GM/T 0024-2023 SSL VPN 技术规范

ICS35.030

CCSL80

中华人民共和国密码行业标准

/—

GMT00242023

代替/—

GMT00242014

SSLVPN技术规范

SSLVPNsecification

p

2023-12-04发布2024-06-01实施

国家密码管理局发布

/—

GMT00242023

目次

前言…………………………Ⅲ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………1

4符号和缩略语……………1

4.1符号…………………1

4.2缩略语………………2

5密码算法和密钥种类……………………2

5.1密码算法……………2

5.2密钥种类……………3

6协议………………………3

6.1概述…………………3

6.2数据类型定义………………………4

6.3记录层协议…………………………4

6.4握手协议族…………………………9

6.5密钥计算……………24

6.6网关到网关协议……………………24

7产品要求…………………26

7.1产品功能要求………………………26

7.2产品性能参数………………………27

7.3安全管理要求………………………27

8产品检测…………………29

8.1产品功能检测………………………29

8.2产品性能检测………………………29

8.3安全管理检测………………………30

9判定规则…………………31

()…………

附录资料性扩展字段说明

A32

参考文献……………………35

Ⅰ

/—

GMT00242023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

/—《》,/—,

本文件代替GMT00242014SSLVPN技术规范与GMT00242014相比除结构调整和

,:

编辑性改动外主要技术变化如下

)/—()、/()、/—(

增加了见见第章见

aGBT3662420185.1.2GBT250692GMT008120206.4.5.3

)、/—()/();

和见和见第章

6.4.5.4GMT009020206.4.5.3GMZ40012

)“”()、“/”()、“

b删除了术语数字证书见2014年版的3.1初始化向量值见2014年版的3.5SSL协

”()、“”()、“”()、“

议见2014年版的3.6载荷见2014年版的3.7会话见2014年版的3.8SM1算

”()、“”()、“”(

法见2014年版的3.9SM2算法见2014年版的3.10SM3算法见2014年版的

)、“”()、“”()、“

3.11SM4算法见2014年版的3.12SM9算法见2014年版的3.13椭圆曲线密码

”()、“”()、“”(

算法见2014年版的3.14RSA算法见2014年版的3.15证书认证机构见2014年

)“”();

版的3.16和密钥管理中心见2014年版的3.17

)“”“”“”“”“”“”();

增加了缩略语和见

cAEADADDGCMHMACIVTLCP4.2

)(),

删除了算法及算法的介绍见年版的和增加了加密模

dSHA-1SM120145.1.25.1.3GCM

();

式见5.1.2

)()(

e更改了客户端密钥中的签名密钥由对应的客户端密码模块产生例如智能密码钥匙见

,年版的);

5.2.620145.2.3

)();

f增加了密码杂凑算法的描述见5.1.3

)[)];

g增加了对版本号值的定义见6.3.3.2b

)__();

h增加了fixedivlenth固定的初始向量长度见6.3.2

g

)();

增加了客户端写初始向量和服务端写初始向量见

iclientwriteivserverwriteiv6.3.2

)“()”()

j增加了带关联数据的可鉴别的加密AEAD的数据处理见6.3.3.4.4

)“”(,);

更改了表密码套件列表见表年版的表

k2220142

)();

增加了是否需要扩展的选择和的描述见和

lextensions6.4.5.2.16.4.5.2.2

)“”();

m增加了Hello消息扩展字段见6.4.5.2.3

)_[),)]

n更改了certificatetes中的一个枚举类型见6.4.5.5a2014年版的6.4.4.4a

yp

)增加了__[__]和__[

oclientwriteIVSecuritParameters.fixedivlenthserverwriteIVSecuritPa-

ygy

__]();

rameters.fixedivlenth见6.5.2

g

)(,);

更改了消息中的版本为见年版的

ClientKeExchanePKCS#12.16.4.5.820146.4.4.7

pyg

)_[](,);

更改了消息中的见年版的

CertificateVerifoauesha1hash206.4.5.920146.4.4.8

qypq

)_();

