netty实现gmssl_基于gmssl的CA系统构建及应用-个人报告

最新推荐文章于 2024-08-29 08:21:39 发布
最新推荐文章于 2024-08-29 08:21:39 发布
阅读量290 收藏 1
点赞数
文章标签: netty实现gmssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39976951/article/details/112050035
版权
本报告详细介绍了使用gmssl构建CA系统并应用于https网站的过程。作者研究了gmssl指令,创建了证书,并在eclipse中配置了Javaweb项目与tomcat,实现了https的单项认证。在调试过程中,解决了openssl动态库冲突和端口冲突等问题。
摘要由CSDN通过智能技术生成

北京电子科技学院

《信息安全工程技术应用》课程设计报告

基于gmssl的CA系统构建及应用

小组成员姓名:20181301刘天宁

20181304石昊林

20181306宁锦鹏

指导教师:娄嘉鹏

提交时间:2020年11月8日

个人报告

20181304石昊林

一、个人工作

1.负责部分gmssl指令的解释:gendh、gendsa、genpkey、sripemd160、camellia-256-cbc、camellia-256-ecb、cast。

2.使用eclipse开发Javaweb项目并配置tomcat,构建出http网站。

3.使用openssl命令构建CA证书、客户端证书、服务器证书,导入浏览器。

4.实现tomcat单项认证的配置,使http网站变为安全的https网站。

二、设计与调试过程中遇到的问题及解决办法

1.第一周完成了对于指令的研究。刚开始的时候,我不明白openssl是什么、怎么用,对于指令的研究也只停留在表面,实际应用很困难。

经过网上学习以及对老师ppt的研究,我对openssl有了大致的理解。Openssl整个软件包大概可以分成三个主要的功能部分:SSL协议库、应用程序以及密码算法库。OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

Openssl命令可以分为3部分:标准命令(例如我研究的gendh、gendsa、genpkey)、消息摘要命令(即sha1命令,sripemd160是其中一部分)、密码命令(包括多种密码的使用,核心是enc命令。我只研究了camellia-256-cbc、camellia-256-ecb、cast)。

2.第二周实现了使用openssl命令创建证书并在浏览器中导入证书。

之前打算下载gmssl的安装包,使用gmssl命令实现证书的创建,但遇到了困难。在按照教程对gmssl进行编译和安装时,直接搞崩了虚拟机……通过分析和查找,我们小组发现了问题所在:gmssl以动态库的形式进行编译时,同时会生成openssl.so的动态库文件;该生成的openssl.so会与系统自己的openssl.so动态库产生冲突。openssl.so是操作系统所依赖的重要库文件,包括联网等活动都会受其影响,这次安装约等于将整个系统整崩溃……解决办法是:后来我选择在windows环境下直接用openssl工具进行编译,实现了证书的创建。

附证书截图:

3.第三周实现了web工程在eclipse的配置,以及实现tomcat单项认证的配置。

在这个过程中遇到的问题是本地tomcat服务器与eclipse集成的tomcat服务器同时开启时会报错,二者端口产生冲突,显示端口被占用,这个问题困扰了我很久。解决办法是将本地tomcat服务器关掉,将eclipse集成的tomcat服务器开启,web网站可以正常配置。如下图:

在配置tomcat时遇到了比较大的困难。网上五花八门的方法更改server.xml文件,大多不适合我们的证书,多次尝试后,我找到了tomcat官网Apache tomcat 9有关ssl的配置讲解,然后按照专业的方法更改server.xml文件,重启tomcat后在火狐浏览器和IE浏览器成功访问到我们的https网页。如下图:

三、设计体会及收获

1.选到这个课题的时候,是想在一个陌生的领域学到一些东西,所以一开始进行研究的时候遇到了很多困难,并且很多问题是网上查不到、需要我们自己更加深入研究openssl的原理去解决的。

