设计一个基于 OpenSSL 的 C 语言程序来实现双向认证的 TLS 加密 TCP 通信,需要包含服务器和客户端两部分。以下是该程序的核心步骤及示例代码。
- 生成证书和私钥
首先,需要为服务器和客户端生成证书和私钥。可以使用 OpenSSL 命令行工具生成这些文件。
bash
复制代码
生成 CA 私钥和自签名证书
openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt
生成服务器私钥和证书签名请求 (CSR)
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
使用 CA 签署服务器证书
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 500 -sha256
生成客户端私钥和证书签名请求 (CSR)
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
使用 CA 签署客户端证书
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 500 -sha256
2. 服务器端代码
服务器端程序需要监听一个指定端口,等待客户端连接,进行双向 TLS 认证,然后处理通信。
c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <string.h>
#include <unistd.h>
#define PORT 4433
void init_openssl() {
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();
}
void cleanup_openssl() {
EVP_cleanup();
}
SSL_CTX *create_context() {
const SSL_METHOD *method;
SSL_CTX *ctx;
method = SSLv23_server_method();
ctx = SSL_CTX_new(method);
if (!ctx) {
perror("Unable to create SSL context");
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
return ctx;
}
void configure_context(SSL_CTX *ctx) {
// 加载服务器的证书和私钥
if (SSL_CTX_use_certificate_file(ctx, “server.crt”, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
if (SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
// 加载客户端的 CA 证书,用于验证客户端证书
if (SSL_CTX_load_verify_locations(ctx, "ca.crt", NULL) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
// 强制客户端认证
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
SSL_CTX_set_verify_depth(ctx, 4);
}
int main() {
int sock;
SSL_CTX *ctx;
init_openssl();
ctx = create_context();
configure_context(ctx);
struct sockaddr_in addr;
sock = socket(AF_INET, SOCK_STREAM, 0);
addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
addr.sin_addr.s_addr = htonl(INADDR_ANY);
bind(sock, (struct sockaddr*)&addr, sizeof(addr));
listen(sock, 1);
while (1) {
struct sockaddr_in addr;
uint len = sizeof(addr);
SSL *ssl;
int client = accept(sock, (struct sockaddr*)&addr, &len);
printf("Connection from %s, port %d\n", inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));
ssl = SSL_new(ctx);
SSL_set_fd(ssl, client);
if (SSL_accept(ssl) <= 0) {
ERR_print_errors_fp(stderr);
} else {
char buf[256];
int bytes = SSL_read(ssl, buf, sizeof(buf));
buf[bytes] = 0;
printf("Received: %s\n", buf);
SSL_write(ssl, "Hello from server", strlen("Hello from server"));
}
SSL_shutdown(ssl);
SSL_free(ssl);
close(client);
}
close(sock);
SSL_CTX_free(ctx);
cleanup_openssl();
}
3. 客户端代码
客户端程序需要连接服务器,进行双向 TLS 认证,并发送和接收加密信息。
c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <arpa/inet.h>
#include <unistd.h>
#define HOST “127.0.0.1”
#define PORT 4433
void init_openssl() {
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();
}
void cleanup_openssl() {
EVP_cleanup();
}
