OpenSSL 中的 SSL 加密是通过 SSL/TLS 协议来实现的。SSL/TLS 是一种安全通信协议,可以保障通信双方之间的通信安全性和数据完整性。在 SSL/TLS 协议中,加密算法是其中最核心的组成部分之一,SSL可以使用各类加密算法进行密钥协商,一般来说会使用RSA等加密算法,使用TLS加密针对服务端来说则需要同时载入公钥与私钥文件,当传输被建立后客户端会自行下载公钥并与服务端完成握手,读者可将这个流程理解为上一章中RSA的分发密钥环节,只是SSL将这个过程简化了,当使用时无需关注传输密钥对的问题。

与RSA实现加密传输一致,使用SSL实现加密传输读者同样需要自行生成对应的密钥对,密钥对的生成可以使用如下命令实现;

  • 生成私钥: openssl genrsa -out privkey.pem 2048
  • 生成公钥: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

执行如上两条命令,读者可得到两个文件首先生成2048位的privkey.pem也就是私钥,接着利用私钥文件生成cacert.pem证书文件,该文件的有效期为1095天也就是三年,当然此处由于是测试可以使用自定义生成,如果在实际环境中还是需要购买正规签名来使用的。

服务端实现代码与原生套接字通信保持高度一致,在连接方式上同样采用了标准API实现,唯一的不同在于当accept函数接收到用于请求时,我们需要通过SSL_new产生一个SSL对象,当需要发送数据时使用SSL_write,而当需要接收数据时则使用SSL_read函数,通过使用这两个函数即可保证中间的传输流程是安全的,其他流程与标准套接字编程保持一致,如下是服务端完整代码实现。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

int main(int argc, char** argv)

{

  SOCKET sockfd, new_fd;

  struct sockaddr_in socket_ptr, their_addr;

  char buf[MAXBUF + 1] = {0};

  SSL_CTX* ctx;

  // SSL库初始化

  SSL_library_init();

  // 载入所有SSL算法

  OpenSSL_add_all_algorithms();

  // 载入所有SSL错误消息

  SSL_load_error_strings();

  // 以SSLV2和V3标准兼容方式产生一个SSL_CTX即SSLContentText

  ctx = SSL_CTX_new(SSLv23_server_method());

  if (ctx == NULL)

  {

    std::cout << "[-] 产生CTX上下文对象错误" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 产生CTX上下文对象" << std::endl;

  }

  // 载入用户的数字证书,此证书用来发送给客户端,证书里包含有公钥

  if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入公钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入公钥" << std::endl;

  }

  // 载入用户私钥

  if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入私钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入私钥" << std::endl;

  }

  // 检查用户私钥是否正确

  if (!SSL_CTX_check_private_key(ctx))

  {

    std::cout << "[-] 用户私钥错误" << std::endl;

    return 0;

  }

  // 开启Socket监听

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  // 创建套接字

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)

  {

    return 0;

  }

  socket_ptr.sin_family = AF_INET;

  socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);

  socket_ptr.sin_port = htons(9999);

  // 绑定套接字

  if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)

  {

    return 0;

  }

  if (listen(sockfd, 10) == -1)

  {

    return 0;

  }

  while (1)

  {

    SSL* ssl;

    int len = sizeof(struct sockaddr);

    // 等待客户端连接

    if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)

    {

      printf("客户端地址: %s --> 端口: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);

    }

    // 基于ctx产生一个新的SSL

    ssl = SSL_new(ctx);

    // 将连接用户的socket加入到SSL

    SSL_set_fd(ssl, new_fd);

    // 建立SSL连接

    if (SSL_accept(ssl) == -1)

    {

      closesocket(new_fd);

      break;

    }

    // 开始处理每个新连接上的数据收发

    memset(buf, 0, MAXBUF);

    strcpy(buf, "[服务端消息] hello lyshark");

    // 发消息给客户端

    len = SSL_write(ssl, buf, strlen(buf));

    if (len <= 0)

    {

      goto finish;

      return 0;

    }

    memset(buf, 0, MAXBUF);

    // 接收客户端的消息

    len = SSL_read(ssl, buf, MAXBUF);

    if (len > 0)

    {

      printf("[接收到客户端消息] => %s \n", buf);

    }

    // 关闭套接字连接

  finish:

    SSL_shutdown(ssl);

