网络和通信安全中的SSL/TLS国密改造
发布日期:2022-09-272021年3月,国家市场监管总局、国家标准化管理委员会发布公告,国家密码应用与安全性评估的关键标准GB/T39786—2021《信息安全技术信息系统密码应用基本要求》(以下简称“GB/T39786”)正式发布,GB/T 39786是贯彻落实《中华人民共和国密码法》、指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准,对于规范引导信息系统密码合规、正确、有效应用具有重要意义。
GB/T39786提供了信息系统密码应用的技术框架,并将应用系统密码应用基本要求分为5级,每一级又分别从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求,以保障信息系统从机密性、完整性、真实性、不可否认性四个维度满足标准要求;信息系统在网络和通信安全层面的密码应用技术要求,涉及到通信的主体(通信双方)、信息系统与网络边界外建立的网络通信信道,以及提供通信保护功能的设备、组件和产品。互联网、政务外网、企业专网等网络类型,涉及通信主体的各个要素,都需要遵循要求进行改造升级。
TLS是保护通信传输层安全最重要的机制,是安全通信传输最重要的协议之一,可以称得上是互联网安全的基石。当用户没有启用SSL/TLS协议时,所有信息都以明文进行传播,这带来了三大潜在风险:
- 窃听风险:第三方可以获知通信内容
- 篡改风险:第三方可以修改通信内容
- 冒充风险:第三方可以冒充他人身份参与通信
而SSL/TLS 协议是为了解决这三大风险而设计的,通过对通信双方进行身份验证和通信加密等机制,可以达到:
- 所有信息都是加密传播,第三方无法窃听
- 具有校验机制,一旦被篡改,通信双方会立刻发现
- 配备身份证书,防止身份被冒充
TLS 安全通信的本质是通信对端采用安全的密码协商协议、密码套件,用于后续通信内容的加解密。协商过程中涉及到签名、验签,以及相应的密钥交换等多种加密算法。如果其中因为某个潜在后门漏洞算法,数据传输安全将面临巨大安全风险。因此为了提升我国金融、军事等重要场合的通信安全,TLS国密化改造势在必行。
网络通信层面的国密算法改造不仅仅是单一元素的改造,而是需要实现从客户端、服务端到数字证书的生态改造,涉及“国密四要素”的升级改造和应用。
沃通Web应用国密改造方案是沃通CA提供的成熟实践方案,面向Web应用实现网络通信层面的国密算法改造。沃通CA提供国密SSL证书、国密客户端证书等国密数字证书产品,结合支持国密算法的国密浏览器(客户端)、国密网关(服务器端)、国密Ukey构成“国密四要素”,通过“国密四要素”的应用实现HTTPS国密通信加密,保证通信过程数据的机密性、完整性及通信主体身份真实性。
沃通电子认证服务有限公司是电子认证服务机构及网络安全服务提供商,获得国密局颁发《电子认证使用密码许可证》、工信部颁发《电子认证服务许可证》,获批电子政务电子认证服务资质,在电子认证、证书应用、国密改造等领域有丰富的咨询、建设和运营经验。沃通Web应用国密改造方案、“SM2/RSA双证书”应用模式,已经在我国十几个省市和地区成熟应用,覆盖政务服务网、住房公积金管理中心、公安机关、公共服务机构、教育机构等多个领域。欢迎访问沃通CA官网了解咨询网络和通信安全中的SSL / TLS国密改造。
专题推荐
网络通信安全,需要https守护——SSL证书助力保障网站安全可信