Web应用国密改造方案

于 2021-09-10 10:08:26 发布
阅读量7.9k 收藏 12
点赞数 2
分类专栏: SSL加密 国密SSL 文章标签: 数据库 测试工具 国密改造 国密ssl证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WoTrusCA/article/details/120215295
版权

国密改造的背景

一、网络安全形势不容乐观

1)网络安全事件日趋严重,HTTP网站存在被伪造、中间人劫持等安全风险

-美国白宫通过2015年《HTTPS-ONLY备忘录》达到政府类网站全覆盖,而我国政府类网站HTTPS的覆盖率仅有47%(360数据)

-英国:要求所有政府网站在2016年10月之前实现强制HTTPS加密

-据国家互联网应急中心《2020 年中国互联网网络安全报告》报告统计,2020年,我国境内被篡改的网站约10万个,其中被篡改的政府网站有494个,针对网上行政审批的仿冒页面数量大幅上涨

2)国际通用加密算法存在安全风险

-RSA算法后门事件的爆出说明美国可以用较短时间解密RSA加密数据

3)我国网站99%使用国外CA厂商非国密数字证书,存在系统性风险

-比如,2016年10月,美国GlobalSign的一个误操作导致淘宝、京东、天猫等网站无法访问,直接影响我国6亿网购用户

二、国家在大力推进商用密码应用

(1)2011年,国密局字[2011]50号“关于做好公钥密码算法升级工作的通知”, 要求新投入运行并使用公钥密码的信息系统,应使用SM2椭圆曲线密码算法,已投入运行并使用公钥密码的信息系统,应尽快进行系统升级,并使用SM2椭圆曲线密码算法”;

(2)2012年以来,国家密码管理局以《中华人民共和国密码行业标准》的方式, 陆续公布了SM2/SM3/SM4等密码算法标准及其应用规范;

(3)2014年,国办发[2014] 6号文《国务院办公厅关于转发密码局等部门金融领域应用指导意见的通知》 要求率先在金融领域实现国产密码应用突破,力争到 2020 年实现密码全面应用;

(4)国务院办公厅【2018】36号文,要求金融和重要领域在2022年前落实并完成国产密码改造工作;

(5)《密码法》2020年1月1日式实行, 标志着国家在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家、社会、保护公民、法人、其他组织合法权益的决心;

(6)密码测评在各类信息化项目中开展,遵循2018年2月8日《信息系统密码应用基本要求》,符合《信息系统密码应用测评要求》;

(7)《信息安全技术 网络安全等级保护基本要求》即等保2.0, 强化了密码技术的应用和管理要求,包括通信传输、数据存储、身份鉴别、产品采购、使用和密钥管理中均有密码相关的要求

Web应用国密改造方案

我们国家最新发布的信息系统密码应用基本要求(GB/T 39786-2021)中,对密码技术应用的要求分为四大块,分别是:物理和环境的安全、设备和计算的安全、网络和通信的安全、应用和数据的安全。在“网络和通信的安全”方面,要求采用密码技术保证通信过程数据的机密性、完整性、通信主体身份真实性等安全目标。网络通信层面的国密算法改造不仅仅是单一的信息系统改造,而是需要实现从客户端、服务端到数字证书的生态改造,涉及“国密四要素”的升级改造和应用。

Web应用国密改造方案是沃通CA提供的成熟实践方案,面向Web应用实现网络通信层面的国密算法改造。沃通CA提供国密SSL证书、国密客户端证书等国密数字证书产品,结合支持国密算法的国密浏览器(客户端)、国密网关(服务器端)、国密Ukey构成“国密四要素”,通过“国密四要素”的应用实现HTTPS国密通信加密,保证通信过程数据的机密性、完整性及通信主体身份真实性。

 

国密证书

提供国密SSL证书、国密客户端证书等国密数字证书产品,支持SM2/SM3/SM4等国产密码算法和国密安全协议。

国密浏览器

提供适配国密证书的国密浏览器(360浏览器、沃通国密浏览器等),支持国产密码算法和国密安全协议,实现浏览器端的国密算法升级改造。

国密Ukey

提供适配国密客户端证书的国密UKey,用作数字证书和私钥的安全存储硬件载体,保护私钥安全。

国密网关

国密网关支持国产密码算法和国密安全协议,适配沃通国密证书产品,实现服务器端的国密算法升级改造。

典型的Web国密改造方案

 

