(高清版)GB∕T 38636-2020 信息安全技术 传输层密码协议（TLCP）

信息安全技术传输层密码协议(TLCP)2020-04-28发布2020-11-01实施国家市场监督管理总局国家标准化管理委员会 I 25.1概述 2 3 3 46.1概述 46.2数据类型定义 4 56.4握手协议族 6.5密钥计算 附录A(规范性附录)GCM可鉴别加密模式 24 I1IBC:标识密码算法(Identity-BasedCryptoXOR:异或(Exclusive-OR)23P_hash(secret,seed)=HMAC(secret,A(1)+seed)HMAC(secret,A(2)+seed)十HMAC(secret,A(3)+seed)十A(i)=HMAC(secret,A(iPRF(secret,label,seed)=P_hash(secret,l45bulk_cipher_algorit6enum{sha_256,sm3}MAenum{null(0),(255)}Compres由客户端产生的32字节随机数据。j)server_random由服务端产生的32字节随机数据。 ——服务端写校验密钥serverwriteMACsecret。服务端接收和处理记录时使用客户端写参数，客户端接收和处理记录时使7ProtocolVersionversion;opaquefragment[TLSPlainchange_cipher_spec(20),alert(21),hauint8minor=0x01;}ProtocolVersion;8caseaead:GenericAEADCipher;HMAC_hash(MAC_write_secret,seq_num+TLSCompressed.type+TLSCompresTLSCompressed.length+TLSCompress初始值为零，最大不能超出2⁶⁴-1。序列号不能回绕。如果序列号b)hashopaqueIV[SecurityParameters,record_9opaqueMAC[SecurityParameters.mac_length];uint8padding[GenericBlockCipher.padding_length];b)SecurityParameters.record_iv_leopaquenonce_explicit[SecurityParameters.record_iv_length];opaquecontent[TLSCompressed.length];additional_data=seq_num+TLSCompressed.type十TLSCompressed.version+TLSCompressed.length;随着不同的TLSCompressed.length值而不同。每个AEAD密码算法生成的扩展应不能多于1024AEADEncrypted=AEAD—Encrypt(write_key,nonce,plaintext,additioTLSCompressed.fragment=AEAD一Decrypt(write_AEADEncrypted,additionalenum{change_cipher_spec(1enum{warning(1),fatal(2),(255unexpected_message(1unsupported_certificate(protocol_version(70).unsupported_site2site(20unsupported_areatype(20unsupported_ibcparam(2AlertDescriptiondescrip值级别unsupportedcertifi不支持证书类型 拒绝访问内部错误警告警告不支持的保护域类型ClientHello---Finished---ApplicationDataServerHelloDoneApplicationData<------->App client_hello(1),servecertificate(11),server_key_ecertificate_request(13),server_helcertificate_verify(15),client_key_ProtocolVersionclient_version;CipherSuitecipher_suitesCompressionMethodcompression_methorandom_bytes为28个字节的随机数。名称加密效验值enum{null(0),(255)}CompreCipherSuitecipher_sCompressionMethodcompression_mopaqueASN.1IBCParab)ibc_parameterenum{ECDHE,ECC,IBSDH,IBC,Digitally-signedstrServerIBSDHParamsparams;ServerIBSDHParamsparams;ClientCertificateTypecertificate_DistinguishedNamecertificate_authorities<0.rsa_sign(1),ecdsa_sign(64),ibc_params(80),b)certificate_authoriopaqueDistinguishedNamopaqueECCEncryptedPreMasteopaqueIBCEncryptedPreMasterSecropaqueRSAEncryptedPreMasterSecra)ClientECDHEParaECParameterscurveb)ClientIBSDHParamsc)ECCEncryptedPreMasterSecretd)IBCEncryptedPre___ PRF(master_secret,finismaster_secret=PRF(pre_master_secret,"mastersecretClientHello.random+ServerHello.random)[0..47]key_block=PRF(SecurityParameters.master_secret,"keyexpansion",SecurityParameters.server_random+SecurityParaclient_write_MAC_secret[SecurityParametserver_write_MAC_secret[SecurityParaclient_write_key[SecurityParameters.key_mserver_write_key[SecurityParameters.keyclient_write_IV[SecurityParameters.fixserver_write_IV[SecurityParameters.上面A.1.2.1所述。输出是下列之一：A.1.3GCM的数学基础对于一个实数x,[x]表示≥x的最小整数，例如[2.1]=3,[4]=4。给定一个比特串X和一个非负整数s,其中len(X)≥s,LSB,(X)和MSB,(X)分别表示比特串X的最低位(最右)s比特和最高位(最左)s比特。例如LSB₃(111011010)=010,MSB₄(111011010)=给定一个比特串X,单比特右移函数表示为X>1,其右移结果为MSBen(x)(0||X),例如0110111>给定一个正整数s和一个非负整数x,其中x<2s,整数转比特串的函数记为[x]s,即将整数x表示为二进制字符串。例如，一个十进制整数39,其二进制表示为100111,[39]8=00100111。给定一个非空比特串X,比特串转整数的函数记为int(X),例如int(00011010)=26。A.1.3.2递增函数inc,(X)给定一个正整数s和一个比特串X,其中len(X)≥s,设inc,(X)为一个s比特递增函数，其定inc₅(X)=MSBen(x)—s(x)|I[int(LSB₅(X))+1mod此函数将X的右s比特加1后取模2s,左边的len(X)一s比特不变。设R是一个比特串11100001||o¹20,给定两个分组X和Y,算法1计算乘积X·Y:算法1:计算X·Y。c)对于i从0～127计算分组Zi+1和V+1如下：模二进制多项式的表示。从比特串到二进制多项式之间的转换是小端格式(littleendian),即如果令u次数项的系数的模2相加。模约多项式是一个次数为128的多项式，即R||1。对于一个正整数i,分组X的第i次方表示为Xi,例如H²=H·H,H³=H·H·H。算法2:GHASHH(X)。c)对于i从1～mX₁X₁X₂XYmA.1.3.5GCTR函数b)令n=[len(X)/128];e)对于i从2～nf)对于i从1～(n—1)h)Y=Y₁IIY₂Il…|IYn-11Ii)返回Y。X-1X₁图A.2GCTR函数流程图A.1.4GCM描述A.1.4.1可鉴别加密函数算法算法4描述了可鉴别加密函数的流程。算法4:GCM-AEk(IV,P,A)。已知：分组密码算法CIPH,其分组长度为128比特；密钥K;输入-输出长度定义；与密钥K相关的标签tag长度t。输入：初始向量IV;明文P;附加的鉴别数据A。鉴别标签T。开始b)定义一个分组Jo:v=128·[len(A)/1287-lee)定义一个分组S,S=GHASHa(A||0°1|C||0“II[len(A)64]lI[len(C)₆4];f)T=MSB,(GCTRk(J₀,S)