TLS + OpenSSL + Engine + PKCS#11 + softhsm2 安全通信

已于 2024-06-26 14:13:24 修改
阅读量417 收藏
点赞数 9
文章标签: 安全 算法 大数据
于 2024-06-24 17:33:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BGK112358/article/details/139932045
版权

引擎库路径只有在 /lib 下才能被 "LOAD" 识别到,OpenSSL的ReadMe给的示例在/lib,大概是在构建OpenSSL时默认的configure指定了lib路径

// #define PKCS11_ENGINE_PATH "/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so"
#define PKCS11_ENGINE_PATH "/lib/pkcs11.so"

本以为通过配置有效

./Configure --prefix=/usr/local/openssl \
            --openssldir=/usr/local/openssl

或者改Makefile有效,但是

old="ENGINESDIR=\$(libdir)\/engines-1.1"
new="ENGINESDIR=\/usr\/lib\/engine-1.1"
sed -i "s/$old/$new/g" Makefile

构建出来还是

# openssl engine pkcs11 -t
281473798283296:error:25066067:DSO support routines:dlfcn_load:could not load the shared library:crypto/dso/dso_dlfcn.c:118:filename(/home/test0923/Documents/optee_three_part/openssl/out/lib/engines-1.1/pkcs11.so): /home/test0923/Documents/optee_three_part/openssl/out/lib/engines-1.1/pkcs11.so: cannot open shared object file: No such file or directory
281473798283296:error:25070067:DSO support routines:DSO_load:could not load the shared library:crypto/dso/dso_lib.c:162:
281473798283296:error:260B6084:engine routines:dynamic_load:dso not found:crypto/engine/eng_dyn.c:434:
281473798283296:error:2606A074:engine routines:ENGINE_by_id:no such engine:crypto/engine/eng_list.c:421:id=pkcs11

但只找到了export方法

export OPENSSL_ENGINES=/usr/lib/engines-1.1

客户端

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/err.h>
#include <openssl/engine.h>
#include <openssl/pem.h>
#include <openssl/ssl.h>
#include <openssl/x509.h>

// #define PKCS11_ENGINE_PATH "/usr/lib/x86_64-linux-gnu/engines-1.1/pkcs11.so"
#define PKCS11_ENGINE_PATH "/lib/pkcs11.so"
#define PKCS11_MODULE_PATH "/usr/lib/softhsm/libsofthsm2.so"

#define CERT_FILE "../hsm_pem/client.crt"
#define CA_CERT_FILE "../hsm_pem/ca.crt"

#define TOKEN_LABEL "mytoken"
#define PIN "1234"
#define KEY_ID "mytoken"

#define MAXBUF 1024

void initialize_ssl_library() {
    SSL_library_init();
    SSL_load_error_strings();
    OpenSSL_add_all_algorithms();
}

void cleanup_ssl_library() {
    EVP_cleanup();
    ERR_free_strings();
}

ENGINE *load_pkcs11_engine() {
    ENGINE_load_dynamic();
    ENGINE *engine = ENGINE_by_id("dynamic");
    if (!engine) {
        fprintf(stderr, "Failed to load dynamic engine\n");
        return NULL;
    }

    if (!ENGINE_ctrl_cmd_string(engine, "SO_PATH", PKCS11_ENGINE_PATH, 0) ||
        !ENGINE_ctrl_cmd_string(engine, "ID", "pkcs11", 0) ||
        !ENGINE_ctrl_cmd_string(engine, "LIST_ADD", "1", 0) ||
        !ENGINE_ctrl_cmd_string(engine, "LOAD", NULL, 0)) {
        fprintf(stderr, "Failed to configure and load PKCS#11 engine\n");
        ENGINE_free(engine);
        return NULL;
    }

    if (!ENGINE_ctrl_cmd_string(engine, "MODULE_PATH", PKCS11_MODULE_PATH, 0)) {
        fprintf(stderr, "Failed to set MODULE_PATH\n");
        ENGINE_free(engine);
        return NULL;
    }

    if (!ENGINE_init(engine)) {
        fprintf(stderr, "Failed to initialize PKCS#11 engine\n");
        ENGINE_free(engine);
        return NULL;
    }

    if (!ENGINE_ctrl_cmd_string(engine, "PIN", PIN, 0)) {
        fprintf(stderr, "Failed to set PIN\n");
        ENGINE_free(engine);
        return NULL;
    }

    return engine;
}

int ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;

    cert = SSL_get_peer_certificate(ssl);
    // SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
    // 如果验证不通过,那么程序抛出异常中止连接
    if(SSL_get_verify_result(ssl) == X509_V_OK){
        printf("收到server X509证书\n");
    }
	else{
		printf("未收到server X509证书\n");
		return 1;
	}
    if (cert != NULL) {
        printf("server数字证书信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("证书: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("颁发者: %s\n\n", line);
        free(line);
        X509_free(cert);
		printf("对server证书验证通过!!!\n");
    } 
	else{
		printf("无证书信息,对server证书验证失败!!!\n");
		return 1;
	}
	return 0;
}

int main(int argc, char **argv)
{
    initialize_ssl_library();

