功能介紹

密(mi)碼(ma)算法是保障(zhang)信(xin)息安全的(de)核心技術(shu)，天翼(yi)云(yun)積極響應國(guo)家政(zheng)策，支持(chi)國(guo)密(mi)標準，為金融等政(zheng)企客戶提(ti)供更加(jia)安全的(de)加(jia)密(mi)算法。

國密介紹

國密(mi)算(suan)法(fa)(fa)，即國家商(shang)(shang)用密(mi)碼(ma)(ma)算(suan)法(fa)(fa)。是(shi)由國家密(mi)碼(ma)(ma)管理局認定和公(gong)布的(de)密(mi)碼(ma)(ma)算(suan)法(fa)(fa)標(biao)準(zhun)及其應用規范，其中(zhong)部分密(mi)碼(ma)(ma)算(suan)法(fa)(fa)已(yi)經成(cheng)為國際標(biao)準(zhun)。如(ru)SM系列(lie)密(mi)碼(ma)(ma)，SM代表商(shang)(shang)密(mi)，即商(shang)(shang)業密(mi)碼(ma)(ma)，是(shi)指用于商(shang)(shang)業的(de)、不涉及國家秘密(mi)的(de)密(mi)碼(ma)(ma)技(ji)術。

商用(yong)密碼有(you)很多，以下列舉常用(yong)的國(guo)際跟國(guo)產(chan)商用(yong)密碼：

密碼分類
國產商用密碼
國際商用密碼
對稱加密
分組加密/塊加密
SM1/SCB2、SM4/SMS4、SM7
DES、IDEA、AES、RC5、RC6
序列加密/流加密
ZUC（祖沖之(zhi)算(suan)法）、SSF46
RC4
非對稱/公鑰(yao)加密
大數分解

RSA、DSA、ECDSA、Rabin
離散對數
SM2、SM9
DH、DSA、ECC、ECDH
密碼雜湊/散列
SM3
MD5、SHA-1、SHA-2

• SM1是一種分組加密算法
  對稱加密算法中的分組加密算法，其分組長度、秘鑰長度都是128bit，算法安全保密強度跟 AES 相當，但是算法不公開，僅以IP核的形式存在于芯片中，需要通過加密芯片的接口進行調用。采用該算法已經研制系列芯片、智能IC卡、智能密碼鑰匙、加密卡、加密機等安全產品，廣泛應用于電子政務、電子商務及國民經濟的各個應用領域(包括國家政務通、警務通等重要領域)。
• SM2是非對稱加密算法
  它是基于橢圓曲線密碼的公鑰密碼算法標準，其秘鑰長度256bit，包含數字簽名、密鑰交換和公鑰加密，用于替換RSA/DH/ECDSA/ECDH等國際算法。可以滿足電子認證服務系統等應用需求，由國家密碼管理局于2010年12月17號發布。SM2采用的是ECC 256位的一種，其安全強度比RSA 2048位高，且運算速度快于RSA。
• SM3是一種密碼雜湊算法
  用于替代MD5/SHA-1/SHA-2等國際算法，適用于數字簽名和驗證、消息認證碼的生成與驗證以及隨機數的生成，可以滿足電子認證服務系統等應用需求，于2010年12月17日發布。它是在SHA-256基礎上改進實現的一種算法，采用Merkle-Damgard結構，消息分組長度為512bit，輸出的摘要值長度為256bit。
• SM4是分組加密算法
  跟SM1類似，是我國自主設計的分組對稱密碼算法，用于替代DES/AES等國際算法。SM4算法與AES算法具有相同的密鑰長度、分組長度，都是128bit。于2012年3月21日發布，適用于密碼應用中使用分組密碼的需求。
• SM7也是一種分組加密算法
  該算法沒有公開。SM7適用于非接IC卡應用包括身份識別類應用(門禁卡、工作證、參賽證)，票務類應用(大型賽事門票、展會門票)，支付與通卡類應用(積分消費卡、校園一卡通、企業一卡通、公交一卡通)。
• SM9是基于標識的非對稱密碼算法
  用橢圓曲線對實現的基于標識的數字簽名算法、密鑰交換協議、密鑰封裝機制和公鑰加密與解密算法，包括數字簽名生成算法和驗證算法，并給出數字簽名與驗證算法及其相應的流程。并提供相應的流程。可以替代基于數字證書的PKI/CA體系。SM9主要用于用戶的身份認證。據新華網公開報道，SM9的加密強度等同于3072位密鑰的RSA加密算法，于2016年3月28日發布。

相關標準：

2014年：國家密碼管理局發布標準(zhun)《GMT 0024-2014》。

• 規范國密算法套件：ECC_SM4_SM3、ECDHE_SM4_SM3。

2020年：國家(jia)標(biao)準化管(guan)理委員會(hui)發布標(biao)準《GBT_38636-2020》。

1. 將國密套件重新規范命名為：ECC_SM4_CBC_SM3、ECDHE_SM4_CBC_SM3。
2. 并且新增GCM模式下的算法套件：ECC_SM4_GCM_SM3、ECDHE_SM4_GCM_SM3。
3. 以及基于RSA證書的算法套件：

• RSA_SM4_CBC_SM3
• RSA_SM4_GCM_SM3
• RSA_SM4_CBC_SHA256
• RSA_SM4_GCM_SHA256

2021年(nian)：IETF工作(zuo)組正式發布國際標準《rfc8998》。

• 該標準在TLS1.3上定義使用國密算法的套件：TLS_SM4_GCM_SM3、TLS_SM4_CCM_SM3。
• 使用ECDHE_SM2密鑰協商算法，取消Client證書的要求和server雙證書要求。

天翼云CDN加速產品支持的國密算法套件

• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_CBC_SM3（GMT 0024-2014 ECC_SM4_SM3）。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_CBC_SM3 （GMT 0024-2014 ECDHE_SM4_SM3）。
• 支持GBT_38636-2020 ECC_SM2_WITH_SM4_GCM_SM3。
• 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_GCM_SM3。

適用場景

特別(bie)適合銀行、證(zheng)券等對數據安全要求(qiu)極高的行業。

注意事項

• 天翼云CDN加速支持SM2（非對稱加密算法）、SM3（密碼雜湊算法）、SM4（分組加密算法）標準，提供更加安全的HTTPS傳輸協議（即國密HTTPS加密能力）。
• 如果您需要同時兼容國密和國際密碼算法，請同時部署國密證書和國際標準證書。
• 使用國密算法，需要您提供國密簽名證書及私鑰、國密加密證書及私鑰。

配置說明

1. 登錄。
2. 單擊左側導航欄【域名管理】-【域名列表】。
3. 在【域名列表】頁面，找到目標域名，單擊【操作】列的【編輯】。
4. 單擊右側【請求協議】。
5. 在【請求協議】模塊，勾選【HTTPS】。

6. 單擊右側【HTTPS配置】。

7. 選擇域名對應的國密證書。如果已經在【證書管理】上傳證書，可直接選擇對應域名證書。如果還未上傳證書，可單擊【點擊上傳】，添加自有證書。添加完畢后，再選擇對應(ying)證(zheng)書。

   

8. 單擊(ji)【保存】，完成配置。