TLCP的过去、现在与未来

最新推荐文章于 2024-05-17 14:36:29 发布
最新推荐文章于 2024-05-17 14:36:29 发布
阅读量841 收藏 5
点赞数
文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Geor_ge_/article/details/119868677
版权

TLCP的过去、现在与未来

1 起源

​ Internet和WWW的出现,掀起了信息化浪潮而且经久不衰。如果现实世界一样,有价值的数据和信息,引来了了各种攻击和威胁,信息安全变得越来越重要。作为互联网基石技术之一HTTP,其安全的重要性不言而喻,HTTPS正是为解决HTTP安全而提出安全协议和规范。

​ HTTPS全称为HTTP over SSL,而SSL正是由早期WWW霸主Netscape提出的安全协议,其中SSLv3.0从1996年提出,并成为事实上的安全标准长达10年之久。后来IETF以SSLv3.0为基础,提出了新的TLS规范,版本由1.0发展到现在的1.3,替代SSL成为HTTPS的主要安全协议基础。

​ HTTPS是信息安全的一个最佳典范之一。仅仅是简单的在地址栏增加一个字母“S”,在用户几乎无感的情况下,就近乎完美地解决了HTTP的安全问题,包括数据传输的安全问题和网站身份的真实性问题。不但用户无感,而且对Web开发而言也几乎是透明的。

​ 为了成就这个最佳典范,则是数学家、密码学家、安全专家、CA厂商、Web浏览器厂商、Web服务器厂商以及一些列的相关安全厂商(比如密码加速芯片厂商和密码加速卡厂商)通力合作的结果。可以说,为了以一种极简和极致的方式解决HTTP的安全,整个学界和业界使出了洪荒之力。

在这里插入图片描述
图1 TLS发展示意图(摘自ttp://www.bewindoweb.com/271.html | 三颗豆子)

2 过去

​ 密码算法是安全协议的核心和基础,因此为了确保国家信息安全安全,国内的HTTPS和SSLVPN等协议和产品,就不能直接采用国际TLS标准及其密码算法,因此需要一个采用国产商用密码算法的类SSL传输层安全协议,即国密版类SSL协议,简称国密SSL。

​ 最早国密SSL是作为密码行业标准存在的,且不是一个独立的协议标准,而是定义在SSVLPN产品的技术规范里,即《GM/T 0024-2014 SL VPN技术规范》。对应的国密HTTPS就是基于国密SSL的安全HTTP。

​ 国密SSL参照了TLSv1.0规范,整个协议握手和加密国产基本一致,但和TLSv1.0并不兼容。主要的不同体现在三个地方:

1) 协议的版本号不同,握手和加密协议细节不同;

2) 协议采用的主要是SM2/SM3/SM4算法,不同于TLS采用的国际密码算法;

3) 采用的是SM2双证书体系。

​ 国密SSL是一个基础的核心安全协议,因为和TLS不兼容,因此国密HTTPS大规模普及碰到了一系列苦难。首选是国际主流浏览器不支持,其实是国际主流Web服务器不支持,再就是国际主流的CA和证书体系也不支持。

​ 随之国内信息安全的不断发展和各方的努力,国密SSL和国密HTTPS已经由了长足的发展和进步,可以说相关产业链已经达到了可以初步替代TLS和国际HTTPS的水平。相关的国密浏览器、国密SSL网关、国密中间件等已经广泛应用。

在这里插入图片描述

图2 国密SSL行标(摘自《GM/T 0024-2014**》封面**)

3 现在

​ 国家更加重视网络安全和信息安全,《密码法》相继生效。相应地,国密SSL的从密码行业标准上升到了独立的国家标准,这就是《GB/T 38636-2020 信息安全技术 传输层密码协议(TLCP)》。《GB/T 38636-2020》基本兼容《GM/T 0024-2014**》,**主要变化如下:

1)增加了GCM的密码套件,ECC_SM4_GCM_SM3和ECDHE_SM4_GCM_SM3;

2)去掉了行标《GM/T 0024-2014》中的涉及SM1和RSA的密码套件。

​ 国内对TLCP的跟进很迅速。国密浏览器端,360安全浏览器在2020年支持了TLCP,奇安信可信浏览器在2021年也支持了TLCP。国密服务器和网关端,也积极跟进了TLCP的支持,比如https://www.gmssl.cn实现了nginx、apache、tomcat、netty、springboot的TLCP支持。

​ 国密SSL上升为国标意义重大,为等级保护和密码评测提供了更好的标准支撑,同时也为产品网络和行业普及指明了目标和方向。

在这里插入图片描述

图3 国密SSL国标(摘自《GB/T 38636-2020》封面

4未来

​ 从目前的全球竞争环境和国家的意志来看,我国大力推行基于中国国家标准的网络安全和信息案标准是必然趋势。TLCP刚刚成为国家标准,并且TLCP相关的规范都已经国标化或将要国标化,因此TLCP势必在今后较长的一段时间内是作为主流规范存在的,其权威性不容置疑。

​ 国际规范方面,IETF出现了一个RFC8998(https://www.ietf.org/rfc/rfc8998.txt),增加了国密算法套TLS_SM4_GCM_SM3和TLS_SM4_CCM_SM3 ,且基于SM2单证书实现。需要注意的是RFC8998并不是Standards Track,而只是一个informational文档。

​ RFC8998是一个有益的尝试,但在国际上不太可能被chrome和edge等主流国际浏览器支持,并且还得国际主流CA也得支持SM2证书,而在国内又不兼容TLCP国家标准,其前景并不明朗,甚至说是一个尴尬的存在。

​ 随着应用场景的拓展,以及技术的不断迭代,在更远的将来,TLCP本身也一定会吸收包括TLS1.3在内的各种先进思想和技术,继续推出TLCP的新的版本。同时比较明确的是,TLCP依然会走中国特色的自有标准之路,国产密码产业也会有更光明的未来。

