SSL握手通信详解及linux下c/c++ SSL Socket代码举例

最新推荐文章于 2022-10-23 15:35:12 发布
最新推荐文章于 2022-10-23 15:35:12 发布
阅读量2.9k 收藏 13
点赞数 1

更新:修改了源码,在ubuntu16.04+OpenSSL 1.0.2环境下编译通过。
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

安全证书既包含了用于加密数据的密钥,又包含了用于证实身份的数字签名。安全证书采用公钥加密技术。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥和私钥组成。公钥被广泛发布。私钥是隐秘的,不公开。用公钥加密的数据只能够被私钥解密。反过来,使用私钥加密的数据只能被公钥解密。这个非对称的特性使得公钥加密很有用。在安全证书中包含着一对非对称的密钥。只有安全证书的所有者才知道私钥。当通信方A将自己的安全证书发送给通信方B时,实际上发给通信方B的是公开密钥,接着通信方B可以向通信方A发送用公钥加密的数据,只有通信方A才能使用私钥对数据进行解密,从而获得通信方B发送的原始数据。安全证书中的数字签名部分是通信方A的电子身份证。数字签名告诉通信方B该信息确实由通信方A发出,不是伪造的,也没有被篡改。

客户与服务器通信时,首先要进行SSL握手,SSL握手主要完成以下任务:

1)协商使用的加密套件。加密套件中包括一组加密参数,这些参数指定了加密算法和密钥的长度等信息。

2)验证对方的身份,此操作是可选的。

3)确定使用的加密算法。

4)SSL握手过程采用非对称加密方法传递数据,由此来建立一个安全的SSL会话。SSL握手完成后,通信双方将采用对称加密方法传递实际的应用数据。

以下是SSL握手的具体流程:

(1)客户将自己的SSL版本号、加密参数、与SSL会话有关的数据及其他一些必要信息发送到服务器。

(2)服务器将自己的SSL版本号、加密参数、与SSL会话有关的数据及其他一些必要信息发送给客户,同时发给客户的还有服务器的证书。如果服务器需要验证客户身份,服务器还会发出要求客户提供安全证书的请求。

(3)客户端验证服务器证书,如果验证失败,就提示不能建立SSL连接。如果成功,那么继续下一步骤。

(4)客户端为本次SSL会话生成预备主密码(pre-master secret),并将其用服务器公钥加密后发送给服务器。

(5)如果服务器要求验证客户身份,客户端还要对另外一些数据签名后,将其与客户端证书一起发送给服务器。

(6)如果服务器要求验证客户身份,则检查签署客户证书的CA(Certificate Authority,证书机构)是否可信。如果不在信任列表中,结束本次会话。如果检查通过,服务器用自己的私钥解密收到的预备主密码(pre-master secret),并用它通过某些算法生成本次会话的主密码(master secret)。

(7)客户端与服务器端均使用此主密码(master secret)生成此次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量要低一个数量级以上,能够显著提高双方会话时的运算速度。

(8)客户端通知服务器此后发送的消息都使用这个会话密钥进行加密,并通知服务器客户端已经完成本次SSL握手。

(9)服务器通知客户端此后发送的消息都使用这个会话密钥进行加密,并通知客户端服务器已经完成本次SSL握手。

(10)本次握手过程结束,SSL会话已经建立。在接下来的会话过程中,双方使用同一个会话密钥分别对发送和接收的信息进行加密和解密。

以下为 linux c/c++ SSL socket Client和Server的代码参考。

客户端代码如下:

#include <stdio.h>
#include <errno.h>
#include <unistd.h>
#include <malloc.h>
#include <string.h>
#include <sys/socket.h>
#include <resolv.h>
#include <netdb.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define FAIL    -1

int OpenConnection(const char* hostname,int port)

{  int sd;

struct hostent *host;

struct sockaddr_in addr;

if( (host = gethostbyname(hostname)) == NULL )

{

    printf("Eroor: %s\n",hostname);

    perror(hostname);

    abort();

