关于国密HTTPS 的那些事(一)

随着《密码法》密码法的颁布与实施,国密的应用及推广终于有法可依。而对于应用国密其中的一个重要组成部分----国密HTTPS通信也应运而生。为了大家更好的了解国密HTTPS相关的知识,接下来打算和大家一起分享关于国密HTTPS 的那些事。聊一聊关于HTTPS通信协议本身;聊一聊为什么要有这些协议;以及国密SSL协议到底又是如何对一个网站进行数据加密的;国密SSL协议中又使用了哪些国密算法;国密的双证书和传统的RSA证书单证书在握手协商中又有什么区别等等,由于篇幅较长,时间有限,所以只能选择逐步和大家分享。

为了让更多的朋友看懂和了解这个行业和领域,明白其中的内容,本文用通俗易通、轻松愉快的方式来表达解析这些枯燥的词汇。

 1.关于HTTPS

讲到https通信,那就避免不了要讲到枯燥乏味的通信协议,相信大家在上网的时候肯定会有意无意的都会见到HTTPHTTPSSSLTLS 等 这些关键字或标签。那么我们先简单的了解一下他们代表的含义 ,然后梳理一下它们之间的关系。

HTTP:  (HyperText Transfer Protocol)超文本传输协议,相信大家都不陌生,打开浏览器就能看到。

SSL:( Secure Sockets Layer )安全套件字层。可分为两层: SSL记录协议(SSL Record Protocol)和 SSL握手协议(SSL Handshake Protocol)。

TLS :( Transport Layer Security )传输层安全协议。也分为两层 TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。

之所以这么表达,就是让聪明的你看出其中的端倪。细心的朋友肯定会发现,SSL 和TLS怎么这么相似啊,难道?对!你的直觉就体现了他们之间的关系。TLS就是建立在SSL3.0协议规范之上的协议。所以很多时候你会发现他们俩是被绑定在一起呈现的SSL/TLS。要硬说他们的关系,用时下的网络语言描述那就是:有点像CP,又好似前浪和后浪。至于这些协议怎么用后面会介绍到。

HTTPS: 就是HTTP + SSL/TLS。

理清楚了他们的关系,我们就算是入门了。至于为什么要把http协议变成https。相信大家都很清楚,因为少了s,就像光着身子在人潮涌动的人流中奔跑。只要别人想看,你的脚步,永远比不过人家看的你速度,甚至还有人会驻足,对你注目。 好像还有点押韵,skr...。

所以对一个http的站点来说,毫无隐私可言,更谈不上安全了。所以赶紧给你的站点穿上“衣服”吧。

  1. 关于协议

前面说了https,说到这里,问题又来了。既然说部署了https,就像给网站穿了“衣服”,保护住了自己的隐私,那么这个“衣服”又是怎么来保护自己的隐私的呢?没错,就是通过SSL/TLS协议,我们先来看看国密协议的整个流程,大家在看整个流程的时候思考一下 SSL/TLS到底解决了哪些问题,他是如果保护你数据安全的?

  国密SSL通信依据的协议是中国人民共和国密码行业标准《SSL VPN技术规范GM/T 0024--2014》协议。其协议流程和 传统的使用RSA证书的TLS协议流程基本一致,但是又有区别,因为传统的TLS协议中服务端使用的是单证书,而国密SSL VPN协议在双方的握手的过程中服务端使用的是双证书(签名证书和加密证书)。

下面我们来看国密SSL的主要握手流程:

根据《SSL VPN技术规范GM/T 0024--2014》协议,我们对整个握手的流程整理如下:

下面我们来分析整个过程。

  1. 客户端首先会发送ClientHello消息与服务端进行握手,在ClinentHello消息中包括了加密套件和随机数。
  2. 在服务端接收到客户端的握手请求后,会结合自己的证书选择合适的加密套件返回给客户端,并且会产生随机数一起发送。
  3. 服务端会继续发送Certificate消息给客户端,在Certificate消息中会包含双证书,即签名证书和加密证书,加密证书放在签名证书前面。
  4. 服务端根据选定的握手协议,接着发送ServerKeyExchange消息。如果选用的是ECC_SM4_SM3套件,则在消息中包含着服务端对双方随机数和服务端加密证书的签名。
  5. 如果服务端开启了双向认证,则会继续发送CertificateRequest消息给客户端。
  6. 在客户端接收到服务端的回复后,如果收到了5中发送的消息,则会先回复ClientCertificate消息给服务端,如果没有收到,则跳过此步骤。
  7. 如果客户端收到了5的请求, 则在发送完6的消息后紧接着发送ClientKeyExchange给服务端,否则ClientKeyExchange是客户端在收到服务端消息后回复给服务端的第一条信息。如果选用的是ECC_SM4_SM3套件,则这条消息的主要内容是用服务端加密证书公钥加密的预主秘钥。
  8. 如果客户端发送了6的消息,则需要发送CertificateVerify消息给服务端,这条消息用来鉴别客户端是否为证书的合法持有者。
  9. 最后在服务端和客户端各自在密码规格变革消息后都会发送Finished消息给对方。用于验证秘钥交换过程是否成功,并校验握手过程的完整性。
  10. 到此整个国密SSL握手的流程就结束了,协议双方会使用协商出来的对称秘钥对通信的数据进行加解密。

以上就是国密SSL通信的整个握手流程。

不知道大家看完之后的感受是什么?是意犹未尽,是五味杂陈,还是有些萌萌达?没关系,这些都不重要!重要的是!!!  SSL/TLS协议到底解决了哪些问题?它又是如果通过这个流程来保障数据安全的呢?我们下回接着聊!

