GM/T 0024-2014 SSL VPN技术规范

GM/T0024-2014

SSLVPN技术规范

宣讲人罗俊

2014年7月24日

目录

标准的适用范围和作用

标准的编制思路和技术路线

标准的主要内容解读

标准应用时的注意事项

应用举例

密码行业标准化技术委员会

目录

标准的适用范围和作用

标准的编制思路和技术路线

标准的主要内容解读

标准应用时的注意事项

应用举例

密码行业标准化技术委员会

标准的适用范围和作用

适用范围

对SSLVPN的技术协议、产品的功能、性能

和管理以及检测进行了规定

用于指导SSLVPN产品的研制、检测、使用

和管理

作用

统一SSLVPN产品的协议规范和技术要求

规范商用密码算法在SSLVPN产品的使用

为不同厂家SSLVPN产品的互联互通提供标

准

密码行业标准化技术委员会

目录

标准的适用范围和作用

标准的编制思路和技术路线

标准的主要内容解读

标准应用时的注意事项

应用举例

密码行业标准化技术委员会

标准的编制思路和技术路线

编制思路

通用性：统一技术要求，实现基本技术规格一致

灵活性：对管理方式、硬件配置等不做细节规定

安全性：硬件、软件、管理安全性都有严格规定

技术路线

支持我国自主研制的商用密码算法

参照TLSv1.1协议，引入双证书体制

增加基于ECC和IBC的认证模式和密钥交换模式

强化安全性，取消DH密钥交换方法

增加网关到网关协议部分，规范SSL隧道

密码行业标准化技术委员会

标准的编制思路和技术路线

2008年启动本标准编制，2012年进行修订

由联合课题组承担编制工作

经多方、多轮征意、修改及评审

于2014年正式发布，标准号GM/T0024-2014

密码行业标准化技术委员会

目录

标准的适用范围和作用

标准的编制思路和技术路线

标准的主要内容解读

标准应用时的注意事项

应用举例

密码行业标准化技术委员会

标准的主要内容解读

本规范共分为9个章节

1、范围

2、规范性引用文件

3、术语与定义

4、符号和缩略语

5、密码算法与密钥种类

6、协议

7、产品要求

8、产品检测

9、合格判定

密码行业标准化技术委员会

标准的主要内容解读密码算法

非对称算法：

SM2椭圆曲线密码算法

2048位及以上的RSA算法

SM9（IBC）算法

对称密码算法

SM1分组密码算法

SM4分组密码算法

CBC(分组链接)模式

密码杂凑算法使用SM3或SHA-1算法

密码行业标准化技术委员会

标准的主要内容解读密码算法

数据扩展函数

A(0)=seed，A(i)=HMAC(secret,A(i-1))；

P_hash(secret，seed)=HMAC(secret,A(1)+seed)+

HMAC(secret,A(2)+seed)+

消息摘要算法密钥数据

（SM3）HMAC(secret,A(3)+seed)+…

可反复迭代直至产生要求长度的数据

伪随机函数PRF

PRF(secret,label,seed)=P_SM3(secret,label+seed)

密码行业标准化技术委员会

标准的主要内容解读密钥种类

密钥种类

服务端密钥

通过CA向密钥签名密钥对VPN自身密码模块产生

管理中心申请加密密钥对

客户端密钥

预主密钥

签名密钥对

加密密钥对

PRF(pre_master_secret,"mastersecret“,

主密钥

server_random+client_random)[0..47]

客户端写校验密钥保护客户端发送数据的完整性