}

sd = socket(PF_INET, SOCK_STREAM, 0);

bzero(&addr,sizeof(addr));

addr.sin_family = AF_INET;

addr.sin_port = htons(port);

addr.sin_addr.s_addr = *(long*)(host->h_addr);

if( connect(sd, (struct sockaddr*)&addr,sizeof(addr)) != 0 )

{

    close(sd);

    perror(hostname);

    abort();

}

return sd;

}

SSL_CTX* InitCTX(void)

{   
const SSL_METHOD *method;

SSL_CTX *ctx;

OpenSSL_add_all_algorithms(); /* Load cryptos, et.al. */

SSL_load_error_strings();  /* Bring in and register error messages */

method = SSLv2_client_method(); /* Create new client-method instance */

ctx = SSL_CTX_new(method);  /* Create new context */

if( ctx == NULL )

{

    ERR_print_errors_fp(stderr);

    printf("Eroor: %s\n",stderr);

    abort();

}

return ctx;

}

void ShowCerts(SSL* ssl)

{   X509 *cert;

    char*line;

    cert = SSL_get_peer_certificate(ssl);/* get the server's certificate */

    if( cert != NULL )

    {

    printf("Server certificates:\n");

    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);

    printf("Subject: %s\n", line);

    free(line);      /* free the malloc'ed string */

    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);

    printf("Issuer: %s\n", line);

    free(line);      /* free the malloc'ed string */

    X509_free(cert);    /* free the malloc'ed certificate copy */

}

else

    printf("No certificates.\n");

}

int main(int count,char*strings[])

{   SSL_CTX *ctx;

int server;

SSL *ssl;

char buf[1024];

int bytes;

char*hostname, *portnum;

if( count != 3 )

{

    printf("usage: %s <hostname> <portnum>\n", strings[0]);

    exit(0);

}

SSL_library_init();

hostname=strings[1];

portnum=strings[2];

ctx = InitCTX();

server = OpenConnection(hostname,atoi(portnum));

ssl = SSL_new(ctx);     /* create new SSL connection state */

SSL_set_fd(ssl, server);   /* attach the socket descriptor */

if( SSL_connect(ssl) == FAIL )  /* perform the connection */

{

    printf("Eroor: %s\n",stderr);

    ERR_print_errors_fp(stderr);

}

else

{  char*msg ="HelloWorld";

    printf("Connected with %s encryption\n", SSL_get_cipher(ssl));

    ShowCerts(ssl);       /* get any certs */

    SSL_write(ssl, msg,strlen(msg));  /* encrypt & send message */

    bytes = SSL_read(ssl, buf,sizeof(buf));/* get reply & decrypt */

    buf[bytes] = 0;

    printf("Received: \"%s\"\n", buf);

    SSL_free(ssl);       /* release connection state */

}

close(server);        /* close socket */

SSL_CTX_free(ctx);       /* release context */

return 0;

}

服务端代码如下:

#include <errno.h>

#include <unistd.h>

#include <malloc.h>

#include <string.h>

#include <arpa/inet.h>

#include <sys/socket.h>

#include <sys/types.h>

#include <netinet/in.h>

#include <resolv.h>

#include "openssl/ssl.h"

#include "openssl/err.h"

#define FAIL    -1

usingnamespacestd;

intOpenListener(intport)

{  intsd;

structsockaddr_in addr;

sd = socket(PF_INET, SOCK_STREAM, 0);

bzero(&addr,sizeof(addr));

addr.sin_family = AF_INET;

addr.sin_port = htons(port);

addr.sin_addr.s_addr = INADDR_ANY;

if( bind(sd, (structsockaddr*)&addr,sizeof(addr)) != 0 )

{

    perror("can't bind port");

    abort();

}

if( listen(sd, 10) != 0 )

{

    perror("Can't configure listening port");

    abort();

}

returnsd;

}

SSL_CTX* InitServerCTX(void)

{

SSL_CTX *ctx = NULL;

    #if OPENSSL_VERSION_NUMBER >= 0x10000000L

           constSSL_METHOD *method;