原创:探花郎

申请支持国密算法SM2 256位加密证书,来沃通选购吧:

https://wosign.com/price_sm2.htm

关于国密HTTPS 的那些事(一)的更多相关文章

  1. 关于国密HTTPS 的那些事(二)

    关于国密HTTPS 的那些事(二) 三. 需要解决的问题 前文我们了解了https,并梳理了国密https的流程.那么完成这些流程的目的是什么呢?又是怎么来保护数据的安全性呢?我们继续... 上文我们 ...

  2. C#.NET 国密SM3withSM2签名与验签 和JAVA互通

    C# 基于.NET FRAMEWORK 4.5 JAVA 基于 JDK1.8 一.要点 1.签名算法:SM3withSM2. 2.签名值byte[] 转字符串时,双方要统一,这里是BASE64. 二. ...

  3. bouncycastle 国密SM2 API的使用

    摘要:本文不对SM2做过多的介绍,主要介绍java bouncycastle库关于SM2的相关API的使用及注意事项 1. SM2 签名: 注意: 1)签名格式ASN1(描述了一种对数据进行表示.编码 ...

  4. 谈谈PBOC3.0中使用的国密SM2算法

    转载请注明出处 http://blog.csdn.net/pony_maggie/article/details/39780825 作者:小马 一 知识准备 SM2是国密局推出的一种他们自己说具有自主 ...

  5. Bytom国密网说明和指南

    比原项目仓库: Github地址:https://github.com/Bytom/bytom Gitee地址:https://gitee.com/BytomBlockchain/bytom 国密算法 ...

  6. 国密算法--Openssl 实现国密算法(基础介绍和产生秘钥对)

    国密非对称加密算法 又称sm2,它是采取了ECC(曲线加密算法)中的一条固定的曲线,实际上就是ECC算法. 因为openssl里面不包含sm2算法,所以就要重新进行封装-. - 对于ECC算法我就不介 ...

  7. 国密SSL证书免费试用申请指南

    沃通提供国密SSL证书免费申请试用服务,一次申请可同时签发SM2/RSA双算法证书,试用周期1个月,用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果. 试用产品:SM2/RSA双 ...

  8. 国密SSL证书申请免费试用

    沃通提供国密SSL证书免费申请试用服务,一次申请可同时签发SM2/RSA双算法证书,试用周期1个月,用于测试国密SM2 SSL证书的运行效果和SM2/RSA双证书部署效果. 试用产品:SM2/RSA双 ...

  9. 部署国密SSL证书,如何兼容国际主流浏览器?

    国密算法在主流操作系统.浏览器等客户端中,还没有实现广泛兼容.因此,在面向开放互联网的产品应用中,国密算法无法得到广泛应用.比如,在SSL证书应用领域,由于国际主流浏览器不信任国密算法,如果服务器部署 ...

随机推荐

  1. 进程CPU、内存过高问题查找

    1.定位进程 找出占用CPU最高的10个进程 ps aux | sort -k3nr | head -n 10 查看占用内存最高的10个进程 ps aux | sort -k4nr | head -n ...

  2. ORB_SLAM2 闭环检测段错误

    问题描述: Ubuntu14.04运行正常.Ubuntu 16.04下运行时,检测到闭环后有时会段错误,定位发现断错误出现在CorrectLoop()的红色代码处 void LoopClosing:: ...

  3. Ubuntu18.04 + NVidia显卡 + Anaconda3 + Tensorflow-GPU 安装、配置、测试 (无需手动安装CUDA)

    其中其决定作用的是这篇文章  https://www.pugetsystems.com/labs/hpc/Install-TensorFlow-with-GPU-Support-the-Easy-Wa ...

  4. Dapper同时操作任意多张表的实现

    1:Dapper的查询帮助类,部分代码,其它新增更新删除可以自行扩展 using Microsoft.Extensions.Configuration; using System; using Sys ...

  5. 安装配置Linux Squid代理服务器

    1.代理服务器的工作机制 代理服务器的工作机制像生活中的代理商,假设自己的机器为A,想获得的数据由服务器B提供,代理服务器为C,那么连接过程是,A需要B的数据,并直接和C连接:C接受到A的数据请求之后 ...

  6. golang sqlx

    在项目中我们通常可能会使用database/sql连接MySQL数据库.本文借助使用sqlx实现批量插入数据的例子,介绍了sqlx中可能被你忽视了的sqlx.In和DB.NamedExec方法. sq ...

  7. Mybatis-Plus增强包

    简介 本框架(Gitee地址 )结合公司日常业务场景,对Mybatis-Plus 做了进一步的拓展封装,即保留MP原功能,又添加更多有用便捷的功能.具体拓展体现在数据自动填充(类似JPA中的审计).关 ...

  8. Centos7最小化系统安装_配置

    本文总结了作者使用centos最小化安装时,碰到的问题和解决方案. 网络问题.作者使用虚拟机安装时,网卡并没有激活.操作: 1 cd /etc/sysconfig/network-script 2 v ...

  9. Java - 注释、标识符、关键字

    背景 要开始磕 Java 了,虽然以前学过用过,但是差不多忘光光了... 现在直接搬狂神的视频素材,不再自己总结,要学的东西太多了... 注释 单行注释 // 多行注释 /* */ 文档注释 /** ...

  10. JS007. 深入探讨带浮点数运算丢失精度问题(二进制的浮点数存储方式)

    复现与概述 当JS在进行浮点数运算时可能产生丢失精度的情况: 从肉眼可见的程度上观察,发生精度丢失的浮点数是没有规律的,但该浮点数丢失精度的问题会100%复现.经查阅,这个问题要追溯至浮点数的二进制存 ...