Gmssl编程之TLS通信

最新推荐文章于 2024-08-29 08:21:39 发布
最新推荐文章于 2024-08-29 08:21:39 发布
阅读量4.1k 收藏 21
点赞数 1
分类专栏: gmssl学习 文章标签: openssl https socket ssl tls
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lt4959/article/details/113181391
版权

Gmssl编程之TLS通信

前言

最近在整理电脑上项目工程时,发现之前用来测试gmtls通信编写的c/s测试代码。因此顺便整理了下,记录下来,方便以后回忆。

概述

进行SSL编程实现之前,我们肯定已经对SSL原理有了一定的了解。这里,小编也不再赘述。(尚不了解的可以参考这篇文章:SSL/TLS原理 详细整理版

实现流程

原理理解的差不多了,就可以开始使用gmssl编程实现基于tls的socket通讯了(PS. gmssl中已经做了大部分事情了,我们只需要调用一些基本的接口就可以完成TLS socket通讯)。具体分为以下几步:

  1. 初始化
    这一步主要是初始化openssl库,创建会话上下文等。调用的主要接口如下:
//SSL 库初始化 
SSL_library_init();
//载入所有 SSL 算法
//OpenSSL_add_all_algorithms();
//加载SSL错误信息 
SSL_load_error_strings();
//指定服务端使用的协议
const SSL_METHOD *GMTLS_server_method(void); /* GMTLSv1.1 */ 
//指定客户端使用的协议
const SSL_METHOD *GMTLS_client_method(void); /* GMTLSv1.1 */
//建立SSL上下文 
SSL_CTX *SSL_CTX_new(const SSL_METHOD *meth);
  1. 加载证书和私钥
    证书和私钥包括CA证书,服务端签名证书和私钥,服务端加密证书和私钥,客户端证书和私钥。调用的接口有:
//指定所支持的密码套件
int SSL_CTX_set_cipher_list(SSL_CTX *, const char *str);
//此函数用来便是加载CA证书文件的
int SSL_CTX_load_verify_locations(SSL_CTX *ctx, const char *CAfile, const char *CApath);
//加载自己的证书文件.
int SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file, int type);
//加载自己的私钥,以用于签名.
int SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx, const char *file, int type);
//检查用户私钥是否正确
int SSL_CTX_check_private_key(const SSL_CTX *ctx);
//加载私钥时一般要一个验证密码,这个密码是由生成私钥的一方来设定的,客户端得到这个密码后要通过一个接口传入验证
void SSL_CTX_set_default_passwd_cb_userdata(SSL_CTX *ctx, void *u);
//缺省mode是SSL_VERIFY_NONE,如果想要验证对方的话,便要将此项变成SSL_VERIFY_PEER.SSL/TLS中缺省只验证server,如果没有设置 SSL_VERIFY_PEER的话,客户端连证书都不会发过来.
void SSL_CTX_set_verify(SSL_CTX *ctx, int mode, SSL_verify_cb callback);
  1. 第三步,建立ssl socket连接
    首先要建立普通的socket连接,TCP连接成功后再与ssl进行关联。三个接口就可以完成:
//创建SSL对象
SSL *SSL_new(SSL_CTX *ctx);
//将普通的SOCKET加入到ssl
int SSL_set_fd(SSL *s, int fd);
//服务端接受客户端ssl连接
int SSL_accept(SSL *ssl);
//客户端连接服务端SSL
int SSL_connect(SSL *ssl);
  1. 第四步,发送和接收
//发送数据
int SSL_write(SSL *ssl, const void *buf, int num);
//接收数据
int SSL_read(SSL *ssl, void *buf, int num);
  1. 第五步,释放资源
    最后就是记得把所有占用的资源都释放掉。首先要把普通的socket关闭,然后是和ssl相关的资源释放。调用的主要接口如下:
SSL_CTX_free(ctx);
SSL_shutdown(ssl);
SSL_free(ssl);
ERR_free_strings();

PS. 想了解更多接口信息可以参考这篇文章:openssl编程——SSL实现

注意事项

  • GmSSL实现gmtls协议时,服务端必须设置双证书(签名证书和加密证书)才能正常通信;
  • 在设置双证书时,需要先设置签名证书,然后再设置加密证书;
  • 如果服务端只设置了一种加密套件,那么客户端要么接受要么返回错误。加密套件的选择是由服务端做出的。
  • 这里提供一个很好的国密网站:免费申请国密证书,功能很强大,大家可以在正上面申请证书哦~

示例

服务端

// TestServer.cpp : 定义控制台应用程序的入口点。
//


#include "stdafx.h"

#ifdef WIN32 
#include "Winsock2.h"
#pragma comment(lib, "ws2_32.lib")
#else
#include "sys/socket.h"
#endif

#include <iostream>
#include <conio.h>
using namespace std;

#include <openssl/err.h>
#include <openssl/ssl.h>

#define IPADDRESS   "127.0.0.1"
#define PORT        443
#define LISTENQ     1
#define MAXBUF      1024 

