1.1概述
由于使用国际标准IPSec协议和SSL协议可能存在的算法安全、协议安全等问题,国家密码管理局分别制定了《IPSec VPN技术规范》和《SSL VPN技术规范》两个国家技术标准,用于指导IPSec 和SSL VPN产品的研制、检测和使用。 目前市场上的VPN产品品种众多、鱼龙混杂,而真正实现将国密协议产品化的却很少,大多数都是挂羊头卖狗肉的形式,测试和鉴定是一套版本,正式产品又是另外一套版本。
本文总结了IPSec/SSLVPN国密协议和SM2证书的常用鉴定方法,可用于有效鉴别是否采用了真正的国密协议和SM2算法的证书。
1.2VPN国密协议的鉴定方法
德化金矿国密协议国密算法除了由国密局检测中心鉴定外,目前唯一的鉴定的方法是通过抓包,查看隧道协商过程的参数。 1.2.1SSL VPN国密协议鉴定
1.看算法
鉴定SSL VPN隧道协商算法是国密算法,在协商过程进行抓包,抓获的协商报文可以通过wireshark查看,由于国密局制定的《SSL VPN技术规范》对SSL协议的版本号修改为1.0,所以wireshark对其协议不能识别。需要用ultraEdit编辑原文件,将版本号从1.0改成3.1,才可以使用wireshake识别协议细节。
ocp
1)将"16 01 00"全文替换成"16 03 01";
水产大学
说明:16表示握手,将版本号1.0改成3.1;
2)将"14 01 00"全文替换成"14 03 01";
说明:14表示Change-Cipher-Spec,将版本号1.0改成3.1;
采用wireshake打开修改后的抓包文件,查看Server-Hello包最终协商出的密码套件。密码套件的参数为0xe001,代表的就是ECDHE-SM1-SM3。下图给出支持国密算法的SSL隧道协商Server-Hello报文。
说明:国密协议的密码套件列表如下表
别,如下图,
桥头堡论坛
2.看协议
仇和离任讲话鉴定SSL VPN隧道是否国密协议,在协商过程进行抓包,抓获的协商报文通过wireshark 查看,如果SSL报文可以直接显示Client Hello和Server Hello,那说明是国际协议,不能识别Client Hello和Serve
r Hello的协商报文,按照国密算法鉴定中的修改方法,对报文进行修改完后,再用wireshark查看,此时SSL报文能显示Client Hello和Server Hello的,就可以鉴定为国密协议。
1.2.2IPSEC VPN国密协议鉴定
IPSEC VPN国密协议鉴定,隧道协商成功过程,在两个设备中间进行抓包。
1.看协议
IPSEC VPN国密协议鉴定需要查看协商过程的第三个包,国密协议的第三个包中载荷包含有Private Use载荷、Identification载荷,Certificate载荷,Signature载荷,这几个载荷在国
际协议中是没有的。如下图分别给出国密协议和国际协议的第三个报文中的载荷信息。
下图为国际协议协商时,第三个包的内容:
2.看算法
国密算法的鉴定是通过查看协商过程的加密算法参数,查看第二个协商报文,第二个报
氏族社会文是协商成功的加密参数等信息。下图国密协议国密算法隧道协商过程的报文信息。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议