国密https访问

前言

现在的SSL的加密算法实际上主要是国际算法,包括JDK,Go等语言也仅支持国际算法加密(毕竟是国外开源项目),hash。随着国密算法的普及,比如openssl就支持国密了,还要新版本的Linux内核也开始支持,以openssl为例:

那么如果需要国密证书,或者访问国密https的时候就需要特定的sslsocket的握手算法

传输层密码协议(TLCP)

TLCP是中国基于TLS 1.1和1.2协议定制而成的协议,对应的中国国家标准为:

  • GB/T 38636-2020:传输层密码协议

该协议与TLS协议的最重大区别,就是要求通信端提供两个证书:认证证书和加密证书。其中认证证书与TLS协议使用的证书功能类似,用于对通信端的身份进行验证。而加密证书则为TLCP协议独有,它只会用于密钥交换。

开源套件

常用的国密开源套件有BouncyCastle、Kona,BouncyCastle时间比较久远了,用的比较多,比如OOM的坑,Kona是腾讯开源的国密套件,开始基于BouncyCastle,后面重写了,分别使用者两个套件试试沃通搭建的SM2SSL证书测试网站欢迎访问沃通基于国密算法的https加密解决方案演示网站icon-default.png?t=N7T8https://sm2test.ovssl.cn/

和 中国银行官网icon-default.png?t=N7T8https://ebssec.boc.cn/

其中沃通是支持国密和国际算法的无缝切换的,因为有双证书

 

BouncyCastle

https://www.bouncycastle.org/java.html,github使用MIT license

 

截止当前的日期

 

不支持国密源码分析

bouncycastle的ssl支持org.bouncycastle.jsse.provider.BouncyCastleJsseProvider

        <dependency><groupId>org.bouncycastle</groupId><artifactId>bcprov-jdk18on</artifactId><version>1.76</version></dependency><dependency><groupId>org.bouncycastle</groupId><artifactId>bctls-jdk18on</artifactId><version>1.76</version></dependency>

定义了protocol

 

都是标准的,而这些支持的加密套件呢,实际上国密SSL(中国银行官网)使用的是TLSV1.1变化版本,这里实际执行的类是org.bouncycastle.jsse.provider.ProvSSLContextSpi的

createSupportedCipherSuiteMap

定义了使用的加密套件,然而国密的套件实际上有定义

org.bouncycastle.tls.CipherSuite

RFC 8998

RFC 8998规范将国密算法要素应用到了TLS 1.3协议中。KonaSSL实现了该规范定义的椭圆曲线curveSM2(41),签名机制sm2sig_sm3(0x0708)和密码套件TLS_SM4_GCB_SM3(0x00C6)。

所以,虽然支持RFC 8998标准,但是tls不支持国密通信,因为没有加入加密套件,也没有定义协议版本

笔者自己加了一个,不过发现修改的地方不少,国密ssl版本号定义0x0101,跟主流的ssl差别很大 

Kona

企鹅开源的,在1.0.5版本不再基于BouncyCastle

腾讯Kona国密套件使用的许可协议是GNU GPL v2.0 license with Classpath Exception,这也正是OpenJDK使用的许可协议。

腾讯Kona国密套件包含四个Java Security Provider

  • KonaCrypto,它是一个Java Cryptography Extension(JCE)实现,遵循标准的Java Cryptography Architecture(JCA)框架实现了国密基础算法SM2,SM3和SM4。
  • KonaPKIX,它实现了国密证书的解析及其证书链验证,并可加载和创建包含国密证书的密钥库(Key Store)文件。
  • KonaSSL,它实现了中国的传输层密码协议(TLCP),并遵循RFC 8998规范将国密基础算法应用到了TLS 1.3协议中。
  • Kona,它没有直接实现任何功能,而是将KonaCrypto,KonaPKIX和KonaSSL中的特性进行了简单的封装,以方便用户仅使用这一个Provider就能够调用上述三个Provider中的全部功能。一般地,建议使用这个Provider。

--来源于腾讯Kona国密套件:从基础算法到安全协议-腾讯云开发者社区-腾讯云

socket支持

以kona为例,实际上BouncyCastle也有TLS模块,但是貌似没做国密的协议簇,只能使用国际标准,这里使用不知道初始原作者是谁的gmssl的demo代码,引入pom

        <dependency><groupId>com.tencent.kona</groupId><artifactId>kona-provider</artifactId><version>${kona.version}</version></dependency><dependency><groupId>com.tencent.kona</groupId><artifactId>kona-crypto</artifactId><version>${kona.version}</version></dependency><dependency><groupId>com.tencent.kona</groupId><artifactId>kona-ssl</artifactId><version>${kona.version}</version></dependency><dependency><groupId>com.tencent.kona</groupId><artifactId>kona-pkix</artifactId><version>${kona.version}</version></dependency>

