如何使用腾讯 Kona 国密套件为普通 Socket 进行通道加密

已于 2024-05-09 08:50:19 修改
阅读量950 收藏 10
点赞数 22
文章标签: 网络 安全 服务器
于 2024-05-08 15:01:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41493224/article/details/138569598
版权

腾讯Kona国密套件是由腾讯云安全团队开发的一套加密解决方案,采用国密算法实现数据加密和安全通信。国密算法是由中国政府推动的一套国家密码标准,采用了一系列经过严格测试和验证的密码算法,包括SM2、SM3、SM4等,具有较高的安全性和可靠性。
通道加密是在网络通信中对数据进行加密保护,以防止数据在传输过程中被窃取、篡改或者伪造。采用腾讯Kona国密套件进行通道加密具有以下重要性:
数据安全保障: 通道加密可以有效保护数据在传输过程中的安全性,确保数据不会被未经授权的人员窃取或篡改,保障数据的机密性和完整性。
符合法规要求: 针对一些行业或国家的法规要求数据必须采用特定的加密算法或者实现特定的加密标准,采用腾讯Kona国密套件可以满足相关的法规合规要求。
防止中间人攻击: 通道加密可以有效防止中间人攻击,确保通信双方的身份认证和通信内容的安全性,避免数据被篡改或者劫持。
保护隐私数据: 对于一些敏感数据或者个人隐私数据的传输,通道加密可以有效保护数据的隐私性,防止敏感信息泄露。
增强系统可靠性: 采用通道加密可以增强系统的安全性和可靠性,降低系统遭受攻击和数据泄露的风险,提升系统的稳定性和可用性。

Kona 国密套件

背景:

  1. 国家密码标准推动: 中国政府自2010年开始推动国家密码算法的研发和标准化工作,旨在提升国家信息安全水平,保护国家核心利益和重要数据。
  2. 国际安全形势: 随着互联网的发展和应用范围的扩大,网络安全威胁不断增加,对于数据的保护和加密需求日益迫切。 行业规范和法律法规要求:
  3. 一些行业或国家的法规要求特定领域的数据必须采用特定的加密算法或实现特定的加密标准,为了满足法规合规要求,需要提供符合国内国密算法标准的加密解决方案。

特点:

  1. 符合国内国密标准:
    Kona国密套件采用的加密算法符合中国国家密码管理局颁布的相关国密标准,包括SM2、SM3、SM4等算法,能够满足国内各行业的加密需求。
  2. 高安全性和可靠性: 国密算法经过严格的安全性评估和验证,具有较高的安全性和可靠性,能够有效保护数据的机密性和完整性。
  3. 丰富的应用场景:
    Kona国密套件可广泛应用于各种网络通信场景,包括Web安全、移动应用、物联网、云计算等领域,为不同行业和领域的应用提供安全保障。
  4. 性能优化和可扩展性: Kona国密套件针对国密算法进行了性能优化和功能扩展,能够满足大规模应用的性能需求,并提供灵活的配置和定制化功能。
  5. 与国际标准兼容: Kona国密套件在满足国内国密标准的同时,也兼容国际通用的加密算法和协议,可以与国际标准的加密产品进行互操作和兼容。

Kona 国密套件提供的加密算法和协议支持概述

  1. SM2非对称加密算法: SM2是一种国家标准的非对称加密算法,适用于数字签名、密钥交换等场景,具有较高的安全性和性能。
  2. SM3哈希算法: SM3是一种国家标准的哈希算法,适用于消息摘要和数据完整性校验,具有较高的安全性和抗碰撞性。
  3. SM4对称加密算法: SM4是一种国家标准的对称加密算法,适用于数据加密和解密,具有较高的安全性和性能。
  4. 国密SSL/TLS协议支持
    Kona国密套件提供了对基于国密算法的SSL/TLS协议的支持,包括服务器端和客户端的实现,能够保护网络通信的安全性和机密性。
  5. 国密IPSec协议支持
    Kona国密套件还提供了对基于国密算法的IPSec协议的支持,包括VPN网关和终端设备的实现,能够保护企业内部网络和互联网之间的通信安全。
  6. 国密HTTPS协议支持: Kona国密套件支持基于国密算法的HTTPS协议,能够保护Web应用程序的安全通信,包括网站和移动应用等。
  7. 国密SMQ消息队列协议支持: Kona国密套件提供了对基于国密算法的SMQ消息队列协议的支持,能够保护消息传输的安全性和机密性。

