方案优势
方案功能
国密传输通道适配
网宿国密安全加速网络全平台支持国密HTTPS安全传输,配合网宿智能调度、最优路由、协议层优化、加速缓存、内容压缩等技术等,在实现国密传输的基础上,提升全站国密传输性能
国密证书安全管理
支持国密证书的自动化全流程管控,包括证书申请、审核、颁发、上传、到期告警、删除等,同时与网宿国密安全加速平台融合,可支持一键国密HTTPS传输服务,简化证书管理运维
终端应用适配改造
集成网宿轻型国密SDK客户端到APP应用,APP应用层可调用网宿国密SDK以发起国密请求、调用国际OPENSSL库发起非国密请求,无需改变原有HTTPS技术架构,降低APP国密改造难度
源站适配改造
部署国密应用安全代理网关,支持接收国际请求和国密请求,并向后端Web服务集群资源分发业务请求。结合SSL加速、TCP复用、负载均衡等技术,提升网关负载,保障网关服务可用性及数据处理实时性
国密性能压测
提供国密性能压测服务与技术指导,多维度压测对比国密与非国密HTTPS传输性能表现,保障国密改造顺利上线,业务可靠、稳定运行
国密建设状态可视化
大数据多维度对比分析国密与非国密HTTPS服务指标,辅助客户进行国密业务分析;同时可通过可视化大屏酷炫呈现,全方位感知、掌控国密发展建设情况
方案架构
- 将SM2国密证书部署到网宿安全加速平台,即可开启国际+国密全链路双通道安全传输网络;
- 嵌入网宿国密SDK,可实现APP用户端国密适配改造,支持用户端发起国密请求;
- DMZ安全隔离区可部署国密安全代理网关,实现对国密请求的接收处理,完成应用系统全链路国密安全传输通道升级改造;
- 网宿国密统一服务管理平台提供配置管理,云化操作,轻松运维。
应用场景
请求通道自适应 - 回源通道智能转换
- 全链路双通道自适应
- 区域灰度及版本管理
应用系统Web服务器尚不支持国密时,网宿边缘节点支持自动识别客户端请求的加密算法类型,适配国密传输通道,实现对用户侧请求流量的数据国密安全传输保护,满足TLCP检测要求:
- 国密请求走国密GMSSL通道传输,并使用SM2国密证书进行数据签名及加密;
- 非国密请求走HTTPS通道传输,并使用RSA/ECC国际证书进行数据加密传输;
- 回源时将请求转换为非国密HTTP/HTTPS协议,以适配尚未支持国密的Web应用服务系统。
业务系统Web服务器处于国密适配改造过渡阶段时,网宿安全加速平台可在实现请求侧国密+非国密双通道自适应的同时,支持根据回源协议转换规则将请求分发回源,实现对回源流量的数据国密安全传输保护:
- 若业务系统Web服务器均已支持国密,可固定以国密请求回源;
- 若业务系统Web服务器支持国密/非国密双协议,可跟随客户端请求协议类型回源 ;
- 若业务系统Web服务器搭建了国密/非国密双数据中心互备容灾,则可针对不同数据中心分发对应协议类型的回源请求。
当Web应用系统需要实现全链路国密通道加密时,网宿提供:
- 轻型国密SDK,支持客户端APP发起国密请求,并支持在国密请求失败后自动降级为国际请求;
- 网宿安全加速平台支持开启国密/非国密双传输通道;
- 国密安全网关,部署在Web应用服务器前,以接收并处理国密请求,从而实现全链路流量数据国密安全传输保护,同时向下兼容非国密HTTPS传输场景。
在应用系统APP进行国密改造过程中,为保障项目平滑上线,可通过APP版本管理与网宿安全加速平台区域灰度管理双向协同,分区域开启国密通道,实现APP请求流量从非国密HTTPS平滑过渡到国密GMSSL。