GM-T 0024-2023 SSL VPN技術(shù)規(guī)范標(biāo)準(zhǔn)

代替GM/T0024—2014SSLVPN技術(shù)規(guī)范IGM/T0024—2023 Ⅲ 1 1 1 14.1符號(hào) 14.2縮略語(yǔ) 2 2 2 3 36.1概述 36.2數(shù)據(jù)類型定義 4 46.4握手協(xié)議族 96.5密鑰計(jì)算 6.6網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議 247產(chǎn)品要求 267.1產(chǎn)品功能要求 7.2產(chǎn)品性能參數(shù) 7.3安全管理要求 278產(chǎn)品檢測(cè) 8.1產(chǎn)品功能檢測(cè) 8.2產(chǎn)品性能檢測(cè) 298.3安全管理檢測(cè) 附錄A(資料性)擴(kuò)展字段說明 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件代替GM/T0024—2014《SSLVPN技術(shù)規(guī)范》,與GM/T0024—2014相比，除結(jié)構(gòu)調(diào)整和和)、GM/T0090-2020(見)和GM/Z4001(見第2章);法”(見201年版的3.9)、“SM2算法”(見2014年版的3.10)、“SM3算法”(見2014年版的3.11)、“SM4算法”(見2014年版的3.12)、“SM9算法”(見2014年版的3.13“橢圓曲線密碼算法”見2044年版的3.14)“RSA算法”(見2014年版的3.15)“證書認(rèn)證機(jī)構(gòu)”(見2014年版的3.16)和“密鑰管理中心”(見2014年版的317d)刪除了SHA-1算法及SME算法的介級(jí)見201)年版的312和51,增加了GCM加密模式(見5,1.2);e)更改了客戶端密鑰中的簽名密鑰的客密碼模塊產(chǎn)生(例如智能密碼鑰匙)(見5.2.6,2014年版的5.2.3)f)增加了密碼雜湊算法的描述(見5.1.3g)增加了對(duì)版本號(hào)值的庭義主見6.3-3.2h)];h)增加了fixed_iv_length固定的初始向是長(zhǎng)度(見-6.332)i)增加了客戶端寫初始向量clientwriteiv和服務(wù)端寫初婚而量serverwrieiv(見6.3.2);j)增加了”帶關(guān)聯(lián)數(shù)據(jù)的可鑒別的加密(AEAD)的數(shù)據(jù)處理”(見.4k)更改了表2“密碼套件列表”(見表2,2014年版的表2);1)增加了是否需要擴(kuò)展的選擇和extensions的描述(見.1和2);m)增加了“Hello消息擴(kuò)展字段”(見6.4o)增加了client_wrirameters.fixed_iv_length](見6.5.2p)更改了ClientKeyExchange消息中的PKCS#1版本為2.1(見,2014年版的);q)更改了CertificateVerify消息中的opaqueshal_hash[20](見,2014年版的);s)增加了ServerCertificate消息中ibc_parameter字段的內(nèi)容定義(見);t)更改了ServerKeyExchange消息signed_params中，當(dāng)密鑰交換算法為IBC時(shí)的內(nèi)容定義(見,2014年版的);u)刪除了“身份鑒別”(見2014年版的7.1.5);v)更改了報(bào)文流量為“必備”功能(見7.1.6,2014年版的7.1.7);w)刪除了“客戶端主機(jī)安全檢查”(見2014年版的7.1.8);x)更改了“服務(wù)端密鑰”的描述(見,2014年版的7.3y)更改了“SSL”名稱為“TLCP”(見7.2.1和7.2.2,2014年版的7.2.2和7.2.3);——2014年首次發(fā)布為GM/T0024—2014;1SSLVPN技術(shù)規(guī)范2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文GB/T25069信息安全技術(shù)術(shù)語(yǔ)GB/T36624-2018信息技術(shù)