國密SSL協議與標準TLS協議的區別

snca發表於2022-08-11

國密 SSL協議在GM/T中沒有單獨規範的檔案,而是在SSL VPN技術規範中定義了國密SSL協議。GMT 0024-2014《SSL VPN技術規範》中,國密 SSL協議內容參照傳輸層安全協議(RFC 4346 TLS1.1),按照我國相關密碼政策和法規,結合我國實際應用需求及實踐經驗,在TLS 1.1的握手協議中,增加了ECC、IBC的認證模式和金鑰交換模式,取消了DH金鑰交換方式,修改了密碼套件的定義,另外就是增加了閘道器到閘道器協議。

國密SSL協議與標準TLS協議的區別

國密SSL協議概述

國密SSL協議包括握手協議、密碼規格變更協議、報警協議、閘道器到閘道器協議和記錄層協議。握手協議用於身份鑑別和安全引數協商;密碼規格變更協議用於通知安全引數的變更;報警協議用於關閉通知和對錯誤進行報警;閘道器到閘道器協議用於建立閘道器到閘道器的傳輸層隧道;記錄層協議用於傳輸資料的分段、壓縮及解壓縮、加密及解密、完整性校驗等。

國密SSL握手協議

國密SSL握手協議族包含密碼規格變更協議、握手協議和報警協議3個子協議,用於通訊雙方協商出可供記錄層使用的安全引數,進行身份驗證以及向對方報告錯誤等。

國密SSL握手協議協商的會話包括:

會話標識:有服務端選取的隨意的位元組序列,用於識別活躍或可恢復的會話

證照:X.509 V3格式的數字證照,符合GM/T 0015

壓縮方法:壓縮資料的演算法

密碼規格:指定的密碼演算法

主金鑰:客戶端和服務端共享的48位元組的金鑰

重用標識:標明能否用該會話發起一個新連線的標識

利用以上資料可以產生安全引數,利用握手協議的重用特性,可以使用相同會話建立多個連線。

國密SSL協議與標準TLS協議的區別

國密SSL協議密碼套件

國密SSL協議定義了支援的密碼套件列表,每個密碼套件包括一個金鑰交換演算法、一個加密演算法和一個校驗演算法。服務端將在密碼套件列表中選擇匹配的密碼套件,如果沒有可匹配的密碼套件,則握手失敗、關閉連線。

國密SSL協議標準中實現ECC和ECDHE的演算法是SM2,實現IBC和IBSDH的演算法是SM9;RSA演算法的使用應符合國家密碼管理主管部門的要求。

國密SSL協議與標準TLS協議的區別

國密SSL協議號

TLS協議號為0x0301/ 0x0302/ 0x0303,分別表示TLS 1.0/TLS 1.1 /TLS 1.2,而國密SSL版本號為0x0101。

國密SSL證照報文

國密SSL協議規範定義傳送證照時需要傳送兩個證照——簽名證照和加密證照,與標準TLS報文格式一樣,只是第一個證照是簽名證照,第二個證照是加密證照。

SNCA免費提供國密SSL證照試用服務,申請試用國密SSL證照可同時獲得配套RSA DV SSL證照,試用週期1個月,用於測試國密SM2 SSL證照的執行效果和SM2/RSA雙證照部署效果。

國密SSL協議與標準TLS協議的區別

轉載


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70017559/viewspace-2909940/,如需轉載,請註明出處,否則將追究法律責任。

相關文章