ssl在实现保密性上的具体做法（通信双方如何判断对方采用了国密）

SSL通信涉及两方的参与者，通常采用的模型是Client/Server。如果我们开发Client端产品（比如浏览器），可能会和多方的Server产品对接。那么问题来了，双方是如何知道对方使用了国密算法呢？这个问题非常重要，只有双方采用同样的加密标准，才能正常通信。难道采用“天王盖地虎，宝塔镇河妖”的接头暗号？

在揭开这个谜底之前，我们先了解一下OID（Object Identifier，对象标志符），然后再聊一聊密码套件（Cipher Suite），就可以慢慢理解SSL通信双方是如何接上头的。当然，整个SSL通信涉及到很多标准和协议，不是一篇文章能讲完的，所以本文只是抛砖引玉，探讨一些基本的概念。可能对于资深人士而言，不值得一提，但我初入门时，也是摸索了好久，才慢慢能深入到细节。

OID

OID是由ISO/IEC、ITU-T国际标准化组织上世纪80年代联合提出的标识机制，其野心很大，为任何类型的对象（包括实体对象、虚拟对象和组合对象）进行全球唯一命名。通过唯一的编码，我们就可以识别出对象。但要为所有对象进行唯一命名，其难度和工作量都很大，所以它采用了分层树形结构。

OID对应于“OID树”或层次结构中的一个节点，该节点是使用ITU的OID标准X.660正式定义的。树的根包含以下三个起点：

0：ITU-T1：ISO2：ITU-T/ISO联合发布

树中的每个节点都由一系列由句点分隔的整数表示。比如，表示英特尔公司的OID如下所示：

1.3.6.1.4.1.343

对应于OID树中的含义：

1 ISO1.3 识别组织1.3.6 美国国防部1.3.6.1 互联网1.3.6.1.4 私人1.3.6.1.4.1 IANA企业编号1.3.6.1.4.1.343 英特尔公司

这里采用分而治之的策略，解决编码重复问题。树中的每个节点均由分配机构控制，该机构可以在该节点下定义子节点，并为子节点委托分配机构。

在上面的例子中，根节点“1”下的节点号由ISO分配，“1.3.6”下的节点由美国国防部分配，“1.3.6.1.4.1”下的节点由IANA分配，“1.3.6.1.4.1.343”下的节点由英特尔公司分配，依此类推。只要有需求，可以一直往下分配下去，也解决了编码不够的问题。

在实际应用中，ISO/IEC国际标准化机构维护顶层OID标签，各个国家负责该国家分支下的OID分配、注册和解析等工作，实现自我管理和维护。

相应的，针对国密，国家密码局也定义了各类对象的标识符：

ssl在实现保密性上的具体做法（通信双方如何判断对方采用了国密）(1)

国密相关OID定义

详细可参考 GM/T 0006-2012 这份标准。

像"1.2.156.10197.1.100"这种字符串，人读起来比较直观，但对于计算机处理而言，却是大大的不方便，要知道字符串处理的效率非常低，所以在程序代码中，对OID又进行了一次编码。

在GmSSL源码中，原始的OIDs定义在objects.txt文件中，在文件的尾部，我们可以看到国密的相关定义：

# GM/Tmember-body 156 : ISO-CN : ISO CN Member BodyISO-CN 10197 : osccaoscca 1 : sm-scheme sm-scheme 103 1 : SSF33-ECB : ssf33-ecbsm-scheme 103 2 : SSF33-CBC : ssf33-cbc!Cname ssf33-ofb128sm-scheme 103 3 : SSF33-OFB : ssf33-ofb!Cname ssf33-cfb128sm-scheme 103 4 : SSF33-CFB : ssf33-cfbsm-scheme 103 5 : SSF33-CFB1 : ssf33-cfb1sm-scheme 103 6 : SSF33-CFB8 : ssf33-cfb8sm-scheme 103 7 : SSF33-CBC-MAC : ssf33-cbc-mac sm-scheme 102 1 : SM1-ECB : sm1-ecbsm-scheme 102 2 : SM1-CBC : sm1-cbc!Cname sm1-ofb128sm-scheme 102 3 : SM1-OFB : sm1-ofb!Cname sm1-cfb128sm-scheme 102 4 : SM1-CFB : sm1-cfbsm-scheme 102 5 : SM1-CFB1 : sm1-cfb1sm-scheme 102 6 : SM1-CFB8 : sm1-cfb8 # SM2 OIDssm-scheme 301 : sm2p256v1sm-scheme 301 1 : sm2signsm-scheme 301 2 : sm2exchangesm-scheme 301 3 : sm2encrypt

通过 objects.pl 脚本，生成 obj_data.h文件，这个才是在代码中使用到的OID编码。

boringssl也类似，不过其采用了 go 语言编写的转换脚本。

密码套件

仅仅定义了OID还不够，因为国密并不是一个单一的标准，包含了很多加密、解密、哈希等算法，可以形成很多种组合，不能简单假定对方采用了国密就可以建立通信。

在SSL通信开始，双方就需要进行协商，采用何种算法进行通信。这里需要重点理解密码套件（CipherSuite）的概念。

密码套件是一系列密码学算法的组合，主要包含多个密码学算法：

身份验证算法。
密码协商算法。
加密算法或者加密模式。
HMAC算法的加密基元。
PRF算法的加密基元，需要注意的是，不同的TLS/SSL协议版本、密码套件，PRF算法最终使用的加密基元和HMAC算法使用的加密基元是不一样的。

