TLCP的一些内容
TLCP(Transport Layer Cryptographic Protocol,传输层密码协议),是由国家密码管理局制定的一套基于国密算法的安全传输协议,相当于 中国版的 TLS(Transport Layer Security,传输层安全协议)。
GM/T 0024-2014《SSL VPN 技术规范》(部分内容涉及 TLCP),以及相关的国密标准体系,它定义了一套 基于国产密码算法(SM2/SM3/SM4)的传输层安全通信协议,用于保障网络通信的机密性、完整性、身份认证和抗抵赖性。可以将 TLCP 理解为:一个完全采用中国国产密码算法(SM 系列)的安全传输协议,用来替代国际通用的 TLS 协议。
TLCP 的标准依据
TLCP 并非由单一标准定义,而是由多个 国家密码管理局(GM/T,国家密码行业标准) 组成,主要包括:
标准编号 | 标准名称 | 主要内容 |
GM/T 0024-2014 | 《SSL VPN 技术规范》 | 包含 TLCP 协议基本框架、握手流程、加密套件、证书使用等 |
GM/T 0002-2012 | 《SM4 分组密码算法》 | 定义了对称加密算法 SM4 |
GM/T 0003-2012 | 《SM2 椭圆曲线公钥密码算法》 | 定义了非对称加密/签名算法 SM2 |
GM/T 0004-2012 | 《SM3 密码杂凑算法》 | 定义了哈希算法 SM3 |
GM/T 0015-2012 | 《基于 SM2 的数字证书格式》 | 定义国密 SSL 证书格式 |
GM/T 0025-2014 | 《SSL VPN 网关技术规范》 | VPN 设备实现规范 |
三大国密基础算法(必须使用)
TLCP 强制绑定并仅允许使用以下 国产密码算法,这是其与 TLS 最本质的区别
算法 | 类型 | 国密编号 | 用途 | 对应国际算法 |
SM2 | 非对称密码(椭圆曲线公钥密码) | GM/T 0003 | 身份认证、数字签名、密钥交换 | RSA、ECDSA、ECDH |
SM3 | 密码杂凑函数(哈希算法) | GM/T 0004 | 消息摘要、数字签名摘要、MAC | SHA-256 |
SM4 | 对称分组密码 | GM/T 0002 | 数据加密(如应用层数据) | AES |
协议分层与功能
TLCP 本质上是一个 应用层与传输层之间的安全协议,类似于 TLS,工作在 TCP 之上,应用层(如 HTTP)之下,其主要功能包括:
功能 | 说明 |
身份认证 | 通过 SM2 数字签名验证通信双方的身份(通常使用国密 SSL 证书) |
密钥交换 | 双方通过 SM2 椭圆曲线密钥协商,安全地协商出一个共享的对称密钥 |
数据加密 | 使用 SM4 算法(如 CBC 或 GCM 模式)对通信数据进行加密 |
完整性保护 | 通过 SM3 哈希 + 消息认证码(MAC)确保数据未被篡改 |
防重放、防篡改、防窃听 | 综合运用加密、认证、序列号等机制保证通信安全 |
支持的通信模式
TLCP 通常应用于如下场景:SSL VPN(国密 VPN)、国密 HTTPS(Web 安全通信)、金融、政府、军队等关键信息基础设施的加密通信、国密浏览器与国密服务器之间的安全连接
它一般运行在 TCP 协议之上,为上层应用(如 HTTP、FTP、远程桌面等)提供加密通道。
TLCP 协议握手流程
TLCP 的握手过程类似于 TLS,但全部基于国密算法,主要包括如下步骤:
ClientHello:客户端发起连接,发送支持的 国密加密套件列表(如 ECC_SM4_CBC_SM3),提供随机数、支持的算法等信息。
ServerHello:服务端选定一个加密套件(必须是国密套件,如 SM4 + SM2 + SM3),返回随机数、证书(SM2 签名证书和/或加密证书)。
证书验证:客户端验证服务端证书(基于国密 CA 或本地信任锚),服务端使用 SM2 私钥对握手数据签名,客户端用 SM2 公钥验证该签名。
密钥交换:双方基于 SM2 椭圆曲线算法 协商预主密钥(Pre-Master Secret),结合随机数等参数,生成主密钥,再派生出加密密钥、MAC 密钥等。
加密通信开始:握手完成后,应用数据(如 HTTP 请求/响应)使用 SM4 算法加密,消息完整性通过 SM3 哈希 + MAC 值 保证。
TLCP 的加密套件(Cipher Suites)
TLCP 定义了一系列国密加密套件,全部基于 SM2/SM3/SM4,例如:
加密套件名称 | 含义简述 |
ECC_SM4_CBC_SM3 | 使用 SM2 认证,SM4-CBC 加密,SM3 做 MAC |
ECC_SM4_GCM_SM3 | 使用 SM2,SM4-GCM 模式(带认证加密) |
ECC_SM4_CBC_SM3_With_SM2 | 强调使用 SM2 进行密钥交换和签名 |
TLCP 与 TLS 的对比
特性 | TLCP(国密) | TLS(国际标准,如 TLS 1.2/1.3) |
身份认证算法 | SM2(数字签名) | RSA / ECDSA / DSA |
密钥交换算法 | SM2(椭圆曲线密钥协商) | ECDHE / RSA / DH |
对称加密算法 | SM4 | AES / 3DES / ChaCha20 |
哈希/摘要算法 | SM3 | SHA-1 / SHA-256 / SHA-384 等 |
协议目标 | 中国国家密码标准,自主可控 | 国际通用标准,广泛部署 |
证书类型 | 国密 SSL 证书(基于 SM2的X.509 国密适配版本) | X.509 证书(通常基于 RSA/ECC) |
兼容性 | 不兼容标准 TLS / HTTPS 客户端/浏览器,只能用国密浏览器访问 | 兼容全球各类设备和浏览器 |
六、TLCP 的实际应用场景
1.国密 HTTPS(网站安全访问)Web 服务器配置 SM2 证书 ,启用 TLCP 协议,用户使用支持国密的浏览器或代理进行访问。
2.SSL VPN(虚拟专用网)企业或政务网络通过国密 VPN 实现远程安全接入
3.金融业务系统银行、证券等对安全性要求极高的系统,采用 TLCP 保障交易安全
4.电子政务、税务、社保系统关键数据传输必须使用国密算法,TLCP 是常见选择
5.物联网 / 工业控制对通信安全有高要求且需自主可控的场景