然后通过socket方式支持国密https,以中国银行官网为测试

package org.example;import com.tencent.kona.KonaProvider;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.jsse.provider.BouncyCastleJsseProvider;import java.net.*;
import java.io.*;
import java.security.*;import javax.net.*;
import javax.net.ssl.*;public class SocketGet {public static void main(String[] args) {SocketFactory fact = null;SSLSocket socket = null;//        String addr = "sm2test.ovssl.cn";String addr = "ebssec.boc.cn";int port = 443;String uri = "/";try {if (args.length > 0) {addr = args[0];port = Integer.parseInt(args[1]);uri = args[2];}System.out.println("\r\naddr=" + addr);System.out.println("port=" + port);System.out.println("uri=" + uri);// 加载国密提供者
//            Security.insertProviderAt(new BouncyCastleProvider(), 1);
//            Security.insertProviderAt(new BouncyCastleJsseProvider(), 2);Security.insertProviderAt(new KonaProvider(), 1);fact = createSocketFactory(null, null);socket = (SSLSocket) fact.createSocket();socket.setTcpNoDelay(true);System.out.println("\r\nGM SSL connecting...");socket.connect(new InetSocketAddress(addr, port), 5000);socket.setTcpNoDelay(true);socket.startHandshake();System.out.println("Connected!\n");DataInputStream in = new DataInputStream(socket.getInputStream());OutputStream out = socket.getOutputStream();String s = "GET " + uri + " HTTP/1.1\r\n";s += "Accept: */*\r\n";s += "User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)\r\n";s += "Host: " + addr + (port == 443 ? "" : ":" + port) + "\r\n";s += "Connection: Close\r\n";s += "\r\n";out.write(s.getBytes());out.flush();// 读取HTTP头while (true) {byte[] lineBuffer = ReadLine.read(in);if (lineBuffer == null || lineBuffer.length == 0) {System.out.println();break;}String line = new String(lineBuffer);System.out.println(line);}// 读取HTTP内容{byte[] buf = new byte[1024];while (true) {int len = in.read(buf);if (len == -1) {break;}System.out.println(new String(buf, 0, len));}}in.close();out.close();} catch (Exception e) {e.printStackTrace();} finally {try {socket.close();} catch (Exception e) {}}}private static SSLSocketFactory createSocketFactory(KeyStore kepair, char[] pwd) throws Exception {X509TrustManager[] trust = {new MyTrustAllManager()};KeyManager[] kms = null;if (kepair != null) {KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");kmf.init(kepair, pwd);kms = kmf.getKeyManagers();}// 使用国密SSL
//        String protocol = "TLSV1.1";String protocol = "TLCPv1.1";String provider = KonaProvider.NAME;
//        String provider = BouncyCastleJsseProvider.PROVIDER_NAME;SSLContext ctx = SSLContext.getInstance(protocol, provider);java.security.SecureRandom secureRandom = new java.security.SecureRandom();ctx.init(kms, trust, secureRandom);SSLSocketFactory factory = ctx.getSocketFactory();return factory;}}package org.example;import java.io.*;
import java.net.SocketException;class ReadLine {public static final byte[] CRLF = {'\r', '\n'};public static final byte CR = '\r';public static final byte LF = '\n';private static final int LINE_MAX_SIZE = 16384;public static byte[] read(DataInputStream in) throws IOException, SocketException {ByteArrayOutputStream baos = new ByteArrayOutputStream();DataOutputStream s = new DataOutputStream(baos);boolean previousIsCR = false;int len = 0;byte b = 0;try {b = in.readByte();len++;} catch (EOFException e) {return new byte[0];}while (true) {if (b == LF) {if (previousIsCR) {s.flush();byte[] rs = baos.toByteArray();s.close();return rs;} else {s.flush();byte[] rs = baos.toByteArray();s.close();return rs;}} else if (b == CR) {if (previousIsCR) {s.writeByte(CR);}previousIsCR = true;} else {if (previousIsCR) {s.writeByte(CR);}previousIsCR = false;s.write(b);}if (len > LINE_MAX_SIZE) {s.close();throw new IOException("Reach line size limit");}try {b = in.readByte();len++;} catch (EOFException e) {s.flush();byte[] rs = baos.toByteArray();s.close();return rs;}}}
}package org.example;import javax.net.ssl.X509TrustManager;
import java.security.cert.X509Certificate;class MyTrustAllManager implements X509TrustManager
{private X509Certificate[] issuers;public MyTrustAllManager(){this.issuers = new X509Certificate[0];}public X509Certificate[] getAcceptedIssuers(){return issuers ;}public void checkClientTrusted(X509Certificate[] chain, String authType){}public void checkServerTrusted(X509Certificate[] chain, String authType){}
}