    #else

            SSL_METHOD *method;

    #endif

    SSL_library_init();

    OpenSSL_add_all_algorithms(); /* load & register all cryptos, etc. */

    SSL_load_error_strings();  /* load all error messages */

    method = SSLv23_client_method();/* create new server-method instance */

    ctx = SSL_CTX_new(method);  /* create new context from method */

    if( ctx == NULL )

    {

        ERR_print_errors_fp(stderr);

        abort();

    }

    returnctx;

}

voidLoadCertificates(SSL_CTX* ctx,char* CertFile,char* KeyFile)

{

//New lines

    if(SSL_CTX_load_verify_locations(ctx, CertFile, KeyFile) != 1)

        ERR_print_errors_fp(stderr);

    if(SSL_CTX_set_default_verify_paths(ctx) != 1)

        ERR_print_errors_fp(stderr);

    //End new lines

/* set the local certificate from CertFile */

if( SSL_CTX_use_certificate_file(ctx, CertFile, SSL_FILETYPE_PEM) <= 0 )

{

    ERR_print_errors_fp(stderr);

    abort();

}

/* set the private key from KeyFile (may be the same as CertFile) */

if( SSL_CTX_use_PrivateKey_file(ctx, KeyFile, SSL_FILETYPE_PEM) <= 0 )

{

    ERR_print_errors_fp(stderr);

    abort();

}

/* verify private key */

if( !SSL_CTX_check_private_key(ctx) )

{

    fprintf(stderr,"Private key does not match the public certificate\n");

    abort();

}

printf("LoadCertificates Compleate Successfully.....\n");

}

voidShowCerts(SSL* ssl)

{   X509 *cert;

char*line;

cert = SSL_get_peer_certificate(ssl);/* Get certificates (if available) */

if( cert != NULL )

{

    printf("Server certificates:\n");

    line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);

    printf("Subject: %s\n", line);

    free(line);

    line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);

    printf("Issuer: %s\n", line);

    free(line);

    X509_free(cert);

}

else

    printf("No certificates.\n");

}

voidServlet(SSL* ssl)/* Serve the connection -- threadable */

{  charbuf[1024];

charreply[1024];

intsd, bytes;

constchar* HTMLecho="<html><body><pre>%s</pre></body></html>\n\n";

if( SSL_accept(ssl) == FAIL )    /* do SSL-protocol accept */

    ERR_print_errors_fp(stderr);

else

{

    ShowCerts(ssl);       /* get any certificates */

    bytes = SSL_read(ssl, buf,sizeof(buf));/* get request */

    if( bytes > 0 )

    {

        buf[bytes] = 0;

        printf("Client msg: \"%s\"\n", buf);

        sprintf(reply, HTMLecho, buf);  /* construct reply */

        SSL_write(ssl, reply,strlen(reply));/* send reply */

    }

    else

        ERR_print_errors_fp(stderr);

}

sd = SSL_get_fd(ssl);      /* get socket connection */

SSL_free(ssl);        /* release SSL state */

close(sd);         /* close connection */

}

intmain(intcount,char*strings[])

{   SSL_CTX *ctx;

intserver;

char*portnum;

if( count != 2 )

{

    printf("Usage: %s <portnum>\n", strings[0]);

    exit(0);

}

else

{

    printf("Usage: %s <portnum>\n", strings[1]);

}

SSL_library_init();

portnum = strings[1];

ctx = InitServerCTX();       /* initialize SSL */

LoadCertificates(ctx,"/home/stud/kawsar/mycert.pem","/home/stud/kawsar/mycert.pem"); /* load certs */

server = OpenListener(atoi(portnum));   /* create server socket */

while(1)

{  structsockaddr_in addr;

    socklen_t len =sizeof(addr);

