12. 从零用Rust编写正反向代理, TLS的双向认证信息及token验证

于 2023-12-16 10:11:26 发布
阅读量1.1k 收藏 25
点赞数 17
文章标签: rust tcp/ip 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w273732573/article/details/135029340
版权

wmproxy

wmproxy是由Rust编写,已实现http/https代理,socks5代理, 反向代理,静态文件服务器,内网穿透,配置热更新等, 后续将实现websocket代理等,同时会将实现过程分享出来, 感兴趣的可以一起造个轮子法

项目 ++wmproxy++

gite: https://gitee.com/tickbh/wmproxy

github: https://github.com/tickbh/wmproxy

什么是TLS双向认证

TLS双向认证是指客户端和服务器端都需要验证对方的身份,也称mTLS

在建立Https连接的过程中,握手的流程比单向认证多了几步。

  • 单向认证的过程,客户端从服务器端下载服务器端公钥证书进行验证,然后建立安全通信通道。
  • 双向通信流程,客户端除了需要从服务器端下载服务器的公钥证书进行验证外,还需要把客户端的公钥证书上传到服务器端给服务器端进行验证,等双方都认证通过了,才开始建立安全通信通道进行数据传输。

TLS是安全套接层(SSL)的继任者,叫传输层安全(transport layer security)。说直白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全,然后解密完后又以原样的数据回传给应用层,做到与应用层无关,所以http加个s就成了https,ws加个s就成了wss,ftp加个s就成了ftps,都是从普通tcp传输转换成tls传输实现安全加密,应用相当广泛。

单向与双向的差别

SSL单向验证

单向通讯的示意图如下

Client Server Client Hello 包含SSL/TLS版本,对称加密算法列表,随机数A Server Hello,服务端先进行选择 双方都支持的SSL/TLS协议版本,对称加密算法 公钥证书,服务端生成的随机数B Change Cipher Spec,收到这消息后开始密文传输 验证证书,是否过期,是否被吊销,是否可信,域名是否一致 Change Cipher Spec 应用数据(客户端加密) 应用数据(服务端加密) Client Server

双向通讯的示意图如下,差别

Client Server Client Hello Server Hello 额外要求客户端提供客户端证书 验证证书 客户端证书 客户端证书验证信息(CertificateVerify message) 验证客户端证书是否有效 验证客户端证书验证消息的签名是否有效 握手结束 握手结束 Client Server

备注:客户端将之前所有收到的和发送的消息组合起来,并用hash算法得到一个hash值,然后用客户端密钥库的私钥对这个hash进行签名,这个签名就是CertificateVerify message;

代码实现

将原来的rustls中的TlsAcceptor和TlsConnector进行相应的改造,变成可支持双向认证的加密结构。

获取TlsAcceptor的认证

/// 获取服务端https的证书信息
pub async fn get_tls_accept(&mut self) -> ProxyResult<TlsAcceptor> {
    if !self.tc {
        return Err(ProxyError::ProtNoSupport);
    }
    let certs = Self::load_certs(&self.cert)?;
    let key = Self::load_keys(&self.key)?;

    let config = rustls::ServerConfig::builder().with_safe_defaults();

    // 开始双向认证,需要客户端提供证书信息
    let config = if self.two_way_tls {
        let mut client_auth_roots = rustls::RootCertStore::empty();
        for root in &certs {
            client_auth_roots.add(&root).unwrap();
        }
        let client_auth = rustls::server::AllowAnyAuthenticatedClient::new(client_auth_roots);

        config
            .with_client_cert_verifier(client_auth.boxed())
            .with_single_cert(certs, key)
            .map_err(|err| io::Error::new(io::ErrorKind::InvalidInput, err))?
    } else {
        config
            .with_no_client_auth()
            .with_single_cert(certs, key)
            .map_err(|err| io::Error::new(io::ErrorKind::InvalidInput, err))?
    };

    let acceptor = TlsAcceptor::from(Arc::new(config));
    Ok(acceptor)
}

获取TlsAcceptor的认证

/// 获取客户端https的Config配置
pub async fn get_tls_request(&mut self) -> ProxyResult<Arc<rustls::ClientConfig>> {
    if !self.ts {
        return Err(ProxyError::ProtNoSupport);
    }
    let certs = Self::load_certs(&self.cert)?;
    let mut root_cert_store = rustls::RootCertStore::empty();
    // 信任通用的签名商
    root_cert_store.add_trust_anchors(
        webpki_roots::TLS_SERVER_ROOTS
            .iter()
            .map(|ta| {
                rustls::OwnedTrustAnchor::from_subject_spki_name_constraints(
                    ta.subject,
                    ta.spki,
                    ta.name_constraints,
                )
            }),
    );
    for cert in &certs {
        let _ = root_cert_store.add(cert);
    }
    let config = rustls::ClientConfig::builder()
        .with_safe_defaults()
        .with_root_certificates(root_cert_store);

    if self.two_way_tls {
        let key = Self::load_keys(&self.key)?;
        Ok(Arc::new(config.with_client_auth_cert(certs, key).map_err(
            |err| io::Error::new(io::ErrorKind::InvalidInput, err),
        )?))
    } else {
        Ok(Arc::new(config.with_no_client_auth()))
    }
}

