技术干货｜使用MPAA配置SM2国家秘密加密指南

　　随着移动智能终端的广泛应用，敏感信息很容易受到监控或被盗，为国家，企业和个人带来了巨大的政治和经济损失。财务和重要领域的企业正在逐渐实施和完成国内密码转换。

　　一些使用MPAA框架的用户，因为早期的大部分时间都是网关配置的RSA加密或ECC加密。根据政策要求，需要将网关和其他算法更改为国家秘密。

　　为了解决客户的侧面替换造成的各种不便，并添加了其他算法，MPAAS现在支持用于移动网关服务的各种加密方法。

　　本文将详细说明如何生成SM2密钥并完成MPAA配置。

　　1.1。在Mac OS下

　　Mac OSX通常带有OpenSSL。但是由于OpenSSL“失血”事件，Mac OSX已从10.11 El Capitan取代了原始OpenSSL为libressl。

　　在上述系统中，除了实际测量外，我们还必须使用OpenSSL软件，并且应由libressl替换Libressl。对于大多数尚未被系统替换的其他OpenSSL，它将更麻烦，并且可能不会更麻烦，并且可能不会是完全更换。

　　仅对于已编译和安装的软件，您就可以尝试尽可能多地用libressl替换OpenSSL。

　　（其他用libressl替换OpenSSL的系统是：OpenBSD从5.6开始，Alpine Linux从3.5.0开始）

　　因此，OpenSSL在Mac下生成SM2键，您需要自己安装OpenSSL。有一种方法可以更改Internet上Mac OS随附的LIBRESSL。为了不影响Mac用户的日常正常使用，不使用此方法，但是在安装和减压后将单独使用MacDownload，这根本不会影响原始的Libressl。

　　以OpenSSL 1.1.1d为例：例如：

　　步骤1下载OpenSSL源代码

　　Step2减压源软件包

　　步骤3进入未拉紧的OpenSSL目录

　　步骤4配置生成makefile

　　Step5安装

　　Step6设置OpenSSL lib .SO加载配置

　　Step7生成SM2密钥

　　我。输入生成密钥文件的目录，执行以下命令以生成私钥

　　ii。输入生成密钥文件的目录，生成公共密钥

　　1.2。在窗户下

　　同样，在Windows下需要一些方法来生成SM2的密集密钥。

　　OpenSSL的官方网站不提供安装软件包的Windows版本，您可以选择其他开源平台提供的工具。Download地址：http：//slproweb.com/products/win322opensl.html

　　步骤1下载工具

　　选择32位或64位合适的版本，例如win64opensl_light -_0_2H.exe。

　　Step2安装win64openssl软件

　　设置环境变量，并自己确定安装位置。

　　Step3打开Win64opensl软件并运行以下命令：

　　1.第一个配置加密

　　1.1。开发平台配置

　　step1登录到mpaas控制台 - >移动网关 - >网关管理 - >数据加密 - > open

　　打开步骤2后，将弹出POP -UP方法和键Pop。选择SM2并填写相应的私钥。

　　1.2。客户端配置

　　1.2.1。iOS方面

　　iOS客户端的加密方法和公钥在info.plist下配置。有关详细信息

　　在：

　　注意：必须携带iOS Pubkey的格式----开始公钥-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------没有空间，更改线等，格式没有错。

　　1.2.2。Android终端

　　Android终端上的加密方法和公共密钥是在mpaaaas_netconfig.properties文件下配置的，如图：图：图：

　　在：

　　注意：由于Android中属性文件的值值必须在同一行中，因此在填充公钥时请注意。

　　2.更换配置加密

　　2.1。开发平台配置（注意：MGS版本需求> = 1.34.10）

　　步骤1打开移动开发平台 - >移动网关 - >网关管理：当前网关已打开数据加密（此处的示例是RSA）

　　Step2目前被替换，需要提前准备一对SM2公共和私钥。

　　在控制台门管理中的步骤3，首先关闭数据加密，然后立即打开数据加密。在这里，将有一个弹出算法和相应键的弹出式。如下所示：：

　　注意：必须在打开之前先关闭它，因此请确保提前生成相应的SM2公共和私钥，并确保正确的格式和正确的格式。

　　STEP4以正确格式将SM2的私钥填充到输入框中，然后单击以提交。在此之后，您可以在此处查看已配置的两种加密方法：

　　这样，网关替换密钥操作已经完成。

　　2.2。客户端配置

　　2.2.1。iOS方面

　　STEP1 iOS客户端的加密方法和公共密钥在info.plist下配置。有关详细信息，请参阅该图：

　　STEP2此时将替换生成的SM2公共密钥，以更换上述信息中的PubKey的值。以正确格式的PLEST，然后将加密算法更改为SM2。

　　通过这种方式，iOS侧加密方法和公钥也被替换。

　　2.2.2。Android终端

　　Step1 Android终端上的加密方法和公共密钥是在mpaas_netconfig.properties文件下配置的，如图:::::

　　Step2此时将替换生成的SM2公共密钥，以正确格式替换MPAAS_NETCONFIG.PROPERTIES中的相应值。更换后，下图：

　　通过媒体，已更换了Android -side加密方法和公钥。

　　2.3。概括

　　目前，服务器和客户端都被加密方法替换。旧应用仍然可以正常访问网关。该应用的新版本也可以正常访问网关。在需要完全升级旧的应用程序用户后，修改网关的旧加密方法。当然，可以保留它。

　　从生成自己的国家秘密SM2到完整的配置加密方法。MPAAS网关的客户符合应用程序数据加密方法的各种策略的要求。

　　同时，MPAAS团队还将在支持整个链接的整个链接的道路上努力工作。flowl -up将更加全面，更方便，更深入。

　　本文的作者：阿里巴巴云MPAAS TAM团队（Yu Xue Rongyang）