经常有朋友问我:零信网关同其他网关有什么不同?我总是回答三个字:自动化!这就是最大的不同,也是最重要的和最核心的不同—自动化实现HTTPS加密。
百度百科对“网关”的定义还是比较准确的:网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备,使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间。网关是一个翻译器,与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。
维基百科对“Gateway(网关)”的定义要简单些:网关是网络中使用的一种网络硬件或软件,它允许数据从一个离散网络流向另一个离散网络。网关与路由器或交换机的不同之处在于,它们使用多个协议进行通信以连接多个网络,并且可以在OSI模型的七个层中的任何一层上运行。
根据以上两个百科对“网关”的定义,我们可以总结出零信网关有如下三个方面的重要特点:
零信网关负责HTTP明文协议同HTTPS加密协议之间的转换,使得原Web服务器无需安装SSL证书也能为用户提供HTTPS加密连接,保障用户连接服务器的链路安全。用户浏览器使用HTTPS加密协议连接网关,由网关把HTTPS流量卸载为HTTP明文流量给Web服务器,Web服务器处理后把用户所需数据明文给网关,由网关用HTTPS加密协议把数据回传给用户,实现HTTP协议和HTTPS协议的双向转换。
这是国密改造的需要,两个不同的密码体系是指国际RSA密码体系和国密SM2密码体系。这个角色很厉害,让用户浏览器可以用国密算法实现HTTPS加密,但是原Web服务器仍然可以使用原先的RSA密码体系来连接网关,实现RSA算法HTTPS加密信息转发给Web服务器,服务器回传给用户的数据通过RSA算法HTTPS加密返回给网关,网关用SM2算法HTTPS加密返回给用户浏览器,两段用了不同的密码体系实现了从用户浏览器到Web服务器的全程加密。这就使得原来已经实现了RSA算法HTTPS加密的Web服务器可以零改造完成国密改造。
因为RSA密码体系在各种系统中的充分集成已经三四十年了,有些正在使用的系统是根本无法改造成国密体系,那就索性不改造,继续保留使用,由网关来完成密码系统的转换工作,完成密码协议的转换工作,负责SM2算法和RSA算法之间的相互转换。这是一个创新的国密改造思路,让国密改造不再难,很容易,在原Web服务器前面部署一个零信网关即可。
这一点是零信网关同其他任何网关的最大不同之处。第一角色的通信协议转换需要SSL证书,需要在网关上部署SSL证书才能实现HTTP明文协议同HTTPS加密协议之间的转换。而传统网关需要用户人工向CA购买和申请SSL证书,手动完成域名验证,拿到证书后手动部署到网关上去使用,才能正常实现HTTP到HTTPS协议的转换。
这个人工处理过程如果是一个网站,一年申请一次,一年安装部署一次,视乎还能接受。但是,如果单位有10个网站系统、100个、1000个、甚至政务云平台的上万个,怎么办?不可能人工申请证书和部署证书了,这就是为何还有那么多政府网站系统和企业网站系统没有部署SSL证书的根本原因,人工搞不定。怎么办?答案只有一个:让机器自动化搞定,这个机器就是零信网关,零信网关能自动化连接零信云SSL服务系统申请SSL证书、自动化完成域名验证、自动化部署SSL证书,自动化实现HTTPS加密。这就是零信技术的创新解决方案,零信技术建设了一个云密码基础设施,其中重要的一块是零信云SSL服务系统,可以为零信网关自动化签发SSL证书,无需用户手动参与,最多为255个网站提供5年不间断的自动化完成证书申请、证书部署和证书续期工作。
零信网关就这样完美地自动化完成了第一个通信协议转换工作,而第二个密码体系转换工作则需要相关生态产品的支持:
这是一个端云一体的解决方案,有云端系统自动化为端(零信网关)配置双证书,还有一个端(零信浏览器)为用户实现国密HTTPS加密连接,端云紧密配合,才能自动化完成通信协议的转换和密码体系的转换。
自动化配置SSL证书的更大优势在于:用户无需考虑SSL证书的有效期问题,目前SSL证书有效期是一年,而考虑到密钥安全,国际标准正在推动90天政策的落地,证书有效期为90天意味着每年需要5次申请和安装证书,原先为一年有效期的工作量将增加5倍,人工已经无法完成,就只能由网关来自动化完成了,仅这一点,两台双机热备网关最多支持255个网站的5年的证书自动化部署工作可以节省工程师人力成本150万元。实际上,为了保障用户密钥安全,零信网关在国际标准还没有落地之前的现在已经实现了自动化每83天更换新的密钥和新的SSL证书,让用户无忧迎接90天证书政策的落地而什么都不用做。
最后简单总结一下,零信国密HTTPS加密自动化网关的关键词是“自动化”,同其他网关的最重要的也是最核心的不同是自动化实现HTTPS加密,并且这个自动化实现符合国际标准RFC8555(ACME),遵循《自动化证书管理规范》商密标准草案,这是我国目前唯一一个通过商密产品认证的遵循双标准的国密HTTPS加密自动化网关。只有自动化配置SSL证书才能实现网关的通信协议转换功能,只有自动化同时配置国密SSL证书和国际SSL证书才能实现网关的密码体系转换功能,只有自动化申请和部署SSL证书才能节省运维工程师的人力成本,只有自动化证书管理才能为网站提供5年365天不间断的HTTPS加密服务,不间断地保证网站系统数据的安全流通。
有诗为证:
自动化,通信协议转换。
自动化,密码体系转换。
自动化,方能节省成本。
自动化,保障持续安全。