安全技術(shù)可鑒別的加密機(jī)制GM/Tp009隨機(jī)性檢測(cè)規(guī)范SM2密碼算法使用規(guī)范GM/To016智能密碼鑰匙密碼應(yīng)用接規(guī)范GM/Too81-2020GM/TQ090-2020標(biāo)課密碼應(yīng)用標(biāo)識(shí)格式規(guī)范GM/Z4001密碼術(shù)語(yǔ)GB/T25069和GM/Z4001界定的以及下列術(shù)語(yǔ)和定義適用于本文件IBC算法identitybasedcryptographyalgorithm基于用戶/實(shí)體唯一性身份標(biāo)識(shí)和系統(tǒng)主密鑰而生成用戶密鑰的密碼機(jī)制。IBC標(biāo)識(shí)IBCidentity4.1符號(hào)2DN:識(shí)別名(DistinguishedName)P_hash(secret,seed)=HMAC(secret,A(1)+seed)十HMAC(secret,A(2)+seed)十HMAC(secret,A(3)+seed)3A(i)=HMAC(secret,A(iPRF(secret,label,seed)=P_hash(secret,la45bulk_cipher_algoritenum{null(0),(255)}Compr6j)server_randomopaquefragment[TLSPlaintext.length];change_cipher_spec(20),alert(21),haapplication_data(23),site2si7uint8major=0x01,minor=所有的記錄都使用當(dāng)前會(huì)話狀態(tài)指定的壓縮算法進(jìn)行壓縮。當(dāng)前會(huì)話狀態(tài)指定的壓縮算法被初始?jí)嚎s算法將一個(gè)TLSPlaintext結(jié)構(gòu)的數(shù)據(jù)轉(zhuǎn)換成一個(gè)TLSCompressed結(jié)構(gòu)的數(shù)據(jù)。壓縮后的數(shù)據(jù)長(zhǎng)度最多只能增加1024個(gè)字節(jié)。如果解壓縮后的數(shù)據(jù)長(zhǎng)度超過了2l?個(gè)字節(jié)，則報(bào)告一個(gè)decompvessionfailure致命錯(cuò)誤。ProtocolVersionvergon;opaquefragmeaTISComp以字節(jié)為單位的TLSCompressed.fragment長(zhǎng)度，小于或等于2?+1024。加密運(yùn)算和校驗(yàn)運(yùn)算把一個(gè)TLSCompressed結(jié)構(gòu)的數(shù)據(jù)轉(zhuǎn)化為一個(gè)TLSCiphertext結(jié)構(gòu)的caseblock:GenericBlockCipher;8以字節(jié)為單位的TLSCiphertext.fragment長(zhǎng)度，小于或等于2?+2048。帶有校驗(yàn)碼的TLSCompressed,fragment加密形式。HMAC_hash(MAC_write_secret,seq_num+TLSCompressed.type+TLSCompressed.ver-sion+TLSCompressed.length+TLSComopaqueIV[SecurityParameters.record_iv_length];opaquecontent[TLSCompresopaqueMAC[SecurityParameteruint8padding_length;uint8padding[GenericBlockCipher.padding_lenb)SecurityParameters.record_iv_lec)SecurityParameter9填充的數(shù)據(jù)。在數(shù)據(jù)加密前應(yīng)將數(shù)據(jù)填充為密碼算法分組長(zhǎng)度的整數(shù)倍，填充的長(zhǎng)度不能超過255個(gè)字節(jié)。填充的每個(gè)字節(jié)的內(nèi)容是填充的字節(jié)數(shù)。