國密SSL在廣西網絡廣播電視臺中的應用

□鄭冰

隨著金融安全上升到國家安全高度，近年來國家有關機關和監管機構站在國家安全和長遠戰略的高度提出了推動國密算法應用實施、加強行業安全可控的要求。擺脫對國外技術和產品的過度依賴，建設行業網絡安全環境，增強我國行業信息系統的“安全可控”能力顯得尤為必要和迫切。

2017年6月1日正式實施的《網絡安全法》，是我國第一部全面規范網絡空間安全管理的基礎性法律，可見網絡安全保護已經上升為法律規定的強制義務。電子前沿基金會(EFF)的報告顯示，50%的網絡流量已啟用加密。加密已成互聯網大趨勢，百度、淘寶、天貓、京東、亞馬遜中國等國內網站流量之王，都陸續啟用了全站加密。廣西網絡廣播電視臺作為負責任的新媒體，肩負著黨和國家信息傳播的重要使命，信息安全播出是我們工作的重中之重，必須保障發布信息的安全、準確。SSL數字認證加密就是用于保證信息安全的方法之一。

一、國密的意義與優勢

（一）使用國密算法的意義

密碼算法是保障信息安全的核心技術，尤其是最關鍵的銀行業核心領域長期以來都是沿用3DES、SHA-1、RSA等國際通用的密碼算法體系及相關標準。2010年底，國家密碼管理局公布了我國自主研制的“橢圓曲線公鑰密碼算法”（SM2算法）。為保障重要經濟系統密碼應用安全，國家密碼管理局于2011年發布了《關于做好公鑰密碼算法升級工作的通知》，要求“自2011年3月1日起，在建和擬建公鑰密碼基礎設施電子認證系統和密鑰管理系統應使用國密算法。自2011年7月1日起，投入運行并使用公鑰密碼的信息系統，應使用SM2算法”。

（二）國密優勢

國密即國家密碼局認定的國產密碼算法，即商用密碼。國密算法相對于國際通用算法具有一定的優勢，如圖1。

圖1 國際算法與國密算法對比

SM2橢圓曲線公鑰密碼算法是我國自主設計的公鑰密碼算法，包括SM2-1橢圓曲線數字簽名算法、SM2-2橢圓曲線密鑰交換協議和SM2-3橢圓曲線公鑰加密算法，分別用于實現數字簽名密鑰協商和數據加密等功能。與RSA算法不同的是，SM2算法是基于橢圓曲線上點群離散對數難題，相對于RSA算法，256位的SM2密碼強度已經比2048位的RSA密碼強度要高。

二、部署與開發

（一）服務器部署

國密服務器部署在業務系統服務端安全域中，配置相互獨立的核心服務網絡接口和WEB管理服務網絡接口，區別于傳統的證書應用中間件，數字簽名驗證服務器將安全組件、密碼運算庫統一封裝在硬件平臺內，分別用于簽名驗證服務和后臺管理服務，可以有效避免外界攻擊。（圖2）

圖2 服務器部署網絡拓撲圖

（二）系統特點

系統采用B/S技術開發架構，注重的主要是廣西網絡廣播電視臺的后臺數據安全防護，具有良好的穩定性和較強的防黑客安全性。

1.基于B/S架構的SSL證書認證系統

傳統的C/S（Client/Server）架構系統安全性雖然高，但只能在局域網中使用，正因為如此，隨著用戶移動辦公需求的日漸增加，這個特性也成為了C/S的一大缺點，例如辦公OA，用戶不能隨時隨地進行查詢、瀏覽等業務處理，B/S（Browser/Server）彌補了這個缺陷。用戶可以不受時間與地點的限制，只要有網絡，就可以隨時隨地工作。但是因為B/S架構是分布在外網的，任何人只需要知道網站的域名，就可以在任何地方訪問到部署的系統，存在一定的安全隱患。SSL證書認證系統的產生，做到了數據安全性最大化，做到一人一KEY，人在KEY在，人走KEY走。個人證書和服務器證書做到一年一換，黑客破解的可能性幾乎為零。

2.三重機制環環相扣，時時驗證

系統使用三重防護機制，三重機制環環相扣，時時驗證，只要有一重驗證失敗，將立即拒絕操作。使用數字證書的私鑰對被簽名數據的摘要值進行加密，在進行簽名驗證時，用數字證書（即公鑰）來進行驗證，用公鑰解密數據，然后用相同的摘要算法對被簽名數據做摘要運算，將結果進行比對，若相符，則驗證通過，否則驗證無效，如圖3。

圖3 未插入UKEY時訪問后臺無法登錄的截圖

通過驗證進入網站后臺管理員登錄界面后，使用第二道雙重加密技術。首先，使用MD5摘要算法對數據進行第一次加密，然后使用可逆式關鍵字加解密對管理員密碼進行第二次加密，其中加解密過程中所使用的關鍵字可任意設定，系統將根據自行設定的關鍵字對數據進行解密并對比認證，如果對比失敗，則拒絕用戶繼續訪問。

經授權的管理員成功登錄管理界面后，只能根據所分配的權限對后臺內容進行編輯、更新等操作，使用該權限劃分機制，可以靈活地為每一個管理員分配適當的管理權限，以保證內容的安全性。代碼片段如圖4。

圖4

3.具有強抗抵賴性防身份偽造認證功能

數字簽名技術是實現信息抗抵賴性的有效技術，系統利用數字簽名技術，實現系統的信息抗抵賴性需求。證書的私鑰只有數字證書的擁有者才擁有，其他人得不到擁有者的私鑰。授權用戶提交個人身份證書后，后臺登錄界面將自動獲取用戶登錄名，用戶無法進行更改。通過數字簽名和簽名驗證，可以確定數據的確是數字證書的擁有者發送的，防止用戶對提交的數據進行抵賴。此外，私鑰和數字證書擁有者無法對預寫入的信息摘要進行修改，也防止了身份偽造的發生。

4.具有管理員操作可復查性，做到管理員操作“有章可循，有據可查”

從被授權用戶登錄那一刻開始，系統將全程記錄用戶的所有操作軌跡，這些記錄將用于超管對數據進行復查。

5.UKEY實時監控

該系統能夠實時監控UKEY是否存在于操作電腦上，如果檢測到UKEY已經被拔出，將在1秒鐘內彈出提示“您的UKEY已經不在計算機上”，頁面自動跳轉到退出登錄界面，并顯示拒絕訪問信息，這樣保證了其他惡意者在用戶離開電腦后擅自使用授權用戶的帳號對后臺進行更改，做到了人在KEY在，人走KEY走。

（三）存在的問題與解決

在實際開發對接中我們發現無法使用WindowsIIS的雙向認證功能，會導致用戶在不插UKEY的情況下仍可訪問CMS的URL頁面。經查找資料發現，雖然國密算法相對于國際通用算法更安全，更難以被破解，但并沒有整合到Windows操作系統中，而國際算法的相關功能直接整合到了Windows操作系統，可以通過雙向認證的方式，如發現用戶沒有插入UKEY會直接拒絕用戶訪問并提出警告，可見，國密算法還存在一定的安全隱患。使用用戶登錄狀態認證和程序級別雙向認證可以在一定程度上達到安全要求。用戶在訪問頁面URL時，服務器實時到國密服務器獲取一個隨機值并進行簽名，頁面加載完成后，訪問UKEY進行解密并且再次將解密的隨機值進行二次簽名返回給國密服務器進行比對，如發現UKEY被拔出或者數據比對不通過，則拒絕用戶繼續訪問，并跳出到用戶登錄界面。代碼片段如圖5。

圖5

至此，國密SSL加密部署開發完成。

三、結論

廣西網絡廣播電視臺作為廣西電視臺新媒體，廣西最大的網絡視頻播出平臺，在安全防護方面更加需要嚴格的訪問安全控制機制。利用這套系統，廣西網絡廣播電視臺可以對進入后臺操作的管理員實施嚴格的管理和監控，通過管理日志可以追蹤管理員的每一步操作，同時，網站可以發展編外團隊，把網站部分內容“承包”給外人維護，并保證一切都在掌控之內。在未來，利用該系統的UKEY可以內置更多的用戶信息，例如用戶興趣、地址、資費等，開展網絡購物和網絡付費點播等各項業務。該系統使用以來，有效地保障了廣西網絡廣播電視臺數據的安全，使用期間沒有發生安全事故。在網絡時代，黑客與防黑客，破解與防破解的技術永遠都是“道高一尺，魔高一丈”，互聯網上沒有永遠不被攻破的“馬其諾防線”和“特洛伊城”，國密算法也還存在著一些不足，在以后的開發和實踐中，仍需繼續對廣西網絡廣播電視臺的安全播出機制不斷改進和完善。