    SSL_free(ssl);

    closesocket(new_fd);

  }

  closesocket(sockfd);

  WSACleanup();

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

客户端实现代码同样与原生套接字编程保持一致,如下是完整代码,读者可以发现当使用connect连接到服务端后,依然调用了SSL_connect函数,此处的函数功能是在服务端下载证书信息,并完成证书通信验证,当验证实现后,则读者就可以向原生套接字那样去操作数据包的流向了。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

void ShowCerts(SSL* ssl)

{

  X509* cert;

  char* line;

  cert = SSL_get_peer_certificate(ssl);

  if (cert != NULL)

  {

    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);

    printf("[+] 证书: %s \n", line);

    free(line);

    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);

    printf("[+] 颁发者: %s \n", line);

    free(line);

    X509_free(cert);

  }

  else

  {

    printf("[-] 无证书信息 \n");

  }

}

int main(int argc, char** argv)

{

  int sockfd, len;

  struct sockaddr_in dest;

  char buffer[MAXBUF + 1] = { 0 };

  SSL_CTX* ctx;

  SSL* ssl;

  // SSL库初始化

  SSL_library_init();

  OpenSSL_add_all_algorithms();

  SSL_load_error_strings();

  // 建立CTX上下文

  ctx = SSL_CTX_new(SSLv23_client_method());

  if (ctx == NULL)

  {

    WSACleanup();

    return 0;

  }

  // 创建Socket

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

  {

    WSACleanup();

    return 0;

  }

  // 初始化服务器端(对方)的地址和端口信息

  dest.sin_family = AF_INET;

  dest.sin_addr.s_addr = inet_addr("127.0.0.1");

  dest.sin_port = htons(9999);

  // 连接服务器

  if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)

  {

    WSACleanup();

    return 0;

  }

  // 基于ctx产生一个新的SSL

  ssl = SSL_new(ctx);

  SSL_set_fd(ssl, sockfd);

  // 建立 SSL 连接

  if (SSL_connect(ssl) != -1)

  {

    printf("[+] SSL连接类型: %s \n", SSL_get_cipher(ssl));

    ShowCerts(ssl);

  }

  //接收服务器来的消息 最多接收MAXBUF字节

  len = SSL_read(ssl, buffer, MAXBUF);

  if (len > 0)

  {

    printf("接收消息: %s --> 共 %d 字节 \n", buffer, len);

  }

  else

  {

    goto finish;

  }

  memset(buffer, 0, MAXBUF);

  strcpy(buffer, "[客户端消息] hello Shark");

  // 发消息给服务器

  len = SSL_write(ssl, buffer, strlen(buffer));

  if (len > 0)

  {

    printf("[+] 发送成功 \n");

  }

finish:

  // 关闭连接

  SSL_shutdown(ssl);

  SSL_free(ssl);

  closesocket(sockfd);

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

至此读者可以分别编译服务端与客户端程序,并首先运行服务端侦听套接字,接着运行客户端,此时即可看到如下图所示的通信流程,至此两者的通信数据包将被加密传输,从而保证了数据的安全性。

20.7 OpenSSL 套接字SSL加密传输的更多相关文章

  1. linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输

    目录 一.关于FTP和VSFTP 二.ftp.sftp.vsftp.vsftpd的区别 三.项目一:搭建一台所有人都可以访问的通用FTP服务器 3.1 项目要求 3.2 项目思路分析 3.3 使用vs ...

  2. .net mvc 站点自带简易SSL加密传输 Word报告自动生成(例如 导出数据库结构) 微信小程序:动画(Animation) SignalR 设计理念(一) ASP.NET -- WebForm -- ViewState ASP.NET -- 一般处理程序ashx 常用到的一些js方法,记录一下 CryptoJS与C#AES加解密互转

    .net mvc 站点自带简易SSL加密传输   因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net ...

  3. Vsftpd支持SSL加密传输

    ftp传输数据是明文,弄个抓包软件就可以通过数据包来分析到账号和密码,为了搭建一个安全性比较高ftp,可以结合SSL来解决问题   SSL(Secure Socket Layer)工作于传输层和应用程 ...

  4. 搭建支持SSL加密传输的vftpd

    让vsftpd支持SSL 必须让OPENSSL≥0.9.6版本还有就是本身vsftpd版本是否支持 查询vsftpd软件是否支持SSL        [root@localhost vsftpd]# ...

