분석 | 국가기밀 SSL 특성: 중국 암호화 알고리즘 및 전송 계층 보안 프로토콜

국가비밀 SSL의 배경

인터넷 기술의 발달과 네트워크 애플리케이션의 대중화로 인해 네트워크 보안 문제가 점점 더 부각되고 있습니다. 데이터 보안이 점점 더 주목을 받게 되면서 다양한 보안 프로토콜과 관련 사양이 생겨나고 있습니다. SSL 프로토콜은 이러한 배경 하에 Netscape에서 제안되었으며 SSLv3.0은 1996년에 제안되어 널리 사용되었으며 업계 표준이 되었으며 2015년에야 폐기되었습니다. 1999년 IETF는 SSLv3.0을 통합하고 이를 기반으로 TLS 사양을 제안했습니다. 버전은 TLS1.0에서 현재 가장 널리 사용되는 보안 프로토콜 중 하나인 TLS3.0으로 발전했습니다.

보안 프로토콜의 핵심이자 기반은 암호화 알고리즘으로, 우리나라의 정보 보안을 보장하기 위해 HTTPS, SSL VPN, STMPS 등 국내 관련 보안 제품 및 프로토콜은 TLS 표준 사양을 직접 사용할 수 없습니다. 따라서 중국에 속하는 암호화 알고리즘과 전송 계층 보안 프로토콜이 있어야 하며 이에 따라 국가 비밀 SSL 프로토콜이 등장했습니다.

국가 비밀 SSL 프로토콜 개요

현재 TLS 버전에는 TLS1.0, TLS1.1, TLS1.2, TLS1.3 및 GMTLS1.1이 포함됩니다.

National Secret SSL 프로토콜은 GM/T[1]의 독립적인 프로토콜 표준이 아니라, 우리나라의 실제 상황과 결합된 관련 암호화 정책 및 규정을 기반으로 합니다. RFC4346 TLS1.1 사양은 GM/T에서 0024-2014 "SSLVPN 기술 사양"에 정의되어 있습니다. 주요 차이점은 다음 측면에 반영됩니다.

참고 [1]: 국가가 정보 보안에 점점 더 많은 관심을 기울이면서 "GB/T38636-2020 정보 보안 기술 전송 계층 비밀번호"가 공식적으로 구현되었습니다. 2020년 11월 1일 프로토콜(TLCP)'의 경우 현 단계에서는 상대적으로 사용자가 적기 때문에 이 문서에서는 여전히 'SSL VPN 기술 사양'에 따라 소개합니다.

국가 비밀 SSL 프로토콜에는 레코드 레이어 프로토콜, 핸드셰이크 프로토콜 제품군(핸드셰이크 프로토콜, 비밀번호 사양 변경 프로토콜, 경보 프로토콜) 및 게이트웨이 간 프로토콜이 포함됩니다.

레코드 계층 프로토콜은 계층적입니다. 각 계층은 전송될 메시지를 수신하고, 데이터를 분할하고, 압축(선택 사항)하고, HMAC를 계산합니다. , 암호화한 후 전송하면 수신된 데이터는 해독, 확인, 압축 해제(선택 사항), 다시 캡슐화되어 상위 수준 애플리케이션으로 전달됩니다.

국가 비밀 SSL 핸드셰이크 프로토콜 제품군은 비밀번호 사양 변경 프로토콜, 핸드셰이크 프로토콜 및 경보 프로토콜의 세 가지 하위 프로토콜로 구성됩니다. 이는 두 통신 당사자가 레코드 계층에서 사용할 보안 매개변수를 협상하는 데 사용됩니다. 본인 확인을 수행하고 오류 등을 상대방에게 보고합니다.

비밀번호 사양 변경 프로토콜은 비밀번호 사양 변경을 알리는 데 사용됩니다. 즉, 공개된 데이터를 보호하기 위해 새로 협상된 보안 매개변수를 사용하도록 상대방에게 알리는 데 사용됩니다. 클라이언트와 서버 모두 보안 매개변수 협상이 완료된 후 핸드셰이크 종료 메시지 전에 이 메시지를 보내야 합니다.

알람 프로토콜은 연결 종료를 알리고 전체 연결 프로세스 중에 발생하는 오류 동작을 경고하는 데 사용됩니다. 종료 알림은 개시자에 의해 전송되고, 오류 알람은 연결에 의해 전송됩니다. 오류 발견자. 경보 메시지의 길이는 경보 레벨과 경보 내용인 2바이트입니다.

핸드셰이크 프로토콜은 레코드 레이어 프로토콜보다 상위에 있는 프로토콜로, 보안 매개변수를 협상하는 데 사용되며 레코드 레이어 프로토콜을 통해 전송됩니다. 핸드셰이크 메시지는 지정된 프로세스 순서에 따라 전송되어야 합니다. 그렇지 않으면 치명적인 오류가 발생하고 수신자가 불필요한 핸드셰이크 메시지를 무시할 수 있습니다.