    SSL_CTX *ctx = SSL_CTX_new(TLS_client_method());
    if (!ctx) {
        fprintf(stderr, "Failed to create SSL_CTX\n");
        return 1;
    }

    // 双向验证
    // SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
    // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);

    // Load CA certificate
    if (!SSL_CTX_load_verify_locations(ctx, CA_CERT_FILE, NULL)) {
        fprintf(stderr, "Failed to load CA certificate\n");
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    // Load client certificate
    if (!SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM)) {
        fprintf(stderr, "Failed to load client certificate\n");
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    // Load PKCS#11 engine
    ENGINE *engine = load_pkcs11_engine();
    if (!engine) {
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    char key_id[256];
    snprintf(key_id, sizeof(key_id), "pkcs11:token=%s;object=%s", TOKEN_LABEL, KEY_ID);
    EVP_PKEY *pkey = ENGINE_load_private_key(engine, key_id, NULL, NULL);
    if (!pkey) {
        fprintf(stderr, "Failed to load private key from PKCS#11\n");
        ENGINE_free(engine);
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    if (!SSL_CTX_use_PrivateKey(ctx, pkey)) {
        fprintf(stderr, "Failed to use private key\n");
        EVP_PKEY_free(pkey);
        ENGINE_free(engine);
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    EVP_PKEY_free(pkey);
    ENGINE_free(engine);

    // Verify that the private key matches the certificate
    if (!SSL_CTX_check_private_key(ctx)) {
        fprintf(stderr, "Private key does not match the certificate public key\n");
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    /* 创建一个 socket 用于 tcp 通信 */
    int sockfd;
    struct sockaddr_in dest;
    if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
        perror("Socket");
        exit(errno);
    }
    printf("socket created success!\n");

    /* 初始化服务器端(对方)的地址和端口信息 */
    bzero(&dest, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(atoi(argv[2]));
    if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
        perror(argv[1]);
        exit(errno);
    }
    printf("address created success!\n");

    /* 连接服务器 */
    if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
        perror("Connect ");
        exit(errno);
    }
    printf("server connected  success!\n");

    // Create SSL connection
    SSL *ssl = SSL_new(ctx);
    if (!ssl) {
        fprintf(stderr, "Failed to create SSL object\n");
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    SSL_set_fd(ssl, sockfd);

    // Perform SSL/TLS handshake with the server
    if (SSL_connect(ssl) <= 0) {
        fprintf(stderr, "SSL/TLS handshake failed\n");
        SSL_free(ssl);
        SSL_CTX_free(ctx);
        cleanup_ssl_library();
        return 1;
    }

    printf("SSL/TLS handshake successful\n");
    ShowCerts(ssl);

    char send_buffer[MAXBUF + 1];
    char recv_buffer[MAXBUF + 1];
    int len;
    while(1)
    {
        //使用SSL_write函数发送数据
        printf("请输入要发送给服务器的内容:\n");
        scanf("%s", send_buffer);
        if(!strncmp(send_buffer,"+++",3))break;     //收到+++表示退出
        /* 发消息给服务器 */
        len = SSL_write(ssl, send_buffer, strlen(send_buffer));
        if (len < 0)
            printf("消息'%s'发送失败!错误代码是%d, 错误信息是'%s'\n",send_buffer, errno, strerror(errno));
        else
            printf("消息'%s'发送成功,共发送了%d个字节! \n",send_buffer, len);
        memset(send_buffer,0,sizeof(send_buffer));
        
        
        /* 使用SSL_read函数接收数据,接收对方发过来的消息,最多接收 MAXBUF 个字节 */
        len = SSL_read(ssl, recv_buffer, MAXBUF);
        if (len > 0)
            printf("接收消息成功:'%s',共%d个字节的数据\n",recv_buffer, len);
        else 
        {
            printf("消息接收失败!错误代码是%d, 错误信息是'%s'\n",errno, strerror(errno));
            break;
        }
        memset(recv_buffer,0,sizeof(recv_buffer));
    }