5资源

TLCP全文下载:https://www.tlcp.com.cn/down/gbt_38636.pdf

TLCP服务器检测:https://www.tlcp.com.cn/index.jsp

TLCP浏览器检测:https://www.tlcp.com.cn/scan/browser.jsp

Geor_ge_
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于腾讯Kona编写的jmeter取样器,根据tcp取样器编写tlcp取样器
06-04
基于腾讯Kona编写的jmeter取样器,根据tcp取样器编写tlcp取样器 1、需要结合腾讯的JDK使用,运行jmeter的jdk为腾讯的jdk 2、需要更换证书内容
电信数智商用密码评估(密评)商密版抓包工具
07-10
支持最新的密码行业标准、国家标准,将SM2、SM3、SM4、SM1等...支持最新的RFC 8998 ,支持TLCP国家标准。 欢迎业界朋友使用该工具,对自己的系统进行自评估。 欢迎各界朋友与中电信数智密评中心交流技术,洽谈业务。
【6】密评中对服务端采用“挑战-响应”机制进行身份鉴别的验证
司徒荆的博客
01-23 1484
密评中对服务端采用“挑战-响应”机制进行身份鉴别的验证
国密SSL(TLCP)的过去现在未来
gmssl的博客
08-23 3787
国密SSL(TLCP)的过去现在未来1 起源2 过去3现在4未来5资源 1 起源 Internet和WWW的出现,掀起了信息化浪潮而且经久不衰。如果现实世界一样,有价值的数据和信息,引来了了各种攻击和威胁,信息安全变得越来越重要。作为互联网基石技术之一HTTP,其安全的重要性不言而喻,HTTPS正是为解决HTTP安全而提出安全协议和规范。 HTTPS全称为HTTP over SSL,而SSL正是由早期WWW霸主Netscape提出的安全协议,其中SSLv3.0从1996年提出,并成为事实上的安全标准长达
java集成国密SM4
最新发布
Cjh20pan的博客
05-17 612
在项目中有接触到使用国密SM4进行数据加密,因此整理一份java实现国密SM4的文档;关于SM4是对称加密算法,因此只需要一对密钥即可;根据不同的工作模式,需要提供额外的参数;
构建网络信息安全的中国方案 - 国密SSL/TLCP协议介绍以及国密Nginx服务器部署
new9232的博客
01-07 4074
国密SSL协议指的是采用国密算法,符合国密标准的安全传输协议。简而言之,国密SSL就是SSL/TLS协议的国密版本。
国密https访问
fenglllle的博客
10-21 3729
现在的SSL的加密算法实际上主要是国际算法,包括JDK,Go等语言也仅支持国际算法加密(毕竟是国外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法传输层密码协议(TLCP)GB/T 38636-2020:传输层密码协议该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加密证书。
国密(GmSSL)算法SM4之GCM模式
luobobaicaitou的博客
09-26 5675
本文将介绍如何使用java实现SM4算法的GCM模式加解密,并提供相应的代码示例。加解密底层实现基于gmssl c 实现,通过java native方式调用。参考关志老师的国密算法实现:https://github.com/guanzhi/GmSSL本文是国密算法java实现的一系列文章内容之一。欢迎各位家人们观赏并提供宝贵意见,如您对此文章感兴趣欢迎关注和交流。GmSSL密码库的Java语言封装。
【密码算法 之七】GCM 浅析
KXue0703的博客
04-16 8145
GCM 全称为 Galois/Counter Mode,其中 G 是指 GMAC,C 是指 CTR 模式,可以将 GCM 认为是认证模式的一种,提供认证和加密两种功能。GCM模式的分组大小为128bit。在进行GCM原理分析之前,首先应该了解一下GHASH函数及GCTR函数。GCM运算所需的对称加密算法的分组长度必须是128bit(DES\3DES不满足添加,AES\SM4满足条件);加密时,在计算MAC之前必别将附加数据(A)及密文(C)分别进行Block对齐;
基于C语言实现TCP/IP协议的手法(源码)
03-16
接受客户端连接:使用 accept 函数接受客户端的连接请求,并创建一个新的套接字用于与客户端进行通信。 从客户端接收数据:使用 read 函数从客户端接收数据。 向客户端发送消息:使用 send 函数向客户端发送消息。 ...
编译好的GMSSL3.0(x86架构)
12-30
具体使用方法与arm64架构相同
加捻对热致液晶聚芳酯初生纤维拉伸性能的影响 (2012年)
05-18
热致液晶聚芳酯(TLCP)的特殊化学结构使其具有高强度、高模量、低粘度、易加工等诸多优良特性,且TLCPA纤维力学性能对其应用于纺织业具有举足轻重的作用。本论文主要研究加捻对TLCP纤维力学性能的影响,探究其影响...
数字证书基础
markey1的博客
09-13 1849
[此文档是着手处理数字证书模块前的准备工作,图片是网上找的] 提出问题: 1.非对称加密中公私钥都可以加密,那么什么时候用公钥加密,什么时候用私钥“加密” ? 2.什么是数字签名,数字签名的作用是什么? 3.为什么要对数据的摘要进行签名,而不是直接计算原始数据的数字签名? 4.什么是数字证书,数字证书解决了什么问题? 这篇文档,主要围绕数字签名和数字证书的原理以及它们的作用展开。 1.什么是加密 加密:对明文数据按某种特殊算法进行处理,使其成为不可读的一段代码,通常称为“密文“, 密文通过”密钥“解密后还原
