国密SSL协议开发总结(附报文详细分析)

最新推荐文章于 2024-06-05 09:12:58 发布
置顶 最新推荐文章于 2024-06-05 09:12:58 发布
阅读量1.7w 收藏 62
点赞数 7
文章标签: PKI GM SSL SM2 DoubleCA JCE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/upset_ming/article/details/79880688
版权

国密SSL规范主要是基于tlsv1.1版本而来,部分内容比如prf是基于tlsv1.2版本。如果国密SSL规范具体数据格式不明确的地方需要参考tlsv1.1和tlsv1.2协议。

国密SSL协议规范的编号:GM/T 0024-2014

1. 记录层协议

记录层协议是低层协议,所有的报文,包括握手协议、报警协议、密码规格变更协议等都要封装在记录层协议中进行传输。




2. 密码规格变更协议

这个协议比较简单,就一个字节


3. 报警协议

比tlsv1.1加了一些报警内容


4. 握手协议

协议最主要的部分就是握手协议,也是内容最多的。

4.1 握手协议总览


4.2 交互的大致流程


4.3 clienthello消息


4.4 serverhello消息


4.5 certificate消息


4.6 ServerKeyExchange握手协议 ECDHE


4.7 ServerKeyExchange握手协议 ECC / RSA


4.8 certificaterequest消息


4.9 serverhellodone消息


4.10 ClientKeyExchange握手协议 ECDHE


4.11 ClientKeyExchange握手协议 ECC / RSA


4.12 CertificateVerify握手协议 RSA - SHA1


4.13 CertificateVerify握手协议 RSA / SM2 - SM3


4.14 finish消息


5. 最终效果

使用国密算法浏览器单向SSL通道,0xe013 ECC_SM4_SM3密码套件,访问tomcat服务器的效果。

这里特别感谢大宝CA(http://www.doubleca.com)的无偿帮助,SM2数字证书和JCE包,大大缩短了开发周期,非常感谢!




