公司簡介公司簡介 企業文化企業文化 資質榮譽資質榮譽 新聞資訊新聞資訊 誠聘英才誠聘英才 聯系我們聯系我們
百餘名商密圈精英齊聚北京開元酒店共商開源安全未來 ——記“基于國密算法的OpenSSL技術沙龍”
來源: 江南天安  關鍵詞:商密 開源 國密算法 螞蟻金服 國密局 商密協會 深交所  發布時間:2019-07-31

7月26日,星期五,北京已經連續被驕陽炙烤了一周,最高溫度甚至超過了40攝氏度。但是相比室外的高溫,商密圈精英們參與“基于國密算法的OpenSSL技術沙龍”的熱情更高,一百多名北京商密協會會員單位代表、企業用戶代表參會。


1.jpg

                           


本次沙龍由北京市密碼管理局指導,北京商用密碼行業協會主辦,北京江南天安科技有限公司承辦,北京江南天安科技有限公司副總經理李國主持。本次沙龍邀請了北京市密碼管理局領導、國家檢測中心老師、高校安全專家、業界研發大牛,為參會嘉賓全方位解讀國密開源技術。


2.jpg

北京江南天安科技有限公司副總經理李國主持 

 

北京市密碼管理局馮育晖處長在緻辭中表示,随着5G時代的到來,國家信息化建設在全面加速,人們對網絡的依賴程度日益加深,物聯網、雲計算、移動互聯網已滲透到社會生活的方方面面,保障網絡安全運轉,數據安全存儲和交換,密碼的作用至關重要。針對網絡系統異構和多元等特點,普遍使用的安全技術已經不能滿足不同特點和場景的應用需求,目前還沒有完善的密碼保護機制,在思想認識、技術保障、管理體系、資金投入等方面存在不足。目前,國家一系列相關政策的出台為密碼應用推廣和創新發展帶來了新的契機。作為當今網絡數據加密的主要協議之一,SSL協議安全信道數據保密性、數據完整性、安全驗證以及開源的特點,具有優秀的多用途、跨平台性能,具有廣泛的适用性。對基于國密算法的SSL開展技術研讨是非常必要的,在讨論技術發展趨勢、産品和解決方案的基礎上,探索産品和應用等規範标準,推動相關産業發展,為網絡安全保駕護航。

 


3.jpg4.jpg

會場座無虛席、氣氛熱烈

 

接下來,國家商用密碼檢測中心檢測主管燕爽就國密SSL 産品要求與檢測展開了演講。燕爽表示,根據國密局字[2018]419号文的要求,目前SSL VPN産品除了要遵循《SSL VPN技術規範》和《SSL VPN 網關産品規範》以外,還需要遵循《密碼模塊安全技術要求》、《密碼模塊安全檢測要求》的相關安全要求。SSL VPN産品可以分為服務端産品和客戶端産品兩類,服務端的典型産品是安全網關;客戶端的典型産品是浏覽器。燕爽從硬件要求、功能要求、安全與管理要求、性能檢測四個方面,介紹了SSL VPN的産品要求和檢測内容與方法。

 

5.jpg

國家商用密碼檢測中心檢測主管燕爽


北京大學信息安全實驗室副研究員關志就GMSSL的設計與應用展開了演講。關志簡單介紹了GMSSL的開發背景:2012年國家密碼管理局公開了包括SM2公鑰密碼、SM3哈希算法和SM4分組密碼等商用密碼算法的相關标準之後,有開發者使用互聯網上的零散國密算法代碼片段或自行開發,為軟件的安全性和可靠性帶來了隐患。GMSSL是一個提供了完整國産密碼的密碼庫,為開源軟件開發者提供了穩定的開發接口和成熟的算法實現,可以促進國産密碼算法在國産開源軟件領域的進一步應用。關志強調,GMSSL是支持國産密碼算法的OpenSSL分支,支持SM2/3/4/9 、ZUC等全部國密算法,SM4支持NIST 13種模式中除FF1和TKW之外的11種,國密算法支持抽象的EVP接口,支持X.509/PKCS#5/PKCS#7/PKCS#8,覆蓋GM/T文本中的測試向量,可以快速實現SM2/4接近4倍的性能提升,不依賴第三方庫,支持國密硬件。


