关于macos:技术干货-使用-mPaaS-配置-SM2-国密加密指南

61次阅读

共计 3447 个字符,预计需要花费 9 分钟才能阅读完成。

简介:随着挪动智能终端的广泛应用,敏感信息极易被监控或盗取,给国家、企事业及集体带来极大政治、经济损失。金融和重要畛域的各个企业正在逐渐落实并实现国产明码革新工作。为解决客户侧因更换加密算法造成的种种不便,mPaaS 现已反对挪动网关服务兼容多种加密形式。本文将就如何生成 SM2 密钥以及实现 mPaaS 配置等问题开展具体的阐明。

随着挪动智能终端的广泛应用,敏感信息极易被监控或盗取,给国家、企事业及集体带来极大政治、经济损失。金融和重要畛域的各个企业正在逐渐落实并实现国产明码革新工作。

局部应用 mPaaS 框架的用户,因晚期大多数都是在网关配置的 RSA 加密或者 ECC 加密,在政策要求下,都须要更改网关加密算法为国密。

为解决客户侧因更换加密算法造成的种种不便,mPaaS 现已反对挪动网关服务兼容多种加密形式。

本文将就如何生成 SM2 密钥以及实现 mPaaS 配置等问题开展具体的阐明。

生成 SM2 国密

1.1. Mac OS 下

Mac OSX 个别自带的有 OpenSSL。但因为 OpenSSL“心脏病失血”事件,Mac OSX 自 10.11 El Capitan 起,将原有的 OpenSSL 替换为 LibreSSL。

在以上这些零碎中应该除了实测必须要用 OpenSSL 软件外,应该都能够用 LibreSSL 取代 OpenSSL。而对于其余大多数还没有将零碎自带的 OpenSSL 替换为 LibreSSL 的会麻烦一些,并且也可能做不到彻底替换。

只是对于编译装置的软件,能够尽量用 LibreSSL 取代 OpenSSL。(其余用 LibreSSL 取代 OpenSSL 的零碎还有:OpenBSD 自 5.6 起,Alpine Linux 自 3.5.0 起)

所以 Mac 下 OpenSSL 生成 SM2 密钥就须要本人装置 OpenSSL,网上有形式间接更改替换 Mac OS 自带的 LibreSSL,这里为了不影响 Mac 使用者的日常失常应用,不应用这种形式,而是在 Mac 上 download 一个 OpenSSL 版本装置、解压后独自应用,齐全不会影响原有的 LibreSSL。

以 openssl 1.1.1d 实现为例:

STEP1 下载 openssl 源码

curl -o openssl-1.1.1d.tar.gz https://www.openssl.org/source/openssl-1.1.1d.tar.gz

STEP2 解压源码包

tar -xvf openssl-1.1.1d.tar.gz

STEP3 进入解压的 openssl 目录

cd openssl-1.1.1d

STEP4 配置生成 makefile

./config --prefix=/usr/local/openssl

STEP5 装置

// 这里用了 sudo 须要输出电脑明码,为了保障不会因为权限有余而装置报错
sudo make install

STEP6 设置 openssl lib .so 加载配置

// 此步骤能够疏忽,so 加载配置与否不影响应用生成 SM2
echo "/usr/local/openssl/lib" >> /etc/ld.so.conf
ldconfig -v

STEP7 生成 SM2 密钥

i. 进入生成密钥文件的目录,执行以下命令生成私钥

/usr/local/openssl/bin/openssl ecparam -genkey -name SM2 -out SM2PrivateKey.pem

ii. 进入生成密钥文件的目录,生成公钥

/usr/local/openssl/bin/openssl ec -in SM2PrivateKey.pem -pubout -out SM2PublicKey.pem

1.2. Windows 下

同样 Windows 下也是须要一些路径能力生成 SM2 国密密钥。

OpenSSL 官网没有提供 Windows 版本的安装包,能够抉择其余开源平台提供的工具。下载地址:http://slproweb.com/products/…

