20.7 OpenSSL 套接字SSL加密傳輸

来源:https://www.cnblogs.com/LyShark/archive/2023/11/05/17810453.html
-Advertisement-
Play Games

OpenSSL 中的 `SSL` 加密是通過 `SSL/TLS` 協議來實現的。`SSL/TLS` 是一種安全通信協議,可以保障通信雙方之間的通信安全性和數據完整性。在 `SSL/TLS` 協議中,加密演算法是其中最核心的組成部分之一,SSL可以使用各類加密演算法進行密鑰協商,一般來說會使用`RSA`等... ...


OpenSSL 中的 SSL 加密是通過 SSL/TLS 協議來實現的。SSL/TLS 是一種安全通信協議,可以保障通信雙方之間的通信安全性和數據完整性。在 SSL/TLS 協議中,加密演算法是其中最核心的組成部分之一,SSL可以使用各類加密演算法進行密鑰協商,一般來說會使用RSA等加密演算法,使用TLS加密針對服務端來說則需要同時載入公鑰與私鑰文件,當傳輸被建立後客戶端會自行下載公鑰並與服務端完成握手,讀者可將這個流程理解為上一章中RSA的分發密鑰環節,只是SSL將這個過程簡化了,當使用時無需關註傳輸密鑰對的問題。

與RSA實現加密傳輸一致,使用SSL實現加密傳輸讀者同樣需要自行生成對應的密鑰對,密鑰對的生成可以使用如下命令實現;

  • 生成私鑰: openssl genrsa -out privkey.pem 2048
  • 生成公鑰: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

執行如上兩條命令,讀者可得到兩個文件首先生成2048位的privkey.pem也就是私鑰,接著利用私鑰文件生成cacert.pem證書文件,該文件的有效期為1095天也就是三年,當然此處由於是測試可以使用自定義生成,如果在實際環境中還是需要購買正規簽名來使用的。

服務端實現代碼與原生套接字通信保持高度一致,在連接方式上同樣採用了標準API實現,唯一的不同在於當accept函數接收到用於請求時,我們需要通過SSL_new產生一個SSL對象,當需要發送數據時使用SSL_write,而當需要接收數據時則使用SSL_read函數,通過使用這兩個函數即可保證中間的傳輸流程是安全的,其他流程與標準套接字編程保持一致,如下是服務端完整代碼實現。

#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>

#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>

extern "C"
{
#include <openssl/applink.c>
}

#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

int main(int argc, char** argv)
{
  SOCKET sockfd, new_fd;
  struct sockaddr_in socket_ptr, their_addr;

  char buf[MAXBUF + 1] = {0};

  SSL_CTX* ctx;

  // SSL庫初始化
  SSL_library_init();

  // 載入所有SSL演算法
  OpenSSL_add_all_algorithms();

  // 載入所有SSL錯誤消息
  SSL_load_error_strings();

  // 以SSLV2和V3標準相容方式產生一個SSL_CTX即SSLContentText
  ctx = SSL_CTX_new(SSLv23_server_method());
  if (ctx == NULL)
  {
    std::cout << "[-] 產生CTX上下文對象錯誤" << std::endl;
    return 0;
  }
  else
  {
    std::cout << "[+] 產生CTX上下文對象" << std::endl;
  }

  // 載入用戶的數字證書,此證書用來發送給客戶端,證書里包含有公鑰
  if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)
  {
    std::cout << "[-] 載入公鑰失敗" << std::endl;
    return 0;
  }
  else
  {
    std::cout << "[+] 已載入公鑰" << std::endl;
  }

  // 載入用戶私鑰
  if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)
  {
    std::cout << "[-] 載入私鑰失敗" << std::endl;
    return 0;
  }
  else
  {
    std::cout << "[+] 已載入私鑰" << std::endl;
  }

  // 檢查用戶私鑰是否正確
  if (!SSL_CTX_check_private_key(ctx))
  {
    std::cout << "[-] 用戶私鑰錯誤" << std::endl;
    return 0;
  }

  // 開啟Socket監聽
  WSADATA wsaData;
  WSAStartup(MAKEWORD(2, 2), &wsaData);
  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
  {
    WSACleanup();
    return 0;
  }