    SSL_free(ssl);
    SSL_CTX_free(ctx);
    cleanup_ssl_library();
    return 0;
}

使用参数

./ssl_server 7838 1 ./pem/server.crt ./pem/server.key ./pem/ca.crt
./ssl_client 127.0.0.1 7838

测试结果,服务端

./ssl_server 7838 1 ./pem/server.crt ./pem/server.key ./pem/ca.crt
socket created success!
binded success!
begin listen,waitting for client connect...
server: got connection from 127.0.0.1, port 35546, socket 6
收到client X509证书
client数字证书信息:
证书: /CN=localhost/C=CN/ST=clientprovince/L=clientcity/O=clientorganization/OU=clientgroup
颁发者: /CN=MyCA

对client证书验证通过!!!

等待客户端发送过来的消息:
接收client消息成功:'saddfsafijd',共11个字节的数据
请输入要发送给客户端的内容:
asfdsa
消息'asfdsa'发送成功,共发送了6个字节!
等待客户端发送过来的消息:

客户端

./ssl_client 127.0.0.1 7838
socket created success!
address created success!
server connected  success!
SSL/TLS handshake successful
收到server X509证书
server数字证书信息:
证书: /CN=myserver.com
颁发者: /CN=MyCA

对server证书验证通过!!!

请输入要发送给服务器的内容:
saddfsafijd
消息'saddfsafijd'发送成功,共发送了11个字节! 
接收消息成功:'asfdsa',共6个字节的数据
请输入要发送给服务器的内容:

 服务端引用

基于openssl实现https双向身份认证及安全通信_基于openssl身份认证-CSDN博客

BGK112358
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Openssl Engine pkcs11 示例程序
02-17
OpenSSL的0.9.7版,Engine机制集成到了OpenSSL的内核中,成为了OpenSSL不可缺少的一部分。 Engine机制目的是为了使OpenSSL能够透明地使用第三方提供的软件加密库或者硬件加密设备进行加密。OpenSSLEngine机制成功地达到了这个目的,这使得OpenSSL已经不仅仅使一个加密库,而是提供了一个通用地加密接口,能够与绝大部分加密库或者加密设备协调工作。当然,要使特定加密库或加密设备更OpenSSL协调工作,需要写少量的接口代码,但是这样的工作量并不大,虽然还是需要一点密码学的知识。Engine机制的功能跟Windows提供的CSP功能目标是基本相同的。支持PKCS#11接口的Engine接口
OpensslPKCS#11的故事
求索
11-24 5837
OpensslPKCS#11的故事
Softhsm2的安装和使用
zhuiyunzhugang的博客
01-03 2322
windows版本安装: win下有两种方式:一种是msi安装方式,一种是压缩包方式。 方法很简单,详情请参照Github地址 SoftHSM2 for Windows ==================== SoftHSM is an implementation of a cryptographic store accessible through a PKCS#11 interface. You can use it to explore PKCS#11 without having
openssl + engine + pkcs11 双向认证测试
qq_43350875的博客
05-10 1991
0 环境 openssl 1.1.1b pkcs11-tool (由sudo apt-get install opensc 安装) libpksc11https://github.com/OpenSC/libp11 softhsm2https://github.com/opendnssec/SoftHSMv2 1 证书生成 1.1 CA 自签署证书: // 生成根证书私钥(pem文件) openssl genrsa -out root.key 2048 // 生成根证书签发申请文件...
openssl engine实现和原理
liu942947766的博客
02-01 2105
openssl的引擎和实现,在本文中有详细介绍和实现代码
windows下Curl+Openssl访问https实例
09-04
OpenSSL则是一个开源的库,提供了加密、安全套接字层(SSL)和传输层安全(TLS)协议的支持,这对于处理HTTPS请求至关重要。 首先,你需要在Windows上安装Curl和OpenSSL。可以到官方网站下载源代码,然后进行编译,...
lzo-2.06+openssl-1.0.2p+pkcs11-helper-1.11库文件lib文件
07-08
在开发涉及网络安全通信的应用程序时,OpenSSL是不可或缺的工具,例如HTTPS、SMTPS等协议的实现。 3. **PKCS#11 Helper-1.11**: PKCS#11是一个标准接口,定义了如何与硬件安全模块(HSM)或智能卡等密码设备进行...
libcurl 7.66.0+openssl 1.1.3
04-26
同时,由于它已经集成了OpenSSL 1.1.3,libcurl现在可以处理TLS(Transport Layer Security)和SSL(Secure Sockets Layer)协议,确保数据在传输过程中的安全性。 OpenSSL 1.1.3是这个加密库的一个关键版本,它...
openssl+libnl.rar
06-08
OpenSSL是一个强大的安全套接层(SSL)和传输层安全TLS)协议实现库,用于加密网络通信,确保数据的私密性。OpenSSL包括了SSL/TLS协议的实现,以及大量常见的加密算法,如RSA、DSA、ECDH、AES、MD5、SHA等。它的...
基于USBKEY的CSP与PKCS_11互通的实现方法
05-20
基于USBKEY的CSP与PKCS_11互通的实现方法基于USBKEY的CSP与PKCS_11互通的实现方法
PKCS11标准(中文版)
03-03
这是PKCS #11 v2.11密码令牌接口标准,详细描述了PKCS11的各种技术概念和开发标准,主要提供给开发人员,用于系统的设计、开发。
openssl_engine_pkcs11_src
11-15
openssl 引擎的实例,使用pkcs11做了一个引擎,包含测试代码
Poco+openssl编译,支持https
09-28
OpenSSL则是一个强大的安全套接层(SSL)和传输层安全TLS)协议实现,提供了加密算法、数字证书和密钥管理等核心功能。在Poco库中集成OpenSSL,可以使得Poco的网络组件支持HTTPS协议,从而能够安全地进行HTTPs...
利用ENGINE替换OPENSSL中的加解密算法
求索
01-09 1936
利用ENGINE 替换OPENSSL中的 文件: pkcs11_engine.zip 大小: 332KB 下载: 下载 一:ENGINE的目的: ENGINEOPENSSL预留的加载第三方加密库,主要包括了动态库加载的代码和加密函数指针管理的一系列接口。如果要使用Engine(假设你已经加载上该Engi
开源opensc的子工程pkcs11-engine在windows平台下编译
liangquan的专栏
01-27 3874
 根据网上一位前辈写的:开源opensc工程windows平台下编译,自己结合实际项目中的操作记录下来。至于接口的编写下一篇文章会来介绍。在Google上搜了一下opensc的简介,没有,算了还是自己说吧。opensc官方网站http://www.opensc-project.org/工程简介:对于智能卡的访问,opensc工程提供了一套库和工具。opensc重点放在了卡片的密码操作,推进
通过openssl engine机制添加第三方软硬件加解密程序
chunfangzhang的博客
06-23 5575
openssl 程序功能比较庞大,我关注的是想借助其engine机制添加新的加解密算法,因为涉及的东西较多,现在先列一个学习步骤,后面分别介绍!1、在网上随便找一个使用openssl进行加解密的程序,知道openssl是怎么用的,通常采用 三段式进行加解密。即EVP_EncryptInit\EVP_EncryptUpdate\EVP_EncryptFinal进行加密,用EVP_DecryptIni...
Engine pkcs11 quickstart
求索
01-10 2083
Quick Start Please first install the PKCS#11 Module you want to use such as OpenSC, and install libp11 (runtime and development). Installing engine_pkcs11 is quite simple: wget http://www.opens
vs libcurl + zlib +openssl
最新发布
07-29
VS是微软公司开发的一款集成开发环境,而libcurl、zlib和openssl都是开源软件库。 libcurl是一个用于支持网页传输协议的客户端软件库。它支持多种传输协议,包括HTTP、FTP、SMTP等,可以方便地实现网络数据的传输和通信。libcurl提供了简单易用的API接口,具有高度的可移植性和灵活性,广泛应用于各种网络应用中。 zlib是一个用于数据压缩和解压缩的库。它可以将数据进行压缩,使其占用更少的存储空间,同时可以提高数据的传输效率。zlib可以与其他软件库配合使用,例如libcurl,以实现网络数据的传输和压缩。 openssl是一个开源的加密解密库。它提供了各种安全协议和算法的实现,包括SSL/TLS协议、RSA、AES等,用于保护网络通信安全性。openssl被广泛应用于网络安全领域,用于实现加密通信、数字证书的生成和管理等功能。 在使用方面,VS主要用于开发和编译程序,可以方便地创建和管理项目,提供了丰富的开发工具和调试功能。而libcurl、zlib和openssl是用于程序开发过程中的库文件,可以被程序调用以实现特定功能。在网络应用开发中,常常需要使用libcurl来进行网络传输,同时可以结合zlib进行数据的压缩和解压缩,而openssl可以提供数据的安全加密和解密功能。 总之,VS是一个开发环境,而libcurl、zlib和openssl是开发中常用的软件库,它们在不同领域发挥着重要的作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值