准备工作

腾讯Kona国密套件git地址,点击此链接下载源码

上图是对项目的简介,通过上图可知如果我们要是想实现服务端可以看“Kona-demo”模块,“kona-ssl”模块的test中有很多使用案例,本文主要是对普通socket进行通道加密所以我选择查看Netty得Demo
上图是对项目的简介,通过上图可知如果我们要是想实现服务端可以看“Kona-demo”模块,“kona-ssl”模块的test中有很多使用案例,本文主要是对普通socket进行通道加密所以我选择查看Netty得Demo

下载项目源代码,重点查看kona-ssl模块的测试集
在这里插入图片描述
这个类中是包裹netty实现的socket通讯,内容包含客户端与服务端。找到测试用例

    @Test
    public void tlcpDemo() throws Exception {
        // Output debug info.
//        System.setProperty("com.tencent.kona.ssl.debug", "all");

        // Add providers.
        TestUtils.addProviders();

        // Run Netty server, which supports TLCP connection.
        EventLoopGroup bossGroup = new NioEventLoopGroup();
        EventLoopGroup workerGroup = new NioEventLoopGroup();
        try {
            ServerBootstrap bootstrap = new ServerBootstrap();
            bootstrap.group(bossGroup, workerGroup)
                    .channel(NioServerSocketChannel.class)
                    .option(ChannelOption.SO_BACKLOG, 128)
                    .childOption(ChannelOption.SO_KEEPALIVE, true)
                    .childHandler(new ServerChannelInitializer(
                            createJdkContext(false)));
            ChannelFuture channelFuture = bootstrap.bind(0).sync();

            int port = ((InetSocketAddress) channelFuture.channel()
                    .localAddress()).getPort();
            runClient(port);
        } finally {
            bossGroup.shutdownGracefully();
            workerGroup.shutdownGracefully();
        }
    }
        // Run Netty client, which supports TLCP connection.
    private void runClient(int port) throws Exception {
        EventLoopGroup workerGroup = new NioEventLoopGroup();
        try {
            Bootstrap bootstrap = new Bootstrap();
            bootstrap.group(workerGroup);
            bootstrap.channel(NioSocketChannel.class);
            bootstrap.option(ChannelOption.SO_KEEPALIVE, true);
            bootstrap.handler(new ClientChannelInitializer(
                    createJdkContext(true)));

            ChannelFuture future = bootstrap.connect("127.0.0.1", port).sync();
            future.channel().closeFuture().sync();
        } finally {
            workerGroup.shutdownGracefully();
        }
    }

在测试客户端的代码中发现“createJdkContext(true)”,继续追进到如下代码

    private static SSLContext createContext() throws Exception { 
        KeyStore trustStore = createTrustStore(CA, null);
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX", "KonaSSL");
        tmf.init(trustStore);

        KeyStore keyStore = createKeyStore(SIGN_EE, SIGN_EE_ID, SIGN_EE_KEY, ENC_EE, ENC_EE_ID, ENC_EE_KEY);
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("NewSunX509", "KonaSSL");
        kmf.init(keyStore, PASSWORD.toCharArray());

        SSLContext context = SSLContext.getInstance("TLCPv1.1", "KonaSSL");
        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());
        return context;
    }

找到这一段代码,我们可以通过此处获取SSLContext 然后生成socket。
创建一个maven项目,并且添加相关依赖

<dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk15on</artifactId>
            <version>1.47</version>
        </dependency>
        <dependency>
            <groupId>com.tencent.kona</groupId>
            <artifactId>kona-ssl</artifactId>
            <version>1.0.10</version>
        </dependency>
        <dependency>
            <groupId>com.tencent.kona</groupId>
            <artifactId>kona-provider</artifactId>
            <version>1.0.10</version>
        </dependency>
        <dependency>
            <groupId>com.tencent.kona</groupId>
            <artifactId>kona-pkix</artifactId>
            <version>1.0.10</version>
        </dependency>
        <dependency>
            <groupId>com.tencent.kona</groupId>
            <artifactId>kona-crypto</artifactId>
            <version>1.0.10</version>
        </dependency>

实现通道加密

需要把源码中的包复制下来


package org;

import com.tencent.kona.sun.security.x509.SMCertificate;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManagerFactory;
import java.io.ByteArrayInputStream;
import java.nio.charset.StandardCharsets;
import java.security.KeyFactory;
import java.security.KeyStore;
import java.security.PrivateKey;
import java.security.SecureRandom;
import java.security.cert.Certificate;
import java.security.cert.CertificateFactory;
import java.security.cert.X509Certificate;
import java.security.spec.PKCS8EncodedKeySpec;
import java.util.Base64;