备注:国密Key只有需要双向认证时才需要,根据客户安全等级要求来定

Web站点国密改造效果

 

 

沃通WoTrus
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
代码签名证书有哪些不同类型?
06-12 308
在数字化时代,软件安全已成为企业和个人用户关注的焦点。代码签名证书作为一种数字证书,对软件进行数字签名和加密,确保了软件在传输过程中的安全性和可靠性。本文将详细介绍代码签名证书的类型及其选择方法。
博客
华为云云速建站安装SSL证书开启HTTPS访问
11-03 648
一、https://buy.wosign.com/申请SSL证书,国内网站一般用DV单域名。提交域名,付款后,很快就会收到解析说明,通常如下:解析认证域名所有人,认证完毕后记录值可删除。记录类型:TXT主机记录:_dnsauth记录值:c31a75070bbd54c8a44593b9914c4a27fa0d891a63f4aea799ca07f709d4db8e二、登录华为云——云解析(如果域名在其它地方注册的,请进入对应的提供商地方管理域名)三、添加记录集页面快速.
博客
SSL证书加密套件常见弱密钥以及修复建议
11-02 5904
服务器使用了anonymous套件匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。TLS_DH_ANON_WITH_AES_256_GCM_SHA384TLS_DH_ANON_WITH_AES_128_GCM_SHA256TLS_DH_ANON_WITH_AES_256_CBC_SHA256TLS_DH_ANON_WITH_AES_256_
博客
ssl证书如何安装?常见的四类ssl证书安装方法介绍
10-29 2218
网站运营过程中我们不仅会使用到很多的技术,也需要取得相应的认证,在各类型的认证证书当中,ssl证书可以说是最为关键的一种。ssl证书作为确保服务器与用户之间信息传输稳定性和安全性的一种协议证书,ssl证书安装中又有什么需要注意的呢?ssl证书安装是有一定的操作步骤的。我们在进行ssl证书安装时,往往会用到不同的安装方法,目前总结出的常用ssl证书安装方法主要有四个种类。一、首先是使用服务器证书安装配置的ssl证书安装方式我们在安装ssl证书之前,需要在服务器上制作一个CSR文件,主要作用是通过C
博客
ssl证书在购买选择时有什么需要注意的吗?
10-26 126
网络世界与我们现实世界一样,在进行相关信息交流和交换的时候为了取得用户的信任或者表示自己的身份,需要有一定的证件证明。我们常说的ssl证书就是互联网企业证明自身身份所签署的协议,同时也向用户证明网站具有信息加密传输的功能。对于互联网企业来说,在选择ssl证书的时候有什么需要注意的吗?首先我们要了解ssl证书究竟是做什么用的。简单来说ssl证书是数字证书颁发机构为企业、个人或者组织提供的证书,ssl证书验证成功的网站,往往具有服务器的身份验证与数据传输加密功能。ssl证书的理论知识理解起来相对复杂,我们用
博客
bluehost安装SSL证书
10-26 690
一、登录bluehost控制面板二、选择:cPanel三、选择:SSL/TLS四、选择:管理SSL证书站点注意:默认SSL/TLS密钥类型(TLS 1.3、TLS 1.2),会导致古老的浏览器无法访问,但安全性很高,适合电子商务、支付平台。如果纯内容网站。如果需求兼容性高,请选择:RSA, 4,096-bit RSA is more compatible with older clients (for example, browsers older than Inte..
博客
bluehost添加解析TXT类型或CNAME类型
10-22 519
一、登录bluehost控制面板——选择:Domains——Manage快捷方式:https://my.bluehost.com/hosting/app#/domains/manage/wosign.com将wosign.com改成自己的域名,可以直接到域名解析界面。二、Add Record(如果是其它类型的解析,比如:TXT或者CNAME,往下移动选择Add Record)根据要求选择对应的解析类型后添加。下面是TXT类型解析,通常用于SSL证书认证,参考图..
