文档中心

上云无忧 > 文档中心 > 天翼云CDN加速域名管理 - 国密HTTPS
天翼云
CDN加速
简介/价格/文档
天翼云CDN加速域名管理 - 国密HTTPS

文档简介:
简述国密证书的使用场景和使用方法。 功能介绍: 密码算法是保障信息安全的核心技术,天翼云积极响应国家政策,支持国密标准,为金融等政企客户提供更加安全的加密算法。
*产品来源:中国电信天翼云。免费试用 咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云! 微信咨询
  免费试用、价格特惠

简述国密证书的使用场景和使用方法。

功能介绍

密码算法是保障信息安全的核心技术,天翼云积极响应国家政策,支持国密标准,为金融等政企客户提供更加安全的加密算法。

国密介绍

国密算法,即国家商用密码算法。是由国家密码管理局认定和公布的密码算法标准及其应用规范,其中部分密码算法已经成为国际标准。如SM系列密码,SM代表商密,即商业密码,是指用于商业的、不涉及国家秘密的密码技术。

商用密码有很多,以下列举了常用的国际跟国产商用密码:

密码分类

国产商用密码

国际商用密码

对称加密 分组加密/块加密 SM1/SCB2SM4/SMS4SM7 DESIDEAAESRC5RC6
序列加密/流加密 ZUC(祖冲之算法)、SSF46 RC4
非对称/公钥加密 大数分解
RSADSAECDSARabin
离散对数 SM2SM9 DHDSAECCECDH
密码杂凑/散列 SM3 MD5SHA-1SHA-2


  • SM1是一种分组加密算法

    对称加密算法中的分组加密算法,其分组长度、秘钥长度都是128bit,算法安全保密强度跟 AES 相当,但是算法不公开,仅以IP核的形式存在于芯片中,需要通过加密芯片的接口进行调用。采用该算法已经研制了系列芯片、智能IC卡、智能密码钥匙、加密卡、加密机等安全产品,广泛应用于电子政务、电子商务及国民经济的各个应用领域(包括国家政务通、警务通等重要领域)。

  • SM2是非对称加密算法

    它是基于椭圆曲线密码的公钥密码算法标准,其秘钥长度256bit,包含数字签名、密钥交换和公钥加密,用于替换RSA/DH/ECDSA/ECDH等国际算法。可以满足电子认证服务系统等应用需求,由国家密码管理局于2010年12月17号发布。SM2采用的是ECC 256位的一种,其安全强度比RSA 2048位高,且运算速度快于RSA。

  • SM3是一种密码杂凑算法

    用于替代MD5/SHA-1/SHA-2等国际算法,适用于数字签名和验证、消息认证码的生成与验证以及随机数的生成,可以满足电子认证服务系统等应用需求,于2010年12月17日发布。它是在SHA-256基础上改进实现的一种算法,采用Merkle-Damgard结构,消息分组长度为512bit,输出的摘要值长度为256bit。

  • SM4是分组加密算法

    跟SM1类似,是我国自主设计的分组对称密码算法,用于替代DES/AES等国际算法。SM4算法与AES算法具有相同的密钥长度、分组长度,都是128bit。于2012年3月21日发布,适用于密码应用中使用分组密码的需求。

  • SM7也是一种分组加密算法

    该算法没有公开。SM7适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证),票务类应用(大型赛事门票、展会门票),支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。

  • SM9是基于标识的非对称密码算法

    用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法,包括数字签名生成算法和验证算法,并给出了数字签名与验证算法及其相应的流程。并提供了相应的流程。可以替代基于数字证书的PKI/CA体系。SM9主要用于用户的身份认证。据新华网公开报道,SM9的加密强度等同于3072位密钥的RSA加密算法,于2016年3月28日发布。

相关标准:

2014年:国家密码管理局发布标准《GMT 0024-2014》。

  • 规范了国密算法套件:ECC_SM4_SM3、ECDHE_SM4_SM3。

2020年:国家标准化管理委员会发布标准《GBT_38636-2020》。

  1. 将国密套件重新规范命名为:ECC_SM4_CBC_SM3、ECDHE_SM4_CBC_SM3。
  2. 并且新增了GCM模式下的算法套件:ECC_SM4_GCM_SM3、ECDHE_SM4_GCM_SM3。
  3. 以及基于RSA证书的算法套件:
  • RSA_SM4_CBC_SM3
  • RSA_SM4_GCM_SM3
  • RSA_SM4_CBC_SHA256
  • RSA_SM4_GCM_SHA256