/**
 * A comprehensive demo for TLCP with Netty.
 */
public class TLCPWithNettyDemo {


    //region CA && CA KEY
    private static final String CA = Utils.readFileToString("src/main/resources/root.pem");

    // The CA private key.
    private static final String CA_KEY = "MIGHAgEAMBMGByqGSM49AgEGCCqBHM9VAYItBG0wawIBAQQgPWgd9v0oxNwV1/nL\n" + "UVaZuqCxxJmSeyVzvaWgb4lxB3qhRANCAAS/2B8sH0dPDeYEqxRzT3WIRF3sWSU9\n" + "m4x0Mx30ZsaXGttBIUqrNHV96AEDeI/Y58nNj/3+RYLYAtBTKsvQ5Mhh";

    //endregion
    //region SIGN_EE SING_EE_ID KEY ENC_EE ENC_KEY
    private static final String SIGN_EE = Utils.readFileToString("src/main/resources/sign.pem");
    private static final String SIGN_EE_ID = "1234567812345678";
    // The sign certificate private key.
    private static final String SIGN_EE_KEY = Utils.readFileToString("src/main/resources/sign.key");
    private static final String ENC_EE = Utils.readFileToString("src/main/resources/enc.pem");
    private static final String ENC_EE_ID = "1234567812345678";
    // The enc certificate private key.
    private static final String ENC_EE_KEY = Utils.readFileToString("src/main/resources/enc.key");
    //endregion
    private static final String PASSWORD = "password";


    public static SSLContext createContext() throws Exception {
        KeyStore trustStore = createTrustStore(CA, null);
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX", "KonaSSL");
        tmf.init(trustStore);
        KeyStore keyStore = createKeyStore(SIGN_EE, SIGN_EE_ID, SIGN_EE_KEY, ENC_EE, ENC_EE_ID, ENC_EE_KEY);
        KeyManagerFactory kmf = KeyManagerFactory.getInstance("NewSunX509", "KonaSSL");
        kmf.init(keyStore, PASSWORD.toCharArray());

        SSLContext context = SSLContext.getInstance("TLCPv1.1", "KonaSSL");
        context.init(kmf.getKeyManagers(), tmf.getTrustManagers(), new SecureRandom());
        return context;
    }

    private static KeyStore createTrustStore(String caStr, String caId) throws Exception {
        KeyStore trustStore = KeyStore.getInstance("PKCS12", "KonaPKIX");
        trustStore.load(null, null);
        trustStore.setCertificateEntry("tlcp-trust-demo", loadCert(caStr, caId));
        return trustStore;
    }

    private static KeyStore createKeyStore(String signEeStr, String signEeId, String signEeKeyStr, String encEeStr, String encEeId, String encEeKeyStr) throws Exception {
        KeyStore keyStore = KeyStore.getInstance("PKCS12", "KonaPKIX");
        keyStore.load(null, null);

        keyStore.setKeyEntry("tlcp-sign-ee-demo", loadPrivateKey(signEeKeyStr), PASSWORD.toCharArray(), new Certificate[]{loadCert(signEeStr, signEeId)});
        keyStore.setKeyEntry("tlcp-enc-ee-demo", loadPrivateKey(encEeKeyStr), PASSWORD.toCharArray(), new Certificate[]{loadCert(encEeStr, encEeId)});

        return keyStore;
    }

    private static X509Certificate loadCert(String certPEM, String id) throws Exception {
        CertificateFactory certFactory = CertificateFactory.getInstance("X.509", "KonaPKIX");
        X509Certificate x509Cert = (X509Certificate) certFactory.generateCertificate(new ByteArrayInputStream(certPEM.getBytes()));

        if (id != null && !id.isEmpty()) {
            ((SMCertificate) x509Cert).setId(id.getBytes(StandardCharsets.UTF_8));
        }

        return x509Cert;
    }

    private static PrivateKey loadPrivateKey(String keyPEM) throws Exception {
        PKCS8EncodedKeySpec privateKeySpec = new PKCS8EncodedKeySpec(Base64.getMimeDecoder().decode(keyPEM));
        KeyFactory keyFactory = KeyFactory.getInstance("EC", "KonaCrypto");
        return keyFactory.generatePrivate(privateKeySpec);
    }
}

