書。如果已經在【證書管理】上傳證書，可直接選擇對應域名證書。如果還未上傳證書，可單擊【點擊上傳】，添加對應證書。添加完畢后，再選擇對應證書，如未找到目標證書，可點擊右側的刷新按鈕刷新后再重新選擇。

參數說明