增加了消息的扩展字段见

rClientHelloclientid6.4.5.2.3

)_();

s增加了ServerCertificate消息中ibcarameter字段的内容定义见6.4.5.3

p

)_,

t更改了ServerKeExchane消息sinedarams中当密钥交换算法为IBC时的内容定义

yggp

(,);

见6.4.5.42014年版的6.4.4.3

)“”();

u删除了身份鉴别见2014年版的7.1.5

)“”(,);

v更改了报文流量为必备功能见7.1.62014年版的7.1.7

)“”();

w删除了客户端主机安全检查见2014年版的7.1.8

)“”(,);

x更改了服务端密钥的描述见7.3.1.12014年版的7.3.1.1.1

Ⅲ

/—

GMT00242023

)“”“”(,);

更改了名称为见和年版的和

ySSLTLCP7.2.17.2.220147.2.27.2.3

)“”();

z增加了实例释放时应销毁见7.3.1.1

)“”(,);

aa更改了硬件安全的标题和内容见7.3.1.32014年版的7.3.1.2.1

)“”()。

bb增加了扩展字段说明见附录A

。。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

本文件由密码行业标准化技术委员会提出并归口。

:,、

本文件起草单位格尔软件股份有限公司北京信安世纪科技股份有限公司蚂蚁科技集团股份有

、、、、

限公司飞天诚信股份有限公司山东渔翁信息技术股份有限公司山东得安信息技术有限公司北京天

、、、

威诚信电子商务服务有限公司广东省电子商务认证有限公司北京国脉信安科技有限公司智巡密码

()、、、、

上海检测技术有限公司天融信科技股份有限公司山东大学华为技术有限公司阿里云计算有限公

、、、()、

司深圳市深信服电子科技有限公司深圳市奥联科技有限公司网御神州科技北京有限公司中电科

、、、

网络安全科技股份有限公司无锡江南信息安全工程技术中心长春吉大正元信息技术股份有限公司

、、()、

北京东方华盾信息技术有限公司中国国际电子商务有限公司联想网御科技北京有限公司上海安

达通信息安全有限公司。

:、、、、、、、、、、、

本文件主要起草人刘平郑强汪宗斌杨洋李延昭谭武征黄敏朱鹏飞罗俊王鹏胡金山

、、、、、、、、。

赵敏梁宁宁药乐韩玮安高峰孔凡玉曾建发但波韩琳

本文件所代替文件的历次版本发布情况为:

———年首次发布为/—;

2014GMT00242014

———本次为第一次修订。

Ⅳ

/—

GMT00242023

SSLVPN技术规范

1范围

、、。

本文件规定了SSLVPN的技术协议产品功能要求产品性能参数和安全管理要求

,、。

本文件适用于SSLVPN产品的研制也适用于指导SSLVPN产品的检测管理和使用

2规范性引用文件

。,

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

,;,()

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

本文件。

/信息安全技术术语

GBT25069

/—信息技术安全技术可鉴别的加密机制

GBT366242018

/随机性检测规范

GMT0005

/密码算法使用规范

GMT0009SM2

/密码算法加密签名消息语法规范

GMT0010SM2

/基于密码算法的数字证书格式规范

GMT0015SM2

/智能密码钥匙密码应用接口规范

GMT0016

/—密码算法加密签名消息语法规范

GMT00812020SM9

/—标识密码应用标识格式规范

GMT00902020

/密码术语

GMZ4001

3术语和定义

/和/界定的以及下列术语和定义适用于本文件。

GBT25069GMZ4001

3.1

IBC算法identitbasedcrtorahalorithm

yypgpyg

/。

基于用户实体唯一性身份标识和系统主密钥而生成用户密钥的密码机制

3.2

IBC标识IBCidentit

y

,。

由实体无法否认的信息组成可唯一确定一个实体的身份

:、、、、。

注如实体的可识别名称电子邮箱身份证号电话号码街道地址等

3.3

IBC公共参数IBCublicarameter

pp

、。

为IBC系统的用户提供包括密码算法参数系统策略和用户标识变化等相关公开信息的服务

4符号和缩略语

4.1符号

下列符号适用于本文件。

1