删除用不到部分,综合如上。
在测试类中创建socket客户端如下

        Security.addProvider(new KonaCryptoProvider());
        Security.addProvider(new KonaPKIXProvider());
        Security.addProvider(new KonaSSLProvider());
        SSLContext sslContext = TLCPWithNettyDemo.createContext();
        Socket socket = sslContext.getSocketFactory().createSocket("127.0.0.1", 15001);
咚巴拉西咣
关注
  • 22
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
基于腾讯Kona编写的jmeter取样器,根据tcp取样器编写tlcp取样器
06-04
基于腾讯Kona编写的jmeter取样器,根据tcp取样器编写tlcp取样器 1、需要结合腾讯的JDK使用,运行jmeter的jdk为腾讯的jdk 2、需要更换证书内容
国密加密SM2二级认证安全性检测要求对应文档.xls
03-30
国密加密SM2二级认证安全性检测要求对应文档,文档是对应GMT 0039-2015 密码模块安全检测要求,从国密认证安全监测要求中整理了,国密二级认证的一些要求,方便大家在准备认证时参考
国密https访问
fenglllle的博客
10-21 3920
现在的SSL加密算法实际上主要是国际算法,包括JDK,Go等语言也仅支持国际算法加密(毕竟是国外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法传输层密码协议(TLCP)GB/T 38636-2020:传输层密码协议该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加密证书。
腾讯国密套件KonaCrypto使用(SM2加密
Soncat2000的博客
05-22 3284
腾讯Kona Crypto是一个Java安全Provider实现,其Provider名称为KonaCrypto。它遵循相关的国家标准实现了如下的国密基础算法:GB/T 32918.1-2016 第1部分:总则GB/T 32918.2-2016 第2部分:数字签名GB/T32918.3-2016 第3部分:密钥交换协议GB/T 32918.4-2016 第4部分:公钥加密算法GB/T 32918.5-2017 第5部分:参数定义GB/T 32905-2016 SM3密码杂凑算法。
探索腾讯的云时代Java解决方案:Tencent Kona JDK17
最新发布
gitblog_00066的博客
06-18 264
探索腾讯的云时代Java解决方案:Tencent Kona JDK17 项目地址:https://gitcode.com/Tencent/TencentKona-17 在日新月异的科技洪流中,Java作为企业级应用的基石,其重要性不言而喻。今天,我们带您深入了解一款由腾讯倾力打造的开源巨献——Tencent Kona JDK17,它不仅是一个零成本的企业级Java开发套件,更是通往大规模数据处理、...
关于国密SSL的那些事
softt的博客
04-28 218
国密SSL顾名思义就是指参考密码标准实现的https,这里面有2个显著特点:1)密码套件国密化,即非RSA国际套件,类似ECC_SM4_GCM_SM3;2)引入双证书机制,即签名和加密分离,传统https国际采用单证书;
开源公告|腾讯Kona国密套件对外开源
腾讯开源
09-20 1712
2022年9月19日,腾讯宣布腾讯Kona国密套件正式开源。腾讯Kona国密套件基于JDK的标准JCA,PKI和JSSE的SPI接口实现了从基础算法簇,到公钥基础设施,再到安全通信协议的全链路国密特性。主要特性1. 实现了国密基础算法簇- SM2,包括签名算法(GB/T 32918.2-2016),密钥交换算法(GB/T 32918.3-2016)和加密算法(GB/T 32918.4-2016)。...
探索腾讯Kona国密套件——开启你的国密安全之旅
gitblog_00013的博客
05-26 416
探索腾讯Kona国密套件——开启你的国密安全之旅 项目地址:https://gitcode.com/Tencent/TencentKonaSMSuite ???? 项目简介 腾讯Kona国密套件是一款针对Java生态系统的全面加密解决方案,专为满足国内的加密需求而设计。它包含了四个核心组件:KonaCrypto、KonaPKIX、KonaSSLKona,涵盖了从基础算法到证书解析,再到SSL/TLS协...
KonaJDK 助力微服务国密算法使用特性一览
腾讯技术工程
03-08 1123
导读本次 TencentKona 8 版本更新到 8.0.4, 在同步到社区版本 8u272 的基础上,还有哪些新的特性呢?本文为您一一介绍:Update to jdk8u272Tence...
开源项目介绍|Tencent Kona JDK-腾讯JDK发行版
腾讯开源
07-08 787