核心步骤

实际上就是2步:

1. 注册国密

Security.insertProviderAt(new KonaProvider(), 1);

2. 使用国密sslcontext

SSLContext ctx = SSLContext.getInstance(protocol, provider);

实际上这步是核心,BouncyCastle不支持国密就是因为国密protocol在BouncyCastle没有定义

访问后如下:

addr=ebssec.boc.cn
port=443
uri=/GM SSL connecting...
Connected!HTTP/1.1 200 OK
Date: Sat, 21 Oct 2023 11:55:15 GMT
Last-Modified: Sat, 27 Jun 2015 16:48:38 GMT
Accept-Ranges: bytes
Content-Length: 156
Cache-Control: max-age=300
Expires: Sat, 21 Oct 2023 12:00:15 GMT
Vary: Accept-Encoding,User-Agent
Content-Type: text/html
Connection:close<!DOCTYPE html><html><head><meta http-equiv="refresh" content="0;url=/boc15/login.html"><meta name="renderer" content="ie-stand"></head><body></body></html>

简单源码分析

协议支持,通过注册provider

 

然后com.tencent.kona.sun.security.ssl.CipherSuite定义了TLCP的加密套件,所以可以匹配国密,当然BouncyCastle的tls也可以在上面支持,不过这个就跟kona区别不大,毕竟开始kona也是基于BouncyCastle开发的

有了加密套件,那么按照jce和jsse的模式进行ssl握手,然后加密传输数据。

httpclient

实际上就是那2行代码,再核心一点就是国密算法和加密套件的注册和使用 

public class HttpClientDemo {public static void main(String[] args) throws IOException, NoSuchAlgorithmException, NoSuchProviderException, KeyManagementException {Security.insertProviderAt(new KonaProvider(), 1);SSLContext sslContext = SSLContext.getInstance("TLCPv1.1", KonaProvider.NAME);sslContext.init(null, new TrustManager[] {new MyTrustAllManager()}, new SecureRandom());CloseableHttpClient client = HttpClients.custom().setSSLContext(sslContext).build();HttpGet get = new HttpGet("https://ebssec.boc.cn");CloseableHttpResponse response = client.execute(get);System.out.println(response.getStatusLine().toString());Header[] headers = response.getAllHeaders();for(Header header : headers ){System.out.println(header.getName() +" : "+header.getName());}HttpEntity e = response.getEntity();System.out.println(EntityUtils.toString(e,"UTF-8"));}
}

运行后,结果如下

HTTP/1.1 200 OK
Date : Date
Last-Modified : Last-Modified
Accept-Ranges : Accept-Ranges
Cache-Control : Cache-Control
Expires : Expires
Vary : Vary
Keep-Alive : Keep-Alive
Connection : Connection
Content-Type : Content-Type
<!DOCTYPE html><html><head><meta http-equiv="refresh" content="0;url=/boc15/login.html"><meta name="renderer" content="ie-stand"></head><body></body></html>

 相当于把刚刚,那一系列的代码用Apache的jar实现了,开源方便👍🏻

总结

国密SSL实际上就是TLS1.1和TLS1.2的结合体,一般而言使用TLS1.1即可,协议版本定义0x0101,而且ssl握手需要双证书认证:握手中发送签名证书、加密证书,一般而言签名证书先发,后发加密证书。签名证书仅用于验证身份,私钥自己生成,由CA机构签发;加密证书用于数据加密,CA机构生成并持有私钥。国密SSL实际上跟普通SSL区别不大,核心是使用国密算法密码套件。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/114310.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Python第三方包】实现自动化(pyautogui包)

【Python第三方包】实现自动化(pyautogui包)

文章目录 前言一、如何安装pyautogui二、pyautogui鼠标操作2.1 鼠标移动2.2 鼠标点击2.3 拖动鼠标三、键盘操作3.1 按下和释放按键3.2 键盘输入四、截图和图像识别4.1 截图4.2 图像识别总结前言 自动化是现代计算机编程和软件开发中的一个重要概念。通过自动化,我们可以节省时…
阅读更多...
解决因d3dx9_30.dll丢失程序无法运行,电脑缺失d3dx9_30.dll报错解决方案

