mPaaS MGS配置SM2国密加密指南

本文涉及的产品
mPaaS订阅基础套餐,标准版 3个月
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: 因当前国家信息安全监管总局对金融类App监管要求,涉及到数据安全通信加密算法必须要使用国密的规定。众多使用mPaaS框架的银卡金融客户,因早期大多数都是在网关配置的RSA加密或者ECC加密算法,当接到监管要求后,都要更改网关加密算法为国密,因需求众多mPaaS团队也为此开发了网关同时兼容多个加密方式的功能,去解决客户侧因更换加密算法造成的种种不便和问题。mPaaS 对国密算法加密客户端、网关都是支持的,这里整理一份从生成SM2到mPaaS配置完成的完整指南。


一 背景

因当前国家信息安全监管总局对金融类App监管要求,涉及到数据安全通信加密算法必须要使用国密的规定。众多使用mPaaS框架的银卡金融客户,因早期大多数都是在网关配置的RSA加密或者ECC加密算法,当接到监管要求后,都要更改网关加密算法为国密,因需求众多mPaaS团队也为此开发了网关同时兼容多个加密方式的功能,去解决客户侧因更换加密算法造成的种种不便和问题。

mPaaS 对国密算法加密客户端、网关都是支持的,这里整理一份从生成SM2到mPaaS配置完成的完整指南。

二 SM2国密生成

1. 生成SM2密钥

1.1. Mac OS下

Mac OSX一般自带的有OpenSSL。但因为OpenSSL“心脏病失血”事件,Mac OSX 自 10.11 El Capitan 起,将原有的 OpenSSL 替换为 LibreSSL 。在以上这些系统中应该除了实测必须要用 OpenSSL 软件外,应该都可以用 LibreSSL 取代 OpenSSL。而对于其他大多数还没有将系统自带的 OpenSSL 替换为 LibreSSL 的会麻烦一些,并且也可能做不到彻底替换。只是对于编译安装的软件,可以尽量用 LibreSSL 取代 OpenSSL。(其他用LibreSSL 取代 OpenSSL的系统还有:OpenBSD 自 5.6 起,Alpine Linux 自 3.5.0 起)。

所以 Mac 下OpenSSL 生成SM2密钥就需要自己安装OpenSSL,网上有方式直接更改替换Mac OS自带的LibreSSL,这里为了不影响Mac 使用者的日常正常使用,不使用这种方式,而是在Mac 上download 一个OpenSSL版本安装、解压后单独使用,完全不会影响原有的LibreSSL。

这里以openssl 1.1.1d实现为例:

  1. 下载openssl源码

curl -o openssl-1.1.1d.tar.gz https://www.openssl.org/source/openssl-1.1.1d.tar.gz

  1. 解压源码包

tar -xvf openssl-1.1.1d.tar.gz

  1. 进入解压的openssl目录

cd openssl-1.1.1d

  1. 配置生成makefile

./config --prefix=/usr/local/openssl

  1. 安装

//这里用了sudo 需要输入电脑密码,为了保证不会因为权限不足而安装报错

sudo make install

  1. 设置openssl lib .so加载配置

//此步骤可以忽略,so加载配置与否不影响使用生成SM2

echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

ldconfig -v

  1. 生成SM2密钥

    i. 进入生成密钥文件的目录,执行以下命令生成私钥

/usr/local/openssl/bin/openssl ecparam -genkey -name SM2 -out SM2PrivateKey.pem

   ii. 进入生成密钥文件的目录,生成公钥

/usr/local/openssl/bin/openssl ec -in SM2PrivateKey.pem -pubout -out SM2PublicKey.pem

1.2. Windows下

同样Windows 下也是需要一些途径才能生成SM2国密密钥。

OpenSSL官网没有提供windows版本的安装包,可以选择其他开源平台提供的工具。

工具地址:http://slproweb.com/products/Win32OpenSSL.html

  1. 下载工具

选择32位或者64位合适的版本下载,例如Win64OpenSSL_Light-1_0_2h.exe。

  1. 安装Win64OpenSSL软件

设置环境变量,自行确定安装位置。

  1. 打开Win64OpenSSL软件,运行以下命令

ecparam -genkey -name SM2 -out priv.key

ec -in priv.key -pubout -out pub.key

三 配置mPaaS国密

1. 初次配置加密

1.1. 开发平台配置

  1. 打开登录移动开发平台->移动网关->网关管理->数据加密->打开。
  2. 打开后会弹出选择加密方式和密钥的弹出,选SM2 并 填写对应的私钥密钥。

1.2. 客户端配置

1.2.1. iOS端

  1. iOS客户端的加密方式和公钥是配置在info.plist下的,详情见图:

其中,

  • mPaaSCrypt:加密配置的主 key,value 是Dictionary类型,里面包含了客户端加密所需设置的相关信息。
  • Crypt:是否进行加密,value 是Boolean类型,YES代表加密,NO代表不加密。
  • GWWhiteList: 需要进行加密的网关,即当前环境的网关地址。如果没有该 key ,则所有的请求都不会加密
  • RSA/ECC/SM2:非对称加密算法选择,value 是String类型,只能填RSAECCSM2
  • PubKey:非对称加密公钥。value 是 String 类型,与选择的非对称加密算法保持一致。

注:iOS端PubKey 的格式必须携带 -----BEGIN PUBLIC KEY----- 及 -----END PUBLIC KEY-----。不允许有空格、自行换行等,格式不可错误。