通过刚开始一周的学习,我了解到openssl是在linux、unix、windows、mac等多种平台用于建立SSL协议的产品实现。SSL协议和TLS协议是将http网站构建成可以进行加密传输的https网站的必需品。通过对openssl指令的学习,我对我们的课题怎样去进行有了一个大致的了解。

2.将http网站变成https网站(即上锁)另一个必须要用的东西就是数字证书,它可以通过openssl的指令来实现。我实现的是https单项认证,单向认证SSL协议不需要客户端拥有CA证书,去掉了服务器端验证客户证书的过程。单项认证在协商对称密码方案、对称通话密钥时,服务器发送给客户的是没有加过密的(这并不影响 SSL 过程的安全性)密码方案。这样,双方具体的通讯内容,就是加过密的数据,如果有第三方攻击,获得的只是加密的数据,第三方要获得有用的信息,就需要对加密的数据进行解密,这时候的安全就依赖于密码方案的安全。一般的web应用都是采用SSL单项认证,因为拥护数目太多了,并且不需要在通讯层对用户身份进行验证,一般都在应用逻辑层来保证用户的合法登入。

再建立数字证书时,我们先从理论方面了解到证书需要什么,然后通过命令将密钥、证书具体信息、有效期等设置完成,然后进行自签名并使用根证书签名。

3.通过课设我对tomcat的配置及使用有了更深的了解。当一个动态网页编写完成后是不能直接被别人通过浏览器访问的,要想访问此动态网页就必须让浏览器通过一段程序来访问此网页,这段程序就是服务器。它用来接受浏览器请求,进行处理然后返回结果。Tomcat就是一个服务器,我们要配置https网站就需要更改conf目录下的server.xml文件,并且在访问自己的https网站前,要点bin目录下的执行文件startup.bat将tomcat打开,这样才能成功访问。

