gmt(00242014)国密sslvpn技术规范.docVIP

GM/T 0024-2014 SSL VPN技术规范 宣讲人 罗俊 2014年7月24日 目录 ? 标准的适用范围和作用 ? 标准的编制思路和技术路线 ? 标准的主要内容解读 ? 标准应用时的注意事项 ? 应用举例 密码行业标准化技术委员会 目录 ? 标准的适用范围和作用 ? 标准的编制思路和技术路线 ? 标准的主要内容解读 ? 标准应用时的注意事项 ? 应用举例 密码行业标准化技术委员会 标准的适用范围和作用 ? 适用范围 ? 对SSL VPN的技术协议、产品的功能、性能 和管理以及检测进行了规定 ? 用于指导SSL VPN产品的研制、检测、使用 和管理 ? 作用 ? 统一SSL VPN产品的协议规范和技术要求 ? 规范商用密码算法在SSL VPN产品的使用 ? 为不同厂家SSL VPN产品的互联互通提供标 准 密码行业标准化技术委员会 目录 ? 标准的适用范围和作用 ? 标准的编制思路和技术路线 ? 标准的主要内容解读 ? 标准应用时的注意事项 ? 应用举例 密码行业标准化技术委员会 标准的编制思路和技术路线 ? 编制思路 ? 通用性：统一技术要求，实现基本技术规格一致 ? 灵活性：对管理方式、硬件配置等不做细节规定 ? 安全性：硬件、软件、管理安全性都有严格规定 ? 技术路线 ? 支持我国自主研制的商用密码算法 ? 参照TLSv1.1协议，引入双证书体制 ? 增加基于ECC和IBC的认证模式和密钥交换模式 ? 强化安全性，取消DH密钥交换方法 ? 增加网关到网关协议部分，规范SSL隧道 密码行业标准化技术委员会 标准的编制思路和技术路线 ? 2008年启动本标准编制，2012年进行修订 ? 由联合课题组承担编制工作 ? 经多方、多轮征意、修改及评审 ? 于2014年正式发布，标准号GM/T0024-2014 密码行业标准化技术委员会 目录 ? 标准的适用范围和作用 ? 标准的编制思路和技术路线 ? 标准的主要内容解读 ? 标准应用时的注意事项 ? 应用举例 密码行业标准化技术委员会 标准的主要内容解读 ? 本规范共分为9个章节 ? 1、范围 ? 2、规范性引用文件 ? 3、术语与定义 ? 4、符号和缩略语 ? 5、密码算法与密钥种类 ? 6、协议 ? 7、产品要求 ? 8、产品检测 ? 9、合格判定 密码行业标准化技术委员会 标准的主要内容解读密码算法 ? 非对称算法： SM2椭圆曲线密码算法 2048位及以上的RSA算法 SM9（IBC）算法 ? 对称密码算法 SM1分组密码算法 SM4分组密码算法 CBC(分组链接)模式 ? 密码杂凑算法使用SM3或SHA-1算法 密码行业标准化技术委员会 标准的主要内容解读密码算法 ? 数据扩展函数 A(0)=seed，A(i)= HMAC(secret, A(i-1))； P_hash(secret，seed)=HMAC(secret, A(1)+seed)+ 消息摘要算法 （SM3） 密钥 数据 HMAC(secret, A(2)+seed)+ HMAC(secret, A(3)+seed)+… 可反复迭代直至产生要求长度的数据 ? 伪随机函数PRF PRF (secret,label,seed) =P_SM3(secret,label+seed) 密码行业标准化技术委员会 标准的主要内容解读 密钥种类 ? 密钥种类 ? 服务端密钥 通过CA向密钥 签名密钥对 管理中心申请 加密密钥对 VPN自身密码模块产生 ? 客户端密钥 签名密钥对 预主密钥 加密密钥对 主密钥 PRF(pre_master_secret, master secret“, server_random +client_random) [0..47] 工作密钥 客户端写校验密钥保护客户端发送数据的完整性 服务端写校验密钥保护服务端发送数据的完整性 客户端写密钥 保护客户端发送数据的机密性 服务端写密钥 保护服务端发送数据的机密性 PRF(master_secret, key expansion, server_random +client_random); 密码行业标准化技术委员会 标准的主要内容解读 记录层协议 高层协议 数据分段 数据压缩 计算校验码 加密 解密 验证校验码 解压缩 重新封装 高层协议 密码行业标准化技术委员会 标准的主要内容解读 握手协议 安全参数 安全会话 会话标识 客户端写校验密钥 数字证书 压缩方法 服务端写校验密钥 密码规格 客户端写密钥 主密钥 服务端写密钥 密码行业标准化技术委员会 标准的主要内容解读 握手协议 ?交换hello消息来协商密码套件，交换随机数，决定是否会话重用 ?交换必要的参数，协商预主密钥 ?交换证书或IBC信息，用于验证对方 ?使用预主密钥和交换的随机数生