解决因d3dx9_30.dll丢失程序无法运行,电脑缺失d3dx9_30.dll报错解决方案

我们的生活和工作都离不开电脑。然而&#xff0c;电脑作为一种复杂的工具&#xff0c;也会出现各种各样的问题。其中&#xff0c;丢失d3dx9_30.dll文件是一个常见的问题。d3dx9_30.dll是DirectX的动态链接库文件&#xff0c;如果丢失或损坏&#xff0c;可能会导致许多软件和游戏…
阅读更多...
[论文笔记]GPT-1

[论文笔记]GPT-1

引言 今天带来论文Improving Language Understanding by Generative Pre-Training的笔记,它的中文题目为:通过生成式预训练改进语言理解。其实就是GPT的论文。 自然语言理解可以应用于大量NLP任务上,比如文本蕴含、问答、语义相似和文档分类。虽然无标签文本语料是丰富的,…
阅读更多...
Js使用ffmpeg在视频中添加png或gif

Js使用ffmpeg在视频中添加png或gif

Js使用ffmpeg在视频中添加png或gif ffmpeg 使用场景是需要在web端对视频进行编辑 添加图片和gif。 注意: 以下所有的使用案例均基于vue3 setup。 同时由于ffmpeg版本不同会导致使用的api不同&#xff0c;使用案例前需要注意ffmpeg版本问题。 如果使用的是0.12需要使用新的…
阅读更多...
通讯录和内存动态管理

通讯录和内存动态管理

目录 (通讯录)动态增长版 实现效果 找单身狗 题目 源码 思路 三个内存函数的模拟实现 模拟实现strncpy 模拟实现strncat 模拟实现atoi (通讯录)动态增长版 该版本通讯录在原版的基础上增加了检查容量函数&#xff0c;实现了通讯录的动态…
阅读更多...
Linux中的shell编程

Linux中的shell编程

shell编程 重定向 cat >temp 输入内容到temp文件中&#xff0c;如果存在temp则覆盖&#xff0c;没有则新建 cat >>temp 追加内容 cat temp1>>temp2 将temp1中的内容追加到temp 命令执行控制符号 ; 一个命令行执行多条语句 命令替换符 1.双引号&#…
阅读更多...
插槽的基本使用和作用域插槽

插槽的基本使用和作用域插槽

1.编译作用域 父级模板里的所有内容都是在父级作用域中编译的&#xff1b;子模板里的所有内容都是在子作用域中编译的。 即父子组件只能使用各自作用域的数据 2.插槽的后备内容&#xff08;slot中默认配置内容&#xff09; 可以在slot中提前设置一段内容作为默认值&#xf…
阅读更多...
数据结构--线性表回顾

数据结构--线性表回顾

目录 线性表 1.定义 2.线性表的基本操作 3.顺序表的定义 3.1顺序表的实现--静态分配 3.2顺序表的实现--动态分配 4顺序表的插入、删除 4.1插入操作的时间复杂度 4.2顺序表的删除操作-时间复杂度 5 顺序表的查找 5.1按位查找 5.2 动态分配的方式 5.3按位查找的时间…
阅读更多...
Spark简介

Spark简介

文章目录 一、简介二、安装1、简介2、本地部署(Local模式)2.1 安装2.2 官方WordCount实例 3、Standlong模式3.1 简介2.2 安装集群2.3 官方测试案例 4、Yarn模式3.1 安装3.2 配置历史服务器3.3 配置查看历史日志 5、Mesos模式6、几种模式对比7、常用端口 三、Yarn模式详解1、简介…
阅读更多...
3. 无重复字符的最长子串 --力扣 --JAVA

3. 无重复字符的最长子串 --力扣 --JAVA

题目 给定一个字符串 s &#xff0c;请你找出其中不含有重复字符的 最长子串 的长度。 解题思路 遍历字符串&#xff0c;遇到重复字符计算进行下一个子串的统计&#xff1b;从发生重复的字符第一次出现的位置进行继续循环&#xff1b;输出最长子串的长度。 代码展示 class S…
阅读更多...
sql语句数据库查询:如果当前元素已经使用过,下拉框不显示该元素该如何查询?

sql语句数据库查询:如果当前元素已经使用过,下拉框不显示该元素该如何查询?