  5. linux网络编程-(socket套接字编程UDP传输)

    今天我们来介绍一下在linux网络环境下使用socket套接字实现两个进程下文件的上传,下载,和退出操作! 在socket套接字编程中,我们当然可以基于TCP的传输协议来进行传输,但是在文件的传输中, ...

  6. socket套接字TCP协议传输-案例测试

    术语: 套接字接口:socket,是一个IP地址和一个端口号的组合,套接字可以唯一标识整个Internet中的一个网络进程. TCP连接:一对套接字接口(一个用于接收,一个用于发送)可定义面向连接的协 ...

  7. 使用JavaMail发送邮件,465端口开启ssl加密传输

    package com.wangxin.test; import java.security.Security; import java.util.Date; import java.util.Pro ...

  8. SpringMvc使用JavaMail发送邮件,并使用465端口开启ssl加密传输,保证邮件安全

    代码在本地发邮件没任何问题.但部署到服务器,发送邮件显示连接异常.一开始非常懵逼,之后telnet smtp.163.com 25不通,发现是云服务器出于安全考虑,关闭了服务器的25端口,而25端口是 ...

  9. .net mvc 站点自带简易SSL加密传输

    因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net 解密返回后端.net用rsa/aes 或 rsa/ ...

  10. thrift之TTransport层的堵塞的套接字I/O传输类TSocket

    本节将介绍第一个实现具体传输功能的类TSocket,这个类是基于TCP socket实现TTransport的接口.下面具体介绍这个类的相关函数功能实现. 1.构造函数 分析一个类的功能首先看它的定义 ...

随机推荐

  1. Centos静默安装Oracle11G

    环境准备 Oracle 11gR2 64位 Linux版安装包 linux.x64_11gR2_database_1of2.zip linux.x64_11gR2_database_2of2.zip ...

  2. Log4j的Maven依赖及其配置文件

    Maven配置 <!--Log4j依赖文件--> <dependency> <groupId>log4j</groupId> <artifactI ...

  3. [golang]简单的文件上传下载

    前言 某次在客户内网传输数据的时候,防火墙拦截了SSH的数据包,导致没法使用scp命令传输文件,tcp协议和http协议也只放开了指定端口,因此想了个用http传输的"曲线救国"方 ...

  4. 【技术积累】Java里的volatile关键字到底能干嘛?

    7.4 最害怕的一集 - volatile 7.4.1 最简单的一集 - volatile 语义 (难度 : ) 读 -> 读一个 volatile 必须从 主内存读 写 -> 写一个 v ...

  5. C#利用Refit实现JWT自动续期

    前言 笔者之前开发过一套C/S架构的桌面应用,采用了JWT作为用户的登录认证和授权.遇到的唯一问题就是JWT过期了该怎么办?设想当一个用户正在进行业务操作,突然因为Token过期失效,莫名其妙地跳转到 ...

  6. 【译】Silverlight 不会消亡 XAML for Blazor 到来

    Userware 正在使用早已消失的.令人怀念的微软 Silverlight Web 开发平台的遗留来支持其新的"XAML for Blazor"产品,该产品允许 .NET 开发人 ...

  7. 白盒AES和SM4实现的差分故障分析

    DFA攻击背景介绍 传统的密码安全性分析环境被称为黑盒攻击环境,攻击者只能访问密码系统的输入与输出,但随着密码系统部署环境的多样化,该分析模型已经不能够反映实际应用中攻击者的能力.2002年,Chow ...

  8. 3-MySQL基本数据类型介绍

    数据类型的介绍: 数据类型(data_type)是指系统中所允许的数据的类型.数据库中的每个列都应有适当的数据类型,用于限制或允许该列中存储的数据.例如,列中存储的为数字,则相应的数据类型应该为数值类 ...

  9. IDEA2019 Debug傻瓜式上手教程

      Step Into (F7):步入,如果当前行有方法,可以进入方法内部,一般用于进入自定义方法内,不会进入官方类库的方法.   Force Step Into (Alt + Shift + F7) ...

  10. C++的extern关键字在HotSpot VM中的重要应用

    extern关键字有两个用处: (1)extern在C/C++语言中表示函数和全局变量作用范围(可见性)的关键字,这个关键字会告诉编译器,其声明的函数和变量可以在本模块或其它模块中使用. (2)在C+ ...