OpenSSL 中的 `SSL` 加密是通過 `SSL/TLS` 協議來實現的。`SSL/TLS` 是一種安全通信協議,可以保障通信雙方之間的通信安全性和數據完整性。在 `SSL/TLS` 協議中,加密演算法是其中最核心的組成部分之一,SSL可以使用各類加密演算法進行密鑰協商,一般來說會使用`RSA`等... ...
OpenSSL 中的 SSL 加密是通過 SSL/TLS 協議來實現的。SSL/TLS 是一種安全通信協議,可以保障通信雙方之間的通信安全性和數據完整性。在 SSL/TLS 協議中,加密演算法是其中最核心的組成部分之一,SSL可以使用各類加密演算法進行密鑰協商,一般來說會使用RSA等加密演算法,使用TLS加密針對服務端來說則需要同時載入公鑰與私鑰文件,當傳輸被建立後客戶端會自行下載公鑰並與服務端完成握手,讀者可將這個流程理解為上一章中RSA的分發密鑰環節,只是SSL將這個過程簡化了,當使用時無需關註傳輸密鑰對的問題。
與RSA實現加密傳輸一致,使用SSL實現加密傳輸讀者同樣需要自行生成對應的密鑰對,密鑰對的生成可以使用如下命令實現;
- 生成私鑰: openssl genrsa -out privkey.pem 2048
- 生成公鑰: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
執行如上兩條命令,讀者可得到兩個文件首先生成2048位的privkey.pem也就是私鑰,接著利用私鑰文件生成cacert.pem證書文件,該文件的有效期為1095天也就是三年,當然此處由於是測試可以使用自定義生成,如果在實際環境中還是需要購買正規簽名來使用的。
服務端實現代碼與原生套接字通信保持高度一致,在連接方式上同樣採用了標準API實現,唯一的不同在於當accept函數接收到用於請求時,我們需要通過SSL_new產生一個SSL對象,當需要發送數據時使用SSL_write,而當需要接收數據時則使用SSL_read函數,通過使用這兩個函數即可保證中間的傳輸流程是安全的,其他流程與標準套接字編程保持一致,如下是服務端完整代碼實現。
#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>
extern "C"
{
#include <openssl/applink.c>
}
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")
#define MAXBUF 1024
int main(int argc, char** argv)
{
SOCKET sockfd, new_fd;
struct sockaddr_in socket_ptr, their_addr;
char buf[MAXBUF + 1] = {0};
SSL_CTX* ctx;
// SSL庫初始化
SSL_library_init();
// 載入所有SSL演算法
OpenSSL_add_all_algorithms();
// 載入所有SSL錯誤消息
SSL_load_error_strings();
// 以SSLV2和V3標準相容方式產生一個SSL_CTX即SSLContentText
ctx = SSL_CTX_new(SSLv23_server_method());
if (ctx == NULL)
{
std::cout << "[-] 產生CTX上下文對象錯誤" << std::endl;
return 0;
}
else
{
std::cout << "[+] 產生CTX上下文對象" << std::endl;
}
// 載入用戶的數字證書,此證書用來發送給客戶端,證書里包含有公鑰
if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)
{
std::cout << "[-] 載入公鑰失敗" << std::endl;
return 0;
}
else
{
std::cout << "[+] 已載入公鑰" << std::endl;
}
// 載入用戶私鑰
if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)
{
std::cout << "[-] 載入私鑰失敗" << std::endl;
return 0;
}
else
{
std::cout << "[+] 已載入私鑰" << std::endl;
}
// 檢查用戶私鑰是否正確
if (!SSL_CTX_check_private_key(ctx))
{
std::cout << "[-] 用戶私鑰錯誤" << std::endl;
return 0;
}
// 開啟Socket監聽
WSADATA wsaData;
WSAStartup(MAKEWORD(2, 2), &wsaData);
if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
{
WSACleanup();
return 0;
}
// 創建套接字
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)
{
return 0;
}
socket_ptr.sin_family = AF_INET;
socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);
socket_ptr.sin_port = htons(9999);
// 綁定套接字
if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)
{
return 0;
}
if (listen(sockfd, 10) == -1)
{
return 0;
}
while (1)
{
SSL* ssl;
int len = sizeof(struct sockaddr);
// 等待客戶端連接
if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)
{
printf("客戶端地址: %s --> 埠: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);
}
// 基於ctx產生一個新的SSL
