一段破代码,对SSL异步编程感兴趣的同学有福了, 欢迎高手指正使用错误

最新推荐文章于 2021-06-06 23:40:04 发布
最新推荐文章于 2021-06-06 23:40:04 发布
阅读量1.8k 收藏 1
点赞数 1
SSL技术是很常用的, 无处不在, 在你SSH的时候, 在你HTTPS的时候, 在任何一款想兼具身份认证与加密通信的应用中, 你可以随处看到它的身影.




本人之前只是用用脚本, SSL接口都被透明化了, 而且还是阻塞接口, 或者会使用Libevent支持的SSL体验一番异步的感觉, 也曾经读过Https的源码, 当时并没有在SSL方面引起重视, 直到我希望把Https引入到我的开源Http Server中, 终于有机会来编码实现异步SSL啦.




要理解与正确的编程实践异步SSL, 需要对Feed工作模式的原理有一定的理解, 还需要对网络事件编程有掌握, 最后最重要的还是对SSL握手的过程有清晰的认识, 对SSL的原理有清晰的认识, 这样才不至于在编程时出现逻辑问题, 我们要清楚的明白每一步调用的目的与作用, 而不是胡猜或者模仿.


代码说明:可以通过浏览器访问或者使用curl/wget进行访问, 记住使用https访问指定端口.
逻辑说明:
1, SSL握手阶段, 很明显的使用了feed模式, 调用链:read -> bio_write(rbio) -> ssl_accept, 即将读到的数据feed给ssl_accept使用.
feed后根据bio_pending(wbio)确定ssl是否产生了一些待回复的握手数据, 如果有, 我们注册写事件帮ssl发送出去, 此时调用链为: bio_read -> write
2, 数据交互阶段, 注意SSL握手阶段是绝对不可能交互普通数据的, 因为交互普通数据依赖于SSL彻底完成后获得的对称密钥.
在SSL完全结束前, 是不可能有正常数据到来的, 客户端与服务端是默契的一问一答, 直到SSL握手结束, 我们可以看一下握手交互时序图来看一下这个关系, 客户端在接受到服务端最后一次MAC应答之前是不会操作普通数据的, 服务端在接收到客户端发来的MAC后进入了最后一步握手输出阶段, 在最后一步时我们送出MAC兵彻底进入了数据交互阶段, 这些逻辑在代码里有所体现.


在代码中, SSL_accept意味着客户端MAC被接受, 此时SSL会在wbio中pending上最后一步要发送给客户端的MAC, 我们进行了状态的记录, 在MAC送给客户端后, 我们立即将HTTP应答送出而不等待客户端HTTP请求, 因为我不想解析与理解HTTP协议, 所以在这时候发送是最佳的时机, 并且一定是附带了connection:close来让客户端主动的关闭掉, 因为我们没有主动关闭客户端的逻辑. 在我们消耗掉wbio中的pending MAC后, 客户端发送HTTP请求到来, 服务端读事件将会检测ssl握手完成(因为我们的wbio pending的MAC已经被消耗掉了), 于是我们接下来的数据都被当作普通交互数据, 经历调用链: read -> bio_write -> ssl_read -> print to screen.




我不确定SSL的使用方法一定是完全正确的, 但至少目前运行还没有出过问题, 欢迎大家批评指正, 感兴趣的同学又有福了.(PS:懒得弄证书和prikey的同学可以直接拷走.) 

#include <iostream>
#include <string>

#include <openssl/ssl.h>
#include <assert.h>
#include <unistd.h>
#include <string.h>
#include <openssl/err.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>

#include "event2/event.h"
#include "event2/util.h"

#define CERT_FILE_PATH "cacert.pem"
#define PRIVATE_FILE_PATH "prvtkey.pem"
#define TRACE(fmt, ...) do{fprintf(stderr, fmt"\n", ##__VA_ARGS__);}while(0)

struct event_base *srv_base;

int lis_fd;
struct event *lisev;
std::string ok_res = "HTTP/1.1 200 OK\r\nConnection:close\r\nContent-Length:2\r\n\r\nok";

struct Client 
{
    int         m_fd;
    std::string m_tmpbuf;
    std::string m_outbuf;
    
    int         m_done;
    SSL        *m_ssl;
    SSL_CTX    *m_ctx;
    BIO        *m_rbio;
    BIO        *m_wbio;

    struct event *m_rev;
    struct event *m_wev;
};


void CliCallback(int cli_fd, short event, void *userdata);

Client* InitClient(int fd)
{
    Client *client = new Client();
    
