SSL使用USBKey证书的需求分析(转)

最新推荐文章于 2023-08-16 13:40:13 发布
最新推荐文章于 2023-08-16 13:40:13 发布
阅读量5.2k 收藏 4
点赞数 3
分类专栏: C++ openal openssl
C++ 同时被 3 个专栏收录
127 篇文章 0 订阅
订阅专栏
openssl
12 篇文章 1 订阅
订阅专栏
openal
2 篇文章 0 订阅
订阅专栏

背景

很多系统,如炒股软件采用客户端/服务器结构,用户安装客户端炒股软件在本地计算机,并与证券公司的服务器系统连接,以完成股票的买卖等操作。

客户端与服务器端采用SSL安全通道连接,以防止第三方窃听和篡改通信的内容。但连接时不使用双向认证或者只使用文件证书来进行双向认证。这样做会存在一些风险。

1、 任何人获取了本地主机的访问权限就可以连接到服务器端。

2、 文件证书保存在本地计算机的磁盘上,任何人获取了本地计算机的访问权限就可对其修改、替换或者删除.

所以,要使用USBKey证书来替换文件证书来解决文件证书的安全风险。另外,有的软件公司提出了一个USBKey证书和文件证书两者兼顾的想法,既当客户端检查到有USBKey插入,并能够读出用户的证书时,则使用USBKey来实现服务器端认证客户端,并不需要用户输入PIN码,并当有多个USBKey插入时,也不需要用户选择。

如未检查到USBKey插入,则还使用原来的文件证书.  另外,需求不需要USBKey支持对称密码算法,只需要支持客户端认证算法。思考他们的需求,他们可能是出于以下的考虑。

1、 他们可能是对OpenSSL客户端认证如何使用USBKey证书不太了解,并基于文件证书的认证是他们已经存在的应用模式.

2、 他们不需要USBKey支持对称的密码算法,可能是基于股票交易的实时性需求方面的考虑.

解决方案

USBKeyOpenSSL客户端中的使用有两个方面的应用,第一是实现客户端认证,第二是实现对称算法的加密和解密。以上的需求,只要满足客户端认证的需求就可以了。

OpenSSL实现客户端认证的方法有两种。在OpenSSL0.9.8i以下的版本中,客户端认证是通过回调函数的方法来实现的。在OpenSSL0.9.8i以上的版本中,客户端认证是通过引擎来实现的,并兼容回调函数的方法,既当设置了客户端认证所要使用的引擎,则使用引擎。未设置引擎,而设置了回调函数,则使用回调函数的方法。

实现客户端认证我们可提供三种方案。

回调函数的方法。

l 在SSL_CTX结构中定义了成员int (*client_cert_cb)(SSL *ssl, X509 **x509, EVP_PKEY **pkey);的回调函数,用户获取客户端证书及相关联的密钥,此函数返回1,指明函数调用成功,返回其它值,表示获取客户端证书及密钥失败。获取的密钥被包装在EVP_PKEY结构中,之后, EVP_SignFinal函数将调用这个密钥来执行签名的操作.

l 我们可提供给用户一个动态库,中实现一个此回调函数的定义的导出函数,这个导出函数中实现从USBKey中取回用户的证书及相关联的密钥(公钥和私钥)的功能

l 以RSA算法为例,动态库生成一个RSA结构及RSA算法的实现,以提供给EVP_SignFinal函数来调用它,具体的实现如下。

i. RSA结构中的const RSA_METHOD *meth 成员变量需设置为USBKey操作RSA密钥的相关算法实现的函数,并必须实现 int (*rsa_sign)(int type, const unsigned char *m, unsigned int m_length, unsigned char *sigret, unsigned int *siglen, const RSA *rsa); 函数。

ii. 变量meth中的成员flags ,必须设置为RSA_FLAG_SIGN_VER。

iii. RSA结构中的CRYPTO_EX_DATA ex_data成员,将用来保存与私钥相关联的信息。(PKCS11的私钥对象的句柄,及访问此私钥的密码等)

iv. RSA的结构中的BIGNUM *n成员,保存公钥的模

v. RSA的结构中的BIGNUM *e成员,保存公钥的指数

l 这个成员变量可通过SSL_CTX_set_client_cert_cb函数来设置.

