GM/T 0024-2023SSL VPN 技術(shù)規(guī)范

ICS35030

CCSL.80

中華人民共和國(guó)密碼行業(yè)標(biāo)準(zhǔn)

GM/T0024—2023

代替GM/T0024—2014

SSLVPN技術(shù)規(guī)范

SSLVPNspecification

2023-12-04發(fā)布2024-06-01實(shí)施

國(guó)家密碼管理局發(fā)布

GM/T0024—2023

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

符號(hào)和縮略語(yǔ)

4……………1

符號(hào)

4.1…………………1

縮略語(yǔ)

4.2………………2

密碼算法和密鑰種類

5……………………2

密碼算法

5.1……………2

密鑰種類

5.2……………3

協(xié)議

6………………………3

概述

6.1…………………3

數(shù)據(jù)類型定義

6.2………………………4

記錄層協(xié)議

6.3…………………………4

握手協(xié)議族

6.4…………………………9

密鑰計(jì)算

6.5……………24

網(wǎng)關(guān)到網(wǎng)關(guān)協(xié)議

6.6……………………24

產(chǎn)品要求

7…………………26

產(chǎn)品功能要求

7.1………………………26

產(chǎn)品性能參數(shù)

7.2………………………27

安全管理要求

7.3………………………27

產(chǎn)品檢測(cè)

8…………………29

產(chǎn)品功能檢測(cè)

8.1………………………29

產(chǎn)品性能檢測(cè)

8.2………………………29

安全管理檢測(cè)

8.3………………………30

判定規(guī)則

9…………………31

附錄資料性擴(kuò)展字段說(shuō)明

A()…………32

參考文獻(xiàn)

……………………35

Ⅰ

GM/T0024—2023

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

本文件代替技術(shù)規(guī)范與相比除結(jié)構(gòu)調(diào)整和

GM/T0024—2014《SSLVPN》,GM/T0024—2014,

編輯性改動(dòng)外主要技術(shù)變化如下

,:

增加了見(jiàn)見(jiàn)第章見(jiàn)

a)GB/T36624—2018(5.1.2)、GB/T25069(2)、GM/T0081—2020(6.4.5.3

和見(jiàn)和見(jiàn)第章

6.4.5.4)、GM/T0090—2020(6.4.5.3)GM/Z4001(2);

刪除了術(shù)語(yǔ)數(shù)字證書(shū)見(jiàn)年版的初始化向量值見(jiàn)年版的協(xié)

b)“”(20143.1)、“/”(20143.5)、“SSL

議見(jiàn)年版的載荷見(jiàn)年版的會(huì)話見(jiàn)年版的算

”(20143.6)、“”(20143.7)、“”(20143.8)、“SM1

法見(jiàn)年版的算法見(jiàn)年版的算法見(jiàn)年版的

”(20143.9)、“SM2”(20143.10)、“SM3”(2014

算法見(jiàn)年版的算法見(jiàn)年版的橢圓曲線密碼

3.11)、“SM4”(20143.12)、“SM9”(20143.13)、“

算法見(jiàn)年版的算法見(jiàn)年版的證書(shū)認(rèn)證機(jī)構(gòu)見(jiàn)年

”(20143.14)、“RSA”(20143.15)、“”(2014

版的和密鑰管理中心見(jiàn)年版的

3.16)“”(20143.17);

增加了縮略語(yǔ)和見(jiàn)

c)“AEAD”“ADD”“GCM”“HMAC”“IV”“TLCP”(4.2);

刪除了算法及算法的介紹見(jiàn)年版的和增加了加密模

d)SHA-1SM1(20145.1.25.1.3),GCM

式見(jiàn)

(5.1.2);

更改了客戶端密鑰中的簽名密鑰由對(duì)應(yīng)的客戶端密碼模塊產(chǎn)生例如智能密碼鑰匙見(jiàn)

e)()(

年版的

5.2.6,20145.2.3);

增加了密碼雜湊算法的描述見(jiàn)

f)(5.1.3);

增加了對(duì)版本號(hào)值的定義見(jiàn)

g)[6.3.3.2b)];

增加了固定的初始向量長(zhǎng)度見(jiàn)

h)fixed_iv_length(6.3.2);

增加了客戶端寫(xiě)初始向量和服務(wù)端寫(xiě)初始向量見(jiàn)

i)clientwriteivserverwriteiv(6.3.2);

增加了帶關(guān)聯(lián)數(shù)據(jù)的可鑒別的加密的數(shù)據(jù)處理見(jiàn)

j)“(AEAD)”(6.3.3.4.4)

更改了表密碼套件列表見(jiàn)表年版的表

k)2“”(2,20142);