2021年:IETF工作组正式发布国际标准《rfc8998》。

  • 该标准在TLS1.3上定义了使用国密算法的套件:TLS_SM4_GCM_SM3、TLS_SM4_CCM_SM3。
  • 使用ECDHE_SM2密钥协商算法,取消了 Client 证书的要求和server 双证书要求。

天翼云CDN加速产品支持的国密算法套件

  • 支持GBT_38636-2020 ECC_SM2_WITH_SM4_CBC_SM3(GMT 0024-2014 ECC_SM4_SM3)。
  • 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_CBC_SM3 (GMT 0024-2014 ECDHE_SM4_SM3)。
  • 支持GBT_38636-2020 ECC_SM2_WITH_SM4_GCM_SM3。
  • 支持GBT_38636-2020 ECDHE_SM2_WITH_SM4_GCM_SM3。

适用场景

特别适合银行、证券等对数据安全要求极高的行业。

注意事项

  • 天翼云CDN加速支持SM2(椭圆曲线公钥密码算法)和SM3(杂凑算法)标准,提供更加安全的HTTPS传输协议(即国密HTTPS加密能力)。
  • 如果您需要同时兼容国密和国际密码算法,请同时部署国密证书和HTTPS证书。
  • 使用国密算法,需要您提供国密签名证书及私钥、国密加密证书及私钥。

配置说明

该功能暂不支持客户自助配置,如需使用,请通过提交工单给天翼云客服,由其人工配置开启。

提交工单时,请附带如下信息:

配置项 含义 默认值
ssl_certificate 配置server端的国密签名或加密证书。 none
ssl_certificate_key 配置server端的国密签名或加密证书私钥。 none
ssl_protocols 配置支持的ssl协议,该配置为nginx原生配置,枚举类型,取值范围:[SSLv2] [SSLv3] [TLSv1] [TLSv1.1] [TLSv1.2] [TLSv1.3][GMSSLv1.1] TLSv1 TLSv1.1 TLSv1.2
相似文档
  • 天翼云CDN加速域名管理 - TLS版本配置
    简述CDN加速可以支持的TLS版本及配置方法。 功能介绍: TLS(Transport Layer Security)即安全传输层协议,及其前身安全套接层(Secure Sockets Layer,缩写作SSL)是一种安全协议,目的是为互联网通信提供安全及数据完整性保障。
  • 天翼云CDN加速域名管理 - 批量HTTPS证书配置
    简述批量配置HTTPS证书的方法。 功能介绍: 天翼云CDN支持HTTPS加速服务,您可以通过控制台上传证书,并批量关联域名启用HTTPS加速服务,实现全网数据加密传输。 适用场景: 该功能适用于多域名需同时开启https服务的场景。 注意事项: 1)批量https证书配置一次只能关联5个域名。 2)域名绑定证书后会开启域名https功能。
  • 天翼云CDN加速域名管理 - 缓存过期时间设置
    简述缓存过期时间设置方法。 功能介绍: 缓存过期时间指源站资源在CDN节点缓存的时长,达到预设时间,资源将会被CDN节点标记为缓存过期。此时如果客户端向CDN节点请求该资源,CDN会携带If-Modified-Since请求头或Etag请求头回源站校验内容是否有更新,如有更新则获取最新资源并缓存到CDN节点。您可以根据业务需求,按指定路径或文件名后缀等方式配置静态资源的缓存过期时间。
  • 天翼云CDN加速域名管理 - 状态码过期时间
    简述状态码过期时间的配置方法。 功能介绍: CDN节点从源站获取资源时,源站会返回响应状态码,您可以在天翼云CDN上配置状态码过期时间,当客户端再次请求相同资源时,由CDN直接响应状态码,不会触发回源,减轻源站压力。当状态码在CDN上的存储时长超过设置的过期时间,缓存的状态码会失效,此时针对同一资源的请求需要回源。
  • 天翼云CDN加速域名管理 - HTTP响应头
    简述HTTP响应头的配置方法。 功能介绍: HTTP响应头是HTTP响应消息头的组成部分之一,可携带特定响应参数并传递给客户端。通过配置自定义HTTP响应头,当用户请求加速域名下的资源时,CDN返回的响应消息会携带您配置的响应头,从而实现特定功能。
官方微信
联系客服
400-826-7010
7x24小时客服热线
分享
  • QQ好友
  • QQ空间
  • 微信
  • 微博
返回顶部