基于CSP的引擎的方法

l 在OpenSSL0.9.8i以上版本的源码中,实现了基于windows crypt api的调用的引擎,它满足客户端认证的需求,需实现了以下的控制功能

vi. 设置所用的CSP的名称

vii. 设置所用的证书store的名称,默认是’MY’

l 在Openssl0.9.8i以上的版本的引擎的数据结构中,存在成员ENGINE_SSL_CLIENT_CERT_PTR load_ssl_client_cert,它指明并需实现获取客户端证书及相关密钥的函数的指针。

viii. 定义为typedef int (*ENGINE_SSL_CLIENT_CERT_PTR)(ENGINE *, SSL *ssl,  STACK_OF(X509_NAME) *ca_dn, X509 **pcert, EVP_PKEY **pkey,  STACK_OF(X509) **pother, UI_METHOD *ui_method, void *callback_data); 

ix. 主要的参数指明如何在本地的证书库如何过滤证书的操作。

1. ca_dn ,指明了所需的客户端证书的颁发者

2. pcert  , 指明所要输出的客户端证书

3. pkey, 指明所要输出的客户端证书相关联的密钥

4. ui_method ,指明需弹出用户的界面来选择证书的方法

l 以RSA算法为例,引擎要生成一个RSA结构及RSA算法的实现,以提供给EVP_SignFinal函数来调用它,具体的实现如下。

x. RSA结构中的const RSA_METHOD *meth 成员变量需设置为USBKey操作RSA密钥的相关算法实现的函数,并必须实现 int (*rsa_sign)(int type, const unsigned char *m, unsigned int m_length, unsigned char *sigret, unsigned int *siglen, const RSA *rsa); 函数。

xi. 变量meth中的成员flags ,必须设置为RSA_FLAG_SIGN_VER。

xii. RSA结构中的CRYPTO_EX_DATA ex_data成员,将用来保存与私钥相关联的信息。(PKCS11的私钥对象的句柄,及访问此私钥的密码等)

xiii. RSA的结构中的BIGNUM *n成员,保存公钥的模

xiv. RSA的结构中的BIGNUM *e成员,保存公钥的指数

l 需设置openssl0.9.8i以上版本中的SSL_CTX结构中的成员变量client_cert_engine为引擎的实例,可使用SSL_CTX_set_client_cert_engine函数来设置

基于PKCS11的引擎的方法

l 在OpenSSL0.9.8i以上版本的源码中,实现基于PKCS11的调用的引擎,它满足客户端认证的需求,需实现了以下的控制功能

xv. 设置PKCS11DLL的路径

xvi. 设置访问私钥对象的用户PIN

xvii. 设置所访问的USBKey的对应的slot

l 在Openssl0.9.8i以上的版本的引擎的数据结构中,存在成员ENGINE_SSL_CLIENT_CERT_PTR load_ssl_client_cert,它指明并需实现获取客户端证书及相关密钥的函数的指针。

xviii. 定义为typedef int (*ENGINE_SSL_CLIENT_CERT_PTR)(ENGINE *, SSL *ssl,  STACK_OF(X509_NAME) *ca_dn, X509 **pcert, EVP_PKEY **pkey,  STACK_OF(X509) **pother, UI_METHOD *ui_method, void *callback_data); 