密码套件的构成如下图所示:

ssl在实现保密性上的具体做法（通信双方如何判断对方采用了国密）(2)

密码套件结构

密码套件决定了本次连接采用哪一种加密算法、密钥协商算法、HMAC算法，协商的结果就是双方都认可的密码套件。

密码套件协商过程有点类似于客户采购物品的过程，客户（客户端）在向商家（服务器端）买东西之前需要告知商家自己的需求、预算，商家了解用户的需求后，根据用户的具体情况（比如客户愿意接受的价格，客户期望物品的使用年限）给用户推荐商品，只有双方都满意了，交易才能完成。对于TLS/SSL协议来说，只有协商出密码套件，才能进行下一步的工作。

除了现有国际上标准的密码套件，国密还定义了一系列的密码套件：

ssl在实现保密性上的具体做法（通信双方如何判断对方采用了国密）(3)

国密密码套件列表

代码可以参考 gmtls.h 文件，也可以使用GMSSL的命令查看所支持的密码套件：

openssl ciphers -V | column -t

与国密相关的密码套件有：

0xE1,0x07 - ECDHE-SM2-WITH-SMS4-GCM-SM3 TLSv1.2 Kx=ECDH Au=SM2 Enc=SMS4GCM(128) Mac=AEAD0xE1,0x02 - ECDHE-SM2-WITH-SMS4-SM3 TLSv1.2 Kx=ECDH Au=SM2 Enc=SMS4(128) Mac=SM30xF1,0x20 - ECDHE-PSK-WITH-SMS4-CBC-SM3 TLSv1 Kx=ECDHEPSK Au=PSK Enc=SMS4(128) Mac=SM30xE0,0x17 - SM9-WITH-SMS4-SM3 GMTLSv1.1 Kx=SM9 Au=SM9 Enc=SMS4(128) Mac=SM30xE0,0x15 - SM9DHE-WITH-SMS4-SM3 GMTLSv1.1 Kx=SM9DHE Au=SM9 Enc=SMS4(128) Mac=SM30xE0,0x13 - SM2-WITH-SMS4-SM3 GMTLSv1.1 Kx=SM2 Au=SM2 Enc=SMS4(128) Mac=SM30xE0,0x11 - SM2DHE-WITH-SMS4-SM3 GMTLSv1.1 Kx=SM2DHE Au=SM2 Enc=SMS4(128) Mac=SM30xE0,0x1A - RSA-WITH-SMS4-SHA1 GMTLSv1.1 Kx=RSA Au=RSA Enc=SMS4(128) Mac=SHA10xE0,0x19 - RSA-WITH-SMS4-SM3 GMTLSv1.1 Kx=RSA Au=RSA Enc=SMS4(128) Mac=SM30xF1,0x01 - PSK-WITH-SMS4-CBC-SM3 SSLv3 Kx=PSK Au=PSK Enc=SMS4(128) Mac=SM3

第一列：数值代表密码套件的编号，每个密码套件的编号由IANA定义。
第二列：代表密码套件的名称，虽然密码套件编号是一致的，不同的TLS/SSL协议实现其使用的名称可能是不一样的。
第三列：表示该密码套件适用于哪个TLS/SSL版本的协议。
第四列：表示密钥协商算法。
第五列：表示身份验证算法。
第六列：表示加密算法、加密模式、密钥长度。
第七列：表示HMAC算法。其中AEAD表示采用的是AEAD加密模式（比如AES128-GCM），无须HMAC算法。

值得注意的是，这里的编码又没有采用OID，这也是开发过程中需要注意的，不同的地方使用了不同标准规范，需要在开发中翻阅相应的协议和规范。

可以看出，GmSSL并没有实现所有的国密的密码套件，但同时又扩充了几个标准未定义的密码套件，比如ECDHE-SM2-WITH-SMS4-GCM-SM3、ECDHE-SM2-WITH-SMS4-SM3等。这就体现出协商的重要性了，对双方所支持的密码套件取一个交集，从中选择一个。如果不存在交集，协商也就不成功。注意，协商过程中服务器端可能会禁用一些不太安全的密码套件（比如历史遗留的一些现今已不太安全的算法），这时即使双方都支持，也可能协商不成功。

我们可以测试服务器是否支持某个特定的密码套件:

openssl s_client -cipher "ECDHE-SM2-WITH-SMS4-SM3" -connect sm2test.ovssl.cn:443 -tls1_2 -servername sm2test.ovssl.cn

当然，如何协商出密码套件，涉及到SSL通信协议细节，如果开发中涉及到，就需要翻阅相应的RFC，这里不做过多展开。

小结

本文简单介绍了OID和密码套件的概念，这对于理解SSL通信有很重要的帮助，如果从事SSL开发，开始面对一大堆的协议和标准，可能会懵圈，希望本文能给你一个探索国密的入口通道。在和第三方服务进行对接时，由于对这些概念理解不深，也是掉了很多坑，希望本文对你有所帮助。

作者:陈正勇

来源: 云水木石

出处:https://mp.weixin.qq.com/s/t82z0uKW2AZjtPop79wjvg