클라이언트가 지원하는 암호 제품군 목록에서 클라이언트는 암호 제품군이 사용하는 우선 순위에 따라 정렬되며 우선 순위가 가장 높은 암호 제품군이 첫 번째 순위가 됩니다. National Secret SSL에서 지원하는 암호화 제품군 목록은 다음과 같습니다.

National Secret SSL 표준에서 ECC 및 ECDHE를 구현하는 알고리즘은 SM2이며, 구현하는 알고리즘은 다음과 같습니다. IBC 및 IBSDH는 SM9입니다. RSA 알고리즘을 사용하려면 국가 암호화 관리 부서의 요구 사항을 준수해야 합니다.

참고 [2]: "GB/T38636-2020 정보 보안 기술 전송 계층 암호화 프로토콜(TLCP)" 표준에는 GCM 암호화 제품군이 추가되었으며 SM1 및 RSA와 관련된 암호화 제품군은 삭제되었습니다.

게이트웨이-게이트웨이 프로토콜은 SSL VPN 간에 게이트웨이-게이트웨이 전송 계층 터널을 설정하여 IP 데이터 패킷을 안전하게 전송하는 데 사용되는 패킷 형식(제어 패킷 및 데이터 패킷 포함)을 다음과 같이 정의합니다. 제어 메시지 교환 과정과 데이터 메시지 캡슐화 과정도 포함된다.

국가 비밀 SSL 테스트의 필요성

데이터 보안을 보장하기 위해 국가 암호 동물학 관리국에서는 모든 관련 시스템이 국가 비밀 변환을 거치고 국가 비밀 암호화 알고리즘을 사용할 것을 요구합니다. 현재는 국가비밀 암호화 알고리즘이 데이터 보안의 기반이 되고 있습니다.

따라서 연구실의 개념 설계, R&D 설계, 생산, 배치 및 수용에 있어서 국가 비밀 장비를 테스트하는 것이 필요합니다.

개념설계 및 연구개발 단계에서는 장비가 관련 요구사항을 충족하는지, 장비 연구개발 단계에서는 데이터 보호를 위해 국가 SSL 암호화를 정상적으로 수행할 수 있는지 여부를 판단하는 것도 필요하다. 장비의 다양한 측면을 검증하기 위해 완전한 기계 테스트를 수행합니다. 국가 비밀 장비가 데이터를 정상적으로 전송할 수 있는지 확인하기 위해 배치 승인 단계에서도 품목의 기능 및 성능이 실제 응용 프로그램에 적합한지 여부를 확인하는 과정이 필요합니다. 실제 네트워크 환경에서 작동하며 전체 네트워크와 호환됩니다.

국가 비밀 테스트는 기능 테스트와 성능 테스트로 구분됩니다. 현재 시중에 나와 있는 기능 테스트는 주로 동일한 국가 비밀 기능을 갖춘 장비를 사용하여 테스트 대상 장치와 연결하는 반면 성능 테스트는 자동 테스트를 사용합니다. 연구 소프트웨어는 테스트를 위해 여러 터미널을 시뮬레이션하지만 테스트 기능이 상대적으로 약하고 작동이 복잡하므로 국가 비밀 SSL의 개발 및 홍보에 전문적인 테스트 도구가 점점 더 중요해지고 있습니다.

Xinertai 비밀 SSL 테스트 솔루션

Xinertai는 수년간의 고된 연구 개발 끝에 실제 애플리케이션을 지원하는 PCT 아키텍처 기반의 차세대 B/S 아키텍처 테스트 플랫폼 ALPS를 출시했습니다. 레이어 트래픽 시뮬레이션. HTTPS/SMTPS 애플리케이션 시뮬레이터는 국가 비밀 SSL을 기반으로 실제 네트워크 환경에서 HTTPS/SMTPS 프로토콜 트래픽을 시뮬레이션하여 클라이언트 애플리케이션 계층 트래픽을 처리하는 장치의 능력을 테스트할 수 있는 7계층 테스트 구성 요소입니다.

플랫폼은 방화벽, 로드 밸런싱, VPN, 게이트웨이 등과 같은 애플리케이션 계층 보안 장비에 대한 관련 테스트를 수행할 수 있습니다. 테스트 토폴로지는 아래 그림에 나와 있습니다.

XinerThailand Secret SSL은 다음 테스트를 지원합니다. 기능 및 특징:

HTTPS/SMTPS 애플리케이션 흐름 구성 인터페이스:

SSL 클라이언트 세션 통계 인터페이스:

SSL 서버 세션 통계 인터페이스: