6/01/2022，光纖在線訊，關(guān)于國密SSL產(chǎn)生背景：隨著互聯(lián)網(wǎng)技術(shù)的興盛和網(wǎng)絡(luò)應(yīng)用的普及，網(wǎng)絡(luò)安全問題日益突出，大量的數(shù)據(jù)在網(wǎng)絡(luò)上傳遞并遭受攻擊和威脅，數(shù)據(jù)的安全性受到越來越多人的重視，因此產(chǎn)生了多種安全協(xié)議和相關(guān)規(guī)范。SSL協(xié)議就是在這種背景下由Netscape提出的，其中SSLv3.0自1996提出并得到大規(guī)模應(yīng)用成為了業(yè)界標(biāo)準(zhǔn)，在2015年才被棄用。1999年，IETF收納了SSLv3.0并以此為基礎(chǔ)提出TLS規(guī)范，版本已由TLS1.0發(fā)展到如今的TLS3.0，是被應(yīng)用最廣泛的安全協(xié)議之一。

安全協(xié)議的核心和基礎(chǔ)就是密碼算法，為了確保我國的信息安全，國內(nèi)的相關(guān)安全產(chǎn)品以及協(xié)議如HTTPS、SSL VPN、STMPS等就不能直接使用TLS標(biāo)準(zhǔn)規(guī)范和密碼算法，因此必須要有一個(gè)屬于中國的密碼算法和傳輸層安全協(xié)議，國密SSL協(xié)議順勢產(chǎn)生。

國密SSL協(xié)議概述

目前TLS版本包含TLS1.0、TLS1.1、TLS1.2、TLS1.3以及GMTLS1.1。

國密 SSL協(xié)議在GM/T中不是一個(gè)獨(dú)立的協(xié)議標(biāo)準(zhǔn)[1]，而是按照相關(guān)密碼政策、法規(guī)結(jié)合我國實(shí)際情況并參照RFC4346 TLS1.1規(guī)范，在GM/T 0024-2014《SSLVPN技術(shù)規(guī)范》中對其進(jìn)行了相關(guān)定義。主要不同體現(xiàn)在以下幾方面：

○國密主要采用SM2/SM3/SM4算法，不同于國際密碼算法；
○版本號是0x0101，不同于TLS規(guī)范；握手協(xié)議和加密協(xié)議的細(xì)節(jié)存在不同以及增加網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議；
○采用SM2雙證書體系。

注[1]：隨著國家越發(fā)重視信息安全，在2020年11月1日正式實(shí)施了《GB/T38636-2020信息安全技術(shù) 傳輸層密碼協(xié)議（TLCP）》，現(xiàn)階段使用者相對較少，因此本文依舊按照《SSL VPN技術(shù)規(guī)范》進(jìn)行介紹。

國密SSL協(xié)議包括記錄層協(xié)議、握手協(xié)議族（握手協(xié)議、密碼規(guī)格變更協(xié)議、報(bào)警協(xié)議）和網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議。

•記錄層協(xié)議
記錄層協(xié)議是分層次的，每一層都包括長度字段、描述字段和內(nèi)容字段；其會(huì)接收將要被傳輸?shù)南�息，將�?shù)據(jù)分段、壓縮（可選）、計(jì)算HMAC、加密，然后傳輸，接收到的數(shù)據(jù)經(jīng)過解密、驗(yàn)證、解壓縮（可選）、重新封裝然后傳送給高層應(yīng)用。

•握手協(xié)議族
國密SSL握手協(xié)議族由密碼規(guī)格變更協(xié)議、握手協(xié)議和報(bào)警協(xié)議3個(gè)子協(xié)議組成，用于通信雙方協(xié)商出供記錄層使用的安全參數(shù)，進(jìn)行身份驗(yàn)證以及向?qū)Ψ綀?bào)告錯(cuò)誤等。

○密碼規(guī)格變更協(xié)議
密碼規(guī)格變更協(xié)議用于通知密碼規(guī)格的改變，即通知對方使用剛協(xié)商好的安全參數(shù)來保護(hù)揭曉了的數(shù)據(jù)�？蛻舳撕头�務(wù)端都要在安全參數(shù)協(xié)商完畢之后、握手結(jié)束消息之前發(fā)送此消息。

○報(bào)警協(xié)議
報(bào)警協(xié)議用于關(guān)閉連接的通知以及對整個(gè)連接過程中出現(xiàn)的錯(cuò)誤行為進(jìn)行報(bào)警，其中關(guān)閉通知由發(fā)起者發(fā)送，錯(cuò)誤報(bào)警由錯(cuò)誤的發(fā)現(xiàn)者發(fā)送。報(bào)警消息的長度為兩個(gè)字節(jié)，分別為報(bào)警級別和報(bào)警內(nèi)容。

○握手協(xié)議
握手協(xié)議是在記錄層協(xié)議之上的協(xié)議，用于協(xié)商安全參數(shù)，是通過記錄層協(xié)議傳輸?shù)�。握手消息�?yīng)當(dāng)按照規(guī)定流程順序進(jìn)行發(fā)送，否則將會(huì)導(dǎo)致致命錯(cuò)誤，不需要的握手消息可以被接收方忽略。

