铱迅信息Web应用防护系统支持国密算法

近年来，随着信息技术的迅猛发展，各国对信息安全的需求不断增长。为摆脱对国外技术和产品的过度依赖，保护国家信息安全，国家有关机关和监管机构站在国家安全和长远战略的高度提出了“推动国密算法应用实施、加强行业安全可控”的要求，国密算法应运而生。国密算法的研发旨在实现对数据的加密、解密、签名和验签等操作，确保国家信息的安全性。

国密算法包括SM1、SM2、SM3、SM4、SM7、SM9以及祖冲之密码算法（ZUC)等。其中，SM1、SM4、SM7、祖冲之密码（ZUC）属于对称算法；SM2、SM9属于非对称算法；SM3属于杂凑算法。

SM1是一种分组密码算法，用于加密和解密数据，该算法未公开，仅以IP核（Intellectual Property Core，一种预先做好的集成电路功能模块）的形式存在于芯片中。主要用于小数据量的加密保护，因此被广泛用于研制智能IC卡、智能密码钥匙、门禁卡、加密卡等安全产品。

SM2是基于ECC（Elliptic Curve Cryptography）椭圆曲线的非对称加密算法，用于实现数字签名和密钥交换等功能。

SM3杂凑算法，用于对数据进行哈希运算，生成固定长度的摘要值，摘要具有唯一性，即不同信息生成的摘要不同，且无法由摘要恢复出原始信息，更无法伪造信息获得相同摘要，因此SM3算法被广泛用于实现数字签名、数据完整性检测及消息验证等功能。

SM4是一种分组密码算法，可用于替代DES/AES等国际密码算法，拥有和AES算法相同的密钥长度和分组长度，均为128比特，具有高加密强度和快速加密速度。

SM7是一种分组加密算法，该算法没有公开，适用于非接IC卡应用包括身份识别类应用(门禁卡、工作证、参赛证)，票务类应用(大型赛事门票、展会门票)，支付与通卡类应用(积分消费卡、校园一卡通、企业一卡通、公交一卡通)。

SM9是基于标识的非对称密码算法，用椭圆曲线对实现的基于标识的数字签名算法、密钥交换协议、密钥封装机制和公钥加密与解密算法，包括数字签名生成算法和验证算法，并给出了数字签名与验证算法及其相应的流程。

祖冲之密码算法是一种流加密算法，该算法可适用于3GPP LTE通信中的加密和解密。

国密算法和国际标准算法都是现代密码学中常用的加密算法，但在技术和优劣方面存在一些区别。常见国密算法与国际标准算法各参数性能的对比如下：

铱迅Web应用防护系统目前实现的国密算法包括SM2、SM3、SM4。

铱迅WAF支持SM2、SM3、SM4等国产密码算法及国密SSL安全协议的数字证书，对采用HTTPS加密通信（一般为443端口）的Web应用进行防护，满足国家机关、事业单位、央企国企、金融机构等重点领域用户对HTTPS协议国产化改造和国密算法应用的合规需求。

其中，openssl_pkey_new函数生成SM2公私钥对，openssl_private_encrypt和openssl_public_decrypt函数进行SM2非对称加密和解密，openssl_digest函数计算SM3摘要值，openssl_encrypt和openssl_decrypt函数进行SM4对称加密和解密。

利用SM2非对称加密算法加解密数据过程如图所示。

安全有“铱”靠，网络更“迅”捷

南京铱迅信息技术股份有限公司（股票代码：832623。简称：铱迅信息，英文缩写：YXLink）是中国的一家专业从事网络安全与服务的高科技公司。总部位于江苏省南京市中国软件谷，在全国超过十多个省市具有分支机构。凭借着高度的民族责任感和使命感，自主研发，努力创新，以“让客户更安全”为理念，致力为互联网安全做出一份贡献。