OpenSSL 中的 SSL 加密是通过 SSL/TLS 协议来实现的。SSL/TLS 是一种安全通信协议,可以保障通信双方之间的通信安全性和数据完整性。在 SSL/TLS 协议中,加密算法是其中最核心的组成部分之一,SSL可以使用各类加密算法进行密钥协商,一般来说会使用RSA等加密算法,使用TLS加密针对服务端来说则需要同时载入公钥与私钥文件,当传输被建立后客户端会自行下载公钥并与服务端完成握手,读者可将这个流程理解为上一章中RSA的分发密钥环节,只是SSL将这个过程简化了,当使用时无需关注传输密钥对的问题。

与RSA实现加密传输一致,使用SSL实现加密传输读者同样需要自行生成对应的密钥对,密钥对的生成可以使用如下命令实现;

  • 生成私钥: openssl genrsa -out privkey.pem 2048
  • 生成公钥: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

执行如上两条命令,读者可得到两个文件首先生成2048位的privkey.pem也就是私钥,接着利用私钥文件生成cacert.pem证书文件,该文件的有效期为1095天也就是三年,当然此处由于是测试可以使用自定义生成,如果在实际环境中还是需要购买正规签名来使用的。

服务端实现代码与原生套接字通信保持高度一致,在连接方式上同样采用了标准API实现,唯一的不同在于当accept函数接收到用于请求时,我们需要通过SSL_new产生一个SSL对象,当需要发送数据时使用SSL_write,而当需要接收数据时则使用SSL_read函数,通过使用这两个函数即可保证中间的传输流程是安全的,其他流程与标准套接字编程保持一致,如下是服务端完整代码实现。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

int main(int argc, char** argv)

{

  SOCKET sockfd, new_fd;

  struct sockaddr_in socket_ptr, their_addr;

  char buf[MAXBUF + 1] = {0};

  SSL_CTX* ctx;

  // SSL库初始化

  SSL_library_init();

  // 载入所有SSL算法

  OpenSSL_add_all_algorithms();

  // 载入所有SSL错误消息

  SSL_load_error_strings();

  // 以SSLV2和V3标准兼容方式产生一个SSL_CTX即SSLContentText

  ctx = SSL_CTX_new(SSLv23_server_method());

  if (ctx == NULL)

  {

    std::cout << "[-] 产生CTX上下文对象错误" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 产生CTX上下文对象" << std::endl;

  }

  // 载入用户的数字证书,此证书用来发送给客户端,证书里包含有公钥

  if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入公钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入公钥" << std::endl;

  }

  // 载入用户私钥

  if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入私钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入私钥" << std::endl;

  }

  // 检查用户私钥是否正确

  if (!SSL_CTX_check_private_key(ctx))

  {

    std::cout << "[-] 用户私钥错误" << std::endl;

    return 0;

  }

  // 开启Socket监听

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  // 创建套接字

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)

  {

    return 0;

  }

  socket_ptr.sin_family = AF_INET;

  socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);

  socket_ptr.sin_port = htons(9999);

  // 绑定套接字

  if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)

  {

    return 0;

  }

  if (listen(sockfd, 10) == -1)

  {

    return 0;

  }

  while (1)

  {

    SSL* ssl;

    int len = sizeof(struct sockaddr);

    // 等待客户端连接

    if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)

    {

      printf("客户端地址: %s --> 端口: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);

    }

    // 基于ctx产生一个新的SSL

    ssl = SSL_new(ctx);

    // 将连接用户的socket加入到SSL

    SSL_set_fd(ssl, new_fd);

    // 建立SSL连接

    if (SSL_accept(ssl) == -1)

    {

      closesocket(new_fd);

      break;

    }

    // 开始处理每个新连接上的数据收发

    memset(buf, 0, MAXBUF);

    strcpy(buf, "[服务端消息] hello lyshark");

    // 发消息给客户端

    len = SSL_write(ssl, buf, strlen(buf));

    if (len <= 0)

    {

      goto finish;

      return 0;

    }

    memset(buf, 0, MAXBUF);

    // 接收客户端的消息

    len = SSL_read(ssl, buf, MAXBUF);

    if (len > 0)

    {

      printf("[接收到客户端消息] => %s \n", buf);

    }

    // 关闭套接字连接

  finish:

    SSL_shutdown(ssl);

    SSL_free(ssl);

    closesocket(new_fd);

  }

  closesocket(sockfd);

  WSACleanup();

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

客户端实现代码同样与原生套接字编程保持一致,如下是完整代码,读者可以发现当使用connect连接到服务端后,依然调用了SSL_connect函数,此处的函数功能是在服务端下载证书信息,并完成证书通信验证,当验证实现后,则读者就可以向原生套接字那样去操作数据包的流向了。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

void ShowCerts(SSL* ssl)

{

  X509* cert;

  char* line;

  cert = SSL_get_peer_certificate(ssl);

  if (cert != NULL)

  {

    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);

    printf("[+] 证书: %s \n", line);

    free(line);

    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);

    printf("[+] 颁发者: %s \n", line);

    free(line);

    X509_free(cert);

  }

  else

  {

    printf("[-] 无证书信息 \n");

  }

}

int main(int argc, char** argv)

{

  int sockfd, len;

  struct sockaddr_in dest;

  char buffer[MAXBUF + 1] = { 0 };

  SSL_CTX* ctx;

  SSL* ssl;

  // SSL库初始化

  SSL_library_init();

  OpenSSL_add_all_algorithms();

  SSL_load_error_strings();

  // 建立CTX上下文

  ctx = SSL_CTX_new(SSLv23_client_method());

  if (ctx == NULL)

  {

    WSACleanup();

    return 0;

  }

  // 创建Socket

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

  {

    WSACleanup();

    return 0;

  }

  // 初始化服务器端(对方)的地址和端口信息

  dest.sin_family = AF_INET;

  dest.sin_addr.s_addr = inet_addr("127.0.0.1");

  dest.sin_port = htons(9999);

  // 连接服务器

  if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)

  {

    WSACleanup();

    return 0;

  }

  // 基于ctx产生一个新的SSL

  ssl = SSL_new(ctx);

  SSL_set_fd(ssl, sockfd);

  // 建立 SSL 连接

  if (SSL_connect(ssl) != -1)

  {

    printf("[+] SSL连接类型: %s \n", SSL_get_cipher(ssl));

    ShowCerts(ssl);

  }

  //接收服务器来的消息 最多接收MAXBUF字节

  len = SSL_read(ssl, buffer, MAXBUF);

  if (len > 0)

  {

    printf("接收消息: %s --> 共 %d 字节 \n", buffer, len);

  }

  else

  {

    goto finish;

  }

  memset(buffer, 0, MAXBUF);

  strcpy(buffer, "[客户端消息] hello Shark");

  // 发消息给服务器

  len = SSL_write(ssl, buffer, strlen(buffer));

  if (len > 0)

  {

    printf("[+] 发送成功 \n");

  }

finish:

  // 关闭连接

  SSL_shutdown(ssl);

  SSL_free(ssl);

  closesocket(sockfd);

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

至此读者可以分别编译服务端与客户端程序,并首先运行服务端侦听套接字,接着运行客户端,此时即可看到如下图所示的通信流程,至此两者的通信数据包将被加密传输,从而保证了数据的安全性。

20.7 OpenSSL 套接字SSL加密传输的更多相关文章

  1. linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输

    目录 一.关于FTP和VSFTP 二.ftp.sftp.vsftp.vsftpd的区别 三.项目一:搭建一台所有人都可以访问的通用FTP服务器 3.1 项目要求 3.2 项目思路分析 3.3 使用vs ...

  2. .net mvc 站点自带简易SSL加密传输 Word报告自动生成(例如 导出数据库结构) 微信小程序:动画(Animation) SignalR 设计理念(一) ASP.NET -- WebForm -- ViewState ASP.NET -- 一般处理程序ashx 常用到的一些js方法,记录一下 CryptoJS与C#AES加解密互转

    .net mvc 站点自带简易SSL加密传输   因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net ...

  3. Vsftpd支持SSL加密传输

    ftp传输数据是明文,弄个抓包软件就可以通过数据包来分析到账号和密码,为了搭建一个安全性比较高ftp,可以结合SSL来解决问题   SSL(Secure Socket Layer)工作于传输层和应用程 ...

  4. 搭建支持SSL加密传输的vftpd

    让vsftpd支持SSL 必须让OPENSSL≥0.9.6版本还有就是本身vsftpd版本是否支持 查询vsftpd软件是否支持SSL        [root@localhost vsftpd]# ...