接收者應(yīng)檢查這個(gè)填充，如果出TLSCiphertext.fragment結(jié)構(gòu)之間進(jìn)行轉(zhuǎn)換。AEAD的輸入是一個(gè)密鑰、一個(gè)隨機(jī)數(shù)、明文和額外認(rèn)證數(shù)據(jù)。密鑰是客戶端寫密鑰或服務(wù)端寫密鑰，根據(jù)是哪一端進(jìn)行加密來確定。opaquenonce_explioil[SecurityParameters.reopagdecontent[TLSCompress每個(gè)AEAD密碼套件應(yīng)指定提供給AEAD操作的隨租數(shù)。以及GeneticAEADCipher.nonce_explicit部分的長(zhǎng)度大小。AEAD加密模式般采用計(jì)數(shù)器模武。AEAD健的隨機(jī)數(shù)應(yīng)由顯式和隱式兩部分組成，顯式部分即noocexpler,客戶和服務(wù)損使用的隱式部分分用來自clent_orite_iv和額外認(rèn)證數(shù)據(jù)(additionaldata)定義如下additiomal_data=seq_nmLSComfsesed.typeAEAD的輸出是由AEAD施密操作的密文輸出組成。其長(zhǎng)度面常比LsCompreassed.length長(zhǎng)，但是多出的長(zhǎng)度在AEAD密碼算法中拜不統(tǒng)一因?yàn)槊艽a算法可能包括填充，所以開銷的數(shù)量可能隨著不同的TLSCompressed.length值而不同。每個(gè)AEAD密碼算法生成的擴(kuò)展應(yīng)不能多于1024比特。AEADEncrypted=AEAD-Encrypt(write_key,nonce,plaintext,addifional為了解密和驗(yàn)證，密碼算法把密鑰、隨機(jī)數(shù)、additional_data和AEADEncry為明文或者一個(gè)指示解密失敗的錯(cuò)誤。即：TLSCompressed.fragment=AEAD-Decrypt(write_key,nonce,AEADEncrypted,aditional_dat如果解密失敗，應(yīng)生成一個(gè)致命的bad_recordmae警告。6.4握手協(xié)議族握手協(xié)議族由密碼規(guī)格變更協(xié)議、握手協(xié)議和報(bào)警協(xié)議三個(gè)子協(xié)議組成，用于雙方協(xié)商出供記錄層使用的安全參數(shù)，進(jìn)行身份驗(yàn)證以及向?qū)Ψ綀?bào)告錯(cuò)誤。握手協(xié)議族負(fù)責(zé)協(xié)商出一個(gè)會(huì)話，這個(gè)會(huì)話包含以下內(nèi)容。會(huì)話標(biāo)識(shí)：由服務(wù)端選取的隨意的字節(jié)序列，用于識(shí)別活躍或可恢復(fù)的會(huì)話。證書：數(shù)字證書的格式應(yīng)符合GM/T0015。enum{change_cipher_spec(1)enum{warning(1),fatal(2),(255unexpected_message(1unsupported_certificate(protocol_version(70unsupported_site2site(20no_area(201).unsupported_areatype(20unsupported_ibcparam(2值級(jí)別不支持證書類型表1錯(cuò)誤報(bào)警表(續(xù))值級(jí)別拒絕訪問內(nèi)部錯(cuò)誤警告不支持的保護(hù)域類型在服務(wù)端發(fā)送完hello消息之后，接著發(fā)送自己的證書消息，服務(wù)端密鑰交換消息。如果服務(wù)端需要驗(yàn)證客戶端的身份，則向客戶端發(fā)送證書請(qǐng)求消息。然后發(fā)送服務(wù)端hello完成消息，表示hello消息階段已經(jīng)結(jié)束，服務(wù)端等待客戶端的返回消息。如果服務(wù)端發(fā)送了一個(gè)證書請(qǐng)求消息，客戶端應(yīng)返回一個(gè)證書消息。然后客戶端發(fā)送密鑰交換消息，消息內(nèi)容取決于客戶端hello消息和服務(wù)端hello消息協(xié)商出的密鑰交換算法。