写宿舍管理系统&#xff0c;做到宿管和楼栋关系时&#xff0c;新增一个宿管&#xff0c;一个宿管管理一栋楼&#xff0c;如果当前楼栋已选择&#xff0c;那么就不能再选&#xff0c;如图所示&#xff1a; 最开始使用的是&#xff1a; SELECT DISTINCT b.building_num,b.TYPE,b…
阅读更多...
项目二开笔记-萤火商城https://www.yiovo.com/doc

项目二开笔记-萤火商城https://www.yiovo.com/doc

很久没写过php代码了&#xff0c;二开过程中笔记如下 注意事项 打开APP_DEBUG 关于建表 .在store进行开发&#xff0c;新建表的时候需要加上store_id字段 增加页面 前端页面 增加新的菜单&#xff0c;需要在router.config.js中增加对应的配置增加新的页面&#xff0c;需要…
阅读更多...
【Python】图像和办公文档的处理

【Python】图像和办公文档的处理

图像和办公文档处理 用程序来处理图像和办公文档经常出现在实际开发中&#xff0c;Python的标准库中虽然没有直接支持这些操作的模块&#xff0c;但我们可以通过Python生态圈中的第三方模块来完成这些操作。 操作图像 计算机图像相关知识 颜色。如果你有使用颜料画画的经历&…
阅读更多...
【计算机毕设选题推荐】口腔助手小程序SpringBoot+Vue+小程序

【计算机毕设选题推荐】口腔助手小程序SpringBoot+Vue+小程序

前言&#xff1a;我是IT源码社&#xff0c;从事计算机开发行业数年&#xff0c;专注Java领域&#xff0c;专业提供程序设计开发、源码分享、技术指导讲解、定制和毕业设计服务 项目名 基于SpringBoot的口腔助手小程序 技术栈 SpringBootVue小程序MySQLMaven 文章目录 一、口腔…
阅读更多...
《机器学习分类器 二》——朴素的贝叶斯算法,项目实践,算法实践。

《机器学习分类器 二》——朴素的贝叶斯算法,项目实践,算法实践。

1,朴素贝叶斯算法的介绍 1. 朴素贝叶斯算法定义 朴素贝叶斯算法是基于概率统计的分类方法。它的核心思想是利用贝叶斯定理来估计在给定特征的条件下某个类别的概率&#xff0c;然后选择具有最高概率的类别作为预测结果。在分类问题中&#xff0c;我们通常有一个数据集&#x…
阅读更多...
nonaDlA 逻辑分析仪 使用记录

nonaDlA 逻辑分析仪 使用记录

注意事项&#xff0c;很灵敏&#xff0c;不要用手碰&#xff0c;产生误触发 安装软件 github地址 官方提供的淘宝地址与使用说明 1.安装 1.安装程序 &#xff1a;下载githubDLA源码&#xff0c;打开 software\PulseView.exe安装 2.安装驱动&#xff1a;安装完第一步后&a…
阅读更多...
操作系统【OS】线程的分类

操作系统【OS】线程的分类

线程的实现分为两类 用户级线程(User-Level Thread, ULT) 内核级线程(Kernel-Level Thread, KLT) ULT KLT 组合模式 定义 由用户级线程库函数来完成整个线程的管理和调度【库函数负责】 线程对应的TCB放在OS里&#xff0c;线程的管理和调度由OS负责【OS负责】 内核支持…
阅读更多...
系统报错“由于找不到vcomp140.dll无法继续执行代码”的解决方案

系统报错“由于找不到vcomp140.dll无法继续执行代码”的解决方案

在我们日常使用电脑的过程中&#xff0c;可能会遇到一些错误提示&#xff0c;其中之一就是“找不到vcomp140.dll”。这个错误可能让许多用户感到困扰&#xff0c;因为它可能影响到我们的电脑使用。那么&#xff0c;vcomp140.dll是什么意思&#xff1f;当我们遇到这个问题时&…
阅读更多...
$GNGGA,传感器传输的数据解析

$GNGGA,传感器传输的数据解析

每一秒传输这一帧数据如下&#xff1a; $GNGGA,090022.000,3959.82136,N,11628.16507,E,1,06,3.5,21.4,M,0.0,M,,*4D $GNGLL,3959.82136,N,11628.16507,E,090022.000,A,A*4F $GPGSA,A,3,03,16,26,,,,,,,,,,4.1,3.5,2.1*32 $BDGSA,A,3,07,21,42,,,,,,,,,,4.1,3.5,2.1*21 $GPGSV…
阅读更多...
22下半年下午题

22下半年下午题

声明&#xff1a;哔哩哔哩视频笔记 源地址 第一大题题目 第一大题解答 第一小问 根据0层数据流图来找&#xff0c;看数据流向和相应的处理模块匹配。并且这个第一问&#xff0c;肯定是能在说明中找到对应短语作为答案的。 第二小问 搞清楚具体存储数据的信息名字&#xff…
阅读更多...
最新文章

Copyright @ 2022~2023