#define CA_CERT_FILE 		"GMCert_GMCA01.cert.pem"
#define SIGN_CERT_FILE 		"server.cert.pem"
#define SIGN_KEY_FILE 		"server.key.pem"
#define ENC_CERT_FILE 	    "server_enc.cert.pem"
#define ENC_KEY_FILE 	    "server_enc.key.pem"
#define CIPHER_


int config_ssl_ctx(SSL_CTX *ctx)
{
   
	//SSL_CTX_set_cipher_list(ctx, "SM2-WITH-SMS4-SM3");

#if 1
	// 是否要求校验对方证书 若不验证客户端身份则设置为: SSL_VERIFY_NONE
	SSL_CTX_set_verify(ctx, SSL_VERIFY_NONE, NULL);
#else
	//验证对方
	SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
	//若验证,则放置CA证书
	int ret = SSL_CTX_load_verify_locations(ctx, CA_CERT_FILE, NULL);
	if (ret < 0)
	{
   
		printf("SSL_CTX_load_verify_locations failed.");
	}
	//设置pass phrase
	SSL_CTX_set_default_passwd_cb_userdata(ctx, "12345678");
#endif

	//双证书模式,需要先设置签名证书,然后再设置加密证书
	//载入服务端数字签名证书
	if (SSL_CTX_use_certificate_file(ctx, SIGN_CERT_FILE, SSL_FILETYPE_PEM) <= 0)
	{
   
