5月20日，阿里云政企安全加速解決方案正式發(fā)布。在發(fā)布會中，阿里云技術(shù)專家林勝恩從HTTPS的技術(shù)概述，國密算法的標(biāo)準(zhǔn)內(nèi)容以及國密算法在阿里云CDN上的應(yīng)用情況三個方面，來介紹了阿里云CDN在安全方面的重要實踐。

　　網(wǎng)絡(luò)數(shù)據(jù)安全得到前所未有的重視HTTPS成為解決傳輸安全問題利器

　　大家都知道，HTTP本身是明文傳輸?shù)?，沒有經(jīng)過任何安全處理，網(wǎng)站HTTPS解決方案通過在HTTP協(xié)議之上引入證書服務(wù)，完美解決網(wǎng)站的安全問題。

　　HTTPS的實現(xiàn)原理是什么？

　　HTTPS協(xié)議通過TCP層之上引入TLS/SSL協(xié)議，來實現(xiàn)對HTTP數(shù)據(jù)的保護(hù)，實現(xiàn)數(shù)據(jù)加密、完整性校驗以及防篡改。整個HTTPS過程包括：TCP建聯(lián)、SSL握手、應(yīng)用數(shù)據(jù)加密傳輸階段。其中SSL握手的目的是為了在服務(wù)端和客戶端協(xié)商出一個對稱密鑰，在應(yīng)用數(shù)據(jù)傳輸階段使用這對稱密鑰進(jìn)行數(shù)據(jù)的加密和解密。

　　在HTTPS交互過程中主要使用三種算法，首先SSL握手階段用到非對稱加密的算法，通過公鑰和私鑰對數(shù)據(jù)記性加密解密。在應(yīng)用數(shù)據(jù)加密傳輸?shù)碾A段，主要使用的是對稱加密的算法和hash算法。

　　目前，國際上通用的非對稱加密算法包括rsa算法和ecdsa算法。對稱加密算法主要是aes分組加密算法族以及chacha20流式加密，其中aes加密根據(jù)密鑰位數(shù)和加密模式還能細(xì)分成多種不同的算法，所以這里寫成aes(x)，哈希算法主要是sha-1、sha-2、sha-3算法族。

　　行業(yè)信息系統(tǒng)需要“安全可控”國密算法標(biāo)準(zhǔn)化加速實施

　　隨著金融安全高度不斷上升，近年來國家有關(guān)機關(guān)和監(jiān)管機構(gòu)提出了推動國密算法應(yīng)用實施、加強行業(yè)安全可控的要求。密碼算法是保障信息安全的核心技術(shù)，尤其是最關(guān)鍵的銀行業(yè)核心領(lǐng)域長期以來都是沿用3DES、SHA-1、RSA等國際通用的密碼算法體系及相關(guān)標(biāo)準(zhǔn)。

　　國家高度重視商用密碼工作，自1999年國務(wù)院頒布《商用密碼管理條例》以來，截止目前，已經(jīng)有多項政策陸續(xù)出臺，推進(jìn)國密算法的實施落地。

　　究竟什么是國密算法？

　　國密算法是國家密碼局制定標(biāo)準(zhǔn)的一系列算法，包括了對稱加密算法，橢圓曲線非對稱加密算法，哈希算法。其中，SM1和SM4為對稱加密，SM1加密強度與AES相當(dāng)。調(diào)用該算法時，需要硬件實現(xiàn)。SM4的密鑰長度和分組長度均為128位。SM2為非對稱加密，基于ECC。該算法基于ECC，故其簽名速度與秘鑰生成速度都快于RSA。SM3密碼哈希算法，摘要長度為256位。

　　國密算法具備更安全、更快速以及自主可控的優(yōu)勢，在安全層面，SM2作為一種ECC算法的安全性要高于2048位的RSA。同時SM3的摘要長度為256bit，安全強度也是要高于MD5算法及SHA1算法；在通訊過程中，256位的SM2算法相比于2048位的RSA算法，可以傳輸更少的數(shù)據(jù)，也就意味著更少的傳輸時間，同時在簽名過程上，SM2算法速度要優(yōu)于RSA大約在10倍左右。

　　阿里云CDN會支持全鏈路的國密算法能力，包括接入層、節(jié)點之間的加密傳輸鏈路以及回源的數(shù)據(jù)鏈路，通過這個能力極大保障客戶數(shù)據(jù)的安全。但是需要客戶端以及源站均支持國密的接入能力。

　　正如前文所述，隨著密碼法頒布及各項密碼相關(guān)標(biāo)準(zhǔn)的發(fā)布和實施，國密合規(guī)已經(jīng)成為國家高度關(guān)注的重點，尤其是對金融和政企行業(yè)的數(shù)據(jù)安全提出了更高的要求。阿里云CDN推出的國密能力，能夠幫助客戶構(gòu)建更加安全的數(shù)據(jù)傳輸鏈路，從而滿足國密合規(guī)的要求。