如果客戶端發(fā)送了證書消息，那么也應(yīng)發(fā)送一個(gè)帶數(shù)字簽名的證書驗(yàn)證消息供服務(wù)端驗(yàn)證客戶端的身份。接著客戶端發(fā)送密碼規(guī)格變更消息，然后客戶端立即使用剛協(xié)商的算法和密鑰，加密并發(fā)送握手結(jié)束消息。服務(wù)端則回應(yīng)密碼規(guī)格變更消息，使用剛協(xié)商的算法和密鑰，加密并發(fā)送握手結(jié)束消息。至此握手過程結(jié)束，服務(wù)端和客戶端可開始數(shù)據(jù)安全傳輸。握手消息流程見圖1。 >圖1握手消息流程如果客戶端和服務(wù)端決定重用之前的會(huì)話，可不必重新協(xié)商安全參數(shù)?？蛻舳税l(fā)送客戶端hello消息，并且?guī)弦赜玫臅?huì)話標(biāo)識(shí)。如果服務(wù)端有匹配的會(huì)話存在，服務(wù)端則使用相應(yīng)的會(huì)話狀態(tài)接受連接，發(fā)送一個(gè)具有相同會(huì)話標(biāo)識(shí)的服務(wù)端hello消息。然后客戶端和服務(wù)端各自發(fā)送密碼規(guī)格變更消息和握手結(jié)束消息。至此握手過程結(jié)束，服務(wù)端和客戶端可開始數(shù)據(jù)安全傳輸。如果服務(wù)端沒有匹配的會(huì)話標(biāo)識(shí)，服務(wù)端會(huì)生成一個(gè)新的會(huì)話標(biāo)識(shí)進(jìn)行一個(gè)完整的握手過程。會(huì)話重用的握手消息流程見圖2。ClientHello圖2重用的握手消息流程caseserver_key_exchange:casecertificate_request:caseserver_hello_done:casecertificate_verify:Certifcaseclient_key_exchcasefinished:client_hello(1),servecertificate(11),server_key_ecertificate_request(13),server_helcertificate_verify(15),client_key_Randomrandom;CipherSuitecipher_suitesCompressionMethodcompression_methods<1..2^8-1>;}其中：客戶端在這個(gè)會(huì)話中使用的協(xié)議版本。在本文件中，協(xié)議版本號(hào)是1.1?？蛻舳水a(chǎn)生的隨機(jī)信息，其內(nèi)容包括時(shí)鐘和隨機(jī)數(shù)，結(jié)構(gòu)定義如下：uint32gmt_unix_time;opaqyerandom_bytesgmlunitime為標(biāo)準(zhǔn)UNIX2位格武表示的發(fā)送者時(shí)硬，具值為規(guī)格樸威治時(shí)間的1970年1月1日零點(diǎn)到當(dāng)前時(shí)向的秒數(shù)。sesion_是一個(gè)可變長(zhǎng)學(xué)度其值由服務(wù)端決定，而果沒有面重用的會(huì)話標(biāo)識(shí)或希望協(xié)商安全參數(shù)，該字段應(yīng)為空，否則表示客護(hù)端希望重用該會(huì)話。這個(gè)會(huì)話標(biāo)識(shí)何能是之前的連接標(biāo)識(shí)、當(dāng)前連接標(biāo)識(shí)、或其他處于連接狀態(tài)的連接標(biāo)識(shí)。會(huì)話標(biāo)識(shí)生成后應(yīng)一直保持到被超時(shí)刪除或與這個(gè)會(huì)話相關(guān)的連接遇到致命錯(cuò)誤被關(guān)閉。一個(gè)會(huì)話失效或被關(guān)閉時(shí)則與其相關(guān)的連接都應(yīng)被強(qiáng)制關(guān)閉?？蛻舳怂С值拿艽a套件列表，客戶端應(yīng)按照密碼套件使用的優(yōu)先級(jí)順序排列，優(yōu)先級(jí)最高的密碼套件應(yīng)排在首位。