JS实现SM4 GCM分组
gltncx11的博客
04-29 3106
index.js(sm4 算法实现 cbc,ecb分组) /* eslint-disable no-bitwise, no-mixed-operators, complexity */ const DECRYPT = 0 const ROUND = 32 const BLOCK = 16 const Sbox = [ 0xd6, 0x90, 0xe9, 0xfe, 0xcc, 0xe1, 0x3d, 0xb7, 0x16, 0xb6, 0x14, 0xc2, 0x28, 0xfb, 0x2c, 0x
openssl下开发sm4-gcm-ciphers
zljdfaljsfd的博客
03-14 2373
一.EVP接口 Openssl EVP(high-level cryptographic functions[1])提供了丰富的密码学中的各种函数。Openssl中实现了各种对称算法、摘要算法以及签名/验签算法。EVP函数将这些具体的算法进行了封装。 EVP主要封装了如下功能函数: 1)实现了base64编解码BIO; 2)实现了加解密BIO; 3)实现了摘要BIO; 4)实现了reliable BIO; 5)封装了摘要算法; 6)封装了对称加解密算法; 7)封装了非对称密钥的加密(公钥
Java SDK性能测试代码1.1.0_2.3.4.8修改_20220824
fen_fen的专栏
08-24 494
本次修改: 1、各算法的调用接口修改后,测试代码(runnable任务)都需要修改 2、algorithm入参和出参 Common.java调用,入参明文是String,以及算法AlgorithmEnum.valueOf(algorithm); 3、SM2 web接口获取KeyIdSm2
国密https握手协议抓包及流程详解
ryanzzzzz的博客
03-08 3390
使用的密码套件清单-Cipher Suite,这里服务器端选择了ECC_SM4_CBC_SM3密码套件,也就是SM2公钥算法、SM4-CBC分组密码算法和SM3杂凑算法。具体来说,这里SM2算法密钥交换算法,SM4是加密算法(SM4-CBC)、SM3是校验算法(国标要求为HMAC-SM3)。服务器的加密证书:加密证书中在同样在扩展字段中KeyUsage标识出KeyEncipherment为true和dataEncipherment为true,即数字证书中包含的公钥可用来做密钥加密密钥和数据密钥。
国密套件ECC-SM2-SM4-CBC-SM3和ECDHE-SM2-WITH-SM4-SM3
Java学习笔记
11-17 1202
双方交换各自的公钥,最后A计算点(x1,y1) = d1Q2,B计算点(x2,y2) = d2Q1,由于椭圆曲线上是可以满足乘法交换和结合律,所以 d1Q2 = d1d2G = d2d1G = d2Q1 ,因此双方的 x 坐标是一样的,所以它是共享密钥,也就是会话密钥。4、客户端和服务端分别使用工作密钥,计算主密钥,客户端随机数,服务端随机数,字符串常量"key expansion",经PRF计算生成工作密钥。工作密钥包括加密密钥和校验密钥,具体密钥长度由选择的密码算法决定。客户端支持的压缩算法列表。
GCM 调研
sunny_Harper的博客
08-08 559
1. GCM        Google Cloud Messaging(GCM)是一个云到设备的服务,可以让你支持实时在云端服务和Android设备上应用程序之间的消息传递。        GCM提供了一个持久连接到云端的链接,让所有需要实时消息传递应用程序可以共享此链接。这个共享链接显著优化电池消耗,使其不必让多个应用程序各位维护自己单独的持久链接而使电池迅速耗尽。 2.  
如何调试TLCP客户端服务端的通信API接口
07-14
要调试 TLCP(Transport Layer Control Protocol)客户端和服务端的通信 API 接口,可以按照以下步骤进行: 1. 确定 TLCP 协议规范:首先,你需要了解 TLCP 协议的规范,包括消息的格式、字段定义、消息流程等。这将帮助你理解客户端和服务端之间的通信过程。 2. 设置调试环境:在客户端和服务端的开发环境中,确保你可以进行调试。这可能包括设置断点、日志输出或其他调试工具。 3. 开启详细日志记录:在客户端和服务端的代码中,开启详细的日志记录功能。这将允许你跟踪和分析通信过程中发送和接收的消息,以及相关的参数和状态信息。 4. 分析请求和响应:通过观察客户端发送的请求消息和服务端返回的响应消息,检查它们是否符合预期。确保消息的格式正确,字段值正确传递,并且符合 TLCP 协议规范。 5. 调试网络连接:检查客户端和服务端之间的网络连接是否正常建立。你可以使用网络调试工具(如 Wireshark)来捕获和分析网络数据包,确保数据包正确地在客户端和服务端之间传输。 6. 处理错误和异常情况:在调试过程中,注意处理错误和异常情况。观察日志和错误信息,定位潜在的问题,并针对这些问题进行调试和修复。 7. 使用调试工具和库:根据你所使用的编程语言和开发环境,使用相应的调试工具和库来帮助你进行调试。这些工具和库可以提供更高级的调试功能,如跟踪函数调用、变量监视等。 记住,调试通信 API 接口时需要耐心和细心。保持对问题的分析和追踪,逐步排除可能的错误,并与客户端和服务端的开发团队进行合作,以解决潜在的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值