xix. 主要的参数指明如何在本地的证书库如何过滤证书的操作。

1. ca_dn ,指明了所需的客户端证书的颁发者

2. pcert  , 指明所要输出的客户端证书

3. pkey, 指明所要输出的客户端证书相关联的密钥

4. ui_method ,指明需弹出用户的界面来选择证书的方法

l 以RSA算法为例,引擎要生成一个RSA结构及RSA算法的实现,以提供给EVP_SignFinal函数来调用它,具体的实现如下。

xx. RSA结构中的const RSA_METHOD *meth 成员变量需设置为USBKey操作RSA密钥的相关算法实现的函数,并必须实现 int (*rsa_sign)(int type, const unsigned char *m, unsigned int m_length, unsigned char *sigret, unsigned int *siglen, const RSA *rsa); 函数。

xxi. 变量meth中的成员flags ,必须设置为RSA_FLAG_SIGN_VER。

xxii. RSA结构中的CRYPTO_EX_DATA ex_data成员,将用来保存与私钥相关联的信息。(PKCS11的私钥对象的句柄,及访问此私钥的密码等)

xxiii. RSA的结构中的BIGNUM *n成员,保存公钥的模

xxiv. RSA的结构中的BIGNUM *e成员,保存公钥的指数

l 需设置openssl0.9.8i以上版本中的SSL_CTX结构中的成员变量client_cert_engine为引擎的实例,可使用SSL_CTX_set_client_cert_engine函数来设置

OpenSSL如何使用引擎

OpenSSL中,存在一个被命名为 'dynamic’  的引擎,OpenSSL编译时,会自动的被编译到lib中,它的功能就是动态的加载一个SSL应用所需要的引擎。这样的引擎往往被称为动态引擎。

动态引擎往往是一个DLL文件或者一个SO文件,他必须有两个导出的函数,一个函数名是v_check,执行版本检查的功能。一个函数名bind_engine,支持使应用程序能够调用此引擎的功能函数。

当加载一个动态引擎时,需要使用 'dynamic’ 的引擎的如下的控制流程。

1、 ENGINE_ctrl_cmd_string(e, "SO_PATH", “dll的路径”, 0);

n 设置DLL文件或者SO文件的路径

2、 ENGINE_ctrl_cmd_string(e, "ID", “动态引擎的描述串”, 0);

n 设置动态引擎的描述符串

3、 ENGINE_ctrl_cmd_string(e, "LOAD", NULL, 0);

n 加载此动态引擎

三种方法的不同的特点

1. 回调函数的方法只能够实现获取客户端证书及相关联的密钥,从而实现客户端认证的需求,并不能够支持OpenSSL所需的对称密码算法的功能需求。另外,这种方法可适应多种平台,使用起来比较灵活,也可根据用户的需求增加额外的功能。

2. 使用CSP引擎的方法将仅限于windows平台,在OpenSSL0.9.8i以上的版本中可以直接使用它的客户端认证的功能,而不需要再开发。但是,如果用户需要SSL的对称算法的支持,则需要再开发。

3. 使用PKCS11引擎的方法可支持多种平台,可满足用户的客户端认证及对称密码算法加密与解密的功能需求,并可根据用户的需求增加额外的功能,但开发的工作量相对较大。

 

