对于金融领域而言,在信息安全各环节实现国产密码算法的深入应用具有非常重要的战略意义,采用自主可控的密码技术是保障我国金融领域信息安全的重要基础,而且SM2算法安全性能优于RSA算法,能够为金融领域提供更安全的加密保障。
金融领域国密算法应用的政策要求
2014年2月,《关于金融领域密码应用指导意见的通知》(国办发〔2014〕6号文件)中要求,以建立以国产密码为主要支撑的金融信息安全保障体系,力争2015年初步实现国产密码在网上银行、电子保单等重点领域中的广泛使用,到2020年实现国产密码在金融领域中的全面应用,在主要任务中明确提出加快产业升级改造,研制基于国产密码的硬件产品和升级改造操作系统、浏览器等相关基础软件。
2018年7月,关于印发《金融和重要领域密码应用与创新发展工作规划2018-2022》的通知(厅字〔2018〕36号文件)中,再次强调在金融和重要领域推动密码升级改造,并在任务分工清单中明确指出,加快推进采用我国密码技术的基础软硬件产品研制和规模应用。
金融领域国密算法的应用现状
国家在金融领域启动国产密码算法试点工作以来,银行等金融机构已经在关键领域试点应用国产密码算法,目前在金融IC卡、PCI密码卡、USB Key、硬件加密机、安全网关、终端设备等产品上,已经初步实现国产密码算法的升级改造。但由于操作系统、浏览器等相关基础软件不支持国产密码算法,将导致信息安全整体架构中的部分环节存在安全薄弱的一面。
以数据安全传输为例,数据安全传输主要通过建立HTTPS加密连接来实现,建立基于国产密码算法的HTTPS加密连接,需要支持国密算法的浏览器、服务器国密支持套件以及国密算法SSL证书等国密应用产品和全生态应用环境。但目前主流浏览器(谷歌、IE浏览器等),主流操作系统(Windows和Linux等)和主流Web服务器软件(Ngnix、IIS、Apache、Tomcat等)都不支持国密算法和国密SSL证书,缺乏成熟的国密算法HTTPS加密全生态支持体系,国密算法在数据传输加密中的应用一直处于滞后状态。6号文件和36号文件都多次强调加快基于国密算法的操作系统、浏览器等相关基础软件升级改造,期望业界能够推出成熟的产品和解决方案,在数据安全传输这一重要环节实现国密算法的应用。
国密SSL证书全生态应用,保护金融领域数据传输安全
推动国密算法应用于HTTPS加密,一方面需要建立基于统一应用标准、实现互联互通的国密全生态应用体系;另一方面需要设计一种能够让国密算法HTTPS站点兼容各类浏览器的应用模式,兼顾国密合规性及全球通用性,才能真正达到实用的水平,确保用户业务系统平滑实现国密算法升级改造并持续可靠运行。
基于此思路,沃通CA不仅升级改造国密PKI/CA系统签发国密SSL证书,而且研发支持国密算法的密信浏览器、服务器软件国密支持模块等国密应用产品,将SM2国密算法体系和加密套件加入密信浏览器底层以及服务器软件国密支持模块中,浏览器和服务器端之间的通过相互匹配的国密算法和加密套件建立HTTPS加密连接,实现国密算法全流程无缝应用。密信浏览器和服务器软件国密支持模块,遵循统一的国密应用标准,流畅实现基于国密算法的HTTPS加密;并借鉴国际标准,升级支持国密算法双向认证以及SNI扩展等应用。
此外,为了确保部署国密SSL证书的网站系统能够同步兼容全球各类浏览器,沃通CA设计了“SM2/RSA双证书”应用模式,在国密SSL支持模块或国密SSL网关上同时部署SM2/RSA双SSL证书,并由国密支持模块自动识别浏览器是否支持国密算法,自适应兼容所有浏览器,有效解决浏览器兼容性问题。
