构建网络信息安全的中国方案 - 国密SSL协议介绍以及国密Nginx服务器部署

国密SSL协议

• 国密SSL协议指的是采用国密算法，符合国密标准的安全传输协议。简而言之，国密SSL就是SSL/TLS协议的国密版本。
• TLS协议定义有三个版本号，为0x0301、0x0302、0x0303，分别对应TLS 1.0、1.1、1.2。国密SSL为了避免冲突，选择了0x0101。国密SSL协议规范是TLS 1.1和TLS 1.2的混合体，大部分情况下参考TLS 1.1，少数地方又参考了TLS 1.2。

国密SSL协议和标准SSL协议的区别和联系

区别

• 算法差异
  • 国密SSL协议使用的是中国自主研发、国家密码管理局指定的一系列国产密码算法，如SM2、SM3、SM4等。
  • 传统的SSL/TLS协议则主要依赖于国际标准的加密算法，如RSA、AES、SHA等。
• 合规性和政策要求
  • 在中国政府主导的一些信息安全项目中，可能要求必须采用国密SSL协议以符合相关法律法规和安全标准。
  • 对于国际通用环境，SSL/TLS协议是业界标准，得到了各大浏览器、操作系统及服务器软件的广泛支持。
• 兼容性问题
  • 国密SSL协议由于采用了特定的国内加密算法，在一些仅支持国际标准算法的客户端（如常见的国外浏览器）上可能无法正常工作或显示为不受信任。
  • SSL/TLS协议在全球范围内的兼容性较好，大部分网络设备和服务都能很好地支持。

联系

• 基本工作原理一致
  • 国密SSL协议在设计原则上继承了SSL/TLS协议的基本结构和工作流程，包括握手协议、记录层协议等核心组成部分，确保数据传输的机密性、完整性和身份认证。
• 功能目标相同
  • 不论是国密SSL还是标准TLS，其主要目标都是为网络通信提供端到端的安全连接，保障Web服务、电子邮件、即时通讯等各种应用场景的数据安全。
• 证书格式相似
  • 虽然国密SSL证书采用了不同的公钥算法，但其作为数字证书的基本格式和作用与标准SSL/TLS证书类似，都用于服务器的身份验证和会话密钥交换。
• 综上所述，国密SSL协议是在遵循国际标准协议框架的基础上，针对我国密码政策和自主可控需求进行的定制化改造。尽管存在一些技术细节上的差异，但它们在提供网络安全服务的核心目标和机制上保持了一致性。

握手过程

• 国密SSL协议与标准SSL协议的握手过程基本一致，我这里只简单介绍下国密SSL协议的握手过程。
• 详细SSL握手过程可参考这篇文章 全面解读SSL/TLS协议

client server Client Hello 客户端随机数，客户端TLS版本，密码套件列表 Server Hello 服务端随机数，确认TLS版本号，确认密码套件 Server Certificate 发送服务端证书 Server Key ExChange Server Hello Done Client Key Exchange 发送加密后的预备主密钥 Encrypted PreMaster Change Cipher Spec 密钥协商完成 Finished [Encrypted Handshake Message] 握手协议结束 Change Cipher Spec 密钥协商完成 Finished [Encrypted Handshake Message] 握手协议结束 client server

• 整体抓包截图

  • 可以访问这个网站 https://www.wotrus.com进行抓包。可以看到客户端和服务端整体的握手流程和标准SSL协议基本一致。
    

  • 需要注意的是必须使用支持国密SSL协议的浏览器，这里建议下载奇安信浏览器，并且安装国密版本wireShark抓包工具。在后面国密Nginx服务器部署章节有介绍。

• Client Hello消息

  • 首先看下Client Hello消息，首先是版本号与标准SSL协议不同，国密SSL协议版本号的值为 0x0101，其次是加密套件，国密SSL协议较为常用的加密套件为 ECC_SM4_SM3。
  • 国密SSL协议支持的加密套件共有以下12个

