國密 SSL協(xié)議在GM/T中沒有單獨規(guī)范的文件，而是在SSL VPN技術(shù)規(guī)范中定義了國密SSL協(xié)議。GMT 0024-2014《SSL VPN技術(shù)規(guī)范》中，國密 SSL協(xié)議內(nèi)容參照傳輸層安全協(xié)議（RFC 4346 TLS1.1），按照我國相關(guān)密碼政策和法規(guī)，結(jié)合我國實際應(yīng)用需求及實踐經(jīng)驗，在TLS 1.1的握手協(xié)議中，增加了ECC、IBC的認(rèn)證模式和密鑰交換模式，取消了DH密鑰交換方式，修改了密碼套件的定義，另外就是增加了網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議。

國密SSL協(xié)議概述

國密SSL協(xié)議包括握手協(xié)議、密碼規(guī)格變更協(xié)議、報警協(xié)議、網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議和記錄層協(xié)議。握手協(xié)議用于身份鑒別和安全參數(shù)協(xié)商；密碼規(guī)格變更協(xié)議用于通知安全參數(shù)的變更；報警協(xié)議用于關(guān)閉通知和對錯誤進(jìn)行報警；網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議用于建立網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸層隧道；記錄層協(xié)議用于傳輸數(shù)據(jù)的分段、壓縮及解壓縮、加密及解密、完整性校驗等。

國密SSL握手協(xié)議

國密SSL握手協(xié)議族包含密碼規(guī)格變更協(xié)議、握手協(xié)議和報警協(xié)議3個子協(xié)議，用于通信雙方協(xié)商出可供記錄層使用的安全參數(shù)，進(jìn)行身份驗證以及向?qū)Ψ綀蟾驽e誤等。

國密SSL握手協(xié)議協(xié)商的會話包括：

會話標(biāo)識：有服務(wù)端選取的隨意的字節(jié)序列，用于識別活躍或可恢復(fù)的會話

證書：X.509 V3格式的數(shù)字證書，符合GM/T 0015

壓縮方法：壓縮數(shù)據(jù)的算法

密碼規(guī)格：指定的密碼算法

主密鑰：客戶端和服務(wù)端共享的48字節(jié)的密鑰

重用標(biāo)識：標(biāo)明能否用該會話發(fā)起一個新連接的標(biāo)識

利用以上數(shù)據(jù)可以產(chǎn)生安全參數(shù)，利用握手協(xié)議的重用特性，可以使用相同會話建立多個連接。

國密SSL協(xié)議密碼套件

國密SSL協(xié)議定義了支持的密碼套件列表，每個密碼套件包括一個密鑰交換算法、一個加密算法和一個校驗算法。服務(wù)端將在密碼套件列表中選擇匹配的密碼套件，如果沒有可匹配的密碼套件，則握手失敗、關(guān)閉連接。

國密SSL協(xié)議標(biāo)準(zhǔn)中實現(xiàn)ECC和ECDHE的算法是SM2，實現(xiàn)IBC和IBSDH的算法是SM9；RSA算法的使用應(yīng)符合國家密碼管理主管部門的要求。

國密SSL協(xié)議號

TLS協(xié)議號為0x0301/ 0x0302/ 0x0303，分別表示TLS 1.0/TLS 1.1 /TLS 1.2，而國密SSL版本號為0x0101。

國密SSL證書報文

國密SSL協(xié)議規(guī)范定義發(fā)送證書時需要發(fā)送兩個證書——簽名證書和加密證書，與標(biāo)準(zhǔn)TLS報文格式一樣，只是第一個證書是簽名證書，第二個證書是加密證書。

SNCA免費提供國密SSL證書試用服務(wù)，申請試用國密SSL證書可同時獲得配套RSA DV SSL證書，試用周期1個月，用于測試國密SM2 SSL證書的運行效果和SM2/RSA雙證書部署效果。

轉(zhuǎn)載