6. 一次完整交互的报文协议分析

6.1 客户端--->服务器 ClientHello握手消息


6.2 服务器--->客户端 ServerHello握手消息


6.3 客户端--->服务器 ClientKeyExchange握手消息


6.4 客户端--->服务器 密码规格变更协议消息


6.5 客户端--->服务器 密文握手协议


6.6 服务器--->客户端 密码规格变更协议消息


6.7 服务器--->客户端 密文握手协议


6.8 客户端--->服务器 密文应用数据协议消息


以上步骤是国密ECC_SM4_SM3密码套件一次传输数据的完整交互过程,单向认证。数据较杂,有不对的地方请高手指正。

大宝CA国密SSL国密TOMCAT
关注
  • 7
    点赞
  • 62
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
国密SSL通信协议详细介绍与抓包分析
ZHnDo的博客
01-04 4081
最近研究有关SSL协议的物联网安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了解SSL
国密SSL握手协议抓包
09-04
国密SSL握手协议抓包
基于AnolisOS 8.6的OpenVPN和GmSSLv2国密算法SSL VPN测试
最新发布
qlau2007的博客
06-05 1225
基于AnolisOS 8.6的OpenVPN 2.5.10,GmSSLv2.5.4 国密算法SSL VPN测试
国家电网和南方电网规约报文解析软件
02-16
这是最新的国家电网及南方电网报文解析软件,支持多种协议数据报文,双击即可运行,支持的协议包括:国网698.45上行规约、国网DL/T645-2007规约 、主站与采集终端通信协议1376.1和1376.2 、南网上行通信规约 、国网IEC101规约和IEC104规约、能源控制器APP接口协议
国网加密流程解密
m0_67767300的博客
03-07 2252
国家电网内网加密,是外网接入内网的一个必备选项; 一般分为芯片加密和TF卡加密,两个加密原理一致,但是方法不同
支持国密SSL通信协议的TOMCAT8.0.53,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.csdn.net/upset_ming/article/details/96490132 1. 修改了以前版本中的一些BUG 2. 可以适配360、密信、海泰等国密浏览器 3. 支持国密SSL双向认证
国南网报文解析V9.9.9.exe(698.45报文解析,南网规约报文解析,376报文解析,101/104报文解析)
11-23
本人写的电力行业报文解析工具,单文件免安装,随存随用,详细解析到每个字节。支持如下规约: 1.698.45报文解析;2.南网规约报文解析;3.376.2报文解析(茜茜写的);4.376.1规约帧结构解析;5.645.07表规约帧结构解析;6.101规约报文解析;7.104规约报文解析。加功能:a.698.45模拟主站功能;b.698.45规约示例报文;c.自带上面各协议规约,一键打开;d.sqlite查看与查询功能;e.UTC/LINUX时间转换,各类型数据转换;f.ascii码转换等等。绝对是亲开发测试与出差旅行之必备利器。
国密SSL浏览器访问国密SSL规范Tomcat服务器的完整方法(演示DEMO访问方法)
04-09
3. 使用新安装的国密浏览器访问 https://127.0.0.1 地址,浏览器通过GMSSL_ECC_WITH_SM4_CBC_SM3国密密码套件与TOMCAT服务器建立国密SSL规范的单向加密通道,并打开指定网页 以上步骤经过实际测试 感谢大宝CA...
Android调用大宝CA国密SSL密码套件(0.99版本)访问HTTPS(国密SSL安全通道)的示例代码
02-26
使用方法见:... 1. Android使用HTTPCLIENT访问国密SSL协议的HTTPS服务 2. 示例代码为单向认证,可支持双向认证 3. 获取服务端的国密数字证书 4. 适用于Android 7.0(API 24)及以上
JAVA NIO MINA2调用大宝CA密码安全套件实现国密SSL安全通道,1.0.1版本,含通信示例代码
02-26
使用方法见:https://blog.csdn.net/upset_ming/article/details/96491058 1. 修改了前一版本中证书验证的bug,支持JDK8的高版本 2. 支持国密SSL双向认证 3. 将过期的国密证书替换为新证书
国密SSL协议的JAR包-大宝CA版本 GM-SSL SM2 PKI SSL DoubleCA
04-24
国密SSL协议的JAR包-大宝CA版本 GM-SSL SM2 PKI SSL DoubleCA。 大宝CA版本的国密SSL的JSSE通信jar包。 完成服务端-客户端的国密SSL双向通信和身份认证。 GM-SSL SM2 PKI SSL DoubleCA
网络-光网络与国网硬加密
让你爱上电路设计
05-14 1682
网络-光网络与国网硬加密
《商用密码应用与安全性评估》第四章密码应用安全性评估实施要点4.3密码测评要求与测评方法
qq_40442137的博客
06-02 8121
密码测评要求与测评方法
使用Clion和gmssl动态库实现服务器server和客户端client之间的SSL通信,测试指定密码套件
CHYabc123456hh的博客
07-25 1596
使用Clion和gmssl动态库实现服务器server和客户端client之间的SSL通信,测试指定密码套件
国南网报文解析V13.5.25(698报文解析,南网报文解析,376报文解析,101/104报文解析,ecu/scu报文) 和 MQTT测试V3.5.15(MQTT抓取/筛选/过滤/保存等)
hutianxi1129的专栏
05-26 2359
本人写的电力行业报文解析工具,单文件免安装,随存随用,详细解析到每个字节。7.104规约报文解析 8.ecu/2022集中器a-xdr规约解析;支持MQTT报文发送、接收,对接收的MQTT报文进行抓取、过滤、筛选、查找、保存等操作,支持将json报文进行判断和解析,若报文正确能自动格式化显示。主要适配于国网scu、ecu、2022集中器等基于mqtt的报文获取与分析,自带scu协议规约文档,一键打开。分享2个自创软件给大家免费使用,一个是电力行业常用报文解析工具,一个是MQTT测试工具.
详解国密SSL ECC_SM4_SM3套件
云水木石
03-29 1万+
国密算法最好的应用场景应该是SSL/TLS通信,然而国密文档中并没有单独规范SSL/TLS协议,我们能参考的只有《GM/T 0024-2014 SSL ...
《商用密码应用与安全性评估》第四章 密码应用安全性评估实施要点-小结
热门推荐
Hyacinth12138的博客
07-24 2万+
密码应用安全性评估包括:信息系统规划阶段对密码应用方案的评审/评估、建设完成后对信息系统开展的实际测评 总体要求、物理和环境安全、网络与通信安全、设备与计算安全、应用与数据安全、密钥管理、安全管理 密码应用方案设计应遵循:总体性原则、科学性原则、完备性原则、可行性原则 在设计密码应用解决方案时,应注意两大方面内容: 信息系统支撑平台的密码应用 信息系统业务应用的密码应用 密码应用解决方案主要包括:系统现状分析、安全风险及控制需求、密码应用需求、总体方案设计、密码技术方案设计、管理体系设计与运维体系
数字证书基础
markey1的博客
09-13 1851
[此文档是着手处理数字证书模块前的准备工作,图片是网上找的] 提出问题: 1.非对称加密中公私钥都可以加密,那么什么时候用公钥加密,什么时候用私钥“加密” ? 2.什么是数字签名,数字签名的作用是什么? 3.为什么要对数据的摘要进行签名,而不是直接计算原始数据的数字签名? 4.什么是数字证书,数字证书解决了什么问题? 这篇文档,主要围绕数字签名和数字证书的原理以及它们的作用展开。 1.什么是加密 加密:对明文数据按某种特殊算法进行处理,使其成为不可读的一段代码,通常称为“密文“, 密文通过”密钥“解密后还原
nginx 国密ssl
05-30
要在 Nginx 中使用国密 SSL,需要使用支持国密算法的 SSL 库,例如 GmSSL。您需要按照以下步骤进行设置: 1. 安装 GmSSL 库,并将其路径添加到系统环境变量中。 2. 生成国密 SSL 证书和密钥。您可以使用 GmSSL 提供的命令行工具来生成。 3. 在 Nginx 配置文件中指定国密 SSL 证书和密钥的路径,以及使用的 SSL 协议和加密算法。 下面是一个示例配置文件: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/gmsl.crt; ssl_certificate_key /path/to/gmsl.key; ssl_protocols TLSv1.3; ssl_ciphers GM1:GM2:GM3; } ``` 请注意,国密 SSL 目前仍处于实验阶段,可能会遇到一些问题。因此,使用国密 SSL 时需要特别注意安全性和稳定性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值