增加了是否需要擴(kuò)展的選擇和的描述見(jiàn)和

l)extensions(6.4.5.2.16.4.5.2.2);

增加了消息擴(kuò)展字段見(jiàn)

m)“Hello”(6.4.5.2.3);

更改了中的一個(gè)枚舉類型見(jiàn)年版的

n)certificate_types[6.4.5.5a),20146.4.4.4a)]

增加了和

o)client_write_IV[SecurityParameters.fixed_iv_length]server_write_IV[SecurityPa-

見(jiàn)

rameters.fixed_iv_length](6.5.2);

更改了消息中的版本為見(jiàn)年版的

p)ClientKeyExchangePKCS#12.1(6.4.5.8,20146.4.4.7);

更改了消息中的見(jiàn)年版的

q)CertificateVerifyopaquesha1_hash[20](6.4.5.9,20146.4.4.8);

增加了消息的擴(kuò)展字段見(jiàn)

r)ClientHelloclient_id(6.4.5.2.3);

增加了消息中字段的內(nèi)容定義見(jiàn)

s)ServerCertificateibc_parameter(6.4.5.3);

更改了消息中當(dāng)密鑰交換算法為時(shí)的內(nèi)容定義

t)ServerKeyExchangesigned_params,IBC

見(jiàn)年版的

(6.4.5.4,20146.4.4.3);

刪除了身份鑒別見(jiàn)年版的

u)“”(20147.1.5);

更改了報(bào)文流量為必備功能見(jiàn)年版的

v)“”(7.1.6,20147.1.7);

刪除了客戶端主機(jī)安全檢查見(jiàn)年版的

w)“”(20147.1.8);

更改了服務(wù)端密鑰的描述見(jiàn)年版的

x)“”(7.3.1.1,20147.3.1.1.1);

Ⅲ

GM/T0024—2023

更改了名稱為見(jiàn)和年版的和

y)“SSL”“TLCP”(7.2.17.2.2,20147.2.27.2.3);

增加了實(shí)例釋放時(shí)應(yīng)銷(xiāo)毀見(jiàn)

z)“”(7.3.1.1);

更改了硬件安全的標(biāo)題和內(nèi)容見(jiàn)年版的

aa)“”(7.3.1.3,20147.3.1.2.1);

增加了擴(kuò)展字段說(shuō)明見(jiàn)附錄

bb)“”(A)。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由密碼行業(yè)標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

。

本文件起草單位格爾軟件股份有限公司北京信安世紀(jì)科技股份有限公司螞蟻科技集團(tuán)股份有

:,、

限公司飛天誠(chéng)信股份有限公司山東漁翁信息技術(shù)股份有限公司山東得安信息技術(shù)有限公司北京天

、、、、

威誠(chéng)信電子商務(wù)服務(wù)有限公司廣東省電子商務(wù)認(rèn)證有限公司北京國(guó)脈信安科技有限公司智巡密碼

、、、

上海檢測(cè)技術(shù)有限公司天融信科技股份有限公司山東大學(xué)華為技術(shù)有限公司阿里云計(jì)算有限公

()、、、、

司深圳市深信服電子科技有限公司深圳市奧聯(lián)科技有限公司網(wǎng)御神州科技北京有限公司中電科

、、、()、

網(wǎng)絡(luò)安全科技股份有限公司無(wú)錫江南信息安全工程技術(shù)中心長(zhǎng)春吉大正元信息技術(shù)股份有限公司

、、、

北京東方華盾信息技術(shù)有限公司中國(guó)國(guó)際電子商務(wù)有限公司聯(lián)想網(wǎng)御科技北京有限公司上海安

、、()、

達(dá)通信息安全有限公司

。

本文件主要起草人劉平鄭強(qiáng)汪宗斌楊洋李延昭譚武征黃敏朱鵬飛羅俊王鵬胡金山

:、、、、、、、、、、、

趙敏梁寧寧藥樂(lè)韓瑋安高峰孔凡玉曾建發(fā)但波韓琳

、、、、、、、、。

本文件所代替文件的歷次版本發(fā)布情況為

:

年首次發(fā)布為

———2014GM/T0024—2014;

本次為第一次修訂

———。

Ⅳ

GM/T0024—2023

SSLVPN技術(shù)規(guī)范

1范圍

本文件規(guī)定了的技術(shù)協(xié)議產(chǎn)品功能要求產(chǎn)品性能參數(shù)和安全管理要求

SSLVPN、、。

本文件適用于產(chǎn)品的研制也適用于指導(dǎo)產(chǎn)品的檢測(cè)管理和使用

SSLVPN,SSLVPN、。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069

信息技術(shù)安全技術(shù)可鑒別的加密機(jī)制

GB/T36624—2018