信而泰测试方案，助力客户全面解析国密SSL特性

国家机密SSL的背景

伴随着互联网技术的繁荣和网络应用的普及，网络安全问题日益突出大量数据在网络上传输，受到攻击和威胁越来越多的人开始关注数据的安全性，于是各种安全协议和相关规范应运而生在此背景下，SSL协议由网景公司提出，其中SSLv3.0于1996年提出并大规模应用成为行业标准，2015年被废弃1999年，IETF接受了SSLv3.0，并在此基础上提出了TLS规范版本从TLS1.0发展到今天的TLS3.0，是应用最广泛的安全协议之一

国家机密SSL协议概述

目前TLS版本有TLS1.0，TLS1.1，TLS1.2，TLS1.3，GMTLS1.1。

中国秘密SSL协议在GM/T中不是一个独立的协议标准，而是在GM/T0024—2014 SSL VPN技术规范中根据相关密码政策法规，结合中国实际情况，参考RFC4346 TLS1.1规范定义的。差异主要体现在以下几个方面:

国密主要采用SM2/SM3/SM4算法，不同于国际密码算法。

版本号为0x0101，与TLS规范不同，握手协议和加密协议细节不同，增加了网关对网关协议，

采用SM2双证制。

注:伴随着国家对信息安全的日益重视，GB/T38636—2020《信息安全技术》的传输层密码协议于2020年11月1日正式实施目前用户相对较少，所以本文还是按照SSL VPN的技术规范来介绍

Secret SSL协议包括记录层协议，握手协议族和网关到网关协议。

middot记录层协议

层协议是分层的，每层包括长度字段，描述字段和内容字段它将接收要传输的消息，对数据进行分段，压缩，计算HMAC，加密，然后传输接收到的数据经过解密，验证，解压缩，重新封装，然后传输到高级应用程序

middot握手协议族

secret SSL握手协议族由三个子协议组成:密码规范更改协议，握手协议和报警协议，通信双方使用这些子协议来协商记录层的安全参数，认证自身和向对方报告错误。

middot密码更改协议

密码规范变更协议用于通知密码规范的变更，即通知对方使用刚刚协商好的安全参数来保护泄露的数据客户端和服务器都在安全参数协商之后和握手结束消息之前发送该消息

middot警报协议

报警协议用于通知关闭连接，并对整个连接过程中的错误行为进行报警，其中关闭通知由发起方发出，错误报警由错误的发现者发出消息长度为两个字节，即报警级别和报警内容

middot信号交换协议

握手协议是记录层协议之上的协议，用于协商安全参数，通过记录层协议传输握手消息应该按照指定的流程顺序发送，否则会导致致命错误，不必要的握手消息可以被接收方忽略

middot国家机密SSL协议密码套件

在客户端支持的密码套件列表中，客户端将按照密码套件的优先级顺序排列，优先级最高的密码套件排在最前面。国家机密SSL支持的密码套件列表如下:

密码列表

《国家机密》SSL标准中实现ECC和ECDHE的算法是SM2，实现IBC和IBSDH的算法是SM9RSA算法的使用需要满足国家密码管理部门的要求

注:在GB/T38636—2020《信息安全技术传输层密码协议》中，增加了GCM的密码套件，删除了涉及SM1和RSA的密码套件。

middot网关到网关协议

网关到网关协议定义了SSL VPN之间的网关到网关传输层隧道，用于IP数据报文安全传输的报文格式，以及报文交换过程和数据报文封装过程的控制。

控制消息定义了保护域的信息交换消息，

该消息包含承载协议和隧道状态。

中国对SSL测试的要求

为了确保数据安全，国家密码管理局要求所有相关系统都必须转换为国家机密的密码算法目前，国家秘密算法已经成为数据安全的基础因此，有必要在实验室的概念设计，R&D设计，生产，部署和验收中对国家秘密设备进行测试

在概念设计和R&D阶段，需要确定设备是否满足相关要求，能否正常进行国密SSL加密，保护数据，在设备的R&D和成型阶段，需要进行整机测试，以验证设备的功能和性能是否满足实际应用在部署和验收阶段，还需要进行整体测试，验证国家秘密设备在真实网络环境下是否能正常传输数据，是否能兼容全网

国家秘密测试分为功能测试和性能测试目前市场上，对于功能测试，主要使用具有相同国家秘密功能的设备与被测设备进行对接测试，而对于性能测试，则使用自研软件模拟多终端测试，测试能力相对较弱，操作复杂因此，专业的测试工具在国密SSL的开发和推广中变得越来越重要

相信泰国的秘密SSL测试方案

Trust Thai Secret SSL支持以下测试功能和特性:

middot支持GMTLSv1.1版。

middot支持NAT

middot支持一层VLAN和两层VLAN

middot支持新速率测试

middot支持并发连接测试

middot支持添加测试条件

middot支持查看实时统计结果

middot支持查看/删除历史统计结果

middot支持国家秘密密码套件的配置，包括ECC_SM4_SM3和ECDHE_SM4_SM3。

middot支持导入国家秘密证书和相应的私钥文件。

middot支持客户端认证功能

middot支持导入CA证书以验证用户证书

middot客户端/服务器身份验证方法支持不检查证书，允许不可信证书和要求可信证书。

middot支持SSL未验证certcount，SSL验证可信certcount和SSL验证不可信Cert Count等。

客户端会话统计界面:

服务器会话统计界面: