OpenSSL 中的 SSL 加密是通过 SSL/TLS 协议来实现的。SSL/TLS 是一种安全通信协议,可以保障通信双方之间的通信安全性和数据完整性。在 SSL/TLS 协议中,加密算法是其中最核心的组成部分之一,SSL可以使用各类加密算法进行密钥协商,一般来说会使用RSA等加密算法,使用TLS加密针对服务端来说则需要同时载入公钥与私钥文件,当传输被建立后客户端会自行下载公钥并与服务端完成握手,读者可将这个流程理解为上一章中RSA的分发密钥环节,只是SSL将这个过程简化了,当使用时无需关注传输密钥对的问题。

与RSA实现加密传输一致,使用SSL实现加密传输读者同样需要自行生成对应的密钥对,密钥对的生成可以使用如下命令实现;

  • 生成私钥: openssl genrsa -out privkey.pem 2048
  • 生成公钥: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

执行如上两条命令,读者可得到两个文件首先生成2048位的privkey.pem也就是私钥,接着利用私钥文件生成cacert.pem证书文件,该文件的有效期为1095天也就是三年,当然此处由于是测试可以使用自定义生成,如果在实际环境中还是需要购买正规签名来使用的。

服务端实现代码与原生套接字通信保持高度一致,在连接方式上同样采用了标准API实现,唯一的不同在于当accept函数接收到用于请求时,我们需要通过SSL_new产生一个SSL对象,当需要发送数据时使用SSL_write,而当需要接收数据时则使用SSL_read函数,通过使用这两个函数即可保证中间的传输流程是安全的,其他流程与标准套接字编程保持一致,如下是服务端完整代码实现。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

int main(int argc, char** argv)

{

  SOCKET sockfd, new_fd;

  struct sockaddr_in socket_ptr, their_addr;

  char buf[MAXBUF + 1] = {0};

  SSL_CTX* ctx;

  // SSL库初始化

  SSL_library_init();

  // 载入所有SSL算法

  OpenSSL_add_all_algorithms();

  // 载入所有SSL错误消息

  SSL_load_error_strings();

  // 以SSLV2和V3标准兼容方式产生一个SSL_CTX即SSLContentText

  ctx = SSL_CTX_new(SSLv23_server_method());

  if (ctx == NULL)

  {

    std::cout << "[-] 产生CTX上下文对象错误" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 产生CTX上下文对象" << std::endl;

  }

  // 载入用户的数字证书,此证书用来发送给客户端,证书里包含有公钥

  if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入公钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入公钥" << std::endl;

  }

  // 载入用户私钥

  if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)

  {

    std::cout << "[-] 载入私钥失败" << std::endl;

    return 0;

  }

  else

  {

    std::cout << "[+] 已载入私钥" << std::endl;

  }

  // 检查用户私钥是否正确

  if (!SSL_CTX_check_private_key(ctx))

  {

    std::cout << "[-] 用户私钥错误" << std::endl;

    return 0;

  }

  // 开启Socket监听

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  // 创建套接字

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)

  {

    return 0;

  }

  socket_ptr.sin_family = AF_INET;

  socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);

  socket_ptr.sin_port = htons(9999);

  // 绑定套接字

  if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)

  {

    return 0;

  }

  if (listen(sockfd, 10) == -1)

  {

    return 0;

  }

  while (1)

  {

    SSL* ssl;

    int len = sizeof(struct sockaddr);

    // 等待客户端连接

    if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)

    {

      printf("客户端地址: %s --> 端口: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);

    }

    // 基于ctx产生一个新的SSL

    ssl = SSL_new(ctx);

    // 将连接用户的socket加入到SSL

    SSL_set_fd(ssl, new_fd);

    // 建立SSL连接

    if (SSL_accept(ssl) == -1)

    {

      closesocket(new_fd);

      break;

    }

    // 开始处理每个新连接上的数据收发

    memset(buf, 0, MAXBUF);

    strcpy(buf, "[服务端消息] hello lyshark");

    // 发消息给客户端

    len = SSL_write(ssl, buf, strlen(buf));

    if (len <= 0)

    {

      goto finish;

      return 0;

    }

    memset(buf, 0, MAXBUF);

    // 接收客户端的消息

    len = SSL_read(ssl, buf, MAXBUF);

    if (len > 0)

    {

      printf("[接收到客户端消息] => %s \n", buf);

    }

    // 关闭套接字连接

  finish:

    SSL_shutdown(ssl);

    SSL_free(ssl);

    closesocket(new_fd);

  }

  closesocket(sockfd);

  WSACleanup();

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

客户端实现代码同样与原生套接字编程保持一致,如下是完整代码,读者可以发现当使用connect连接到服务端后,依然调用了SSL_connect函数,此处的函数功能是在服务端下载证书信息,并完成证书通信验证,当验证实现后,则读者就可以向原生套接字那样去操作数据包的流向了。

