Https之(四)国密GMTLS

简介

国密TLS，又称GMTLS，其最新的标准是国家标准|GB/T 38636-2020

《信息安全技术 传输层密码协议(TLCP)》，即GB/T 38636-2020

所以我们也可以称他为TLCP（Transport layer cryptography protocol），抓包软件wireshark里面对他的标记就是TLCP，后面我们统一叫他TLCP，我们后面介绍的内容也都是基于这个最新标准。

TLCP支持的密码套件如下：

从图中可以看到这些套件和我们之前说的标准版TLS一样，也是由密钥交换算法，对称加密算法，摘要算法组成，就是这些算法替换成了国密算法，目前我所知的广泛使用的是ECC_SM4_CBC_SM3，这个套件和我们第一篇文章介绍的TLS_RSA_WITH_AES_128_GCM_SHA256类似，这里的ECC并不是用于ECDHE中密钥交换的功能，而是对应RSA的非对称加密功能，服务器发送ECC公钥（在证书中）到客户端，客户端拿ECC公钥加密随机数给服务器。下面我们就根据这个套件来介绍一下TLCP的握手过程。

流程概述

首先看一下握手消息流程图：

注：*代表可选或依赖具体密码套件，不是每次都发送。

从上图看TLCP的协议流程和TLS1.2一致，下面我们通过抓包分析每一步的具体内容，如果你对TLS不了解，建议先看之前的文章，后面我主要分析差异点，不会讲每一步的细节。

握手过程

GMSSL - 国密SSL实验室是一个免费提供国密相关内容的网站，里面有国密相关的工具可以使用，我们测试TLCP就是用的这里面的内容。

GMCURL-国密版cURL可以用来与国密https服务通信。

上面工具的具体使用方法就不详细介绍了，直接去网站里看就可以了，下面是一次TLCP握手的完整流程：

TLCP第一次握手

1.Client Hello

1.Version：0x0101就是TLCP。

2.Random：和TLS一样，用于后面计算会话密钥。

3.Cipher Suites：客户端支持的加密套件，可以看到都是国密套件。

TLCP第二次握手

2.Server Hello

1.Random是服务端生成的一个随机数，用于生成会话密钥

2.Cipher Suites是服务端选择的加密套件

3.Certificate

到这里就和TLS有很大不同了，TLCP使用的是双证书体系，有两个证书，一个加密证书负责进行密钥交换，一个签名证书负责进行身份认证。

• 加密证书的公私钥是CA生成的，之后CA把公钥制作成证书给到服务端。
• 签名证书和TLS中的证书一样，服务器生成公私钥，将公钥给CA生成证书。

客户端在加密预主密钥时使用服务端加密证书中的公钥，为什么要这么做呢，因为加密证书的公钥和私钥都是CA生成的，这也就意味着CA拥有私钥可以解密得到会话密钥，进而可以在必要时解密数据。

可以看到上图有四个证书，分别是加密证书、签名证书、三级CA证书、二级CA证书，可以通过扩展字段keyUsage来区分他们。

4.Server Key Exchange

这一步和TLS也不一样，第一篇文章介绍的TLS的RSA密钥交换是没有这一步的，只有第二篇DH密钥协商才使用了这一步传递密钥协商的参数，按理说TLCP的ECC是和TLS的RSA一样的，并不需要这一步，老实说我也不知道ECC_SM4_CBC_SM3为什么有这一步，下面介绍一下这一步做了什么：

DH密钥协商中会在这一步传递协商会话密钥所需的服务端的公钥pubkey和证书私钥对公钥pubkey的签名，而ECC中不需要协商密钥，故没有pubkey以及签名，取而代之的是签名证书私钥 对(client_random + server_random + 加密证书)摘要 的加密值，客户端可以通过签名证书的公钥来解密验证这个值是否正确。