如果會(huì)話標(biāo)識(shí)字段不為空，本字段應(yīng)至少包含將重用的會(huì)話所使用密碼套件定義如下：每個(gè)密碼套件包括一個(gè)密鑰交換算法、一個(gè)加密算法和一個(gè)校驗(yàn)算法。服務(wù)端將在密碼套件列表中選擇一個(gè)與之匹配的密碼套件，如果沒有可匹配的密碼套件，應(yīng)返回握手失敗報(bào)警消息handshake_failure并且關(guān)閉連接。本文件支持的密碼套件列表如表2所示。名稱加密值Randomrandom;CompressionMethodcompression_method;}opaqueextension_data<server_name(0),trusted_ca_keys(3),stsupported_groups(10),signatureapplication_layer_protocol_negotiation(16),標(biāo)識(shí)了具體的擴(kuò)展類型，具體的擴(kuò)展類型見ExtensionType的定義。具體的擴(kuò)展字段含義請(qǐng)見附錄A。其中擴(kuò)展字段類型和擴(kuò)展字段名稱對(duì)應(yīng)關(guān)系為：server_name對(duì)應(yīng)附錄A“A.5SignatureAlgorithm簽名算法”、application_layer_p服務(wù)端應(yīng)發(fā)送一個(gè)服務(wù)端證書消息給客戶端，該消息總是緊跟在服務(wù)端hello消息之后。當(dāng)選中證書格式應(yīng)符合GM/T0015,證書類型應(yīng)能適用于已經(jīng)確定的密鑰交換算法。密鑰交換算法與證書密鑰類型的關(guān)系如表3所示。證書密俱型EOe公鑰，應(yīng)使用加密證書中的公鑰ECC公，應(yīng)使用加密證中的公對(duì)于證書消息結(jié)構(gòu)如意ASN.IGertcertificateIBC標(biāo)識(shí)及公共參數(shù)結(jié)構(gòu)：opaqueASN.1IBCParamopaqueibc_id(1..2~16-1>:b)ibc_parameterIBC公共參數(shù)，內(nèi)容應(yīng)符合GM/T0081—2020附錄A定義的IBCSysParams結(jié)構(gòu)的DER編ServerKeyExchange消息enum(ECDHE,ECC,IBSDH,IBC,RSA}KeyExchServerECDHEParamsparams;opaqueclient_randoClientCertificateTypecertificate_tDistinguishedNamecertificate_authorities<0rsa_sign(1),sm2_sign(64),ibc_params(80),b)certificate_authori如果ClientCertificateType是ibc_params,opaqueDistinguishedName(消息參數(shù)是否可接受。如果可接受，客戶端繼續(xù)握手過程。否則發(fā)送一個(gè)Handshakefailure致命OpaqueClientECDHEParams<1..2-OpaqueClientIBSDHParamsopaqueECCEncryptedPreMasterSopaqueRSAEncryptedPreMasterSecreECParameterscurve_paraECPointpublic; ibs_sm3}SignatureAl digitally-signedstdigitally-signed}PRF(master_secret,finished_label,SM3(handshake_messages生成。master_secret=PRF(pre_master_secret,"mastersecret",ClientHello.random+ServerHello.rakey_block=PRF(SecurityParameters.master_secret,"keyexpansion",client_wrile_IV[SecunuParanteters.fiyedv_leng輸時(shí)所采用的報(bào)文格式(包括控制報(bào)文與數(shù)據(jù)報(bào)文),以及控制報(bào)文交換迥程和數(shù)據(jù)報(bào)文封裝過程。