国密SSL协议在GM/T中没有单独规范的文件,而是在SSL VPN技术规范中定义了国密SSL协议。国密SSL包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。
国密 SSL 协议在 GM/T 中没有单独规范的文件,而是在 SSL VPN 技术规范中定义了国密 SSL 协议。GMT 0024-2014《SSL VPN 技术规范》中,国密 SSL 协议内容参照传输层安全协议(RFC 4346 TLS1.1),按照我国相关密码政策和法规,结合我国实际应用需求及实践经验,在 TLS 1.1 的握手协议中,增加了 ECC、IBC 的认证模式和密钥交换模式,取消了 DH 密钥交换方式,修改了密码套件的定义,另外就是增加了网关到网关协议。
国密 SSL 协议包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;网关到网关协议用于建立网关到网关的传输层隧道;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。
国密 SSL 握手协议族包含密码规格变更协议、握手协议和报警协议 3 个子协议,用于通信双方协商出可供记录层使用的安全参数,进行身份验证以及向对方报告错误等。
国密 SSL 握手协议协商的会话包括:
会话标识:有服务端选取的随意的字节序列,用于识别活跃或可恢复的会话
证书:X.509 V3 格式的数字证书,符合 GM/T 0015
压缩方法:压缩数据的算法
密码规格:指定的密码算法
主密钥:客户端和服务端共享的 48 字节的密钥
重用标识:标明能否用该会话发起一个新连接的标识
利用以上数据可以产生安全参数,利用握手协议的重用特性,可以使用相同会话建立多个连接。
国密 SSL 协议定义了支持的密码套件列表,每个密码套件包括一个密钥交换算法、一个加密算法和一个校验算法。服务端将在密码套件列表中选择匹配的密码套件,如果没有可匹配的密码套件,则握手失败、关闭连接。
国密 SSL 协议标准中实现 ECC 和 ECDHE 的算法是 SM2,实现 IBC 和 IBSDH 的算法是 SM9;RSA 算法的使用应符合国家密码管理主管部门的要求。
TLS 协议号为 0x0301/ 0x0302/ 0x0303,分别表示 TLS 1.0/TLS 1.1 /TLS 1.2,而国密 SSL 版本号为 0x0101。
国密 SSL 协议规范定义发送证书时需要发送两个证书——签名证书和加密证书,与标准 TLS 报文格式一样,只是第一个证书是签名证书,第二个证书是加密证书。
沃通免费提供国密 SSL 证书试用服务,申请试用国密 SSL 证书可同时获得配套 RSA DV SSL 证书,试用周期 1 个月,用于测试国密 SM2 SSL 证书的运行效果和 SM2/RSA 双证书部署效果。
国密 SM2 SSL 证书全生态支持与全球信任解决方案
沃通作为国内领先的 SSL 证书签发 CA,早在 2014 年就已经开始了采用国密算法签发 SM2 SSL 证书的研究,并取得了可喜的研究成果。我们充分认识到国密 SSL 证书要达到实用和大量部署使用还需要相关系统的支持,如浏览器和服务器软件。同时,还要考虑到其通用性与全球性,即网站用户可能使用各种不同的浏览器和用户来自世界各地。所以,我们一直在持续研究基于国密算法实现 https 网站加密的完整解决方案。
国密浏览器如何完成 SM2 国密 SSL 协议协商
国密浏览器需要遵循国密 SSL 协议规范 GM/T 0024-2014。 GM/T 0024-2014 没有单独规范 SSL 协议的文件,而是在 SSL VPN 技术规范中定义了国密 SSL 协议。国密 SSL 协议(SSL VPN 协议)包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。