6.jpg

北京大學信息安全實驗室副研究員關志 

 

深圳證券通信有限公司項目負責人郭甯為嘉賓講解了OpenSSL在結算通信系統國密改造中的應用。郭甯表示,中國證券登記結算有限責任公司計劃于2020年底前完成結算通信系統國産商用密碼改造與用戶推廣工作,要求根據不同業務的實際情況,制定合理的實施方案,确保業務的連續性和穩定性。經過多方選型,深圳證券通信有限公司最終選擇了北京江南天安科技有限公司的TASSL方案,該方案具有以下特點:更契合業務系統目前的架構,不因算法改變而引起架構的較大變化,便于運維和管理人員進行持續化支持;提供的天安密碼服務平台可支持多加密機熱備和負載均衡功能,節約了改造過程中的資源投入;TASSL兼容OpenSSL的算法接口,其功能設計和API接口調用方便,利于集成。郭甯強調,江南天安的TASSL方案符合深證通對基本功能、性能、兼容性、穩定性的要求:通過了POC測試,集成開發驗證、功能測試、性能測試、兼容性測試、穩定性測試;基本驗證了TASSL的解決方案的各個方面;方案符合業務系統國密改造的基本功能、性能、兼容性與穩定性需求。

 

7.jpg

深圳證券通信有限公司項目負責人郭甯

 

格爾軟件鄭強博士分享了CTLS标準化進展與可鑒别加密機制的内容。鄭強表示,目前密标委正在制定DTLCP和TLS的相關标準。DTLCP,主要研究基于UDP的數據報傳輸層密碼協議。在TLCP的基礎上,引入序列号和滑動窗口、消息分片與重組、消息超時重傳、無狀态Cookie等機制保障基于UDP的應用協議在傳輸層的安全性。同時拟通過預配置密碼套件、預共享密鑰衍生等方式提高本協議在物聯網和流媒體等資源受限或實時環境中的适用性。TLS協議擴展字段技術規範,研究現有國密TLS協議中的必要的擴展字段的技術規範,包括:擴展字段的種類、使用條件、技術定義、服務器和客戶端的處理方法等内容。鄭強還對後續CTLS+标準化提出了優化建議避免大改動,建議如下一些改動:隻支持AEAD,不再支持CBC模式;增加支持流加密模式;密鑰導出函數采用HKDF方式。

 

8.jpg

格爾軟件鄭強博士 


信安世紀總工程師汪宗斌與嘉賓分享了自己對GM/T 0024對TLS的發展的看法。GM/T 0024—2014,參照RFC 4346 The Transport Layer Security(TLS) Protocol 1.1,部分參考了RFC 5246 The TransportLayer Security(TLS) Protocol1.2,增加了IBC認證模式和密鑰交換模式,增加了網關—網關協議,不支持重協商,不支持 RFC 5746,不支持消息擴展,取消了DH密鑰交換方式。汪宗斌在發言中強調,中國SSL标準的優勢:完整的基于SM2/SM3/SM4密碼算法的SSL密碼套件、基于IBC算法的SSL密碼套件、支持“雙證書”體系、融合TLS多個版本安全特性、屏蔽TLS原生的不安全特性、支持網關—網關協議。


9.jpg

信安世紀總工程師汪宗斌

 

OpenSSL官方團隊成員亞洲唯一成員,現任螞蟻金服高級技術專家楊洋為嘉賓介紹了OpenSSL 3.0工作進展。楊洋表示,OpenSSL自1.1.1版本開始支持國密算法,SM2(3.0.0開始增加SM2證書的簽發、吊銷和驗簽等功能)、SM3、SM4,目前還不支持雙證書的國密TLS協議。OpenSSL團隊的一種觀點是可以将國密TLS作為獨立協議進行支持(不和标準TLS協議在統一端口混跑),但是也存在反對聲音,比如國密TLS中的一些對象(加密套件、協議版本号)沒有在IANA注冊,并且基于TLS1.1。OpenSSL3.0.0 的新架構弱化了Engine機制,引入了Provider機制,計劃4.0.0版本抛棄Engine機制,更好地支持各國政府的合規性需求,比如FIPS以及中國的商用密碼檢測。