網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議采用記錄層協(xié)議作為底層的承載協(xié)議，和握手協(xié)議在同一層次，使用80作為協(xié)議類型編enum{command(0),data(1),(255)}Site2Sicasecommand:Site2SiArealistarealist<0..enum{subnet_ipv4(0),subnet_ipv6(1),range_ipv4(2),range_ipv6(3),(uintl6port;個(gè)值表示地址范圍的結(jié)束地址。落在這兩個(gè)地址區(qū)間的所有IP地址都被認(rèn)為屬于該地址范圍之內(nèi)。表示ipv6的子網(wǎng)地址。由一個(gè)128位和一個(gè)8位的值構(gòu)成。第一個(gè)值表示ipv6子網(wǎng)地址，第二個(gè)值表示子網(wǎng)地址的前綴長(zhǎng)度。該長(zhǎng)度表示128位的子網(wǎng)地址的前若干位為固定值，剩下的后若干位為通配值。表示ipv6的地址范圍。由兩個(gè)128位的值組成，第一個(gè)值表示地址范圍的起始地址，第二個(gè)值表示地址范圍的結(jié)束地址。落在這兩個(gè)地址區(qū)間的所有IP地址都被認(rèn)為屬于該地址范圍之內(nèi)。網(wǎng)關(guān)到網(wǎng)關(guān)數(shù)據(jù)報(bào)文，內(nèi)容為原始的完整IP報(bào)文。6.6.3控制報(bào)文交換過程控制報(bào)文的交換過程由通信雙方的任何一方發(fā)起，通知對(duì)方自己所保護(hù)的網(wǎng)絡(luò)信息。在握手協(xié)議完成之后可發(fā)送控制報(bào)文，使用握手協(xié)議協(xié)商好的安全參數(shù)保護(hù)控制報(bào)文。在網(wǎng)關(guān)薊網(wǎng)關(guān)的數(shù)據(jù)報(bào)文傳輸過程國(guó)如果接收到新的傳遞保護(hù)域的控制報(bào)文，將觸發(fā)該連接的重用過程，詳見6.44。6.6.4數(shù)據(jù)報(bào)立出入站過程SSLVPN網(wǎng)關(guān)之間通過握手協(xié)議建立81連接，將該連接與本地和對(duì)端的保護(hù)域進(jìn)行綁定，出入站的IP報(bào)文應(yīng)與對(duì)端和本地的保護(hù)域進(jìn)行四配。本地新對(duì)端保護(hù)域可通過控制報(bào)文獲取，也可人工配置。本地保操域內(nèi)的IP報(bào)文在通過SSIVPN轉(zhuǎn)發(fā)時(shí)，SSLVPN根據(jù)該報(bào)文的唐的IIP地址和源IP地址信息查找匹配的對(duì)端保護(hù)域及本地保護(hù)域，獲取相應(yīng)的有效SSL連接。然后將整介IP報(bào)文作為記錄層的數(shù)據(jù)內(nèi)容封裝在該連接的記錄層之上，通過記錄層傳送，封裝格式詳見6.38。如果沒有相應(yīng)的有效連接，則觸發(fā)新的握手過程或者該連接的重用過程，詳見6.4.4,協(xié)商建立或者更新相應(yīng)的連接。如果查找不到相應(yīng)的保護(hù)域，根據(jù)本地安全策略丟棄該報(bào)文或者進(jìn)行其他處理。入站報(bào)文處理對(duì)入站的數(shù)據(jù)報(bào)文進(jìn)行解密、校驗(yàn)、解壓縮操作，然后對(duì)于恢復(fù)出的IP報(bào)文，首先根據(jù)目的IP地址和源IP地址信息查找匹配的本地保護(hù)域及對(duì)端保護(hù)域，并檢查和該SSL連接的綁定關(guān)系是否一致，對(duì)于查找到對(duì)應(yīng)保護(hù)域并符合綁定關(guān)系的IP報(bào)文，進(jìn)行路由和轉(zhuǎn)發(fā)。如果查找不到相應(yīng)的保護(hù)域或者不符合綁定關(guān)系的IP報(bào)文，根據(jù)本地安全策略丟棄該報(bào)文或者進(jìn)行其他處理。7產(chǎn)品