当前，密码已成为网络空间的“内在”基因，与网络安全深度融合。一方面，密码在数据机密性保护、复杂网络实体认证等方面具有的独特优势；另一方面，密码技术不断与网络安全深度融合，在数据加密、身份鉴别、访问控制、取证溯源等方面发挥着重要作用。

毫不夸张的说，密码是互联网的基础设施，是安全互联互通的前提。基于此，Enterplorer企业浏览器增加了密码模块和安全协议模块，全面支持国密SSL传输和国密 CA 证书，为守护企业数据资产提供有效保障。

国产密码，为网络安全筑起新支点

一直以来，密码在实现网络和信息系统的真实性、机密性、完整性和不可否认性方面发挥着不可替代的重要作用，是金融服务、电子政务、数字经济等关键领域实现用户身份认证和信息传输的加密，保障交易及用户数据安全的关键技术保障措施。

然而在各个行业领域，大多系统普遍使用国外的密码体系，这就相当于“门是自家的，但钥匙在别人手中”，存在安全隐患。因此，我国高度重视密码算法国产化工作，法律法规和政策性文件如：《密码法》、《网络安全等级保护条例》、《关键信息基础设施安全保护条例》均对密码应用提出了明确要求。

2018年7月15日，中央办公厅、国务院办公厅印发《金融和重要凌虚密码应用与创新发展工作规划（2018-2002年）》，更是对未来五年金融和重要领域，包括国家关键信息技术设施、数字经济、国防科工等领域密码应用与创新发展进行了战略部署和明确指导。

如今，随着密码技术的不断推动和探索，我国商用密码算法在设计、实现方面均有突破性发展。

以SM算法为例，密钥替换攻击是目前多个数字签名算法不能抵御的攻击方法，SM2数字签名算法抵御密钥替换攻击方面存在可证明安全，SM2算法的性能与EC-SDSA等国际算法相当，但签名长度更短。SM3算法能够抵御差分分析且具有较强的扩散性，在硬件实现面积和性能上占优。SM4算法在设计上实现了资源重用，即密钥扩展过程和加密过程类似，实现时硬件资源占用较少，目前针对SM4的研究最多能分析32轮中的23轮，具有良好的安全强度。

（图1:主要商用密码及应用范围）

支持国密，Enterplorer浏览器提供多重价值

我们都知道，在PC端，浏览器作为通往互联网的入口，在企业当中，浏览器更是使用最频繁的核心基础软件。据统计，如今，90%以上的业务系统都由浏览器进行访问。因此在整个国产密码应用体系中，客户端的浏览器软件对国产密码算法的支持成为非常重要的环节。

然而，在使用SSL/TLS链接时，目前通用的浏览器基于RSA的安全证书，企业所使用的浏览器普遍基于RSA安全证书，对采用国密算法的服务器，这些浏览器往往无法进行访问；同时，国际权威的密码机构已确认RSA算法不再安全，可以被破解。另一方面，企业系统中采用的安全协议和加密算法均为国外制定，密码应用的关键环节存在着不可控因素，一旦被利用攻击，将造成严重损失。

为此，Enterplorer企业浏览器增加了密码模块和安全协议模块，全面支持国密SSL传输和国密CA 证书，有效弥补了原有密码应用体系中薄弱的一环。

（图2：Enterplorer企业浏览器国密算法应用）

在通讯领域：

首先，Enterplorer企业浏览器支持国密CA根证书和国密HTTPS，实现国产密码算法 SSL链接功能，有效保证数据传输过程中安全性和完整性。其次，提供对SM1国密硬件U-key等多种形态身份认证设备、使用环境及相关控件的管理。

除此之外，Enterplorer企业浏览器实现了国际云安全联盟（Cloud Security Alliance, CSA）于2013年提出的软件定义边界（Software Defined Perimeter, SDP）的模型（见下图3）。

（图3:软件定义边界（SDP）模型）

而SDP模型是在“零信任”网络概念下产生的，该概念是由Forrest的分析师John Kindervag在 2010提出的。“零信任”是指在移动时代和云时代到来后，传统的网络边界技术如防火墙，VPN等设备无法满足前提下提出的；简单来说，”零信任“的策略就是不信任任何人/事/物，除非网络明确接入者的身份，否则任谁也无法进入。

因此：

• SDP模型中如何鉴别“来者何人”变成了一个重要基础；

• 其次，要考虑数据在网络传输过程中如果防止重放，中间人劫持等攻击手段；

• 再次，客户端以及服务器端如何防止设备被劫持或攻破后，硬盘存储的数据不可被明文获取；这三点都需要密码学的技术的合理应用。

举例来说，SDP模型中一个重要概念是单包授权（Single Packet Authorization, SPA）技术；如图3所示，应用网关的作用是默认拒绝一切外部链接，所有的访问网关后的业务系统之前需要发一个SPA包，该包内含有用户身份、访问token、时间戳、超时时间等数据，这些数据采用了对称加密和哈希算法来保证数据不可被明文查看，不可被重放等功能；Enterplorer企业浏览器采用把上述内容封装进一个UDP包，发送到应用网关，应用网关收到后解开UDP包，并检查数据有效性，如果正常，则为该客户端开放一定时间的访问权限，如果错误就不做处理，继续保持该客户端的不可访问性。

再举一个例子，企业应用往往从安全性考虑只希望数据只能通过自己企业的客户端可以访问。Enterplorer作为一款面向企业办公的浏览器，他在UserAgent（UA）串加入了企业特有的动态认证标识。我们采用了HMAC即摘要算法技术把企业ID，访问token等内容生成该标识，这样网关或者Web服务器上只识别该标识，拒绝其他连接，达到了只能该企业的Enterplorer浏览器才能访问，其他浏览器拿取不到任何内容的效果。

在本地文件领域：

目前，大多数消费级浏览器，为满足快速、极致的浏览体验，往往会自动保存用户名和密码数据，并对用户的操作进行记录、将这些记录存储到历史记录当中，如网址历史、下载历史、页面缓存以及各种cookie信息，然而一旦用户的电脑被攻陷，Cookie被盗走，将会对用户、企业隐私和敏感信数据带来巨大风险。

例如，我们通过一些软件ChromePass可以轻易秒开读取Chrome浏览器存储的密码（如下图4），Cookie和Cache数据也是这样。

（图4：ChromePass明文读取Chrome存储的网站用户名/密码）

为此，Enterplorer 企业浏览器在网站账户密码加密、Cookies等本地文件安全方面实现国际算法和国密算法的支持与应用，保护本地的数据安全。

万物互联，密不可分，信任是基，安全为本。Enterplorer企业浏览器支持国家自主密码算法，符合我国网络自主信任体系以及密码行业相关规范，弥补国密算法改造环节中必不可少的一环，将为万物互联时代中企业打造安全“入口”，守护企业核心资产价值。

--------------- End ---------------

深云SDP，基于软件定义边界（SDP）安全模型，为企业提供IT去边界化时代的访问安全、数据安全、身份安全、行为安全多层次安全解决方案，有效解决企业上云和移动化面临的安全问题。