  // 創建套接字
  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)
  {
    return 0;
  }

  socket_ptr.sin_family = AF_INET;
  socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);
  socket_ptr.sin_port = htons(9999);

  // 綁定套接字
  if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)
  {
    return 0;
  }
  if (listen(sockfd, 10) == -1)
  {
    return 0;
  }

  while (1)
  {
    SSL* ssl;
    int len = sizeof(struct sockaddr);

    // 等待客戶端連接
    if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)
    {
      printf("客戶端地址: %s --> 埠: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);
    }

    // 基於ctx產生一個新的SSL
    ssl = SSL_new(ctx);

    // 將連接用戶的socket加入到SSL
    SSL_set_fd(ssl, new_fd);

    // 建立SSL連接
    if (SSL_accept(ssl) == -1)
    {
      closesocket(new_fd);
      break;
    }

    // 開始處理每個新連接上的數據收發
    memset(buf, 0, MAXBUF);
    strcpy(buf, "[服務端消息] hello lyshark");

    // 發消息給客戶端
    len = SSL_write(ssl, buf, strlen(buf));
    if (len <= 0)
    {
      goto finish;
      return 0;
    }

    memset(buf, 0, MAXBUF);

    // 接收客戶端的消息
    len = SSL_read(ssl, buf, MAXBUF);
    if (len > 0)
    {
      printf("[接收到客戶端消息] => %s \n", buf);
    }

    // 關閉套接字連接
  finish:
    SSL_shutdown(ssl);
    SSL_free(ssl);
    closesocket(new_fd);
  }

  closesocket(sockfd);
  WSACleanup();
  SSL_CTX_free(ctx);

  system("pause");
  return 0;
}

客戶端實現代碼同樣與原生套接字編程保持一致,如下是完整代碼,讀者可以發現當使用connect連接到服務端後,依然調用了SSL_connect函數,此處的函數功能是在服務端下載證書信息,並完成證書通信驗證,當驗證實現後,則讀者就可以向原生套接字那樣去操作數據包的流向了。

#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>

#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>

extern "C"
{
#include <openssl/applink.c>
}

#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

void ShowCerts(SSL* ssl)
{
  X509* cert;
  char* line;

  cert = SSL_get_peer_certificate(ssl);
  if (cert != NULL)
  {
    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
    printf("[+] 證書: %s \n", line);
    free(line);
    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
    printf("[+] 頒發者: %s \n", line);
    free(line);
    X509_free(cert);
  }
  else
  {
    printf("[-] 無證書信息 \n");
  }
}

int main(int argc, char** argv)
{
  int sockfd, len;
  struct sockaddr_in dest;
  char buffer[MAXBUF + 1] = { 0 };

  SSL_CTX* ctx;
  SSL* ssl;

  // SSL庫初始化
  SSL_library_init();
  OpenSSL_add_all_algorithms();
  SSL_load_error_strings();

  // 建立CTX上下文
  ctx = SSL_CTX_new(SSLv23_client_method());
  if (ctx == NULL)
  {
    WSACleanup();
    return 0;
  }

  // 創建Socket
  WSADATA wsaData;
  WSAStartup(MAKEWORD(2, 2), &wsaData);
  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
  {
    WSACleanup();
    return 0;
  }

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
  {
    WSACleanup();
    return 0;
  }

  // 初始化伺服器端(對方)的地址和埠信息
  dest.sin_family = AF_INET;
  dest.sin_addr.s_addr = inet_addr("127.0.0.1");
  dest.sin_port = htons(9999);

  // 連接伺服器
  if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)
  {
    WSACleanup();
    return 0;
  }

  // 基於ctx產生一個新的SSL
  ssl = SSL_new(ctx);
  SSL_set_fd(ssl, sockfd);

  // 建立 SSL 連接
  if (SSL_connect(ssl) != -1)
  {
    printf("[+] SSL連接類型: %s \n", SSL_get_cipher(ssl));
    ShowCerts(ssl);
  }