10.jpg

 OpenSSL官方團隊成員亞洲唯一成員,現任螞蟻金服高級技術專家楊洋

 

螞蟻金服統一接入層高級技術專家張鋒輝就螞蟻金融雲統一接入層試點國産密碼規範進行了重點介紹。基于監管、安全可控、高性能安全服務等原因,螞蟻安全部、系統部、數據技術部聯合設計開發了一款符合國家金融級商密安全等級要求、國密算法自主可控的FPGA國密密碼卡,并在金融雲内部螞蟻統一接入層(AFE)産品Spanner服務上測試驗證。張鋒輝表示,Spanner作為螞蟻金服的統一接入網關(AFE)是落地國密算法的首要戰場,目前支持HTTP1、HTTP2、SPDY、MMTP、MQTT等多種通用和自研的應用層協議接入,同時處理全網SSL加解密通信。

 

11.jpg

螞蟻金服統一接入層高級技術專家張鋒輝 


海泰方圓技術總監王鵬為嘉賓介紹了OpenSSL與國密算法——打造更安全的浏覽環境。王鵬在會上表示,海泰方圓基于OpenSSL的産品包括:紅蓮花安全浏覽器、國密代理模塊、國密軟件網關、國密算法中間件。這些産品都支持SM2、SM3、SM4、SM9、ZUC等國密算法,SM2國密數字證書,基于SM2證書的SSL/TLS安全通信協議,支持國密硬件密碼設備,提供符合國密規範的編程接口。紅蓮花安全浏覽器支持雙SSL協議、雙網絡信任體系、雙核、網頁内容安全、緩存安全、産品自身安全防護、國産化平台、插件、網頁兼容、JS擴展。國密代理模塊擁有通過正向代理技術來實現支持國密SSL協議功能,使用IE等非國密浏覽器也能訪問國密的站點。算法中間件提供了國密算法功能接口、國密SSL安全鍊路通信接口和密鑰管理功能,包括國密SM2、SM3、SM4算法實現、國密SSL實現、智能IC卡和智能密碼鑰匙密碼應用接口規範設備的支持。


12.jpg

 海泰方圓技術總監王鵬

 

江南天安技術總監張钊與嘉賓分享了TASSL與密碼卡結合——兼顧業務與安全的解決方案。張钊表示,在密碼技術内有一個著名的柯克霍夫原則,那就是系統的保密性不依賴對加密體制或算法的保密,而隻依賴于密鑰。單純使用TASSL無法保證密鑰的安全,TASSL支持調用雲密碼卡。張钊舉例說明,國内某知名普惠金融科技企業就采用了江南天安的TASSL解決方案,TASSL與密碼卡的結合就是我們的雲密碼卡。江南天安雲密碼卡擁有支持國密SM2/3/4算法、多通道DMA、Docker并發調用、異步調用機制、高性能、業務無縫遷移等特性。張钊還舉例了SSL卸載、區塊鍊、可信計算、虛拟機鏡像加密、CDN等應用場景。張钊強調,江南天安設計産品要符合用戶能用、好用的标準;業務需求與标準要求出現沖突時,要深入理解沖突的原因;基于現有标準,漸進式創新;基于新場景的應用方式方法,回饋改進标準。最後,張钊認為,可視化、簡單化、标準化、智能化是未來的發展趨勢。


13.jpg

 江南天安技術總監張钊

 

本次技術沙龍活動取得圓滿成功,收獲頗豐,不僅從上述領導、專家、學者和企業代表的發言中,我們既聽到了從宏觀層面對政策的解析,又有專家對具體産品操作的透視,同時還有學者的理論剖析和來自于企業應用層面的介紹,大家都領會到了其中非常深刻的含義和知識。希望通過此次技術沙龍能夠提升大家對基于國密算法的開源SSL的認識,從而推動我們商用密碼産業的發展。


Copyright @ 2005-2013, 北京江南天安科技有限公司, All Rights Reserved  京ICP備08012318号  技術支持博樂虎科技