国密SSL协议开发总结(附报文详细分析)

原创 已于 2025-08-22 10:53:15 修改 · 置顶 · 1.8w 阅读 · 67 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PKI #GM SSL #SM2 #DoubleCA #JCE

于 2018-04-10 18:08:39 首次发布
本文详细介绍了国密SSL协议的基本组成及其与TLSv1.1和TLSv1.2的关系,重点阐述了握手协议的过程,并提供了单向认证场景下的一次完整交互实例。

国密SSL规范主要是基于tlsv1.1版本而来,部分内容比如prf是基于tlsv1.2版本。如果国密SSL规范具体数据格式不明确的地方需要参考tlsv1.1和tlsv1.2协议。

国密SSL协议规范的编号:GM/T 0024-2014

1. 记录层协议

记录层协议是低层协议,所有的报文,包括握手协议、报警协议、密码规格变更协议等都要封装在记录层协议中进行传输。

2. 密码规格变更协议

这个协议比较简单,就一个字节

3. 报警协议

比tlsv1.1加了一些报警内容

4. 握手协议

协议最主要的部分就是握手协议,也是内容最多的。

4.1 握手协议总览

4.2 交互的大致流程

4.3 clienthello消息

4.4 serverhello消息

4.5 certificate消息

4.6 ServerKeyExchange握手协议 ECDHE

4.7 ServerKeyExchange握手协议 ECC / RSA

4.8 certificaterequest消息

4.9 serverhellodone消息

4.10 ClientKeyExchange握手协议 ECDHE

4.11 ClientKeyExchange握手协议 ECC / RSA

4.12 CertificateVerify握手协议 RSA - SHA1

4.13 CertificateVerify握手协议 RSA / SM2 - SM3

4.14 finish消息

5. 最终效果

使用国密算法浏览器单向SSL通道,0xe013 ECC_SM4_SM3密码套件,访问tomcat服务器的效果。

6. 一次完整交互的报文协议分析

6.1 客户端--->服务器 ClientHello握手消息

6.2 服务器--->客户端 ServerHello握手消息

6.3 客户端--->服务器 ClientKeyExchange握手消息

6.4 客户端--->服务器 密码规格变更协议消息

6.5 客户端--->服务器 密文握手协议

6.6 服务器--->客户端 密码规格变更协议消息

6.7 服务器--->客户端 密文握手协议

6.8 客户端--->服务器 密文应用数据协议消息

以上步骤是国密ECC_SM4_SM3密码套件一次传输数据的完整交互过程,单向认证。数据较杂,有不对的地方请高手指正。

2 --> TLS 通讯握手解析
weixin_38387929的博客
04-13 958
(1). 典型的TLS 通信握手过程 ClientHello 由客户端发送"client hello"消息向服务器发起握手请求。该消息包括支持的协议版本, 如 TLS 1.2; 一个客户端生成的随机数; 支持的码学套件(一个套件是诸如身份验证算法,钥协商算法,对称加算法以及摘要计算算法的组合),比如 SM2_WITH_SM4_SM3(即使用SM2 做签名验签,SM3 做 MAC 摘要计算,SM4 做对称加钥协商为使用 SM2 非对称加,由于 SM2 本身是 ECC 椭圆曲线算法的
列出gmssl支持的算法TLS1.x码套件
阿群的笔记(同步备份自简书)
03-13 4387
openssl ciphers -V gmssl ciphers -V $ gmssl ciphers -V $ gmssl ciphers -V -s 0xE0,0x17 - SM9-WITH-SMS4-SM3 GMTLSv1.1 Kx=SM9 Au=SM9 Enc=SMS4(128) ...
ECDHE_SM4_SM3 和 ECC_SM4_SM3的区别
最新发布
courniche的博客
11-01 439
和这两个码套件的核心区别在于,这直接导致了它们的安全特性(尤其是)完全不同。
《商用码应用与安全性评估》第四章码应用安全性评估实施要点4.3码测评要求与测评方法
qq_40442137的博客
06-02 9100
码测评要求与测评方法
SSL通信协议详细介绍与抓包分析
ZHnDo的博客
01-04 5421
最近研究有关SSL协议的物联网安全协议,看了很多资料并且结合TASSL在ubuntu上跑了一个简单的demo,因此有了一些自己的理解,那么就详细讲解一下我所知道的SSL,相信这一篇文章就可以让你全面了解SSL
构建网络信息安全的中方案 - SSL/TLCP协议介绍以及Nginx服务器部署
热门推荐
new9232的博客
01-07 1万+
SSL协议指的是采用算法,符合标准的安全传输协议。简而言之,SSL就是SSL/TLS协议版本。
SSL握手协议抓包
09-04
SSL握手协议抓包
haproxy集成ssl功能[上]
一个致力于开源代码学习、分析和交流的博客
02-21 2059
本文详细介绍了如何在haproxy上实现ssl的功能,并且介绍了测试环境搭建和对应的测试方法。
双向认证抓包及分析
xihuanyuye的博客
05-17 3699
基于TASSL双向认证握手协议 说明 C->S表示报文从client端发送到server端 S->C表示报文从server端发送到client端。 采用版本wirshark进行抓包操作。 1 client hello (C->S) 客户端发起握手协商操作,它将发送一个 Client Hello 消息给服务器,消息中明确了其所支持的SSL/TLS版本、Cipher suite加算法组合等,可以让服务器选择,并提供了一个客户端随机数,用于以后生成会话钥使用。 2 server hel