  //接收伺服器來的消息 最多接收MAXBUF位元組
  len = SSL_read(ssl, buffer, MAXBUF);
  if (len > 0)
  {
    printf("接收消息: %s --> 共 %d 位元組 \n", buffer, len);
  }
  else
  {
    goto finish;
  }

  memset(buffer, 0, MAXBUF);
  strcpy(buffer, "[客戶端消息] hello Shark");

  // 發消息給伺服器
  len = SSL_write(ssl, buffer, strlen(buffer));
  if (len > 0)
  {
    printf("[+] 發送成功 \n");
  }

finish:
  // 關閉連接
  SSL_shutdown(ssl);
  SSL_free(ssl);
  closesocket(sockfd);
  SSL_CTX_free(ctx);

  system("pause");
  return 0;
}

至此讀者可以分別編譯服務端與客戶端程式,並首先運行服務端偵聽套接字,接著運行客戶端,此時即可看到如下圖所示的通信流程,至此兩者的通信數據包將被加密傳輸,從而保證了數據的安全性。

文章出處:https://www.cnblogs.com/LyShark/p/17810453.html
本博客所有文章除特別聲明外,均採用 BY-NC-SA 許可協議。轉載請註明出處!
您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一、QDateTimeAxis簡介 1. 官方描述 https://doc.qt.io/qtforpython-6/PySide6/QtCharts/QDateTimeAxis.html QDateTimeAxis可以用作帶有刻度線、網格線以及陰影的軸。可以通過設置適當的日期時間格式來配置標簽。QD ...
  • 除了技術,副業也可以幫助我們在業務上獲得新認知,保持敏感性。 之前我們在做程式員職業成長服務的時候,發現了一個問題。很多初階的程式員沒法升到中高階,有兩個很大的非技術影響因素: 1 管理能力 每個程式員即使把自己的潛力發揮到極致,成為十倍開發者( 10x developer),他可以處理的事情也有限 ...
  • 背景 由於是公司項目,所以不方便給出代碼或者視頻,只能列一些自己畫的流程圖。 大致情況如上,前端有7個顯示區。在對其進行滾動翻頁的時候,存在以下問題: 1. 連續滾輪翻頁,每次所有顯示區刷新完,進行下一次翻頁用時較久。(說人話就是,平均耗時翻頁時間長) 2. 連續滾輪翻頁,會出現一下子翻不動,然後連 ...
  • Stream流式計算 什麼是Stream流式計算 大數據:存儲+計算 集合、MySql這些的本質都是存儲東西的; 計算都應該交給流來操作! 一個案例說明:函數式介面、lambda表達式、鏈式編程、Stream流式計算 package org.example.stream; import java.u ...
  • 創建名為spring_mvc_file的新module,過程參考9.1節和9.5節 11.1、文件下載 11.1.1、創建圖片目錄並放置圖片 11.1.2、頁面請求示例 <a th:href="@{/test/down}">下載圖片</a> 11.1.3、控制器方法示例 package online ...
  • Dart 3.0版本新增了很多新特性,包括有名的健全的空安全;同時針對類型(包括Mixin),除之前的abstract修飾符之外,還增加了base,final,interface和sealed等修飾符。今天我們來一起看下,這些類型修飾符,它們有哪些使用場景、使用時有哪些約束,和如何組合使用…… ...
  • Go類型嵌入介紹和使用類型嵌入模擬實現“繼承” 目錄Go類型嵌入介紹和使用類型嵌入模擬實現“繼承”一、獨立的自定義類型二、繼承三、類型嵌入3.1 什麼是類型嵌入四、介面類型的類型嵌入4.1 介面類型的類型嵌入介紹4.2 一個小案例五、結構體類型的類型嵌入5.1 結構體類型的類型嵌入介紹5.2 小案例 ...
  • Python 允許用戶輸入數據。這意味著我們可以向用戶詢問輸入。在 Python 3.6 中,使用 input() 方法來獲取用戶輸入。在 Python 2.7 中,使用 raw_input() 方法來獲取用戶輸入。以下示例要求用戶輸入用戶名,併在輸入用戶名後將其列印在屏幕上: Python 3.6 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...