#include <WinSock2.h>

#include <iostream>

#include <string.h>

#include <errno.h>

#include <stdlib.h>

#include <openssl/bio.h>

#include <openssl/err.h>

#include <openssl/ssl.h>

#include <openssl/pem.h>

#include <openssl/crypto.h>

extern "C"

{

#include <openssl/applink.c>

}

#pragma comment(lib, "WS2_32.lib")

#pragma comment(lib,"libssl.lib")

#pragma comment(lib,"libcrypto.lib")

#define MAXBUF 1024

void ShowCerts(SSL* ssl)

{

  X509* cert;

  char* line;

  cert = SSL_get_peer_certificate(ssl);

  if (cert != NULL)

  {

    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);

    printf("[+] 证书: %s \n", line);

    free(line);

    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);

    printf("[+] 颁发者: %s \n", line);

    free(line);

    X509_free(cert);

  }

  else

  {

    printf("[-] 无证书信息 \n");

  }

}

int main(int argc, char** argv)

{

  int sockfd, len;

  struct sockaddr_in dest;

  char buffer[MAXBUF + 1] = { 0 };

  SSL_CTX* ctx;

  SSL* ssl;

  // SSL库初始化

  SSL_library_init();

  OpenSSL_add_all_algorithms();

  SSL_load_error_strings();

  // 建立CTX上下文

  ctx = SSL_CTX_new(SSLv23_client_method());

  if (ctx == NULL)

  {

    WSACleanup();

    return 0;

  }

  // 创建Socket

  WSADATA wsaData;

  WSAStartup(MAKEWORD(2, 2), &wsaData);

  if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)

  {

    WSACleanup();

    return 0;

  }

  if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)

  {

    WSACleanup();

    return 0;

  }

  // 初始化服务器端(对方)的地址和端口信息

  dest.sin_family = AF_INET;

  dest.sin_addr.s_addr = inet_addr("127.0.0.1");

  dest.sin_port = htons(9999);

  // 连接服务器

  if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)

  {

    WSACleanup();

    return 0;

  }

  // 基于ctx产生一个新的SSL

  ssl = SSL_new(ctx);

  SSL_set_fd(ssl, sockfd);

  // 建立 SSL 连接

  if (SSL_connect(ssl) != -1)

  {

    printf("[+] SSL连接类型: %s \n", SSL_get_cipher(ssl));

    ShowCerts(ssl);

  }

  //接收服务器来的消息 最多接收MAXBUF字节

  len = SSL_read(ssl, buffer, MAXBUF);

  if (len > 0)

  {

    printf("接收消息: %s --> 共 %d 字节 \n", buffer, len);

  }

  else

  {

    goto finish;

  }

  memset(buffer, 0, MAXBUF);

  strcpy(buffer, "[客户端消息] hello Shark");

  // 发消息给服务器

  len = SSL_write(ssl, buffer, strlen(buffer));

  if (len > 0)

  {

    printf("[+] 发送成功 \n");

  }

finish:

  // 关闭连接

  SSL_shutdown(ssl);

  SSL_free(ssl);

  closesocket(sockfd);

  SSL_CTX_free(ctx);

  system("pause");

  return 0;

}

至此读者可以分别编译服务端与客户端程序,并首先运行服务端侦听套接字,接着运行客户端,此时即可看到如下图所示的通信流程,至此两者的通信数据包将被加密传输,从而保证了数据的安全性。

20.7 OpenSSL 套接字SSL加密传输的更多相关文章

  1. linux下使用vsftp搭建FTP服务器:匿名登录,账号登录,SSL加密传输

    目录 一.关于FTP和VSFTP 二.ftp.sftp.vsftp.vsftpd的区别 三.项目一:搭建一台所有人都可以访问的通用FTP服务器 3.1 项目要求 3.2 项目思路分析 3.3 使用vs ...

  2. .net mvc 站点自带简易SSL加密传输 Word报告自动生成(例如 导出数据库结构) 微信小程序:动画(Animation) SignalR 设计理念(一) ASP.NET -- WebForm -- ViewState ASP.NET -- 一般处理程序ashx 常用到的一些js方法,记录一下 CryptoJS与C#AES加解密互转

    .net mvc 站点自带简易SSL加密传输   因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net ...

  3. Vsftpd支持SSL加密传输

    ftp传输数据是明文,弄个抓包软件就可以通过数据包来分析到账号和密码,为了搭建一个安全性比较高ftp,可以结合SSL来解决问题   SSL(Secure Socket Layer)工作于传输层和应用程 ...