#define M(mem) client->m_##mem
    M(fd) = fd;
    evutil_make_socket_nonblocking(fd);
    M(ctx) = SSL_CTX_new(SSLv23_server_method());
    SSL_CTX_use_certificate_file(M(ctx), CERT_FILE_PATH, SSL_FILETYPE_PEM);
    SSL_CTX_use_PrivateKey_file(M(ctx), PRIVATE_FILE_PATH, SSL_FILETYPE_PEM);
    M(ssl) = SSL_new(M(ctx));
    M(rbio) = BIO_new(BIO_s_mem());
    M(wbio) = BIO_new(BIO_s_mem());
    SSL_set_bio(M(ssl), M(rbio), M(wbio));
    SSL_set_accept_state(M(ssl));
    
    M(tmpbuf).reserve(1024 * 1024);
    M(rev) = event_new(srv_base, fd, EV_READ | EV_PERSIST, CliCallback, client);
    M(wev) = event_new(srv_base, fd, EV_WRITE| EV_PERSIST, CliCallback, client);
    event_add(M(rev), NULL);
    return client;
}

void FreeClient(Client *client)
{
    if (client)
    {
        SSL_free(M(ssl));
        SSL_CTX_free(M(ctx));
        event_free(M(rev));
        event_free(M(wev));
        close(M(fd));
        delete client;
    }
}

void LisCallback(int lis_fd, short event, void *userdata)
{
    int cli_fd = accept(lis_fd, NULL, NULL);

    if (cli_fd > 0)
    {
        Client *client = InitClient(cli_fd);
        TRACE("New Client Comes");
    }
}

void CliCallback(int cli_fd, short event, void *userdata)
{
    Client *client = (Client *)userdata;

    if (event & EV_READ)
    {
        int nb = read(cli_fd, &M(tmpbuf[0]), M(tmpbuf).capacity());

        TRACE("read %d bytes", nb);
        if (nb == -1)
        {
            if (errno != EAGAIN)
                return FreeClient(client);
        }
        else if (nb == 0)
        {
            TRACE("Client Leave");
            return FreeClient(client);
        }
        else
        {
            /* feed bio */
            assert(BIO_write(M(rbio), &M(tmpbuf[0]), nb) == nb);
            
            if (!SSL_is_init_finished(M(ssl)))
            {
                TRACE("ssl is not finished");
                int ac = SSL_accept(M(ssl));
                if (ac < 0)
                {
                    int err = SSL_get_error(M(ssl), ac);
                    if (err != SSL_ERROR_WANT_READ)
                    {
                        return FreeClient(client);
                    }
                    TRACE("SSL_accept wants more");
                }
                if (ac > 0)
                {
                    /*ssl reach the last step, send back the MAC*/
                    TRACE("SSL_accept done");
                    M(done) = 1;
                }
                if (ac == 0)
                {
                    TRACE("ac = 0");
                }
                int np = BIO_pending(M(wbio));
                if (np)
                {
                    TRACE("BIO_pending=%d", np);
                    event_add(M(wev), NULL);
                }
            }
            else
            {
                int decb;
                while ((decb = SSL_read(M(ssl), &M(tmpbuf[0]), M(tmpbuf).capacity())) > 0)
                {
                    TRACE("ssl read %d dec bytes", decb);
                    TRACE("%.*s", decb, &M(tmpbuf[0]));
                }
                if (decb < 0)
                {
                    int err = SSL_get_error(M(ssl), decb);
                    if (err != SSL_ERROR_WANT_READ)
                    {
                        return FreeClient(client);
                    }
                    TRACE("SSL_read wants more");
                }
            }
        }
    }

    if (event & EV_WRITE)
    {
        int nenc;
        while ((nenc = BIO_read(M(wbio), &M(tmpbuf[0]), M(tmpbuf).capacity())) > 0) 
        {
            TRACE("BIO_read %d enc bytes to send off", nenc);
            M(outbuf).append(&M(tmpbuf[0]), nenc);
        }
        
        int nb = write(M(fd), M(outbuf).c_str(), M(outbuf).size());
        TRACE("write out %d bytes", nb);
        if (nb == -1)
        {
            if (errno != EAGAIN)
            {
                return FreeClient(client);
            }
        }
        else
        {
            M(outbuf).erase(0, nb);
        }