2023腾讯犀牛鸟开源人才培养计划开源项目介绍扫码填写问卷报名,提交Tencent KonaJDK项目申请书加入开发实践与导师一起成长这一夏Tencent KonaJDK 项目介绍腾讯KonaJDK是OpenJDK的发行版,并且针对大数据,机器学习和云计算等场景进行了独特的优化,在高性能及安全性方面多有建树。腾讯KonaJDK团队拥有多位OpenJDK Reviewer,Committer和Aut...
腾讯牛逼!终于开源了自家的 Tencent JDK——Kona!!
Java技术栈,分享最主流的Java技术
12-05 884
Java技术栈www.javastack.cn关注阅读更多优质文章是的,继阿里 2019/03 开源基于 OpenJDK 的长期支持版本 Alibaba Dragonwell 之后,腾讯...
SSL加密
h123_58的博客
03-16 427
起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的,但是还是可以通过抓包工具窃取到)是不安全的,为了解决这一隐患网景公司推出了SSL安全套接字协议层,SSL是基于HTTP之下TCP之上的一个协议层,是基于HTTP标准并对TCP传输数据时进行加密,所以HTTPS是HTTP+SSL/TCP的简称。是在传输层对网络连接进行加密安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
Android调用大宝CA国密SSL密码套件(0.99版本)访问HTTPS(国密SSL安全通道)的示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/100770417 1. Android使用HTTPCLIENT访问国密SSL协议的HTTPS服务 2. 示例代码为单向认证,可支持双向认证 3. 获取服务端的国密数字证书 4. 适用于Android 7.0(API 24)及以上
AJA-Kona3-NDD-8.1.2-aja kona3驱动
08-07
2. 关闭所有可能使用Kona 3的软件和应用程序,以避免冲突。 3. 运行安装程序,按照屏幕上的提示进行操作,可能需要管理员权限。 4. 在安装过程中,系统可能会自动检测到AJA Kona 3硬件,然后进行驱动的安装和配置。 ...
腾讯Kona SM Suite包含一组Java安全提供程序,支持SM2、SM3和SM4算法以及TLCPGMSSL TL.zip
05-23
腾讯Kona SM Suite包含一组Java安全提供程序,支持SM2、SM3和SM4算法以及TLCPGMSSL TL
mmc.zip_Tested_belowai3_escapec1q_kona2 2320_mmc
09-15
标题中的"mmc.zip_Tested_belowai3_escapec1q_kona2 2320_mmc"暗示了这是一个与MMC存储卡相关的压缩文件,经过了特定设备的测试。其中,“belowai3”,“escapec1q”,“kona2_2320”可能是对测试环境、设备型号或...
kona-ember:使用 Konacloud.io 作为后端的 ember-cli 101
07-06
科纳此自述文件概述了在此 Ember 应用程序上进行协作的详细信息。 这个应用程序的简短介绍可以很容易地转到这里。先决条件您将需要在您的计算机上正确安装以下东西。 (带有 NPM)和安装git clone 这个仓库切换到新...
国密套件ECC-SM2-SM4-CBC-SM3和ECDHE-SM2-WITH-SM4-SM3
Java学习笔记
11-17 1295
双方交换各自的公钥,最后A计算点(x1,y1) = d1Q2,B计算点(x2,y2) = d2Q1,由于椭圆曲线上是可以满足乘法交换和结合律,所以 d1Q2 = d1d2G = d2d1G = d2Q1 ,因此双方的 x 坐标是一样的,所以它是共享密钥,也就是会话密钥。4、客户端和服务端分别使用工作密钥,计算主密钥,客户端随机数,服务端随机数,字符串常量"key expansion",经PRF计算生成工作密钥。工作密钥包括加密密钥和校验密钥,具体密钥长度由选择的密码算法决定。客户端支持的压缩算法列表。
关于加密通道规范,你真正用的是TLS,而非SSL
华为云官方博客
05-23 3353
事实上我们现在用的都是TLS,但因为历史上习惯了SSL这个称呼,平常还是以SSL为多。
python konas如何使用
06-02
首先,您需要安装Python Kona库。您可以使用以下命令在终端中安装: ``` pip install konas ``` 安装完成后,您可以在Python脚本中导入Konas并使用它。以下是一个示例代码,可以将Konas用于图像处理: ```python from konas import Image # 从文件中加载图像 img = Image.load('example.jpg') # 调整图像大小 img = img.resize((800, 600)) # 将图像转换为灰度图像 img = img.convert('L') # 将图像保存到文件 img.save('example_processed.jpg') ``` 此外,Konas还提供了许多其他功能,例如图像滤波、边缘检测、图像增强等。您可以查看Konas的文档以了解更多详细信息。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值