博客
TLS怎么样?是不是比SSL更好?
10-21 514
TLS(传输层安全)是人们经常听到的一个词。事实是SSL和TLS是同一个协议的一部分。大多数技术(如VPN)都会将SSL/TLS一起列为他们的安全措施之一,作为私人浏览的连接方式。这两个协议是同一件事——可以加密双方之间的数据,并保证信息安全的数字证书。TLS只是SSL的升级版,TLS证书也叫SSL证书。如果不确定的话,最好的办法是询问数字证书颁发机构(如:沃通CA),他们可以帮助。搜索引擎优化和SSL已经知道谷歌已经开始奖励那些实施了SSL的网站,使其具有更好的搜索可见性,但是拥有SSL证书还能给
博客
SSL证书无效是什么原因以及解决方法
10-21 1万+
出现“SSL证书无效”这种情况只会发生在https网站上,如果访问时出现了SSL证书无效的提示,那么SSL证书肯定是有问题的。下面将为您介绍SSL证书无效是什么原因以及解决方法具体的原因及解决办法如下:一、页面包含有不安全的内容目前都提倡每一个页面使用https,则网站所有的内容都必须是https。如果遇到图片、JS脚本,FLASH插件是通过http方式去调用的,就会发生SSL证书无效的提示。解决方法:将调用的元素http改成https即可,然后刷新测试SSL问题是否已经解决。二、使用了自签
博客
漏洞扫描真的可以防范网络安全问题吗?
10-19 724
很多用户从最开始接触电脑的时候就了解过网络安全问题,我们熟知的病毒、黑客、漏洞等都是比较常见的网络安全威胁,那么有什么办法可以预防这些网络安全问题吗?网络安全技术毫无疑问是预防安全威胁的最有效措施,但市面上各种网络安全技术种类驳杂,他们的防范效果和效率到底哪个更高呢?下面带大家来了解漏洞扫描相关的网络安全技术内容。漏洞扫描真的可以防范网络安全问题吗?很多人会产生这个疑问,最直接的原因就是在很多病毒查杀或者系统检查软件检查电脑问题时,经常出现漏洞数量达到一定数量,但这些漏洞并不影响我们正常上网。由此,
博客
关于SSL证书10大统计数据
10-19 129
自HTTPS采用以来,SSL证书已经走过了漫长的道路。十年前,只有大公司和购物网站会使用SSL证书进行加密传输数据,而如今,所有网站都必须进行加密,无论网站类型和大小。随着越来越多的用户在网上分享敏感数据,因此,保护这些数据不被窃取变得至关重要。浏览器和证书颁发机构的最终目标是加密整个互联网。虽然现在还没有完全达到目标,但谷歌等服务的加密流量已经远远超过了90%。为了更好地查看HTTPS的普及情况,我们可以通过SSL证书的10项统计数据来了解。1、已有1.57亿张SSL证书应用于互联网根据Bui
博客
怎样正确选择DDoS防御服务?请保存好这几项方案
10-19 244
在信息时代,网络安全问题是很多人所关注的问题,其中最受关注的无疑是网络攻击。无论是网络病毒攻击,还是网络黑客潜入,都会给我们的数据信息隐私以及系统安全造成不可挽回的后果。在各类型网络攻击当中,ddos攻击是最简单粗暴并且有效的一种攻击方式,围绕着这一攻击产生的ddos防御也成为网络安全防范中不可忽视的内容。对于互联网企业来说,应该如何正确选择ddos防御服务呢?互联网企业应不应该进行ddos防御的设置是很多小微型互联网企业会考虑的一个问题。而在最近这段时间,ddos防御相关内容成为小微企业极为重视的安全
博客
如何选择合适的代码签名证书?
10-18 252
很多软件开发商为软件程序做数字签名时不知道选择哪款代码签名证书,或是在不同品牌代码签名证书中犹豫不决。本文将对常用的Digicert、Sectigo、Globalsign的代码签名证书做详细介绍,以便让有需要的人能清楚地选择自己合适的证书。Digicert、Sectigo、Globalsign代码签名的相同点常用的代码签名证书品牌主要包括Digicert、Sectigo、Globalsign等,它们都能提供OV代码签名证书(也叫普通代码签名/标准代码签名证书)和EV代码签名证书。不论是OV代码签
博客
数据安全时代的ssl证书应当如何选择呢
10-12 126
信息技术的发展和进步不仅带来了生活的便利以及工作的高效率,同时也带来了信息和数据安全问题。众所周知互联网信息时代下,每个人的信息在网络上几乎是透明的,如何保证自己的信息隐私以及数据安全,对于信息时代的每个人,以及信息时代的各个企业都是极为关键的内容。ssl证书是什么呢?ssl证书就是一种使用了ssl协议的证书,它与我们日常所使用的驾驶证、营业许可证等证书在性质上是一样的,拥有ssl证书也就相当于配置服务器中遵循了ssl协议,由受信任的数字证书颁发机构为其提供的证书,在验证ssl证书后,具有服务器的身