From:http://14521448.blog.hexun.com/53920443_d.html

xiliang_pan
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL证书生成软件、包括证书格式
12-28
SSL证书生成软件、包括证书格式
简谈Opensslusbkey证书认证相结合
cjdxzy2010的专栏
03-26 3180
一般windows客户端在证书认证时候,使用微软的winnet相关的函数即可。 但在某些情况下,这种方式不够灵活自由,那么就可以使用openssl库来实现。对于使用p12证书进行客户端认证的代码 在网上随便可以搜出一大堆,但是结合usbkey进行认证的就少之又少。这里介绍一下openssl里的engine技术来解决这种方法。 1.使用较新版本的openssl自带的capi引擎,该引
关于LIUNX下C++实现MQTT和SSL双向认证的实现
星羽空间
04-26 1928
关于LIUNX下C++实现MQTT和SSL双向认证的实现,以及遇到的坑点
SSL连接建立过程分析
huang714的专栏
03-09 1217
Https协议:SSL建立过程分析 web访问的两种方式: http协议,我们一般情况下是通过它访问web,因为它不要求太多的安全机制,使用起来也简单,很多web站点也只支持这种方式下的访问. https协议(Hypertext Transfer Protocol over Secure Socket Layer),对于安全性要求比较高的情况,可以通过它访问web,比如工商银行https:/...
uKey双向认证https
热门推荐
water Wang
10-19 2万+
最终效果,插上uKey(专业术语叫uKey,长得像一个普通的u盘),可以访问某个web系统,拔掉uKey,web系统显示没有权限 一 基础概念 单向认证:当客户访问服务器的时候,客户方去校验服务器是否是自己想去访问的服务器; 双向认证:不仅仅需要用户浏览器校验服务器数字证书,还需要服务器端验证用户是否是可信的; 二 单向认证流程(springboot项目为例) 1 制作证书 直接利用keytools工具生成 keytool -genkey -alias client -keyalg RSA.
c++使用OpenSSL基于socket实现tcp双向认证ssl(使用TSL协议)代码实现
dream_caoyun的博客
02-23 1万+
相信各位对OpenSSL库已经不陌生了,目前笔者使用这个库实现了RSA、AES加解密和tcp的双向认证功能,下面来看tcp的双向认证。 1、什么是双向认证 简单说双向认证就是:客户端认证服务端是否合法,服务端认证客户端是否合法。 可以借助于HTTPS来说明,http网络传输协议是超文本的明文协议,也就是说经过网卡传输的字节序列都是明文,那么HTTPS上的s就是双向认证的操作(ssl),实际上就是在http的逻辑上再套一层ssl握手,进程想要发送的字节序列数据经过http传输时再加上一层ssl来让c和s两端先
C++ windows客户端支持SSL双向认证
a6222848的博客
08-05 998
C++windows客户端支持SSL双向认证,服务端是JAVA开发的,使用证书是jks格式的。C++并不支持JKS格式的证书,所以要用openssl进行换下。 1、 需要先把jks成.p12文件 keytool -importkeystore -srckeystore demo.jks -destkeystore demo.p12 -srcstoretype j...
SSL证书申请下载使用说明
05-16
SSL证书申请下载使用说明
Linux 生成SSL证书 供 nginx使用
09-13
然后,根据私钥文件和证书请求文件生成证书文件使用以下命令:`openssl x509 -req -days 365 -in ssl.csr -signkey ssl.key -out ssl.crt`,这里的 365 是证书有效期,可以根据需要设置。 最后,使用生成的私钥文件...
mkcert自制SSL本地证书部署到Nginx并https信任使用
最新发布
04-28
本文将详细介绍如何使用mkcert工具生成自签名SSL证书,并将其部署到Nginx服务器,使浏览器信任这个证书。 首先,`mkcert`是一个开源工具,它允许你在本地快速创建和安装信任的根证书权威机构(CA)以及与其关联的...
Nginx配置SSL自签名证书的方法
09-30
3. **生成证书请求(CSR)**:使用`openssl req`命令创建一个证书请求文件,`openssl req -new -key domain.key -out domain.csr`。在这个过程中,你需要提供一些基本信息,如国家、地区、城市、组织名、电子邮件...
