详解gmssl和tls1.2握手流程分析及接口实现

原创 已于 2023-04-07 18:52:20 修改 · 5k 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #https #网络协议

于 2023-04-07 12:05:58 首次发布
文章详细分析了GMSSL和TLS1.2的握手过程,包括它们的密钥交换算法和证书区别。国密协议使用双证书系统,以满足监控需求。此外,讨论了单向与双向认证,以及会话复用的机制,如sessionid和SessionTicket,强调SessionTicket在减轻服务器压力上的优势。最后,介绍了使用OpenSSL接口实现SSL客户端和服务端时的注意事项,特别是国密协议与国际协议在接口使用上的差异。

文章目录

前言

通过阅读openssl源码具体分析ssl握手中的报文交互流程,包括发送和处理每个报文所做的主要事情。同时分析ssl协议中的一些主要问题,包括tls和gmssl的区别、单向认证和双向认证、两种会话复用方式对比,调用openssl接口实现ssl客户端和服务端之间的通信。

一、gmssl、tls1.2握手的详细流程

在这里插入图片描述注意:
TLS1.2中密钥交换算法为RSA、gmssl的密钥交换算法有ECC、ECDHE,RSA密钥交换算法没有server key exchange。
双向认证才有服务端给客户端发送的certificate request,和客户端给服务端发送的certificate和certificate verify。
TLS1.2为国际协议,使用单证书,certificate中只有一个证书,gmssl为国密协议使用的是双证书,certificate中有两个证书,一个签名证书、一个加密证书。

二、 TLS1.2和gmssl的区别

1.TLS1.2属于国际协议,所有算法套件都为国际算法。gmssl属于国密协议,所用算法都为国密算法。
国际算法套件:
在这里插入图片描述国密算法套件:
在这里插入图片描述
2.TLS1.2国际算法使用的是单证书,签名证书和加密证书是同一个证书;gmssl使用的是双证书,分为签名证书和加密证书,签名用签名证书,加密使用加密证书。

国密双证书的好处

**单证书体系:**本地生成公私钥对,将相关的证书信息和公钥提交给CA机构,CA审核通过后用私钥进行签名,将签名和公钥组合成数字证书,本地保存数字证书,CA不保管证书。
双证书体系: gmssl要求使用双证书,包括签名证书和加密证书。签名证书在签名使用,仅仅用来验证身份使用,其公私钥均由服务器自己产生,并且由自己保管,CA不负责保管;加密证书在加密时使用,其公私钥均由CA产生,并