    SSL *ssl;

    intclient = accept(server, (structsockaddr*)&addr, &len); /* accept connection   as usual */

    printf("Connection: %s:%d\n",inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));

    ssl = SSL_new(ctx);             /* get new SSL state with context */

    SSL_set_fd(ssl, client);     /* set connection socket to SSL state */

    Servlet(ssl);        /* service connection */

}

close(server);         /* close server socket */

SSL_CTX_free(ctx);        /* release context */

}

转自SSL握手通信详解及linux C Socket代码举例

mylq
关注
linux下的c++实现socket文件传输功能
07-13
linux下的c/c++实现的socket文件传输
SSL握手通信详解linux下c/c++ SSL Socket代码举例(另附SSL双向认证客户端代码)
最新发布
zhefan5696的博客
08-02 799
私钥是隐秘的,不公开。当通信方A将自己的安全证书发送给通信方B时,实际上发给通信方B的是公开密钥,接着通信方B可以向通信方A发送用公钥加密的数据,只有通信方A才能使用私钥对数据进行解密,从而获得通信方B发送的原始数据。如果检查通过,服务器用自己的私钥解密收到的预备主密码(pre-master secret),并用它通过某些算法生成本次会话的主密码(master secret)。(2)服务器将自己的SSL版本号、加密参数、与SSL会话有关的数据及其他一些必要信息发送给客户,同时发给客户的还有服务器的证书。
使用c语言实现在linux下的openssl客户端和服务器端编程
weixin_30687587的博客
02-26 1281
使用c语言实现在linux下的openssl客户端和服务器端编程 摘自:https://www.cnblogs.com/etangyushan/p/3679457.html   前几天组长让我实现一个使用openssl的c语言编写的客户端和java编写的服务器实现字符流的通信,给了段代码。在自己的ubuntu上跑服务器和客户端收发信息都没有问题,但是就是和java的通信不了。后来发现组长给...
DES算法的c++实现
weixin_30786657的博客
11-15 185
用数组存的位,改天用unsigned int重写下。依然不负责填充。 #include<stdio.h> #include<string.h> int IP_Table[64] = { //IP置换矩阵 58, 50, 42, 34, 26, 18, 10, 2, 60, 52, 4...
LinuxSocket网络通信TCP传输Server端的C/C++实现详解
Hikers、Wan的博客
05-11 593
前言 接上一篇Client端的blog,这篇记录Linux下Server端的TCP传输。 代码 #include<stdio.h> #include<stdlib.h> #include<string.h> #include<errno.h> #include<sys/socket.h> #include<netinet/in.h> #include<unistd.h> #define BUF_SIZE 1024 int
【面试】C++后台服务器应用开发面试问题汇总
zxc120389574的博客
04-03 445
声明:本来这就是copy,我没有声明版权啊,不要追究这个东西。只是为了方面复习、方面查缺补漏,所以把其他人的经验汇总起来了,顺便分享出来。 来源:个人的应聘经验以及牛客网上各大互联网公司的面试经验汇总。 前言 知识点量很大,更像一个大杂烩,很多问题都很简单、很常规,应该针对自己的薄弱点深入去剖析,而不是泛泛地去看,这样效率可能会更高些。本来我是想把问题极其答案都总结上的,但是因为知识点量太大、工...
音视频开发系列(19)玩转 WebRTC 安全通信:一文读懂 DTLS 协议
yinshipin007的博客
04-13 3090
在 WebRTC 中,为了保证媒体传输的安全性,引入了 DTLS 来对通信过程进行加密。DTLS 的作用、原理与 SSL/TLS 类似,都是为了使得原本不安全的通信过程变得安全。它们的区别点是 DTLS 适用于加密 UDP 通信过程,SSL/TLS 适用于加密 TCP 通信过程,正是由于使用的传输层协议不同,造成了它们实现上面的一些差异。 基本概念 对称密钥加密技术 对称密钥加密的含义是加密过程和解密过程使用的是同一个密钥。常见的对称加密算法有 DES、3DES、AES、Blowfish、IDEA、R
