國密SSL協議與標準TLS協議的區別

國密 SSL協議在GM/T中沒有單獨規範的檔案，而是在SSL VPN技術規範中定義了國密SSL協議。GMT 0024-2014《SSL VPN技術規範》中，國密 SSL協議內容參照傳輸層安全協議（RFC 4346 TLS1.1），按照我國相關密碼政策和法規，結合我國實際應用需求及實踐經驗，在TLS 1.1的握手協議中，增加了ECC、IBC的認證模式和金鑰交換模式，取消了DH金鑰交換方式，修改了密碼套件的定義，另外就是增加了閘道器到閘道器協議。

國密SSL協議概述

國密SSL協議包括握手協議、密碼規格變更協議、報警協議、閘道器到閘道器協議和記錄層協議。握手協議用於身份鑑別和安全引數協商；密碼規格變更協議用於通知安全引數的變更；報警協議用於關閉通知和對錯誤進行報警；閘道器到閘道器協議用於建立閘道器到閘道器的傳輸層隧道；記錄層協議用於傳輸資料的分段、壓縮及解壓縮、加密及解密、完整性校驗等。

國密SSL握手協議

國密SSL握手協議族包含密碼規格變更協議、握手協議和報警協議3個子協議，用於通訊雙方協商出可供記錄層使用的安全引數，進行身份驗證以及向對方報告錯誤等。

國密SSL握手協議協商的會話包括：

會話標識：有服務端選取的隨意的位元組序列，用於識別活躍或可恢復的會話

證照：X.509 V3格式的數字證照，符合GM/T 0015

壓縮方法：壓縮資料的演算法

密碼規格：指定的密碼演算法

主金鑰：客戶端和服務端共享的48位元組的金鑰

重用標識：標明能否用該會話發起一個新連線的標識

利用以上資料可以產生安全引數，利用握手協議的重用特性，可以使用相同會話建立多個連線。

國密SSL協議密碼套件

國密SSL協議定義了支援的密碼套件列表，每個密碼套件包括一個金鑰交換演算法、一個加密演算法和一個校驗演算法。服務端將在密碼套件列表中選擇匹配的密碼套件，如果沒有可匹配的密碼套件，則握手失敗、關閉連線。

國密SSL協議標準中實現ECC和ECDHE的演算法是SM2，實現IBC和IBSDH的演算法是SM9；RSA演算法的使用應符合國家密碼管理主管部門的要求。

國密SSL協議號

TLS協議號為0x0301/ 0x0302/ 0x0303，分別表示TLS 1.0/TLS 1.1 /TLS 1.2，而國密SSL版本號為0x0101。

國密SSL證照報文

國密SSL協議規範定義傳送證照時需要傳送兩個證照——簽名證照和加密證照，與標準TLS報文格式一樣，只是第一個證照是簽名證照，第二個證照是加密證照。

SNCA免費提供國密SSL證照試用服務，申請試用國密SSL證照可同時獲得配套RSA DV SSL證照，試用週期1個月，用於測試國密SM2 SSL證照的執行效果和SM2/RSA雙證照部署效果。

轉載