博客
WHQL徽标认证申请流程
10-11 451
随着Windows 10版本的发布,微软对WHQL徽标认证的申请流程做了相应的更改。下面将最新WHQL认证申请流程分享出来,方便大家更加顺利地获得WHQL认证。WHQL认证申请流程申请WHQL认证主要有以下几个步骤:1.申请EV代码签名证书申请EV代码签名证书主要为了创建AzureAD账户和提交测试LOG,微软要求必须是Entrust, Symantec, Digicert, Globasign等权威CA机构颁发的EV代码签名证书。2.申请Azure AD账户目前微软WHQL认证的网
博客
企业为什么一定要选择ssl证书呢?
10-11 115
不知道大家在上网的时候有没有注意过一个问题,当我们跳转某些网页时,会出现浏览器或者软件的报警,说此网站的证书不符合安全规范,或许存在风险。这个时候大家就会对接下来要浏览的网站产生怀疑和不信任的情绪。这也是我们今天讨论的互联网企业在构建网站和运行网站时为什么要选择ssl证书的问题。ssl证书是什么呢?ssl证书是一类遵循ssl协议的证明。互联网企业在构建自己的网站时,除了进行网站基础结构的架构,网站内容的设计以外,还需要对网站的安全信息进行认证,ssl证书就是其中极为重要的一种认证,也是目前网络安全工
博客
SSL证书建立连接方法以及数字证书选购技巧分享
09-30 482
当用户试图访问受SSL保护的网站时,浏览器和网络服务器使用一个叫做SSL握手的过程来建立SSL连接。需要注意的是,SSL握手过程对用户来说是不可见的,会立即发生。那SSL证书是如何建立连接的呢?用户该如何选购合适的SSL证书呢?一、SSL证书建立连接方式事实上,有三个密钥来设置SSL连接:公共,私有和对话密钥。任何用公钥加密的内容都只能用私钥解密,反之亦然。由于对私钥和公钥进行加密和解密需要消耗大量的服务器资源,因此只能在SSL握手时使用它们来创建对称的会话密钥。会话密钥用于对所有传输的数据进行
博客
企业如何选择合适的SSL证书呢?
09-30 107
各种网络信息泄露事件不断发生,给企业和国家造成了巨大的经济损失,企业信誉也大大下降。为实施https加密而部署SSL证书的网站可以有效地防止数据篡改和隐私窃取;同时,它还能阻止运营商越来越疯狂地劫持数据。为保障信息安全,企业采取防范措施是十分有必要的。那么,如何正确地选择SSL证书?一、域名的数量不同,公司选择的SSL证书种类不同,如OV SSL证书还分为:单域名SSL证书,适用于一个子域名或一个主域名。如果存在多种不同的域名,则使用多域名SSL证书。一个通配符SSL证书,可以保护很多子域名
博客
微软内核代码签名交叉证书到期了,WHQL认证至关重要
09-26 473
微软的新政策指出,受微软信任的第三方内核模式代码签名交叉证书,将于2021年4月全部到期。微软将成为Windows内核模式代码签名的提供商。受该政策影响,各个品牌的代码签名证书都已到期,到期时间见下图。2021年4月15日前,已签名的驱动内核程序,如果签名时加了时间戳,则不受微软交叉证书到期的影响。2021年4月15日后,新颁发的代码签名证书将不支持驱动内核模式签名,怎么办呢?有什么好的解决方案呢?可以通过CA给您的内核驱动程序进行WHQL认证,然后将认证后的驱动提交给微软签名就好了。.
博客
硬件驱动为什么要有WHQL数字签名
09-24 674
硬件驱动要有WHQL数字签名才能实现正常安装、启动、运行,并实现驱动静默安装。目前的桌面操作系统中,Windows系统市场占有率处于优势,Windows 的各个版本的系统加起来几乎占领了大部分市场。所以很多工业和行业的硬件设备都要考虑兼容在Windows系统上使用,这个使用过程中难免涉及设备的驱动使用(驱动是硬件设备和Windows系统联接传输数据的桥梁,没有驱动的硬件设备是无法正常工作的),但Windows系统对驱动的安装、启动、运行有一个较重要的要求,那就是相关的驱动文件需要加上数字签名。如果该
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值