SSL_CTX *create_context() {
const SSL_METHOD *method;
SSL_CTX *ctx;
method = SSLv23_client_method();
ctx = SSL_CTX_new(method);
if (!ctx) {
perror("Unable to create SSL context");
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
return ctx;
}
void configure_context(SSL_CTX *ctx) {
// 加载客户端的证书和私钥
if (SSL_CTX_use_certificate_file(ctx, “client.crt”, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
if (SSL_CTX_use_PrivateKey_file(ctx, "client.key", SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
// 加载服务器的 CA 证书,用于验证服务器证书
if (SSL_CTX_load_verify_locations(ctx, "ca.crt", NULL) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}
// 强制验证服务器证书
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_verify_depth(ctx, 4);
}
int main() {
SSL_CTX *ctx;
SSL *ssl;
int server;
struct sockaddr_in addr;
init_openssl();
ctx = create_context();
configure_context(ctx);
server = socket(AF_INET, SOCK_STREAM, 0);
addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
inet_pton(AF_INET, HOST, &addr.sin_addr);
connect(server, (struct sockaddr*)&addr, sizeof(addr));
ssl = SSL_new(ctx);
SSL_set_fd(ssl, server);
if (SSL_connect(ssl) <= 0) {
ERR_print_errors_fp(stderr);
} else {
SSL_write(ssl, "Hello from client", strlen("Hello from client"));
char buf[256];
int bytes = SSL_read(ssl, buf, sizeof(buf));
buf[bytes] = 0;
printf("Received: %s\n", buf);
}
SSL_shutdown(ssl);
SSL_free(ssl);
close(server);
SSL_CTX_free(ctx);
cleanup_openssl();
}
4. 运行程序
先运行服务器程序。
然后运行客户端程序。客户端连接到服务器,并进行双向认证,成功后进行数据交换。
总结
以上代码展示了一个基本的双向认证的 TLS 加密通信的实现。为了确保代码的安全性和稳定性,在实际应用中还需要处理更多的错误和异常情况。
您说:
上个问题中,双向认证的TLS握手过程具体是怎么样的
ChatGPT 说:
ChatGPT
双向认证的 TLS 握手过程,也称为双向 SSL/TLS 握手,是一个复杂的过程,用于在客户端和服务器之间建立一个安全的通信通道。在这个过程中,双方都会验证对方的身份,并协商加密套件以保护通信。以下是双向认证的 TLS 握手过程的详细步骤:
- 客户端发起握手请求(ClientHello)
客户端向服务器发送一个ClientHello消息。这个消息包含以下内容:
客户端支持的 TLS 版本。
客户端支持的加密套件列表。
随机数(Client Random)。
支持的压缩方法。
支持的扩展(例如 Server Name Indication,SNI)。 - 服务器响应握手请求(ServerHello)
服务器接收到ClientHello消息后,会选择以下内容并通过ServerHello消息响应:
协议版本:服务器从客户端支持的版本中选择一个共同支持的版本。
加密套件:服务器从客户端提供的加密套件中选择一个。
随机数(Server Random)。
服务器证书:服务器发送它的数字证书(通常是 X.509 证书),包含服务器的公钥。 - 请求客户端证书(Client Certificate Request)
服务器发送一个CertificateRequest消息,要求客户端提供其数字证书。这是双向认证的关键部分。
服务器还会发送ServerHelloDone消息,表示它的初始握手部分已完成,等待客户端响应。 - 客户端证书验证
客户端收到CertificateRequest后,会发送以下内容:
客户端证书:客户端发送其数字证书。
客户端密钥交换:客户端使用服务器的公钥加密一个“预主密钥”(pre-master secret)并发送给服务器。
证书验证:客户端使用其私钥对之前发送的数据进行签名,并发送给服务器,以证明客户端确实拥有相应的私钥。 - 服务器验证客户端证书
服务器验证客户端的证书,检查其真实性、有效性和合法性。
服务器使用客户端的公钥验证客户端发送的签名,以确认客户端的身份。 - 生成共享密钥
客户端和服务器通过各自的随机数和“预主密钥”生成对称加密的会话密钥(Session Key),用于之后的数据加密通信。 - 握手完成(Finished)
客户端发送一个Finished消息,表示握手的客户端部分已经完成。
服务器收到后,也发送一个Finished消息,表示握手的服务器部分已经完成。 - 加密通信开始
双方都已经协商并生成了相同的对称加密密钥,接下来所有的应用层数据都将使用这个密钥进行加密和解密。
总结
在双向认证的 TLS 握手中,除了服务器验证客户端证书之外,其他步骤与单向 TLS 握手相似。通过双向认证,双方都确认了对方的身份,使通信更加安全。