Ukey双因素身份认证步骤 安当加密
www.andang.cn
06-22 3772
使用ukey进行身份认证域安全登录主要包括以下步骤:1、初始化ukey当用户使用ukey登录时,管理员需要对ukey进行初始化操作。根据国密标准,添加应用和容器用于存储密钥,导入RSA加密密钥对,然后将ukey发放给用户。密钥存储在ukey容器内,不能向外读出,以保证私密性,但是可以使用该私钥加密和签名。用户获取自己的ukey后就可以登录指定的平台。2、插件安装当用户第一次使用ukey进行登录时,需要通过中间件调用ukey,因此需要安装特定的插件。3、用户注册用户安装插件之后进行登录时,需要向身份认证服务器
在C++中调用OpenSSL库进行编程
GenggengSvan的博客
07-11 4808
本文对OpenSSL编程进行简要介绍,并给出一个在C++中调用 OpenSSL 库设计一个加密聊天程序的实例。
https双向认证访问管理后台,采用USBKEY进行系统访问的身份鉴别,KEY证书长度大于128位,使用USBKEY登录
qq_26265699的博客
04-13 9069
最近项目需求,需要实现用USBKEY识别用户登录,采用https双向认证访问管理后台管理界面,期间碰到过一些小问题,写出来给大家参考下。 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epass1000ND 若干个(一个USBKEY绑定一个用户,等同于我们的银行U盾识别一样) USBKEY开发资料:CDROM_CN\PKI,找到该开发目录(跟厂家买硬件时一并给的
USBKey里面导入双证书专题:概念介绍、执行逻辑
CHYabc123456hh的博客
11-24 2301
USBKey里面导入双证书专题:概念介绍、执行逻辑
HTTPS握手及数字证书验证(简解)
steveliu->blog
11-27 1139
HTTPS通信涉及的通信协议层次模型: ||HTTP|| ||SSL/TLS|| ||TCP|| ||IP|| ||Ethernet|| HTTPS通信流程: 同服务器建立TCP连接; ssl/tls握手过程; 采用握手过程client和server确定的对称秘钥进行加密通信(对http的报文进行加密)。 SSL/TLS握手过程: client向server发送自己支持的SSL版...
USBKEY全解析---概要介绍
洋仔专栏
05-15 1万+
前言 USBKey简单的理解就是数字证书的容器,如果用杯子和水的关系就是:USBKEY是杯子、数字证书是水,USBKEY大部分人都见过,以前银行发的比较多,虽然名字各不相同:工行的叫u盾,农行称:K宝,样子都大差不差,例如下图: 最近几年随着支付宝和微信的支付习惯,用户都不习惯带硬件产品(去介质化),银行端USBKEY使用人群越来越VIP化,...
Java读取硬件USBKey(简称UKEY)中的SSL证书信息,创建双向SSL认证上下文环境
weixin_34061482的博客
03-25 4014
为什么80%的码农都不了架构师?>>> ...
openssl engine引擎 使用流程和函数介绍(5)
liu942947766的博客
08-16 958
引擎结构:每个引擎都有一个对应的ENGINE结构体,其中定义了引擎的属性、方法、名称等信息。引擎可以实现各种密码算法、加密算法、随机数生成器等功能。引擎的方法:引擎可以提供各种密码学操作的方法,如加密、解密、签名、验证等。通过调用引擎的方法,可以使用定制的算法来执行这些操作。引擎的初始化:在使用引擎之前,需要进行引擎的初始化。这包括加载引擎、注册引擎等步骤。可以使用和函数进行初始化。引擎的加载和使用:动态引擎可以通过函数获取,并通过各种控制函数进行配置和使用
owt使用ssl证书
09-22
OWT(Open Web Tool)是一个基于WebRTC技术的开源实时通信框架。在使用OWT进行实时通信时,可以使用SSL证书来加密通信内容,保障数据的安全性。 SSL证书是一种通过公钥加密技术来验证通信双方身份,并加密数据传输的数字证书。在使用OWT时,可以为服务器和客户端都配置SSL证书,以确保通信过程中的安全性。 对于服务器端,可以通过为服务器配置SSL证书,在浏览器和服务器之间建立安全的通信连接。这样,所有的通信数据都会被加密,保护数据的机密性和完整性,防止数据在传输过程中被窃取或篡改。 对于客户端,也可以通过为客户端配置SSL证书,来验证服务器的身份。这样,客户端可以通过验证SSL证书来确认服务器的真实性,避免受到恶意伪造服务器的攻击。 使用SSL证书可以有效保护OWT实时通信中的数据安全性,防止可能存在的安全风险和攻击。因此,在使用OWT进行实时通信时,建议使用SSL证书来提供更加安全可靠的通信环境。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值