国密算法最好的应用场景应该是SSL/TLS通信,然而国密文档中并没有单独规范SSL/TLS协议,我们能参考的只有《GM/T 0024-2014 SSL VPN 技术规范》。这份文档并没有像RFC那样描述得很详细,在实现上可能会存在很多不清楚的地方。很多时候,我们还要去翻看标准TLS 1.1的RFC4346。
本文主要总结国密SSL ECC_SM4_SM3密码套件的实现需要注意的地方。
因为国密SSL是以TLS 1.1标准为蓝本制定的,所以这里主要总结国密SSL协议和标准的TLS协议之间的区别。
在SSL通信中,最重要的是通信握手,握手成功后,就可以通过加密通道进行通信,握手过程如下:
1. 协议版本
TLS协议定义有三个版本号,为0x0301、0x0302、0x0303,分别对应TLS 1.0、1.1、1.2。国密SSL估计是担心与未来的TLS版本号冲突,选择了0x0101。这在实现上带来一定的麻烦,因为现有很多网络库会认为这是一个无效的协议版本,需要一一将判断修改过来。
国密SSL协议规范是TLS 1.1和TLS 1.2的混合体,大部分情况下参考