  序号	名称	值
  1	ECDHE_SM1_SM3	{0xe0, 0x01}
  2	ECC_SM1_SM3	{0xe0, 0x03}
  3	IBSDH_SM1_SM3	{0xe0, 0x05}
  4	IBC_SM1_SM3	{0xe0, 0x07}
  5	RSA_SM1_SM3	{0xe0, 0x09}
  6	RSA_SM1_SHA1	{0xe0, 0xa0}
  7	ECDHE_SM4_SM3	{0xe0, 0x11}
  8	ECC_SM4_SM3	{0xe0, 0x13}
  9	IBSDH_SM4_SM3	{0xe0, 0x15}
  10	IBC_SM4_SM3	{0xe0, 0x17}
  11	RSA_SM4_SM3	{0xe0, 0x19}
  12	RSA_SM4_SHA1	{0xe0, 0x1a}

  • 备注：实现ECC和ECDHE的算法为SM2, 实现IBC和IBSDH的算法为SM9，RSA算法的使用应符合国家密码管理主管部门的要求。

• Service Hello消息

  • Server Hello消息返回使用的加密套件为ECC_SM4_SM3。

• Server Certificate消息

  • 该消息发送服务端的证书，包含加密证书和签名证书。这里使用的证书就是国密SM2证书。
    

• Server Key ExChange消息
  

• Server Hello done消息
  

• Client Key Exchange消息
  

• Change Cipher Spec 消息
  

• Finished [Encrypted Handshake Message] 消息
  

国密Nginx服务器部署

• 国密SSL实验室：此网站中有介绍如何部署国密Nginx服务器的教程。
• 国密Nginx部署包 : 我参考此网站将所需的安装包都下载上传到gitee了，需要的可自行下载，并参考以下步骤部署。

zlib安装

• 解压zlib.tar.gz

  • tar -zxvf zlib.tar.gz

• 进入zlib目录, 分别执行以下命令

  • ./configure
  • sudo make
  • sudo make install

pcre安装

• 解压pcre-8.45.zip

  • unzip pcre-8.45.zip

• 进入pcre目录, 分别执行以下命令

  • ./configure
  • sudo make
  • sudo make install

国密版本OpenSSL安装

• 解压openssl到指定目录

  • tar -zxvf gmssl_openssl_1.1_b2024_x64_1.tar.gz -C /usr/local

国密版本Nginx安装与配置

• 解压 nginx-1.24.0.tar.gz

  • tar -zxvf nginx-1.24.0.tar.gz

• 进入nginx目录
• 将auto/lib/openssl/conf文件中 $OPENSSL/.openssl/全部修改为 $OPENSSL/并保存
• 然后分别执行以下命令编译安装

  • ./configure --without-http_gzip_module --with-http_ssl_module --with-http_stub_status_module --with-http_v2_module --with-stream --with-file-aio --with-openssl=“/usr/local/gmssl”
  • sudo make
  • sudo make install

• 默认会安装到这个目录下 /usr/local/nginx
• 将 sm2.SmallWolf.zip 拷贝到 /usr/local/nginx/conf 目录下并解压
• 修改nginx配置文件 /usr/local/nginx/conf/nginx.conf 中的server项

•   server {
        listen       443 ssl;
        server_name  localhost;
  
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
        ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECC-SM4-GCM-SM3;
        ssl_verify_client off;
  
  
        ssl_certificate      sm2.SmallWolf.enc.crt.pem;
        ssl_certificate_key  sm2.SmallWolf.enc.key.pem;
  
        ssl_certificate      sm2.SmallWolf.sig.crt.pem;
        ssl_certificate_key  sm2.SmallWolf.sig.key.pem;
  
        location / {
            root   html;
            index  index.html index.htm;
        }
    }
  

• 然后进入 /usr/local/nginx/sbin目录启动nginx

国密浏览器安装

• 常用浏览器是不支持访问国密Web服务器的，双击安装奇安信浏览器 qaxbrowser_1.1.45335.52.exe。也可以去奇安信官网去下载浏览器进行安装。
• 安装完成后，打开浏览器设置，选择高级设置，然后勾选启动国密SSL通信。
  
• 设置完成后，重启浏览器。访问搭建好的Nginx服务器。
• 可以看到，站点证书已经是国密证书了。
  

国密版本wireShark安装

• 那么有没有走国密SSL通道呢，安装个国密版本的wireShark抓包看下。
• 双击安装 wireshark-win32-2.9.0-gm.3.exe。
  
• 抓包可以看到，使用的ssl协议确实是国密ssl协议。

参考

• 国密SSL协议是什么？与标准TLS协议的区别
• 国密改造—国密SSL
• 国密SSL实验室