SSL加密技术

国密改造的背景一、网络安全形势不容乐观1)网络安全事件日趋严重，HTTP网站存在被伪造、中间人劫持等安全风险-美国白宫通过2015年《HTTPS-ONLY备忘录》达到政府类网站全覆盖，而我国政府类网站HTTPS的覆盖率仅有47%（360数据）-英国：要求所有政府网站在2016年10月之前实现强制HTTPS加密-据国家互联网应急中心《2020 年中国互联网网络安全报告》报告统计，2020年，我国境内被篡改的网站约10万个，其中被篡改的政府网站有494个，针对网上行政审批的仿冒页面数量大幅上

9月16日，国家密码管理局发布《政务信息系统密码应用与安全性评估工作指南》，用于引导非涉密国家政务信息系统建设单位和使用单位规范开展商用密码应用与安全性评估工作。《指南》的总体要求：总体上，项目建设单位需从物理和环境安全、网络和通信安全、 设备和计算安全、应用和数据安全等四个层面采用密码技术措施，建立安全的密钥管理方案，并采取有效的安全管理措施，对政务信息系统进行保护。政务信息系统需使用经检测认证合格的商用密码产品或服务，使用的商用密码算法、技术应遵循密码相关国家标准和行业标准。政务信息系统

前面我们和大家一起聊了一下加密套件，为什么这么详细的叙述加密套件呢，因为它的身份特殊啊，它可是连接通信双方的桥梁，也是月老手中的红绳。言归正传，接下来我们再继续看看国密vpn协议中列举的基于国密算法加密套件（见下图）。每个加密套件也包含一个秘钥交换算法，一个加密算法，和一个校验算法。(大家不要奇怪怎么和之前介绍的4部分不一样啊，因为秘钥交换时使用的签名算法是一样的，如果这么表示RSA_RSA _.. ，这样看起来是不是很奇怪)。而在我们的实际应用中现在在国密的SSL通信中主要使用的还是ECC_SM4_S

三.需要解决的问题前文我们了解了https，并梳理了国密https的流程。那么完成这些流程的目的是什么呢？又是怎么来保护数据的安全性呢？我们继续...上文我们说到只有http通信的站点如同在“裸奔”，在客户端和服务端通信的时候有巨大的安全隐患。而安全隐患主要有三个方面：明文传输，数据篡改，站点劫持。知道了问题，我们只需要对症下药：明文传输 ->数据加密传输。数据可篡改->数据完整性校验。站点劫持->验证站点的身份。还不够清楚，我们再深入一点，将上面的箭头继续往下衍生

随着《密码法》密码法的颁布与实施，国密的应用及推广终于有法可依。而对于应用国密其中的一个重要组成部分----国密HTTPS通信也应运而生。为了大家更好的了解国密HTTPS相关的知识，接下来打算和大家一起分享关于国密HTTPS的那些事。聊一聊关于HTTPS通信协议本身；聊一聊为什么要有这些协议；以及国密SSL协议到底又是如何对一个网站进行数据加密的；国密SSL协议中又使用了哪些国密算法；国密的双证书和传统的RSA证书单证书在握手协商中又有什么区别等等，由于篇幅较长，时间有限，所以只能选择逐步和大家分享。为

如果要在客户端/网关系统和服务端之间进行SSL加密通信，当客户端应用（浏览器等）发起登录认证、加密、签名等请求时，服务端如何实现基于国密算法的SSL加密连接呢？如何解决国密算法的浏览器兼容性问题？如何实现基于国密算法的SSL认证和加密国密SSL协议的握手过程如下：(1)交换Hello消息来协商密码套件，交换随机数，决定是否会话重用；(2)交换必要的参数，协商预主密钥(3)交换证书信息，用...