这里默认信任的通用的CA签发证书平台,像系统证书,浏览器信任的证书,只有第一步把基础的被信任才有资格做签发证书平台。

至此双向TLS的能力已经达成,感谢前人的经典代码才能如此轻松。

token验证

首先先定义协议的Token结构,只有sock_map为0接收此消息

/// 进行身份的认证
#[derive(Debug)]
pub struct ProtToken {
    username: String,
    password: String,
}

下面是编码解码,密码要求不超过255个字符,即长度为1字节编码

pub fn parse<T: Buf>(_header: ProtFrameHeader, mut buf: T) -> ProxyResult<ProtToken> {
    let username = read_short_string(&mut buf)?;
    let password = read_short_string(&mut buf)?;
    Ok(Self { username, password })
}

pub fn encode<B: Buf + BufMut>(self, buf: &mut B) -> ProxyResult<usize> {
    let mut head = ProtFrameHeader::new(ProtKind::Token, ProtFlag::zero(), 0);
    head.length = self.username.as_bytes().len() as u32 + 1 + self.password.as_bytes().len() as u32 + 1;
    let mut size = 0;
    size += head.encode(buf)?;
    size += write_short_string(buf, &self.username)?;
    size += write_short_string(buf, &self.password)?;
    Ok(size)
}
服务端处理

如果服务端启动的时候配置了usernamepassword则表示他需要密码验证,

let mut verify_succ = option.username.is_none() && option.password.is_none();

如果verify_succ不为true,那么我们接下来的第一条消息必须为ProtToken,否则客户端不合法,关闭
收到该消息则进行验证

match &p {
    ProtFrame::Token(p) => {
        if !verify_succ
            && p.is_check_succ(&option.username, &option.password)
        {
            verify_succ = true;
            continue;
        }
    }
    _ => {}
}
if !verify_succ {
    ProtFrame::new_close_reason(0, "not verify so close".to_string())
        .encode(&mut write_buf)?;
    is_ready_shutdown = true;
    break;
}

