ENGLISH 4006-967-446
首页>最新数字证书问答>国密SSL协议是什么?与标准TLS协议的区别

国密SSL协议是什么?与标准TLS协议的区别

国密 SSL协议在GM/T中没有单独规范的文件,而是在SSL VPN技术规范中定义了国密SSL协议。GMT 0024-2014《SSL VPN技术规范》中,国密 SSL协议内容参照传输层安全协议(RFC 4346 TLS1.1),按照我国相关密码政策和法规,结合我国实际应用需求及实践经验,在TLS 1.1的握手协议中,增加了ECC、IBC的认证模式和密钥交换模式,取消了DH密钥交换方式,修改了密码套件的定义,另外就是增加了网关到网关协议。

国密SSL协议概述

国密SSL协议包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。握手协议用于身份鉴别和安全参数协商;密码规格变更协议用于通知安全参数的变更;报警协议用于关闭通知和对错误进行报警;网关到网关协议用于建立网关到网关的传输层隧道;记录层协议用于传输数据的分段、压缩及解压缩、加密及解密、完整性校验等。

国密SSL握手协议

国密SSL握手协议族包含密码规格变更协议、握手协议和报警协议3个子协议,用于通信双方协商出可供记录层使用的安全参数,进行身份验证以及向对方报告错误等。

国密SSL握手协议协商的会话包括:

会话标识:有服务端选取的随意的字节序列,用于识别活跃或可恢复的会话

证书:X.509 V3格式的数字证书,符合GM/T 0015

压缩方法:压缩数据的算法

密码规格:指定的密码算法

主密钥:客户端和服务端共享的48字节的密钥

重用标识:标明能否用该会话发起一个新连接的标识

利用以上数据可以产生安全参数,利用握手协议的重用特性,可以使用相同会话建立多个连接。

国密SSL协议密码套件

国密SSL协议定义了支持的密码套件列表,每个密码套件包括一个密钥交换算法、一个加密算法和一个校验算法。服务端将在密码套件列表中选择匹配的密码套件,如果没有可匹配的密码套件,则握手失败、关闭连接。

国密SSL协议标准中实现ECC和ECDHE的算法是SM2,实现IBC和IBSDH的算法是SM9;RSA算法的使用应符合国家密码管理主管部门的要求。

国密SSL协议号

TLS协议号为0x0301/ 0x0302/ 0x0303,分别表示TLS 1.0/TLS 1.1 /TLS 1.2,而国密SSL版本号为0x0101。

国密SSL证书报文

国密SSL协议规范定义发送证书时需要发送两个证书——签名证书和加密证书,与标准TLS报文格式一样,只是第一个证书是签名证书,第二个证书是加密证书。

沃通免费提供国密SSL证书试用服务,申请试用国密SSL证书可同时获得配套RSA DV SSL证书,试用周期1个月,用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果。

相关内容

国密SM2 SSL证书全生态支持与全球信任解决方案

沃通作为国内领先的SSL证书签发CA,早在2014年就已经开始了采用国密算法签发SM2 SSL证书的研究,并取得了可喜的研究成果。我们充分认识到国密SSL证书要达到实用和大量部署使用还需要相关系统的支持,如浏览器和服务器软件。同时,还要考虑到其通用性与全球性,即网站用户可能使用各种不同的浏览器和用户来自世界各地。所以,我们一直在持续研究基于国密算法实现https网站加密的完整解决方案。

国密浏览器如何完成SM2国密SSL协议协商

国密浏览器需要遵循国密SSL协议规范GM/T 0024-2014。 GM/T 0024-2014没有单独规范 SSL协议的文件,而是在SSL VPN技术规范中定义了国密SSL协议。国密SSL协议(SSL VPN协议)包括握手协议、密码规格变更协议、报警协议、网关到网关协议和记录层协议。

最新资讯

为什么要停止使用RSA密钥交换?

什么是DNS-over-HTTPS.是如何工作的?

Apple macOS操作系统中存在三个致命漏洞

"此网站提供的安全证书不安全"的解决方法

Chrome浏览器中出现“安全连接”错误,该如何解决?

标签推荐:数字证书申请 | ssl证书验证失败 | https证书申请| 数字签名技术| 电子签名软件| ssl证书更新| 小程序证书| ca认证电子签名| 个人代码签名| 微软代码签名| 泛域名证书| java代码签名| 代码签名证书| https证书配置| PKI技术知识| SQL注入| openssl漏洞| 识别钓鱼网站