【IT168 专访】 7月底，一百多名北京市商密协会会员单位代表、企业用户代表，共同参加了“基于国密算法的OpenSSL技术沙龙。”据了解，本次沙龙是由北京市密码管理局、北京市商用密码行业协会主办、北京江南天安科技有限公司承办。北京市密码局领导、国内高校安全专家及众多企业，参与了本次沙龙并就国密开源技术展开了深入探讨。为什么我们要基于国密算法的SSL开展技术研讨，它的建立对于相关行业的推动又有哪些推动了？我们专访了国密行业的相关专家。

　　开展国密算法SSL技术研讨的必要性

　　随着5G时代的到来，国家信息化建设正在全面加速，人们对网络的依赖程度日益加深，物联网、云计算、移动互联网已经渗透到了社会生活的方方面面，所以保障网络安全运转，数据安全存储和交换，密码的作用至关重要。那么针对网络系统异构和多元的特点，目前普遍使用的安全技术已经不能满足不同特点场景的应用需求，而目前我们国家还没有完善的密码保护机制，在思想认识、技术保障、管理体系、资金投入等方面还存在着很多不足。

　　目前，国家的一系列相关政策的出台，为密码应用的推广和创新带来了新的契机。那么作为当今网络数据加密最重要的协议之一，SSL协议安全信道数据具有保密、数据完整、安全验证及开源等特点，具有多用途、跨平台的适用性。而基于国密算法的SSL开展技术研讨是非常有必要的，在讨论技术发展趋势、产品和解决方案的基础上，探索产品和应用的规范标准，可以推动相关产业的发展，为网络安全保驾护航。

　　加强国密SSL协议应用的意义

　　SSL协议是一个国际上的协议，这个协议背后涉及到了密码算法，而这些算法一般都采用了国际的算法。国家商用密码检测中心检测主管燕爽表示，国家密码管理局发布了很多算法的标准，这些算法标准是经过国内密码专家研制出来的，这些算法是经得起推敲，能确保没有后门的。简单来说，就是SSL协议本身是安全的，但是如果说算法不安全，使用它做加密通信，安全是无法保障的，而使用国密算法比使用国际上的其它算法来说更安全一些。

　　目前，不只是SSL协议，很多的地方现在都在做国密算法的替代。比如金融领域很久以前就做国密的改造了。目前我们使用的银行芯片卡，其中芯片部分就是经过国密局核准的安全芯片，芯片里面用的密码算法，用的都是咱们国密的算法。当然为了国际互联互通，还会使用一些国际算法，但是要优先使用国密的算法。除了大家看到的银行芯片卡之外，其实ATM、POS机基本都完成了国密算法的改造。

　　国密SSL的根本性优势及发展前景

　　关于GmSSL密码库的开发背景，来自北京大学信息安全实验室副研究员关志博士给我们进行简单的介绍。关志博士表示，早在2012年国家密码管理局就公开了包括SM2公钥密码、SM3哈希算法和SM4分组密码等商用密码算法的相关标准，之后有开发者使用互联网上的零散国密算法代码片段或自行开发，为软件的安全性和可靠性带来了隐患。

　　而GmSSL是一个提供了完整国产密码算法和SSL协议的密码库，为开源软件开发者提供了稳定的开发接口和成熟的算法实现，可以促进国产密码算法在国产开源软件领域的进一步应用。

　　谈到国密SSL根本性的优势，关志博士指出，我们之前使用的大多数是国际上的算法，实际上也就是美国的算法，这些算法很大一部分得到了NSA（美国国家安全局）的支持，这些算法标准从国家的角度来说，使用别的国家算法，显然是不够安全的。如果我们能够使用自己的算法标准，这也会促进我们国内的研究工作，对于国内在一些基础领域的研究是有帮助的。所以，我们如果想深入掌握一个技术，最好还是自己来做。国密局推出的全套算法、标准，其实就是逼企业、开发者、国外公司，要按照国内的算法进行开发，这样能推动整个业界了解密码算法，并完全掌握相关技术，可以规避完全采用外国密码算法标准的安全隐患。

　　蚂蚁金服推动国密算法应用

　　国密SSL的推进过程中，重要企业的参与与应用，可以说非常重要的。OpenSSL官方团队成员亚洲唯一成员，现任蚂蚁金服高级技术专家杨洋为我们进行了解读。蚂蚁金服的主要产品就是支付宝和网商银行。作为一款金融产品，国家对它的监管还是比较严格的。蚂蚁金服被要求尽快，在未来两年的时间里，要把国内自主的密码技术，应用到支付宝和网商银行。而工信部要求蚂蚁金服，支付宝和手机客户端到阿里云机房的通信，都要使用国密算法。蚂蚁金服内部对自己要求也是比极高，蚂蚁金服计划将内部IT基础设施的通信，未来都使用国密算法进行加密，整个项目还是比较大的。

　　如果从国家的安全战略角度出发，密码对于任何一个国家都是比较重要的，每一个国家几乎都在做类似的事情，像欧洲、日本都在做自己的密码标准，只是美国的标注与国际标准比较一致。那么涉及到安全的事情，任何一个国家都不会完全的依靠国外标准，尤其是比较敏感的行业，如金融行业，或未来的车联网、医疗涉及到人的生面财产安全的领域，大家都在推行自主的加密技术，而目前蚂蚁金服做的这件事，就是在这样的大背景下完成的。

　　谈到国密算法在蚂蚁金服内部推行的难处。杨洋坦言道，目前推行国密算法最大的困难，就是蚂蚁金服的规模实在是太大了，用户规模也特别大，整个更新换代的周期会比较长。由于用户端使用使用版本过多，用户群体过大，所以我们不能只更改服务器端。而如果不考虑到用户规模的话，在蚂蚁金服的服务器端内部，系统的规模也比较大，服务器比较多，这让我们面对的安全点也非常多，目前蚂蚁金服内部正在抓紧梳理，梳理清楚后会全力进行推进。

　　目前，蚂蚁金服是国密算法推进试点的重要企业之一，也是为唯一一家互联网企业，其余大多数都是传统的金融机构，国密局对于蚂蚁金服也有很高的要求，希望蚂蚁金服能够成为推动国密算法落地的标杆企业。

　　总结来说，希望大家能够提升基于国密算法的OpenSSL技术的认识，继续推动国内高校、企业及个人能够加大投，真正掌握具有自主知识产权的核心的技术，从而推动国内商用密码产业的发展，服务于我们广大的国内用户。