  4. 搭建支持SSL加密传输的vftpd

    让vsftpd支持SSL 必须让OPENSSL≥0.9.6版本还有就是本身vsftpd版本是否支持 查询vsftpd软件是否支持SSL        [root@localhost vsftpd]# ...

  5. linux网络编程-(socket套接字编程UDP传输)

    今天我们来介绍一下在linux网络环境下使用socket套接字实现两个进程下文件的上传,下载,和退出操作! 在socket套接字编程中,我们当然可以基于TCP的传输协议来进行传输,但是在文件的传输中, ...

  6. socket套接字TCP协议传输-案例测试

    术语: 套接字接口:socket,是一个IP地址和一个端口号的组合,套接字可以唯一标识整个Internet中的一个网络进程. TCP连接:一对套接字接口(一个用于接收,一个用于发送)可定义面向连接的协 ...

  7. 使用JavaMail发送邮件,465端口开启ssl加密传输

    package com.wangxin.test; import java.security.Security; import java.util.Date; import java.util.Pro ...

  8. SpringMvc使用JavaMail发送邮件,并使用465端口开启ssl加密传输,保证邮件安全

    代码在本地发邮件没任何问题.但部署到服务器,发送邮件显示连接异常.一开始非常懵逼,之后telnet smtp.163.com 25不通,发现是云服务器出于安全考虑,关闭了服务器的25端口,而25端口是 ...

  9. .net mvc 站点自带简易SSL加密传输

    因项目需要,传输数据需要加密,因此有了一些经验,现简易抽出来分享! 请求:前端cryptojs用rsa/aes 或 rsa/des加密,后端.net 解密返回后端.net用rsa/aes 或 rsa/ ...

  10. thrift之TTransport层的堵塞的套接字I/O传输类TSocket

    本节将介绍第一个实现具体传输功能的类TSocket,这个类是基于TCP socket实现TTransport的接口.下面具体介绍这个类的相关函数功能实现. 1.构造函数 分析一个类的功能首先看它的定义 ...

随机推荐

  1. Power AutoMate: 变量专栏

    背景 本篇对Power AutoMate的变量功能进行记录与讲解 设置变量 拖拽功能块并赋值 测试一些数据类型 测试中发现与程序中的类型,并没有什么差别 截断数字 对浮点数进行一些操作 选择需要操作的 ...

  2. quarkus依赖注入之四:选择注入bean的高级手段

    欢迎访问我的GitHub 这里分类和汇总了欣宸的全部原创(含配套源码):https://github.com/zq2599/blog_demos 本篇概览 本文是<quarkus依赖注入> ...

  3. cdn 引入的资源需要通过 externals 排除打包哦~

    cdn 指的是通过相互连接的网络系统,使用最靠近用户的服务器将音乐.图片等资源以高效率和低成本的方式将内容传递给用户. 在 webpack 中,我们可能会将引入的第三方资源会编译成单独的文件,作为静态 ...

  4. golang1.21新特性速览

    经过了半年左右的开发,golang 1.21 在今天早上正式发布了. 这个版本中有不少重要的新特性和变更,尤其是在泛型相关的代码上. 因为有不少大变动,所以建议等第一个patch版本也就是1.21.1 ...

  5. css里的position的static|relative|absolute|fixed的区别

    前提:仅以div块为例,其它不清楚 注:1.下面截图看起来不是从页面左上角位置开始,是因为body元素有默认的margin,有边框 2.当position不是static时,top和bottom需要指 ...

  6. Ubuntu虚拟机安装以及在Ubuntu上安装pycharm

    一.在VMware上安装Ubuntu操作系统 1.下载Ubuntu镜像文件 下载地址:清华大学开源软件镜像站 | Tsinghua Open Source Mirror 参考文章:Ubuntu系统下载 ...

  7. Vue【原创】可拖动列表 darg-list

    可拖动排序的列表 drag-list,这个比较简单易懂,拿例子直接运行看效果就好了. 组件代码: 1 <template> 2 <ul class="list" ...

  8. 算法笔记_python

    目录 算法 概念 时间复杂度 空间复杂度 递归原理 顺序查找 二分查找 列表排序 LowB 三人组 冒泡排序 选择排序 插入排序 NB三人组 快速排序 堆排序 归并排序 NB三人组小结 总结 其他排序 ...

  9. Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.so

    在安装Docker以后,执行命令出现错误. Got permission denied while trying to connect to the Docker daemon socket at u ...

  10. 图解Spark Graphx基于connectedComponents函数实现连通图底层原理

    原创/朱季谦 第一次写这么长的graphx源码解读,还是比较晦涩,有较多不足之处,争取改进. 一.连通图说明 连通图是指图中的任意两个顶点之间都存在路径相连而组成的一个子图. 用一个图来说明,例如,下 ...