国密与国产化 #
Easysearch 围绕国产密码算法与国产化生态深度设计,为政企与关键行业提供可落地、可审计、可替代的搜索基础能力。
核心能力 #
| 能力 | 说明 |
|---|---|
| 国密算法 | 全量支持 SM2/SM3/SM4,替代 RSA/AES/SHA |
| 国产 CPU | 适配鲲鹏、飞腾、海光、龙芯、兆芯 |
| 国产 OS | 适配银河麒麟、统信 UOS、中标麒麟 |
| 等保合规 | 满足等保三级及信创合规要求 |
国密算法 #
Easysearch 基于 铜锁(Tongsuo)实现完整的国密 TLS 能力。
SM2 — 非对称加密 #
替代 RSA/ECDSA,用于:
- TLS 证书签名与验证
- 节点间身份认证
- 客户端证书认证
SM3 — 哈希算法 #
替代 SHA-256,用于:
- 密码存储与验证
- 数据完整性校验
- 审计日志防篡改
SM4 — 对称加密 #
替代 AES,用于:
- 节点间通信加密(Transport 层)
- HTTPS 传输加密(HTTP 层)
- 敏感数据存储
加密套件 #
| 套件 | 说明 |
|---|---|
TLS_SM4_GCM_SM3 | SM4-GCM 加密 + SM3 哈希(推荐) |
TLS_SM4_CCM_SM3 | SM4-CCM 加密 + SM3 哈希 |
国产化适配 #
国产处理器 #
| 处理器 | 架构 | 状态 |
|---|---|---|
| 鲲鹏 (Kunpeng) | ARM64 | ✅ 认证通过 |
| 飞腾 (Phytium) | ARM64 | ✅ 认证通过 |
| 海光 (Hygon) | x86 | ✅ 认证通过 |
| 龙芯 (Loongson) | LoongArch | ✅ 认证通过 |
| 兆芯 (Zhaoxin) | x86 | ✅ 认证通过 |
国产操作系统 #
| 操作系统 | 状态 |
|---|---|
| 银河麒麟 (Kylin OS) | ✅ 互认证 |
| 统信 UOS (UnionTech OS) | ✅ 互认证 |
| 中标麒麟 (NeoKylin) | ✅ 互认证 |
生态兼容 #
可与国产数据库、中间件、安全产品协同部署,融入整体国产化解决方案。
合规能力 #
| 维度 | 能力 |
|---|---|
| 传输加密 | SM4 对称加密 + SM2 身份认证 |
| 密码存储 | SM3 哈希,不可逆 |
| 访问控制 | RBAC 角色权限,支持文档/字段级 |
| 审计日志 | 完整操作记录,SM3 防篡改 |
| 数据完整性 | SM3 校验 |
合规标准 #
| 标准 | 说明 |
|---|---|
| GM/T 0024-2014 | SSL VPN 技术规范 |
| GM/T 0028-2014 | 密码模块安全技术要求 |
| JR/T 0197-2020 | 金融行业密码应用技术标准 |
应用场景 #
政务与公共服务 #
满足政务系统对国密算法与国产化环境的强制要求,支撑电子政务、公共数据开放平台。
金融与关键基础设施 #
金融、能源、电信等行业,构建符合监管要求的搜索与分析能力。
信创替代 #
在国产化环境中搭建搜索平台,平滑迁移既有 Elasticsearch 应用。
行业信息化 #
作为国产化体系中的搜索引擎组件,支撑数据中台、日志分析、全文检索等场景。
快速开始 #
1. 生成国密证书 #
bin/generate-tlcp-certs.sh /path/to/output "changeit"
2. 配置国密 TLS #
security.enabled: true
security.ssl.use_tongsuo: true
# HTTP 层
security.ssl.http.enabled: true
security.ssl.http.tlcp.sign_certificate: server_sign.crt
security.ssl.http.tlcp.sign_key: server_sign.key
security.ssl.http.tlcp.enc_certificate: server_enc.crt
security.ssl.http.tlcp.enc_key: server_enc.key
security.ssl.http.tlcp.trusted_ca_certificate: ca_chain.crt
# Transport 层
security.ssl.transport.enabled: true
security.ssl.transport.tlcp.sign_certificate: server_sign.crt
security.ssl.transport.tlcp.sign_key: server_sign.key
security.ssl.transport.tlcp.enc_certificate: server_enc.crt
security.ssl.transport.tlcp.enc_key: server_enc.key
security.ssl.transport.tlcp.trusted_ca_certificate: ca_chain.crt
3. 验证配置 #
bin/tlcp-curl.sh --url https://localhost:9200/_security/sslinfo?pretty \
-u admin:changeit \
--cert config/client_sign.crt --key config/client_sign.key \
--enc-cert config/client_enc.crt --enc-key config/client_enc.key \
--ca config/ca_chain.crt
仅当服务端配置
security.ssl.http.clientauth_mode: REQUIRE时,客户端证书访问才是必需的;默认场景可仅使用用户名密码。
确认 ssl_provider 为 Tongsuo_Security_Provider。
完整配置指南见 国密配置。