○國密SSL協(xié)議密碼套件
在Client支持的密碼套件列表中，Client會(huì)按照密碼套件使用的優(yōu)先級順序進(jìn)行排列，優(yōu)先級最高的密碼套件會(huì)排在首位。國密SSL支持的密碼套件列表如下所示：
密碼套件列表[2]


在國密SSL標(biāo)準(zhǔn)中實(shí)現(xiàn)ECC和ECDHE的算法是SM2，實(shí)現(xiàn)IBC和IBSDH的算法是SM9，RSA算法的使用需要符合國家密碼管理主管部門的要求。

注[2]：在《GB/T38636-2020信息安全技術(shù) 傳輸層密碼協(xié)議（TLCP）》標(biāo)準(zhǔn)中增加了GCM的密碼套件，并且刪除了涉及SM1和RSA的密碼套件。

•網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議

網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議定義了SSL VPN之間建立網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸層隧道，對IP數(shù)據(jù)報(bào)文進(jìn)行安全傳輸時(shí)所采用的報(bào)文格式（包括控制報(bào)文與數(shù)據(jù)報(bào)文）以及控制報(bào)文交換過程和數(shù)據(jù)報(bào)文封裝過程。

○控制報(bào)文定義了保護(hù)域的信息交換報(bào)文；
○數(shù)據(jù)報(bào)文包含承載協(xié)議（記錄層協(xié)議）和隧道狀態(tài)（SSL連接狀態(tài)）。

國密SSL測試的需求

為了保障數(shù)據(jù)安全，國家密碼管理局要求相關(guān)系統(tǒng)均要進(jìn)行國密改造，改用國密的密碼算法，目前國密算法已經(jīng)成為了數(shù)據(jù)安全保障的基礎(chǔ)。因此國密設(shè)備在實(shí)驗(yàn)室的概念設(shè)計(jì)、研發(fā)設(shè)計(jì)、生產(chǎn)、部署驗(yàn)收都有測試的必要。

在概念設(shè)計(jì)和研發(fā)階段需要確定設(shè)備是否符合相關(guān)要求，能否正常的進(jìn)行國密SSL加密以對數(shù)據(jù)進(jìn)行保護(hù)；設(shè)備研發(fā)成型階段還需要進(jìn)行整機(jī)測試，驗(yàn)證設(shè)備各項(xiàng)功能和性能是否滿足實(shí)際應(yīng)用；在部署驗(yàn)收階段也需要進(jìn)行整體測試，驗(yàn)證國密設(shè)備在真實(shí)網(wǎng)絡(luò)環(huán)境中能否正常對數(shù)據(jù)進(jìn)行傳輸以及與整網(wǎng)的兼容適配。

國密測試分為功能測試和性能測試，目前市場上針對功能測試主要采用的是利用具備同樣國密功能的設(shè)備與被測設(shè)備對接測試，而性能測試則是采用自研類軟件模擬多終端進(jìn)行測試，測試能力相對較弱且操作復(fù)雜，因此專業(yè)的測試工具在國密SSL的研發(fā)和推廣過程中就愈發(fā)重要。

信而泰國密SSL測試方案

信而泰經(jīng)過多年潛心研制，推出了基于PCT架構(gòu)的新一代B/S架構(gòu)測試平臺(tái)ALPS，該平臺(tái)支持真實(shí)的應(yīng)用層流量仿真。HTTPS /SMTPS Application Simulator是一個(gè)7層測試組件，可基于國密SSL模擬現(xiàn)實(shí)網(wǎng)絡(luò)環(huán)境中的HTTPS/SMTPS協(xié)議流量，進(jìn)而測試設(shè)備處理客戶端應(yīng)用層流量的能力。該平臺(tái)可以針對防火墻、負(fù)載均衡、VPN、網(wǎng)關(guān)等應(yīng)用層安全設(shè)備進(jìn)行相關(guān)測試，測試拓?fù)淙缦聢D所示：



信而泰國密SSL支持以下測試功能和特性：

•支持GMTLSv1.1版本版本
•支持NAT
•支持一層VLAN，雙層VLAN
•支持新建速率測試
•支持并發(fā)連接測試
•支持添加測試條件
•支持查看實(shí)時(shí)統(tǒng)計(jì)結(jié)果
•支持查看/刪除歷史統(tǒng)計(jì)結(jié)果
•支持國密密碼套件的配置，包括ECC_SM4_SM3和ECDHE_SM4_SM3兩種
•支持國密證書和對應(yīng)私鑰文件（PEM格式）的導(dǎo)入
•支持客戶端認(rèn)證功能
•支持導(dǎo)入CA證書用于用戶證書的校驗(yàn)
•客戶端/服務(wù)器認(rèn)證方式支持Do Not Check Cert, Allow UntrustedCert和Require Trusted Cert三種
•支持SSL Not Verified Cert Count,SSL Verified Trusted Cert Count和SSL Verified UntrustedCert Count等多種SSL統(tǒng)計(jì)項(xiàng)

HTTPS/SMTPS應(yīng)用流配置界面：



SSL Client Session統(tǒng)計(jì)界面：



SSL Server Session統(tǒng)計(jì)界面：



—— 如果您需要了解更多資訊，歡迎來電垂詢 ——
產(chǎn)品咨詢熱線：010-82349338