        if (!M(outbuf).size())
        {
            if (M(done) == 1) //ssl last step finish
            {
                SSL_write(M(ssl), ok_res.c_str(), ok_res.size()); /*ssl is totally done, do response*/
                M(done) = 2;  //begin ordinary communication with symmetric-key 
            }
            else if (M(done) == 2) /* response has been send out */
            {
                return FreeClient(client);
            }
            else
            {
                event_del(M(wev));
            }
        }
    }
}

int main(int argc, char* const argv[])
{ 
    SSL_library_init(); 
    OpenSSL_add_ssl_algorithms();
    SSL_load_error_strings();
    ERR_load_crypto_strings();
    
    int reuse = 1;
    srv_base = event_base_new();     
    lis_fd = socket(AF_INET, SOCK_STREAM, 0);
    evutil_make_socket_nonblocking(lis_fd);
    setsockopt(lis_fd, SOL_SOCKET, SO_REUSEADDR, &reuse, sizeof(reuse));

    struct sockaddr_in lis_addr;
    lis_addr.sin_family = AF_INET;
    lis_addr.sin_port = htons(18888);
    lis_addr.sin_addr.s_addr = htonl(INADDR_ANY);
    bind(lis_fd, (struct sockaddr*)&lis_addr, sizeof(lis_addr));
    listen(lis_fd, 5);

    lisev = event_new(srv_base, lis_fd, EV_READ | EV_PERSIST, LisCallback, NULL);
    event_add(lisev, NULL);
    event_base_dispatch(srv_base);

    return 0;
}



[root@vps616 ssl]# cat Makefile 
ssl:
        g++ -o ssl_server ssl_server.cpp -levent -lssl

[root@vps616 ssl]# cat cacert.pem 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[root@vps616 ssl]# cat prvtkey.pem 
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----