https握手协议抓包及流程详解
ryanzzzzz的博客
03-08 5519
使用的码套件清单-Cipher Suite,这里服务器端选择了ECC_SM4_CBC_SM3码套件,也就是SM2公钥算法、SM4-CBC分组码算法和SM3杂凑算法。具体来说,这里SM2算法钥交换算法,SM4是加算法(SM4-CBC)、SM3是校验算法(标要求为HMAC-SM3)。服务器的加证书:加证书中在同样在扩展字段中KeyUsage标识出KeyEncipherment为true和dataEncipherment为true,即数字证书中包含的公钥可用来做钥加钥和数据钥。
wireshark解SSL报文
huangling07031190的专栏
11-02 5364
概述 在SSL/TLS通信调试的过程中,用wireshark捕获的SSL/TLS通信的应用层报文文(见图1,协议类型只能解析到TCP),无法直接进行分析,此时我们需要掌握如何通过wireshark解SSL/TLS报文、利用wireshark网络协议解析器,分析通信过程中的问题。 图1.通讯过程中SSL报文 前置要求  基本知识 网络跟踪: Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wiresha..
支持SSL通信协议的TOMCAT8.0.53,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.youkuaiyun.com/upset_ming/article/details/96490132 1. 修改了以前版本中的一些BUG 2. 可以适配360信、海泰等浏览器 3. 支持SSL双向认证
版本的SSL
02-08
这个一个集成了要求的一个SSL库,其中的readme 提供了详细的编译方法,可编译出android ,IOS,MAC平台所需的动态库
支持SSL通信协议的TOMCAT8.5.45,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.youkuaiyun.com/upset_ming/article/details/94435288 1. 修改了以前版本中的一些BUG 2. 可以适配360信、海泰等浏览器 3. 支持SSL双向认证
支持SSL通信协议的TOMCAT7.0.96,大宝CA版本,0.99版本,2019.09.17
09-17
使用方法见:https://blog.youkuaiyun.com/upset_ming/article/details/87875482 1. 修改了以前版本中的一些BUG 2. 可以适配360信、海泰等浏览器 3. 支持SSL双向认证
非常全且非常好用的算法DoubleCA-JCE完整实现,0.94版本,含SSLSM2钥协商,(详细测试和应用代码)
04-09
钥生成算法 SM2钥对生成算法的实现 SM4钥生成算法的实现 加解算法 SM2非对称加解算法的实现 SM4对称加解算法的实现,支持ECB、CBC及NOPADDING和PKCS5PADDING填充算法 数字签名算法 SM3withSM2数字签名算法的实现 SHA1WithSM2数字签名算法的实现 SHA256WithSM2数字签名算法的实现 SM3withRSA数字签名算法的实现 钥协商功能 SM2 ECDHE钥协商算法的实现 摘要算法 SM3摘要算法的实现 X509数字证书 数字证书工厂及SM2数字证书基础功能的实现 KeyStore功能 SM2算法数字证书、SM2钥对加保护与存储功能的实现 SSL功能 SSL规范预主钥、主钥生成与计算功能的实现
SSL协议之C语言编程
gmssl的博客
08-29 1552
1 背景 OpenSSL支持标准的SSL协议,但并不支持SSL协议。本文描述了C语言使用版OpenSSL开发一个简单的客户端程序,连接Web网站,发送HTTP请求,并接收HTTP应答。 2 环境 Centos7 X64。 OpenSSL。下载参https://www.gmssl.cn/gmssl/index.jsp?go=gmsdk 将OpenSSL 展开为/usr/local/gmssl_10 3 源码 #include <netinet/in.h> #in
SSL系列之Java编程
gmssl的博客
08-24 5713
1 背景 Java自身通过JCE和JSSE支持标准的SSL协议,但并不支持SSL协议。本文描述了Java使用JCEJSSE开发一个简单的客户端程序,连接Web网站,发送HTTP请求,并接收HTTP应答。 2 环境 JRE是jre8。 JCEJSSE。下载参https://www.gmssl.cn/gmssl/index.jsp?go=gmsdk gmjce.jar和gmjsse.jar放到jre的lib/ext/目录下 3 源码 package cn.gm...
gmtls协议-双证书体系的服务端和客户端通信代码
CHYabc123456hh的博客
08-21 8194
gmtls协议-双证书体系的服务端和客户端通信代码
二代支付加算法实现与openssl 0.9.8整合
3. 测试程序:罗列的测试程序包含了与相关的操作,比如解析PFX证书文件、生成P7报文、创建P10请求文件、公私钥转换、解析PKCS#7报文SM2加解和生成PKCS#7报文。 根据标签,本话题还与“、二代支付、绑定...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值