最低0.47元/天 解锁文章
一篇文章读懂HTTPS TLS 1.2握手流程
天天的博客
03-02 1032
定义安全靠的是下面几点:完整性:也叫做数据一致性,指的是传输过程自出发到接受的信息是一致的。机密内容可以被黑客替换或者删除添加,一旦被接受并且核验通过,会带来大问题。机密性:对于数据保密之后,只有信任的对象可以访问,其他人哪怕拿到保密信息,也无法识别出里面的内容。身份认证:身份认证需要明确的证实对方身份,比如报警的时候要求警察出示身份证据,并且看到盖章许可文件才允许进入,不然黑客冒充的,不管怎么防都没有用。不可否认:指的是发生的事情不能进行诋毁,某一项操作必要在通信完成之后产生一定影响。
[密码学实战]国密TLCP协议报文解析代码实现(三十)
最新发布
曼岛_的博客
07-01 272
[密码学实战]国密TLCP协议报文解析代码实现(三十)
开源加解密库之GmSSL
itcolossus的专栏
01-06 1714
GmSSL是由北京大学自主开发的国产商用密码开源库,实现了对国密算法、标准安全通信协议的全面功能覆盖,支持包括移动端在内的主流操作系统处理器,支持密码钥匙、密码卡等典型国产密码硬件,提供功能丰富的命令行工具及多种编译语言编程接口GmSSL 3 更容易跨平台,构建系统不再依赖Perl,默认的CMake构建系统可以容易地Visual Studio、Android NDK等默认编译工具配合使用,开发者也可以手工编写Makefile在特殊环境中编译、剪裁。切换到最新的v3.1.1这个tag上。
基于GMSSL的常用算法特点总结以及源代码分享
qq_41949110的博客
07-09 1609
本文主要有两部分,第一部分是主要是总结一些算法的特点, 第二部分是源代码,主要是基于GMSSL库的正确性测试性能测试
GmSSL快速上手指南
Wonz
12-10 3999
国密算法 SM2
Gmssl编程之TLS通信
lt4959的专栏
01-26 4388
Gmssl编程之TLS通信前言概述实现流程注意事项示例服务端客户端运行结果 前言 最近在整理电脑上项目工程时,发现之前用来测试gmtls通信编写的c/s测试代码。因此顺便整理了下,记录下来,方便以后回忆。 概述 进行SSL编程实现之前,我们肯定已经对SSL原理有了一定的了解。这里,小编也不再赘述。(尚不了解的可以参考这篇文章:SSL/TLS原理 详细整理版) 实现流程 原理理解的差不多了,就可以开始使用gmssl编程实现基于tls的socket通讯了(PS. gmssl中已经做了大部分事情了,我们只需要调用
GMssl开启tls1.2
dongyoubin的博客
09-13 485
SSLv23_client_method()替换为TLSv1_2_client_method(),指定tls版本 如果不指定版本会出现错误:unsupported_version
c语言 tls单向认证 验证证书,使用wireshark观察SSL/TLS握手过程--双向认证/单向认证...
weixin_29187895的博客
05-24 1448
SSL/TLS握手过程可以分成两种类型:1)SSL/TLS 双向认证,就是双方都会互相认证,也就是两者之间将会交换证书。2)SSL/TLS 单向认证,客户端会认证服务器端身份,而服务器端不会去对客户端身份进行验证。我们知道,握手过程实际上就是通信双方协商交换一个用于对称加密的密钥的过程,而且握手过程是明文的。这个过程实际上产生三个随机数:client random, server random, ...
详解国密SSL ECC_SM4_SM3套件
热门推荐
云水木石
03-29 1万+
国密算法最好的应用场景应该是SSL/TLS通信,然而国密文档中并没有单独规范SSL/TLS协议,我们能参考的只有《GM/T 0024-2014 SSL ...
GMSSL国密算法配置实战:一步步搭建高效安全环境
![GMSSL国密算法配置实战:一步步搭建高效安全环境]...随后,详细介绍了GMSSL国密算法的安装与配置步骤,包括选择合适版本、安装过程、SSL/TLS协议配置、国密加密套件证书的配置以及测试与验
Windows 下使用Visual Studio 2013编译国密算法库GMSSL
09-29
Windows 下使用Visual Studio 2013编译国密算法库GMSSL
TLS1.2连接过程解析
qq_38304320的博客
11-29 770
文章目录HTTPS 建立连接TLS 协议的组成抓包的准备工作ECDHE 握手过程RSA 握手过程双向认证总结 HTTPS 建立连接 当你在浏览器地址栏里键入“https”开头的 URI,再按下回车,会发生什么呢? 回忆一下第 8 讲的内容,你应该知道,浏览器首先要从 URI 里提取出协议名域名。因为协议名是“https”,所以浏览器就知道了端口号是默认的 443,它再用 DNS 解析域名,得到目标的 IP 地址,然后就可以使用三次握手与网站建立 TCP 连接了。 在 HTTP 协议里,建立连接后,浏览器会
TLS1.2握手过程(双方都进行身份认证)
sweet_Mary的博客
07-31 2763
该证书为Server端向Client端提供的Server证书,mtlstls主要的区别即为“m(mutual)”,mtls需要双方都提供证书,而tls只需要server证书提供给client(Server证书中含有Server的公钥,tls:将Server证书交给Client,Client将自己想好的会话秘钥用Server的公钥进行加密,再传给Server,Server再用公钥进行解密,这样双方都得到了会话秘钥)Server端让Client端发来Client的证书。根据更改的协议发送示例进行测试。
x509证书有效期校验过程_基于TLS1.2(GmSSL)
Baymini的博客
07-06 6010
服务端客户端在进行TLS连接的过程中,需要判断当前时间是否在证书有效期内,若证书过期,程序如何处理?
TLS 1.2 握手过程
浮生的博客
02-09 3905
本文参考:HTTPS是什么?加密原理证书。SSL/TLS握手过程_哔哩哔哩_bilibili 再结合本地抓包整理。 TLS 1.2 握手过程主要步骤如下图: 1.Client Hello(TLS版本,加密套件,Client随机数) Client首先发送Hello,告诉Server支持的TLS版本以及支持的加密套件,再把Client随机数发给Server。 2.Server Hello Server收到Client Hello也给Client发送Hello,并告知Server
05.HTTPS实现原理-HTTPS握手流程TLS1.2
ChennyWJS的博客
12-25 1428
主要讲述了混合加密流程完成后,客户端服务器如何共同获得相同的对称密钥,并通过该密钥进行数据的加密解密。视频详细介绍了HTTPS的加密过程,基于TLS协议,并指出TLS1.21.3版本为当前主流。并进一步阐述了TLS握手过程,包括客户端发送Client Hello请求给服务器,告知其支持的TLS版本、生成的随机数以及密码套件等信息,以便服务器根据这些信息与客户端协商并建立安全的连接。TLS握手过程包括四次握手1.客户端首先发送Client Hello请求。
加密与安全_HTTPS TLS 1.2 连接(RSA 握手)的整个过程解读
小工匠
09-17 6538
数字证书是由可信的证书颁发机构(CA)签发的,它包含服务器的公钥身份信息。客户端通过验证服务器提供的证书,确保其通信对象是合法的服务器,而非冒充的中间人。证书的真实性由CA的签名保证,防止伪造冒充。这个流程确保客户端服务器之间的通信是安全的,并且数据传输过程中不会被篡改或监听。接下来,客户端服务端的所有通信都是加密通信,并且数据通过签名确保无法篡改。从服务端拿到的 CA 证书是用户证书,需要通过证书中的签发人信息找到上级中间证书,再往上找到根证书。最后再拿到中间证书的公钥,验证用户证书的签名。
GmSSL编程实现gmtls协议C/S通信(非BIO版本)
xiejianjun417的专栏
08-21 4394
参见GmSSL编程实现gmtls协议C/S通信(BIO版本) 服务端: #include "openssl/bio.h" #include "openssl/ssl.h" #include "openssl/err.h" #include <string.h> #include <sys/types.h> #ifndef WIN32 #include...
26 | 信任始于握手TLS1.2连接过程解析
qq_37756660的博客
10-31 1828
经过前几讲的介绍,你应该已经熟悉了对称加密与非对称加密、数字签名与证书等密码学知识。有了这些知识“打底”,现在我们就可以正式开始研究 HTTPS TLS 协议了。
tls 1.2握手流程
06-02
TLS 1.2 握手可以分为以下 7 个步骤: 1. 客户端发送 Client Hello 消息,包含客户端支持的 TLS 版本、加密...以上是 TLS 1.2 握手的主要流程,其中包含了密钥交换、证书验证、加密等重要过程,可以保证通信的安全性。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值