1.2.2. Android端

  1. Android 端的加密方式和公钥是配置在mpaas_netconfig.properties 文件下,如图:其中,
  • Crypt:表示是否使用自加密,true表示使用,false表示关闭自加密功能。
  • RSA/ECC/SM2:表示要使用的非对称加密算法,其值只能填充RSAECCSM2
  • PubKey:表示选择的非对称加密算法的公钥。
  • GWWhiteList: 需要进行加密的网关,即当前环境的网关地址。如果没有该 key ,则所有的请求 都不会加密

注:由于 Android 中 properties 文件的 value 值需要在同一行,因此填充公钥时需注意。

2.更换配置加密

2.1. 开发平台配置

注:mgs 版本要 >=1.34.10

  1. 打开移动开发平台->移动网关->网关管理:

当前网关已经开启了数据加密(这里示例是RSA)。

  1. 这时更换国密,需要提前准备一对已生成的SM2 公、私钥,详细密钥生成方法参考:https://help.aliyun.com/document_detail/64281.htm
  2. 在控制台-网关管理下,先关闭数据加密,再立刻开启数据加密,这是会出现重新选择加密算法和填写对应密钥的弹窗,如下图。

4.将SM2的私钥按正确格式填写到输入框内,点击提交。之后就能在这里看到已经配置好的两种加密方式:

介此,网关更换密钥操作已完成。

注:步骤3中必须要先关闭再开启,所以请务必先提前生成好对应的SM2公、私钥,且保证正确性和正确格式。

2.2. 客户端配置

2.2.1. iOS端

  1. iOS客户端的加密方式和公钥是配置在info.plist下的,详情见图:

  1. 此时将已生成好的SM2公钥按正确格式替换上述info.plist里PubKey的value,加密算法更改为SM2。

介此 iOS端加密方式和公钥也已更换完毕。

2.2.2. Android端

  1. Android 端的加密方式和公钥是配置在mpaas_netconfig.properties 文件下的,如图:
  2. 此时将已生成好的SM2公钥按正确格式替换上述mpaas_netconfig.properties 里的对应value,更换后如下图:

介此 Android 端加密方式和公钥已更换完毕。

2.3. 小结

此时服务端和客户端均已更换加密方式完毕,旧版App依然可以正常访问网关,新版App也是可以正常访问网关的,后续需要等待旧版App用户完全升级到新版App后,修改掉网关旧的加密方式即可,当然一直保留也可以的。

四 结束语

届此从生成自己的国密SM2,到完整配置加密方式。客户端到mPaaS网关已满足监管对App数据加密方式的要求。同时mPaaS团队也在更完备支持全链路国密的道路上,而努力前进。后续会发布更全面、更方便、更深层次的国密支持方案,仅此感谢!



目录
相关文章
|
6月前
|
安全 API 开发工具
oss加密的配置方法
阿里云OSS提供多种加密选项:SSE-OSS(默认或对象级AES-256加密)、SSE-KMS(使用KMS托管CMK)、临时密钥加密和客户端加密(CSE)。可通过控制台或API设置Bucket策略,使用HTTP头部指定加密方式。KMS和临时密钥可能涉及更复杂的密钥管理和权限配置。
692 5
|
6月前
|
druid Java 数据库
druid+springboot加解密Druid链接池配置加密密码链接数据库
druid+springboot加解密Druid链接池配置加密密码链接数据库
331 0
|
1月前
|
数据安全/隐私保护
sm2加密解密
sm2加密解密
46 3
|
6月前
|
NoSQL 测试技术 Go
【Golang】国密SM2公钥私钥序列化到redis中并加密解密实战_sm2反编(1)
【Golang】国密SM2公钥私钥序列化到redis中并加密解密实战_sm2反编(1)
|
3月前
|
jenkins 应用服务中间件 持续交付
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
如何配置 Nginx 作为 Jenkins 的反向代理并启用 SSL 加密
208 8
|
3月前
|
JSON 算法 API
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
【Azure API 管理】APIM 配置Validate-JWT策略,验证RS256非对称(公钥/私钥)加密的Token
|
3月前
|
安全 Nacos 数据安全/隐私保护
【技术干货】破解Nacos安全隐患:连接用户名与密码明文传输!掌握HTTPS、JWT与OAuth2.0加密秘籍,打造坚不可摧的微服务注册与配置中心!从原理到实践,全方位解析如何构建安全防护体系,让您从此告别数据泄露风险!
【8月更文挑战第15天】Nacos是一款广受好评的微服务注册与配置中心,但其连接用户名和密码的明文传输成为安全隐患。本文探讨加密策略提升安全性。首先介绍明文传输风险,随后对比三种加密方案:HTTPS简化数据保护;JWT令牌减少凭证传输,适配分布式环境;OAuth2.0增强安全,支持多授权模式。每种方案各有千秋,开发者需根据具体需求选择最佳实践,确保服务安全稳定运行。
324 0
|
5月前
|
存储 安全 API
使用KMS为Apollo配置中心敏感配置加密的最佳实践
使用KMS为Apollo配置中心敏感配置加密的最佳实践
706 2
|
6月前
|
安全 网络协议 应用服务中间件
一文读懂HTTPS⭐揭秘加密传输背后的原理与Nginx配置攻略
一文读懂HTTPS⭐揭秘加密传输背后的原理与Nginx配置攻略
|
6月前
|
存储 Java 数据库
SpringBoot使用jasypt实现数据库配置加密
这样,你就成功地使用Jasypt实现了Spring Boot中的数据库配置加密,确保敏感信息在配置文件中以加密形式存储,并在应用启动时自动解密。
410 2

热门文章

最新文章

下一篇
无影云桌面