melo2580
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
OPENSSL关键数据结构之一:SSL
w9521423的博客
10-26 1万+
     SSL作为OPENSSL一个关键数据结构一点都不过分,无论是在SSL初始化连接,还是在读写数据,SSL数据结构都起着重要作用。SSL这个数据结构将SSL协议复杂的连接过程都封装在内部,提供一个简单的接口让用户调用,就象调用WINSOCK的连接函数一样简单。掌握OPENSSL,了解SSL内部结构非常必要。     SSL的数据结构struct ssl_st    {    /* proto
openssl客户端编程:一个不起眼的函数导致的SSL会话失败问题
weixin_45566993的博客
06-28 963
我们目前大部分使用的openssl库还是基于TLS1.2协议的1.0.2版本系列,如果要支持更高的TLS1.3协议,就必须使用openssl的1.1.1版本或3.0版本。升级openssl库有可能会导致SSL会话失败,我在升级 wincurl 时,意外的收获了一个函数。这个函数非常的不起眼,但具有的现实意义却很大。 大部分情况下如果你不调用该函数,并不影响SSL会话和通信,但有时会被某些服务器拒绝。一旦被拒绝,查找具体的原因将变得非常痛苦。这个函数的意义好比HTTP协议中HOST字段,它和NGINX反向代理
[算法] 【一段代码,对SSL异步编程感兴趣同学有福了, 欢迎高手指正使用错误
robertzhouxh的专栏
08-08 1502
SSL技术是很常用的, 无处不在, 在你SSH的时候, 在你HTTPS的时候, 在任何一款想兼具身份认证与加密通信的应用中, 你可以随处看到它的身影. 本人之前只是用用脚本, SSL接口都被透明化了, 而且还是阻塞接口, 或者会使用Libevent支持的SSL体验一番异步的感觉, 也曾经读过Https的源码, 当时并没有在SSL方面引起重视, 直到我希望把Https引入到我的开源Http
SSL编程指南
rzytc的博客
02-13 1万+
本文将介绍如何使用openssl APIs 实现一个简单的SSL 客户端和服务端虽然SSL客户端和服务端在创建和配置上有所区别,但它们本质上的步骤可以总结为如下图,具体步骤将在后面章节介绍:初始化SSL库在SSL应用程序中调用其他Openssl APIs,需要先用下面的APIs进行初始化:SSL_library_init(); /* 为SSL加载加密和哈希算法 */
openssl处理非阻塞socket
路在脚下
07-24 3285
上篇博文是使用libevent加入ssl功能:  http://blog.csdn.net/fly2010love/article/details/46459485  文中说道,在处理非阻塞socket时需要注意的地方SSL_accept SSL_read SSL_wirte,本篇博文专门介绍如何处理socket在非阻塞下openssl如何处理 有网络程序开发经验的人都知道一个很头疼的问题,
SSL高级编程程序源代码
09-03
本资源包含的是SSL高级编程的源代码,这对于理解SSL的工作原理、进行自定义实现或优化现有系统非常有价值。 首先,SSL主要由以下组件构成: 1. **握手协议**:建立安全连接的流程,包括客户端和服务器的身份验证、...
使用异步Socket实现点对点通信(C#).zip
04-04
点对点(P2P)通信是一种网络架构,其中每个节点既是客户端也是服务器,能够直接与其他节点交换数据。在C#编程中,使用异步Socket实现P2P通信可以提高程序的性能和响应性,避免阻塞主线程,使得应用程序在处理大量I/...
ssl.rar_MacOS编程_afterm87_anywayh8z_openssl_ssl
09-24
标题中的“ssl.rar_MacOS编程_afterm87_anywayh8z_openssl_ssl”表明这是一个关于在MacOS平台上进行编程的项目,涉及到SSL(Secure Socket Layer)功能,使用了OpenSSL库,并且可能由afterm87和anywayh8z两位开发者...
计算机网络高级软件编程技术 源代码
12-09
代码是这一过程的核心,因为它提供了对程序的直接控制和理解,允许程序员深入洞察网络协议的工作原理,并进行定制化开发。 在计算机网络中,高级软件编程技术主要涵盖以下几个方面: 1. **网络协议栈的理解**:...
SSL与TSL编程源代码
09-03
总结来说,SSL/TLS编程源代码是理解和实践网络安全协议的重要工具,它使开发者能够创建安全的网络服务,并对通信安全有更深入的理解。通过学习和研究这些源代码,开发者可以提升自身的安全编程技能,为构建更安全的...
mediaSoup源码分析-dtls操作
occupy8的专栏
10-16 1832
dtls主要用来交换srtp的 #在ICE完成后,开始dtls过程 void WebRtcTransport::MayRunDtlsTransport() { MS_TRACE(); // Do nothing if we have the same local DTLS role as the DTLS transport. // NOTE: local role in...
转:libFuzzer Tutorial(libFuzzer教程)
weixin_30242907的博客
07-06 872
转:https://github.com/google/fuzzer-test-suite/blob/master/tutorial/libFuzzerTutorial.md 本文在Ubuntu16下测试成功。由于windows配置复杂,暂时未尝试。目前应用于开源。 Introduction In this tutorial you will learn how to useli...
VC++网络安全编程范例(10)-SSL网络通信
weixin_30852419的博客
12-17 330
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。  SSL (Secure Socket Layer)   为Netscape所研发,用以保障在Internet上数据传输之安全,利用数据加密(Encryption)...
一种 Windows IOCP 整合 OpenSSL 实现方案
Que's C++ Studio
06-06 1490
TedQue/IOCP_SSL_Demo: IOCP integrate with OpenSSL (github.com)
SSL编程- 简单函数介绍
热门推荐
裸奔的蜗牛
12-10 6万+
SSL编程 OpenSSL是一个开放源代码SSL协议的产品实现,它采用C语言作为开发语言,具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。 头文件: #include #include 基于OpenSSL的程序都要遵循以下几个步骤: (1 ) OpenSSL初始化 在使用Ope
Openssl之BIO系列
章志强的专栏
03-03 1万+
1.BIO-抽象的IO接口 其实包含了很多种接口,用通用的函数接口,主要控制在BIO_METHOD中的不同实现函数控制,我初步估计了一下,大概有14种,包括4种filter型和10种source/sink型。 BIO是在底层覆盖了许多类型I/O接口细节的一种应用接口,如果你在程序中使用BIO,那么就可以和SSL、非加密的网络以及文件IO进行透明的连接。有两种不通的BIO接口,一种是sour
OpenSSL中文手册之BIO库详解
liao20081228的博客
08-15 3万+
这一系文章参考了http://blog.csdn.net/xiaoting451292510/article/details/466495831 BIO 概述  其实包含了很多种接口,用通用的函数接口,主要控制在BIO_METHOD中的不同实现函数控制,包括6种filter型和8种source/sink型。   source/sink类型的BIO是数据源,例如,sokect BIO和文件BIO。
一段php代码示例,可以自动给域名申请ssl证书
最新发布
04-28
很抱歉,我并不是一个可以执行代码的程序,我也不能给您提供具体的代码示例。但是,您可以使用 Let's Encrypt 提供的 ACME 协议来自动化申请 SSL 证书。在 PHP 中,您可以使用 Certbot 或者 acme-client-php 这样的 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值