我问了一下deepseek这一步的作用，下面是他的回答：

国密GMTLS通过Server Key Exchange的签名机制，实现了身份认证、参数完整性、双证书联动和抗中间人攻击的多重安全目标。其核心是将会话密钥生成过程中的关键参数（随机数和加密证书）与服务端身份强绑定，确保ECC_SM4_CBC_SM3套件在静态密钥交换场景下的安全性。这一设计是国密协议对传统TLS的优化

5.Server Hello Done

和TLS一样，代表服务器这一步握手结束。

TLCP第三次握手

6.Client Key Exchange

和TLS相同，将用加密证书公钥加密的pre-master传递给服务端，服务端拿到直接用私钥解密就可以拿到pre-master，加上client的random和server的radom就可以得到回话密钥。

客户端随机数 + 服务端随机数 + 预主密钥 = 主密钥 ==> 会话密钥

7.Change Cipher Spec 8.Encrypted Handshake Message

告诉服务端开始用会话密钥进行加密通讯了

把客户端之前所有发送的数据做个摘要，再用会话密钥（master secret）加密一下，让服务器做个验证，验证加密通信是否可用和之前握手信息是否有被中途篡改过。

TLCP第四次握手

9.Change Cipher Spec 10.Encrypted Handshake Message

和客户端发送的Change Cipher Spec操作相同，告诉客户端我准备好使用会话密钥了

把服务端之前所有发送的数据做个摘要，再用会话密钥（master secret）加密一下，让客户端做个验证，验证加密通信是否可用和之前握手信息是否有被中途篡改过。

到这里国密TLCP就介绍完了，可以看到大部分步骤和TLS还是相同的，只是替换了国密的算法和引入了双证书体系，下面再介绍一下国密的双向认证过程，看看和TLS有什么区别。

双向认证

国密的双向认证和标准TLS基本一致，区别在于算法和双证书体系，建议先看Https之(三)TLS双向认证-CSDN博客。

我们通过GMCURL-国密版cURL模拟双向认证通信，

gmcurl_linux_x64 --gmssl --cacert ./sm2.ca.pem --cert ./sm2.user1.sig.crt.pem --key ./sm2.user1.sig.key.pem --cert2 ./sm2.user1.enc.crt.pem --key2 ./sm2.user1.enc.key.pem https://demo.gmssl.cn:2443/

1）–cert表示指定用户签名证书(pem格式)
2）–key表示指定用户签名私钥(pem格式)
3）–cert2表示指定用户加密证书(pem格式)
4）–key2表示指定用户加密私钥(pem格式)

由于国密是双证书体系，所以这里客户端证书提供了两个，一个签名证书，一个加密证书。

到这里你可能会有疑问，服务端使用两个证书是为了CA在必要时可以解密通讯内容，但是客户端证书又不参与加密消息内容，只是为了验证身份，为什么要两个证书呢？其实在ECC密钥交换模式下确实不需要双证书，这时候加密证书是用不到的，因此实际使用时，客户端只发送签名证书，也可以握手成功，除非服务端作了强制校验。但是在ECDHE密钥协商的模式下必须使用双证书，这时候加密证书是参与密钥协商的。

我们直接通过TLS握手的抓包来分析双向认证的过程，下面是双向认证完整的握手图：

和上面的单向认证相比多了服务端发给客户端的Certificate Request、客户端发给服务端的Certificate和Certificate Verify，我们就看这三步做了什么。

Certificate Request

这一步是服务端向客户端请求证书，其中包含了对证书的要求，

1.Certificate types：服务器可接受的客户端证书格式。

2.Distinguished Names：只接受由指定DN对应的CA签发的客户端证书，这里有两个，其中一个MiddleCa是RootCa的二级代理，这两者签发的证书都可以。

Certificate

这个是客户端收到Certificate Request请求后向服务端发送证书，这里的证书就是我们我们前面发送请求的时候指定的证书。

Certificate Verify

这一步会对之前握手的消息和客户端加密证书进行Hash，然后使用客户端签名证书的私钥进行加密。

Signature：是加密后的内容。