		ERR_print_errors_fp(stderr);
		return(1);
	}
	//载入服务端签名私钥
	if (SSL_CTX_use_PrivateKey_file
最低0.47元/天 解锁文章
死磕GMSSL通信-java/Netty系列(二)
qq_36577699的博客
04-16 2200
Netty-tcnative再linux编译比较好编译,但是再window编译,我尝试了各种办法,总是编译失败,所以我采用半自动的方式进行编译,Netty-tcnative会生成临时文件,直接用vs打开,设置openssl的头文件和静态库路径,然后生成静态库,静态库改个名字放到jar包里边,其实自动编译也是这个原理哈哈O(∩_∩)O。直接传输五个证书的路径吗,之前有的是说要转成x509之类的,转来转去的有点麻烦,这个是直接传输证书路径,由底层gmssl去解析,格式必须是pem格式。然而,若项目已依赖于。
c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...
weixin_29187895的博客
05-24 1310
SSL/TLS握手过程可以分成两种类型:1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。这个过程实际上产生三个随机数:client random, server random, ...
支持GM SSL/TLS解析的wireshark
10-12
GM/T 没有单独规范 SSL协议的文件,而是在SSL 技术规范中定义了国密SSL协议。 TLS协议号为0x0301 0x0302 0x0303,分别表示TLS1.0 1.1 1.2,而国密SSL版本号为0x0101,其参考了TLS1.1 本Wireshark支持解析该报文
详解gmssltls1.2握手流程分析及接口实现
qq_36472340的博客
04-07 4412
通过阅读openssl源码具体分析ssl握手中的报文交互流程,包括发送和处理每个报文所做的主要事情。同时分析ssl协议中的一些主要问题,包括tlsgmssl的区别、单向认证和双向认证、两种会话复用方式对比,调用openssl接口实现ssl客户端和服务端之间的通信。本篇文章梳理了tls1.2和gmssl的具体握手流程和算法实现,只进行了宏观层面的大致分析,openssl当中还有许多的细节需要在后续文章中继续分析。
GmSSL编程实现gmtls协议C/S通信(BIO版本)
xiejianjun417的专栏
08-21 5265
GmSSL实现gmtls协议时,服务端必须设置双证书(签名证书和加密证书)才能正常通信。如果服务端只使用单证书(加密证书),会出现如下错误:SSL routines:gmtls_construct_ske_sm2:internal error:ssl/statem/statem_gmtls.c:742 签名证书和加密证书的生成可以使用TASSL开源项目中的Tassl_demo/mk_tls_ce...
国密起步4:GmSSL3生成证书并使用tls(SM2、SSL
最新发布
编程之道在明明德在亲民在止于至善
08-29 3077
国密起步4:GmSSL3生成证书并使用tls(SM2、SSL
使用KQueue的方法来实现GMSSL的mac下通信
12-18
在IT行业中,网络通信是至关...总的来说,GMSSL在Mac OS上的应用结合kQueue的事件驱动编程,既保证了通信的安全性,又提高了系统的响应速度和资源利用率。这是一项对于开发高性能、高安全性的网络应用至关重要的技术。
GMSSL编译资料.zip
08-18
它基于国际通用的SSL/TLS协议,但融入了中国国家标准的密码算法,如SM2、SM3、SM4等,以确保国内网络通信的安全性。在Windows 10环境下编译GMSSL,需要掌握以下几个关键知识点: 1. **GMSSL源码**:GMSSL项目通常...
GMSSLTLS 1.1 区别
q1009020096的博客
03-03 3323
GMSSL 规范: 《GMT 0024-2014 SSL VPN技术规范》 《GMT 0024-2014 SSL VPN技术规范》 参照 RFC4346 TLS 1.1 根据标准提及文字: “在 TLS1.1 的握手协议中增加了ECC、IBC的认证模式和密钥交换模式,取消了DH密钥交换方式,修改了密码套件的定义。另外,在本标准中还增加了网关-网关协议。” PRF函数 GMSSL TLS 1.1 记录层协议 版本号 GMSSL TLS 1.1 记录层 加密方式 GMSSL TLS 1.1 Gen
GMSSL双向认证分析.docx
12-17
以实际的测试数据为例,分析了GMSSL双向认证的过程。 包含认证证书解析、认证算法,包含国密算法SM2、SM3、SM4在TLS双向认证过程中的使用等。 GMSSL代码为开源的,因此分析中也描述了一些在分析双向认证中涉及的开源代码文件。这些文件可以相信做分析和学习。
GMSSL的java调用(JNI库和调用实例).zip
04-01
基于最新版本的gmssl实现了java通过jni调用gmssl,可使用国密sm2算法、sm3算法和sm4算法,包括jni的动态库和java调用示例
statem_gmtls.c
06-24
博客《新手入坑GMSSL(三)GMSSL双证书与360国密浏览器通讯》中修改的源码文件,位置在ssl/statem/statem_gmtls.c,如果怕自己修改错的话可以直接下载替换。
GMssl -- 1
andylau00j的专栏
01-14 2754
为什么我国要有自己的密码算法?这个问题不在此展开回答了,密码技术对国家的重要性可以参考二战时期英美和德国的密码对抗。 目前我国公开发布的主要商用密码算法如下(SM也即拼音“商密”): - SM2:256位的椭圆曲线算法,包括密钥生成,签名,密钥交换和公钥加密四种算法 - SM3:摘要算法,输出长度32字节(与SHA-256同样长度) - SM4:分组长度为16字节的对称加密算法
GmSSL安装与国密双证制作
qq_31539845的博客
11-30 2687
在使用openssl时,发现不支持国密协议,因此找了支持的GmSSL,自己编译安装。
GmSSL编程实现gmtls协议C/S通信(非BIO版本)
xiejianjun417的专栏
08-21 4279
参见GmSSL编程实现gmtls协议C/S通信(BIO版本) 服务端: #include "openssl/bio.h" #include "openssl/ssl.h" #include "openssl/err.h" #include <string.h> #include <sys/types.h> #ifndef WIN32 #include...
gmssl基础命令介绍
qq_34322136的博客
06-21 896
ChatGPT 命令: help:打印此帮助信息 version:打印版本信息 rand:生成随机字节 sm2keygen:生成SM2密钥对 sm2sign:生成SM2签名 sm2verify:验证SM2签名 sm2encrypt:使用SM2公钥加密 sm2decrypt:使用SM2私钥解密 sm3:生成SM3哈希 sm3hmac:生成SM3 HMAC标签 sm3_pbkdf2:使用PBKDF2算法将密码哈希成密钥 sm3xmss_keygen:生成SM3-XMSS密钥对 sm4_ecb:使用SM4 E
[SSL] GMSSL 客户端证书验证失败的原因
好习惯成就伟大
12-06 3875
当使用 ECC_SM4_SM3 算法时,双向认证 客户端发送验证消息时,要使用签名证书的key进行签名,不然 server验证会失败。 #ifndef OPENSSL_NO_GMTLS if (SSL_IS_GMTLS(s) && s->cert->pkeys[SSL_PKEY_SM2].privatekey) pkey = s->cert->pkeys[SSL_PKEY_SM2].privatekey; else #endif pkey = s->cert-&
新手入坑GMSSL(三)GMSSL双证书与360国密浏览器通讯
qq_40153886的博客
06-24 8981
首先申明,我不是密码学的专业人员,没有这方面知识基础,这个以及接下来的博客都是我根据网上能找到的资料、博客,一点点摸索总结出来的,问了很多前辈和博主,但是可能都没有看到都没有回复我 = = 。但项目必须得做身不由己,无奈只能自己试一试了。 如果有哪里不对的地方,请各位一定指出,也让我学习一下,感谢! 博客参考的资料地址会将参考的内容会在文中给出,我总结的步骤有不清楚的地方可以参考原文。 相信看到这篇博客的同学对于openssl的认识应该都比我要深,我就不班门弄斧了。可能国密这个领域对于其他技术来说.
深入解析Visual C++网络通信编程技术
6. 安全通信:涉及到SSL/TLS加密协议在Visual C++网络通信中的应用,保证数据传输的安全性。 7. 实战案例分析:通过具体案例讲解如何使用Visual C++实现一个完整的网络通信应用,涵盖客户端和服务器端的设计与实现...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值