四、参考资料

weixin_39976951
关注
netty实现gmssl_Gmssl 各平台编译方法【绝对可用】
weixin_31751887的博客
12-30 447
最近工作上需要在不同平台上使用SM2、SM4算法,所以需要在不同平台上进行编译Gmssl库,下面是我总结的编译命令。1、arm-himix200-linux(himix200芯片)gmssl动态链接库编译,代码如下:目录:GmSSL-master$ ./Configure --prefix=/home/qli/libopenssl --cross-compile-prefix=/opt/hisi-...
netty实现gmssl_gmssl生成国密证书
weixin_33426157的博客
01-28 391
## OpenSSL example configurationfile.# This is mostly being usedforgeneration of certificate requests.## This definition stops the following lines chokingif HOME isn't# defined.HOME=.RANDFILE= $ENV::H...
国密起步4:GmSSL3生成证书并使用tls(SM2、SSL)
最新发布
编程之道在明明德在亲民在止于至善
08-29 1887
国密起步4:GmSSL3生成证书并使用tls(SM2、SSL)
netty实现gmssl_gmssl java api 编译
weixin_35703300的博客
01-12 541
GmSSL是一个开源的密码工具箱,支持SM2/SM3/SM4/SM9等国密(国家商用密码)算法、SM2国密数字证书及基于SM2证书的SSL/TLS安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建PKI/CA、安全通信、数据加密等符合国密标准的安全应用GmSSL项目是OpenSSL项目的分支,并与OpenSSL保持接口兼容。GmSSL 提供了java 接口,...
死磕GMSSL通信-java/Netty系列(二)
qq_36577699的博客
04-16 1822
Netty-tcnative再linux编译比较好编译,但是再window编译,我尝试了各种办法,总是编译失败,所以我采用半自动的方式进行编译,Netty-tcnative会生成临时文件,直接用vs打开,设置openssl的头文件和静态库路径,然后生成静态库,静态库改个名字放到jar包里边,其实自动编译也是这个原理哈哈O(∩_∩)O。直接传输五个证书的路径吗,之前有的是说要转成x509之类的,转来转去的有点麻烦,这个是直接传输证书路径,由底层gmssl去解析,格式必须是pem格式。然而,若项目已依赖于。
死磕GMSSL通信-java/Netty系列(三)
qq_36577699的博客
04-18 948
Netty集成GMSSL实现SSL Server
netty实现gmssl_gmssl国密总结
weixin_35632331的博客
02-28 598
1、gmssl组成分为加密和通信两部分2、加密主要指的是sm2 sm3 sm4加密算法,以及相关的加密组件3、通信指的是gmtls按照一个 GM/T 0024-2014规范实现的,采用双证书,签名证书+加密证书4、生成证书可使用地址https://github.com/jntass/TASSL/tree/master/Tassl_demo/mk_tls_cert 下的SM2certgen.sh生成...
netty实现gmssl_使用gmssl库进行国密公私钥生成及签名验签命令
weixin_39583751的博客
12-30 797
使用gmssl库进行国密公私钥生成及签名验签命令## 使用gmssl库进行国密公私钥生成及签名验签命令### 生成私钥```bash$ gmssl ecparam -genkey -name sm2p256v1 -text -out sm2.key```### 生成公钥```bash$ gmssl ec -in sm2.key -pubout -out pk.pemUsing configura...
gmssl生成ca证书 ca证书签发用户证书
12-25
本工具包含windows版本编译好的gmssl.exe(Linux版本需自己编译,命令行是通用的),以及方便签发证书的bat文件,gmssl命令行详细解释。可以用来生成ca证书,并且用ca证书签发用户证书。
Windows 下使用Visual Studio 2013编译国密算法库GMSSL
09-29
Windows 下使用Visual Studio 2013编译国密算法库GMSSL
iOS gmssl
10-25
编译好的供iOS使用的国密库,直接导入引用即可。支持SM系列!
CentOS8使用gmssl搭建demoCA及配置OCSP服务
MARS_098的博客
09-26 2486
本文档以CentOS8 + GmSSL2.5.4版本为例 1、GmSSL搭建CA 1.1 安装GmSSL 我们知道,Linux下默认只有openssl的发行版,并没有默认安装GmSSL,所以需要手动下载并编译安装。而GmSSL的大部分功能时基于openssl的,所以不能再使用动态编译安装,否则会导致链接冲突。 GmSSL的官方配置文档链接:关于GmSSL 可以参考官方的步骤,但需要注意的是,需要加上一个no-shared的选项,以使用静态编译安装。安装的时候选择合适的目录安装,示例文件夹为/usr/loc
netty实现gmssl_关于GmSSL Java API编译
weixin_36267615的博客
01-12 365
我在windows10下成功编译静态库(no-shared)gmssl和JAVA版本,但是因为是静态库在执行GmSSL\java\GmSSL.java System.loadLibrary("gmssljni");会无法加载库(好像在windos下库的加载名和方式和unix下不一样)。所以我改成System.load(“D:\GmSSL\java|\libgmssljni.lib”);又报 ...