C++面试整理
csdn609387481的博客
11-07 2950
最近开始准备找实习了,收到某位大佬的指导,说可以上牛客网把相关的面经都刷一遍,记录下考点各个击破。大佬是搞java的,已经把java的刷完了,看了一下觉得很受用,因此也准备刷下c++的。顺带附上大佬的java总结:https://zhuanlan.zhihu.com/p/266362976 ...
面经准备(持续更新)
qq_40088655的博客
05-25 727
1. get和post的区别 GET 在浏览器回退时是无害的,而 POST 会再次提交请求。 GET 产生的 URL 地址可以被 Bookmark,而 POST 不可以。 GET 请求会被浏览器主动 cache,而 POST 不会,除非手动设置。 GET 请求只能进行 url 编码,而 POST 支持多种编码方式。 GET 请求参数会被完整保留在浏览器历史记录里,而 POST 中的参数不会被保留。 GET 请求在 URL 中传送的参数是有长度限制的,而 POST 么有。 对参数的
Python 接口并发测试详解
悦分享
10-23 7019
性能测试是通过自动化测试工具模拟多种正常、峰值及异常负载条件对系统的各项性能指标进行的测试。负载测试和压力测试都属于性能测试,两者可以结合进行。通过负载测试,确定在各种工作负载下系统的性能,目标是测试当负载逐渐增加时,系统各项性能指标的变化情况。压力测试是通过确定一个系统的瓶颈或者不能接受的性能点,来获得系统能提供的最大服务级别的测试。性能测试的重点是测试在并发条件下服务或系统的瓶颈所在,从而优化相关功能,可能涉及软件及硬件的多方面改进。由此可见,性能测试对整个产品非常重要,甚至可以决定一个产品是否能长久发
C++ socket访问HTTP,OpenSSL访问HTTPS
04-05
代码使用MFC方式实现了如下功能: 1> 原生socket POST访问HTTP站点。可成功登陆某站点; 2> 集成OpenSSL POST访问HTTPS站点。可成功登陆小米官网。 文件包内含有完整的,编译好的OpenSSL开发需要的头文件以及库文件等,可以方便的使用在您的项目中。
C++ ssl客户端服务器
08-11
VS2015工程,包含客户端与服务器两个工程,使用OpenSSL实现连接
linux下用C写的基于SSL 的TCP例子代码
09-24
linux下用C写的基于SSL 的TCP例子代码
VC工程,ssl通讯socket,服务端和客户端,简单易懂。
02-06
基于opensslsocket代码ssl服务器客户端通讯例子。典型例子。VC工程,ssl通讯socket,服务端和客户端,简单易懂。
SSL握手通信详解linux下c/c++ SSL Socket(另附SSL双向认证客户端代码)
热门推荐
轻飘飞扬
03-11 3万+
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLSSSL在传输层对网络连接进行加密。   安全证书既包含了用于加密数据的密钥,又包含了用于证实身份的数字签名。安全证书采用公钥加密技术。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥
详解C语言开发unix/Linux下安全套接字(SSL)的TCP服务端程序
qman007的专栏
02-25 4324
本文详细说明了用C语言开发UNIX/Linux下安全套接字(TCP SSL) 的服务端程序,采用IO多路复用,单进程单线程,自定义并实现 缓存,链表等数据结构,代码由本人亲自编写,在IBM AIX, Solaris,Linux多个版本下都能够稳定运行,下面详解程序:  #define USE_SSL_CERTF  "server.crt"  //服务器证书文件名 #define USE_SSL_KEYF  "server.key"   //密钥文件文件名 #define USE_SSL_CACERT
SSLSocket握手流程
u011164764的博客
05-21 398
一、准备工作 jks与bks指令: 传送门 wireshark:传送门 npcap:传送门 二、SSLSocket代码 Server.java package Service.Domain; import Service.Service; import javax.net.ssl.SSLServerSocket; import java.io.OutputStream; import java.net.Socket; public class Server { public stati
Wireshark实战:详解SSL握手过程及关键参数交互
本文将深入剖析SSL握手过程的实例,以帮助读者更好地理解这个加密通信的关键步骤。通过使用Wireshark工具对https://www.acfun.cn (服务器IP: 58.49.162.241) 和本地浏览器(客户端IP: 192.168.1.9) 的连接进行抓包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值