ssl = SSL_new(ctx);
// 將連接用戶的socket加入到SSL
SSL_set_fd(ssl, new_fd);
// 建立SSL連接
if (SSL_accept(ssl) == -1)
{
closesocket(new_fd);
break;
}
// 開始處理每個新連接上的數據收發
memset(buf, 0, MAXBUF);
strcpy(buf, "[服務端消息] hello lyshark");
// 發消息給客戶端
len = SSL_write(ssl, buf, strlen(buf));
if (len <= 0)
{
goto finish;
return 0;
}
memset(buf, 0, MAXBUF);
// 接收客戶端的消息
len = SSL_read(ssl, buf, MAXBUF);
if (len > 0)
{
printf("[接收到客戶端消息] => %s \n", buf);
}
// 關閉套接字連接
finish:
SSL_shutdown(ssl);
SSL_free(ssl);
closesocket(new_fd);
}
closesocket(sockfd);
WSACleanup();
SSL_CTX_free(ctx);
system("pause");
return 0;
}
客戶端實現代碼同樣與原生套接字編程保持一致,如下是完整代碼,讀者可以發現當使用connect連接到服務端後,依然調用了SSL_connect函數,此處的函數功能是在服務端下載證書信息,並完成證書通信驗證,當驗證實現後,則讀者就可以向原生套接字那樣去操作數據包的流向了。
#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>
extern "C"
{
#include <openssl/applink.c>
}
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")
#define MAXBUF 1024
void ShowCerts(SSL* ssl)
{
X509* cert;
char* line;
cert = SSL_get_peer_certificate(ssl);
if (cert != NULL)
{
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("[+] 證書: %s \n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("[+] 頒發者: %s \n", line);
free(line);
X509_free(cert);
}
else
{
printf("[-] 無證書信息 \n");
}
}
int main(int argc, char** argv)
{
int sockfd, len;
struct sockaddr_in dest;
char buffer[MAXBUF + 1] = { 0 };
SSL_CTX* ctx;
SSL* ssl;
// SSL庫初始化
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
// 建立CTX上下文
ctx = SSL_CTX_new(SSLv23_client_method());
if (ctx == NULL)
{
WSACleanup();
return 0;
}
// 創建Socket
WSADATA wsaData;
WSAStartup(MAKEWORD(2, 2), &wsaData);
if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
{
WSACleanup();
return 0;
}
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
{
WSACleanup();
return 0;
}
// 初始化伺服器端(對方)的地址和埠信息
dest.sin_family = AF_INET;
dest.sin_addr.s_addr = inet_addr("127.0.0.1");
dest.sin_port = htons(9999);
// 連接伺服器
if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)
{
WSACleanup();
return 0;
}
// 基於ctx產生一個新的SSL
ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
// 建立 SSL 連接
if (SSL_connect(ssl) != -1)
{
printf("[+] SSL連接類型: %s \n", SSL_get_cipher(ssl));
ShowCerts(ssl);
}
//接收伺服器來的消息 最多接收MAXBUF位元組
len = SSL_read(ssl, buffer, MAXBUF);
if (len > 0)
{
printf("接收消息: %s --> 共 %d 位元組 \n", buffer, len);
}
else
{
goto finish;
}
memset(buffer, 0, MAXBUF);
strcpy(buffer, "[客戶端消息] hello Shark");
// 發消息給伺服器
len = SSL_write(ssl, buffer, strlen(buffer));
if (len > 0)
{
printf("[+] 發送成功 \n");
}
finish:
// 關閉連接
SSL_shutdown(ssl);
SSL_free(ssl);
closesocket(sockfd);
SSL_CTX_free(ctx);
system("pause");
return 0;
}
至此讀者可以分別編譯服務端與客戶端程式,並首先運行服務端偵聽套接字,接著運行客戶端,此時即可看到如下圖所示的通信流程,至此兩者的通信數據包將被加密傳輸,從而保證了數據的安全性。
本博客所有文章除特別聲明外,均採用 BY-NC-SA 許可協議。轉載請註明出處!