GMSSL
weixin_45471729的博客
11-23 778
GmSSL是一个开源的加密包的python实现,支持SM2/SM3/SM4等国密(国家商用密码)算法、项目采用对商业应用友好的类BSD开源许可证,开源且可以用于闭源的商业应用。 安装 pip install gmssl SM2算法 RSA算法的危机在于其存在亚指数算法,对ECC算法而言一般没有亚指数攻击算法 SM2椭圆曲线公钥密码算法:我国自主知识产权的商用密码算法,是ECC(Elliptic Curve Cryptosystem)算法的一种,基于椭圆曲线离散对数问题,计算复杂度是指数级,求解难度
新手入坑GMSSL(一)Windows下编译GMSSL并生成CA证书
qq_40153886的博客
06-24 7399
首先申明,我不是密码学的专业人员,没有这方面知识基础,这个以及接下来的博客都是我根据网上能找到的资料、博客,一点点摸索总结出来的,问了很多前辈和博主,但是可能都没有看到都没有回复我 = = 。但项目必须得做身不由己,无奈只能自己试一试了。 如果有哪里不对的地方,请各位一定指出,也让我学习一下,感谢! 博客参考的资料地址会将参考的内容会在文中给出,我总结的步骤有不清楚的地方可以参考原文。 相信看到这篇博客的同学对于openssl的认识应该都比我要深,我就不班门弄斧了。可能国密这个领域对于其他技术来说.
netty支持哪些协议_Java进阶架构之架构筑基面试题:JVM+Netty+并发编程
weixin_39624389的博客
12-05 135
架构筑基Java程序性能优化JVM性能调优Linux基础与进阶MysqlTomcat并发编程进阶高性能Netty框架JVM内存模型以及分区,需要详细到每个区放什么堆里面的分区:Eden,survival (from+ to),老年代,各自的特点对象创建方法,对象的内存分配,对象的访问定位GC的两种判定方法SafePoint是什么?GC的三种收集方法:标记清除、标记整理、复制算法的原理与特点,分别用...
GMSSL-通信
qq_36577699的博客
04-12 677
GmSSL这个库的问题很多,发现许多库和它都不能正常通信,都需要修改代码,不是修改客户端就是修改服务端,而且这个开源项目基本处于不维护的状态,如果准备集成的GM通信的,优先选择。最近再做国密通信的项目开发,以为国密也就简单的集成一个库就可以完事了,没想到能有这么多坑。理论上客户端和服务端的证书应该是俩套,也可以直接客户端和服务器用一样的证书,我这里直接用了一套,大家可以自行测试俩套的。这里就不提供证书生成的过程了,网上生成的教程很多,GMSSL需要五个证书。1、经过最近几天的测试,发现。
netty实现gmssl_gmssl
05-16
Netty是一个基于Java的网络应用框架,它提供了异步、事件驱动的网络编程模型,可以用来开发高性能的网络应用程序。 GmSSL是一个开源的加密库,支持国密算法。在Netty中使用GmSSL可以实现国密算法的加密和解密,保证网络通信的安全性。 实现步骤如下: 1. 引入GmSSL依赖 在Maven项目中,需要在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcpkix-jdk15on</artifactId> <version>1.68</version> </dependency> <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk15on</artifactId> <version>1.68</version> </dependency> ``` 2. 创建SSLContext 使用GmSSL进行加密和解密需要创建一个SSLContext对象,可以通过以下代码实现: ```java Security.addProvider(new BouncyCastleProvider()); SSLContext sslContext = SSLContext.getInstance("GMSSL", "BC"); ``` 其中,BouncyCastleProvider是一个开源的加密库提供商,可以支持各种加密算法。 3. 配置SslHandler 在Netty中,可以通过SslHandler实现SSL加密和解密。可以通过以下代码创建一个SslHandler对象: ```java SslHandler sslHandler = new SslHandler(sslContext.createSSLEngine()); ``` 4. 配置ChannelPipeline 在Netty中,可以通过ChannelPipeline实现消息的编解码和处理。可以通过以下代码将SslHandler添加到ChannelPipeline中: ```java ChannelPipeline pipeline = channel.pipeline(); pipeline.addLast("ssl", sslHandler); ``` 5. 完成GMSSL加密和解密 完成上述步骤后,就可以使用GMSSL进行加密和解密了。在Netty中,可以通过SslHandler的write和read方法实现加密和解密: ```java ByteBuf buf = Unpooled.copiedBuffer("Hello, world!".getBytes()); sslHandler.write(ctx, buf, ctx.newPromise()); ``` ```java public void channelRead(ChannelHandlerContext ctx, Object msg) { ByteBuf buf = (ByteBuf) msg; System.out.println(buf.toString(CharsetUtil.UTF_8)); } ``` 以上就是在Netty中使用GmSSL进行加密和解密的基本步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值