  5. linux网络编程-(socket套接字编程UDP传输)

    今天我们来介绍一下在linux网络环境下使用socket套接字实现两个进程下文件的上传,下载,和退出操作! 在socket套接字编程中,我们当然可以基于TCP的传输协议来进行传输,但是在文件的传输中, ...

  6. socket套接字TCP协议传输-案例测试

    术语: 套接字接口:socket,是一个IP地址和一个端口号的组合,套接字可以唯一标识整个Internet中的一个网络进程. TCP连接:一对套接字接口(一个用于接收,一个用于发送)可定义面向连接的协 ...

  7. 使用JavaMail发送邮件,465端口开启ssl加密传输

    package com.wangxin.test; import java.security.Security; import java.util.Date; import java.util.Pro ...

  8. SpringMvc使用JavaMail发送邮件,并使用465端口开启ssl加密传输,保证邮件安全

    代码在本地发邮件没任何问题.但部署到服务器,发送邮件显示连接异常.一开始非常懵逼,之后telnet smtp.163.com 25不通,发现是云服务器出于安全考虑,关闭了服务器的25端口,而25端口是 ...

  9. .net mvc 站点自带简易SSL加密传输

    因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net 解密返回后端.net用rsa/aes 或 rsa/ ...

  10. thrift之TTransport层的堵塞的套接字I/O传输类TSocket

    本节将介绍第一个实现具体传输功能的类TSocket,这个类是基于TCP socket实现TTransport的接口.下面具体介绍这个类的相关函数功能实现. 1.构造函数 分析一个类的功能首先看它的定义 ...

随机推荐

  1. ABP 的ajax请求错误:400 Empty or invalid anti forgery header token.

    ABP 的ajax请求错误 记录于2018-03-22 13:31:16 星期四 错误信息:400 Empty or invalid anti forgery header token. 我从网上找到 ...

  2. 【overcome error】dereferencing pointer to incomplete type

    @ 目录 前言 解决 代码情况 分析问题 尾声 前言 这个问题是我在学习数据结构链栈部分遇到的,英文报错如题所示,中文意思是:取消引用不完整类型的指针,在百度一圈也没明白,(百度搜索,看一个和全看基本 ...

  3. 模型权重保存、加载、冻结(pytorch)

    1. 保存整个网络 torch.save(net, PATH) model = torch.load(PATH) 2. 保存网络中的参数(速度快,占空间小) torch.save(net.state_ ...

  4. 【pandas小技巧】--拆分列

    拆分列是pandas中常用的一种数据操作,它可以将一个包含多个值的列按照指定的规则拆分成多个新列,方便进行后续的分析和处理.拆分列的使用场景比较广泛,以下是一些常见的应用场景: 处理日期数据:在日期数 ...

  5. 测试与爬虫—抓包神器之Charles

    前言 之前我们讲到过fiddler(https://www.cnblogs.com/zichliang/p/16067941.html),wireshark(https://www.cnblogs.c ...

  6. 快速入门OpenCv(python版)

    OpenCV是一个(开源)发行的跨平台计算机视觉库,可以运行在Linux.Windows和Mac OS操作系统上.它轻量级而且高效--由一系列 C 函数和少量 C++ 类构成,同时提供了Python. ...

  7. 微信的 h5 支付和 jsapi 支付

    目录 申请商户号 申请商户证书 设置APIv3密钥 下载 SDK 开发包 下载平台证书 关联 AppID 账号 开通 H5 支付 H5支付流程 开通 JSAPI 支付 JSAPI 支付流程 通用微信支 ...

  8. 2022最新 Navicat Premium 16中文软件激活安装永久使用正版(支持MAC+win)

    Navicat Premium 16中文正版永久使用,下载地址: 关注我的wx公众号"奋斗在IT"回复1015获取下载地址

  9. [WPF]使用HLSL实现百叶窗动效

    百叶窗动画是制作PPT时常用的动画之一,本文将通过实现百叶窗动画效果的例子介绍在WPF中如何使用ShaderEffect.ShaderEffect是使用高级着色器语言(High Level Shadi ...

  10. 拯救Win7,2023该如何正确升级?

    对于现存的Win7系统用户,微软曾多次提醒将在2023年1月停止对Win7与Win8.1的安全更新和技术支持.而转眼已经来到2023,时间已到,对于Win7,微软已经再也不管了,停止为Win7用户提供 ...