開發十年，就只剩下這套架構體系了！ >>>   

國密瀏覽器需要遵循國密SSL協議規範GM/T 0024-2014。 GM/T 0024-2014沒有單獨規範 SSL協議的檔案，而是在SSL VPN技術規範中定義了國密SSL協議。國密SSL協議（SSL VPN協議）包括握手協議、密碼規格變更協議、報警協議、閘道器到閘道器協議和記錄層協議。握手協議用於身份鑑別和安全引數協商；密碼規格變更協議用於通知安全引數的變更；報警協議用於關閉通知或對錯誤進行報警；閘道器到閘道器協議用於建立閘道器和閘道器的傳輸層隧道；記錄層協議用於傳輸資料的分段、壓縮及解壓縮、加密及解密、完整性校驗等。 

 

一、SSL握手協議的過程

國密SSL握手協議過程如下：

(1)交換Hello訊息來協商密碼套件，交換隨機數，決定是否會話重用；

(2)交換必要的引數，協商預主金鑰

(3)交換證書資訊，用於驗證對方

(4)使用預主金鑰和交換的隨機數生成主金鑰

(5)向記錄層提供安全引數

(6)驗證雙方計算的安全引數的一致性、握手過程的真實性和完整性

 

國密瀏覽器客戶端傳送Hello訊息給服務端，服務端迴應服務端Hello訊息。國密瀏覽器客戶端Hello和服務端hello用於在客戶端和服務端進行基於ECC演算法（或其他密碼演算法）的協商，以及確定安全傳輸能力，包括協議版本、會話表示、密碼套件等屬性，併產生和交換隨機數。

在客戶端hello和服務端hello之後是身份驗證和金鑰交換過程。包括服務端證書、服務端金鑰交換，客戶端證書、客戶端金鑰交換。在服務端傳送完hello之後，傳送自己的證書訊息，服務端金鑰交換訊息。如果服務端需要驗證客戶端身份，則向客戶端傳送證書請求資訊，客戶端返回訊息。

然後國密瀏覽器客戶端發生金鑰交換訊息，協商金鑰交換演算法。接著客戶端傳送密碼規格變更訊息，然後客戶端立即使用剛協商的演算法和金鑰，加密併發送握手結束訊息。服務端迴應密碼規格變更訊息，使用剛協商的演算法和金鑰加密併發送握手結束訊息。至此，握手過程結束，服務端和客戶端開始資料安全傳輸。

二、國密標準支援的密碼套件

國密SSL協議規範要求，客戶端(國密瀏覽器)所支援的密碼套件列表，按照密碼套件使用的優先順序順序排列，優先順序最高的密碼套件排在首位。每個密碼套件包括一個密碼交換演算法、一個加密演算法和一個校驗演算法。伺服器端將在密碼套件列表中選擇一個與之匹配的密碼套件，如果沒有可匹配的密碼套件，應返回握手失敗報警訊息並關閉連線。GMT 0024-2014國密標準支援的密碼套件如下表所示。其中，實現ECC和ECDHE的演算法為SM2，實現IBC和IBSDH的演算法為SM9，RSA演算法的使用應符合國家密碼管理主管部門的要求。 

三、國密瀏覽器展示國密SSL證書的效果

使用密信國密瀏覽器訪問配置國密SSL證書的站點（國密SSL測試站點sm2test.ovss.cn），實現SM2 SSL證書的顯示效果如下圖。點選瀏覽器安全鎖標識，詳情中顯示該連線使用GM/T 0024-2014(國密SM2)，使用ECC_SM4_SM3進行加密，同時使用SM3進行訊息身份驗證並使用SM2作為金鑰交換機制。 

密信瀏覽器（MeSince Browser）是沃通CA子公司密信技術獨立研發的一款國密瀏覽器。密信瀏覽器（MeSince Browser）基於 Chromium開源專案開發，完整支援SM2/SM3/SM4等國產密碼演算法及安全協議，遵循國家標準技術規範，併兼容國際演算法體系，同時支援國密演算法SSL證書和國際演算法SSL證書，滿足國密演算法使用需求，提供簡潔快速的瀏覽體驗。目前，密信瀏覽器已推出Windows版本（32位和64位），未來將逐步推出Linux、Mac及移動端版本。 

密信國密瀏覽器（www.mesince.com/browser）的釋出具有重要意義，密信國密瀏覽器與沃通提供的國密SM2 SSL證書、伺服器國密演算法支援模組等產品相結合，形成從客戶端、伺服器端到數字證書的國密演算法全生態支援體系。

相關推薦