认证通过后消息处理和之前的一样,验证流程完成

问蒙服务框架
关注
  • 17
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ERP系统信息化资料:SAP-ERP资料:零用金管理.ppt
09-29
ERP系统信息化资料:SAP-ERP资料:零用金管理.ppt
身份证号码的则表达式及验证详解(rust版实现,Regex)
u013195275的博客
06-17 952
身份证号码的则表达式及验证详解(rust版实现,Regex)
Rust手把手编写一个Proxy(代理), TLS加密通讯
不定时分享最优质的网络技术与教程,满满的干货。
09-25 179
ClientServerTLS协议版本、随机数、支持的加密套件和对应公钥A生成随机数B,根据信息生成密钥选用加密套件,服务端随机数,服务端证书使用的P、G、公钥B与签名握手报文的信息(服务端加密)验证证书,使用a、B计算出K,得到密钥握手报文的信息(客户端加密)应用数据(客户端加密)应用数据(服务端加密)ClientServer。的文件,这里面包含的信息有n, e, d, p, q等完整的RSA信息,也是保证安全最重要的信息,格式类似如下。指定证书的域名,如果不指定,则默认用自带的证书参数。
在锈中写一个现代的http隧道
weixin_26720753的博客
10-15 307
总览(Overview) This post is for anyone interested in writing performant and safe applications in Rust quickly. It walks the reader through designing and implementing an HTTP Tunnel and basic, language-a...
rustls:Rust中的现代TLS
02-05
Rustls是用Rust编写的现代TLS库。 它的发音为“ rustles”。 它使用进行加密,并使用进行证书验证。 状态 Rustls已准备就绪,可以使用。 预计不会发生重大的接口更改。 。 如果您想提供帮助,请参阅 。 发行历史: 下一个版本: 已计划:在链接时删除未使用的签名验证方案。 突破性的API更改:PEM解析现在位于。 这意味着rustls::internals::pemfile和rustls::RootCertStore::add_pem_file不再存在。 0.19.0(2020-11-22): 确保更好地记录get_peer_certificates ,并且对于
基于SSL/TLS双向安全连接设备CA证书认证
编程识堂的博客
12-05 4506
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证书。这样的数字证书通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
Rust日报】 2019-07-03:TLS 性能: rustls vs OpenSSL
Rust语言学习交流
07-03 2507
「远程工作」assembl招Rust开发 #job assembl公司主要技术栈是Nodejs和Electron,所以也希望应聘者有Nodejs经验。可远程。当然你有Rust的丰富开发经验也是可以的。联系邮件:[emailprotected] assembl官网 Read More 「讨论」跨平台应用的逻辑开发共享库的最佳实践是什么? #CrossPlattform 该贴作...
用openSSL实现TLS双向认证
新时代农民工
07-26 1121
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
SSL/TLS认证握手过程
团长的专栏
05-23 2401
client读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应 CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法。客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应 CA的证书,证书也会被判定非法。哈,有人的地方就有江湖,有江湖的地方就没有绝对的安全。但SSL/TLS确实可以极大程度保证信息安全。签名的产生算法:首先,使用散列函数计算公开的明文信息信息摘要,然后,采用 CA的私钥对信息摘要进行加密,密文即签名。
12-收银机零用金备用操作标准.doc
08-17
12-收银机零用金备用操作标准.doc
rust-tls-api:用于RustTLS API,以及在单独包装箱中通过native-tls和openssl进行的API实现
02-18
Rust TLS API和实现 几个板条箱: tls-api — TLS API,没有任何实现,也没有依赖性 tls-api-native-tls —通过板条箱实现TLS API tls-api-openssl —通过板条箱实现TLS API tls-api-rustls —通过板条箱实现TLS API tls-api-schannel —在板条箱上缺少TLS API的实现 tls-api-security-framework —在箱上缺少TLS API的实现 tls-api-stub —存根API实现,该函数对任何操作均返回错误 问题 如果您开发一个库,则不知道用户要使用哪个TLS库,以及他们是否根本不需要任何TLS库。 因此,一些库仅依赖于特定的TLS实现,而另一些则提供了“功能”以打开特定的依赖关系。 这给图书馆作者和图书馆用户带来了不便。 作者和用户都需要在Cargo.
用于Rust SSL / TLS堆栈的OpenSSL兼容性层-C/C++开发
05-26
MesaLink:一种内存安全且与OpenSSL兼容的TLS库MesaLink是一种内存安全且与OpenSSL兼容的TLS库。 自2014年以来,由于TLS堆栈中的内存漏洞(例如t MesaLink),该行业遭受了巨大损失:MesaLink是一种内存安全且与OpenSSL兼容的TLS库MesaLink是一种内存安全且与OpenSSL兼容的TLS库。 自2014年以来,由于TLS堆栈中的内存漏洞(例如臭名昭​​著的“ Heartbleed”错误),整个行业遭受了巨大损失。 创建MesaLink的目的是消除TLS堆栈中的内存漏洞。 MesaLink用Rust(一种保证内存安全的编程语言编写。 这样可以大大减少攻击面,从而便于审核
北师大版三年级上册数学3存零用钱教学课件.ppt
05-13
北师大版三年级上册数学3存零用钱教学课件.ppt
Excel模板零用金报销清单.zip
04-14
Excel模板零用金报销清单.zip
零用金报销单.dot
05-13
零用金报销单
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
yygr的博客
02-13 1518
什么是 SSL, 什么是 TLS 呢?官话说 SSL 是安全套接层 (secure sockets layer), TLS 是 SSL 的继任者,叫传输层安全 (transport layer security)。说白点,就是在明文的上层和 TCP 层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP 协议是明文传输,加上 SSL 层之后,就有了雅称 HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
LWN: Rustls - 采用内存安全的方法来实现TLS
Linux News搬运工
05-17 653
关注了就能看到更多这么棒的文章哦~Rustls: memory safety for TLSBy Jake EdgeMay 4, 2021DeepL assisted translatio...
ESP32 SSL/TLS 双向认证实践
ESP 技术分享,推动万物互联
06-20 3361
ESP32 SSL/TLS 双向认证实践
给一个教组每次取出arr[i]和arr[j],每次使arr[i]=arr[i]-m,arr[j]=arr [j]-m,(m<min (arr[i],arr[j]))能否通过有限次操作让这个数组所有元素为零用C++写个代码
最新发布
10-19
可以通过有限次操作让这个数组所有元素为零。以下是C++代码实现: ``` #include #include using namespace std; int main() { int n; cin >> n; int arr[n]; for (int i = 0; i ; i++) { ...```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值