STEP1 下载工具

抉择 32 位或者 64 位适合的版本下载,例如 Win64OpenSSL_Light-1_0_2h.exe。

STEP2 装置 Win64OpenSSL 软件

设置环境变量,自行确定装置地位。

STEP3 关上 Win64OpenSSL 软件,运行以下命令:

ecparam -genkey -name SM2 -out priv.key
ec -in priv.key -pubout -out pub.key

配置 mPaaS 国密

1. 首次配置加密

1.1. 开发平台配置

STEP1 登录 mPaaS 控制台 -> 挪动网关 -> 网关治理 -> 数据加密 -> 关上

STEP2 关上后会弹出抉择加密形式和密钥的弹出,选 SM2 并填写对应的私钥密钥。

1.2. 客户端配置

1.2.1. iOS 端

iOS 客户端的加密形式和公钥是配置在 info.plist 下的,详情见图

其中:

  • mPaaSCrypt:加密配置的主 key,value 是 Dictionary 类型,外面蕴含了客户端加密所需设置的相干信息。
  • Crypt:是否进行加密,value 是 Boolean 类型,YES 代表加密,NO 代表不加密。
  • GWWhiteList: 须要进行加密的网关,即以后环境的网关地址。如果没有该 key,则所有的申请 都不会加密。
  • RSA/ECC/SM2:非对称加密算法抉择,value 是 String 类型,只能填 RSA 或 ECC 或 SM2。
  • PubKey:非对称加密公钥。value 是 String 类型,与抉择的非对称加密算法保持一致。

注:iOS 端 PubKey 的格局必须携带 —–BEGIN PUBLIC KEY—– 及 —–END PUBLIC KEY—–。不容许有空格、自行换行等,格局不可谬误。

1.2.2. Android 端

Android 端的加密形式和公钥是配置在 mpaas_netconfig.properties 文件下,如图:

其中:

  • Crypt:示意是否应用自加密,true 示意应用,false 示意敞开自加密性能。
  • RSA/ECC/SM2:示意要应用的非对称加密算法,其值只能填充 RSA 或 ECC 或 SM2。
  • PubKey:示意抉择的非对称加密算法的公钥。
  • GWWhiteList: 须要进行加密的网关,即以后环境的网关地址。如果没有该 key,则所有的申请都不会加密。

注:因为 Android 中 properties 文件的 value 值须要在同一行,因而填充公钥时需注意。

2. 更换配置加密

2.1. 开发平台配置(注:MGS 版本需 >=1.34.10)

STEP1 关上挪动开发平台 -> 挪动网关 -> 网关治理:以后网关曾经开启了数据加密(这里示例是 RSA)

STEP2 这时更换国密,须要提前准备一对已生成的 SM2 公、私钥。参考:http://help.aliyun.com/docume…

STEP3 在控制台 - 网关治理下,先敞开数据加密,再立即开启数据加密,这里会呈现从新抉择加密算法和填写对应密钥的弹窗,如下图:

注:必须要先敞开再开启,所以请务必先提前生成好对应的 SM2 公、私钥,且保障正确性和正确格局。

STEP4 将 SM2 的私钥按正确格局填写到输入框内,点击提交。之后就能在这里看到曾经配置好的两种加密形式:

介此,网关更换密钥操作已实现。

2.2. 客户端配置

2.2.1. iOS 端

STEP1 iOS 客户端的加密形式和公钥是配置在 info.plist 下的,详情见图:

STEP2 此时将已生成好的 SM2 公钥按正确格局替换上述 info.plist 里 PubKey 的 value,加密算法更改为 SM2。

介此,iOS 端加密形式和公钥也已更换结束。

2.2.2. Android 端

STEP1 Android 端的加密形式和公钥是配置在 mpaas_netconfig.properties 文件下的,如图:

STEP2 此时将已生成好的 SM2 公钥按正确格局替换上述 mpaas_netconfig.properties 里的对应 value,更换后如下图:

介此,Android 端加密形式和公钥已更换结束。

2.3. 小结

此时服务端和客户端均已更换加密形式结束,旧版 App 仍然能够失常拜访网关,新版 App 也是能够失常拜访网关的,后续须要期待旧版 App 用户齐全降级后,批改掉网关旧的加密形式即可,当然始终保留也能够的。

结语

从生成本人的国密 SM2,到残缺配置加密形式。客户端到 mPaaS 网关已满足各项政策对 App 数据加密形式的要求。

同时 mPaaS 团队也将在更齐备反对全链路国密的路线上,而致力后退。后续会公布更全面、更不便、更深层次的国密反对计划。

本文作者:阿里云 mPaaS TAM 团队(御雪 荣阳)

原文链接
本文为阿里云原创内容,未经容许不得转载。

正文完
 0