server和client通信双方双向认证,基于openssl,使用TLS加密TCP流量

于 2024-08-22 02:25:04 发布
阅读量1k 收藏 21
点赞数 15
文章标签: tcp/ip 服务器 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wc_12345654321/article/details/141406366
版权

设计一个基于 OpenSSL 的 C 语言程序来实现双向认证的 TLS 加密 TCP 通信,需要包含服务器和客户端两部分。以下是该程序的核心步骤及示例代码。

  1. 生成证书和私钥
    首先,需要为服务器和客户端生成证书和私钥。可以使用 OpenSSL 命令行工具生成这些文件。

bash
复制代码

生成 CA 私钥和自签名证书

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -sha256 -days 1024 -out ca.crt

生成服务器私钥和证书签名请求 (CSR)

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

使用 CA 签署服务器证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 500 -sha256

生成客户端私钥和证书签名请求 (CSR)

openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr

使用 CA 签署客户端证书

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 500 -sha256
2. 服务器端代码
服务器端程序需要监听一个指定端口,等待客户端连接,进行双向 TLS 认证,然后处理通信。

c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <string.h>
#include <unistd.h>

#define PORT 4433

void init_openssl() {
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
EVP_cleanup();
}

SSL_CTX *create_context() {
const SSL_METHOD *method;
SSL_CTX *ctx;

method = SSLv23_server_method();

ctx = SSL_CTX_new(method);
if (!ctx) {
    perror("Unable to create SSL context");
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

return ctx;

}

void configure_context(SSL_CTX *ctx) {
// 加载服务器的证书和私钥
if (SSL_CTX_use_certificate_file(ctx, “server.crt”, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}

if (SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 加载客户端的 CA 证书,用于验证客户端证书
if (SSL_CTX_load_verify_locations(ctx, "ca.crt", NULL) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 强制客户端认证
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
SSL_CTX_set_verify_depth(ctx, 4);

}

int main() {
int sock;
SSL_CTX *ctx;

init_openssl();
ctx = create_context();

configure_context(ctx);

struct sockaddr_in addr;
sock = socket(AF_INET, SOCK_STREAM, 0);

addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
addr.sin_addr.s_addr = htonl(INADDR_ANY);

bind(sock, (struct sockaddr*)&addr, sizeof(addr));
listen(sock, 1);

while (1) {
    struct sockaddr_in addr;
    uint len = sizeof(addr);
    SSL *ssl;

    int client = accept(sock, (struct sockaddr*)&addr, &len);
    printf("Connection from %s, port %d\n", inet_ntoa(addr.sin_addr), ntohs(addr.sin_port));

    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, client);

    if (SSL_accept(ssl) <= 0) {
        ERR_print_errors_fp(stderr);
    } else {
        char buf[256];
        int bytes = SSL_read(ssl, buf, sizeof(buf));
        buf[bytes] = 0;
        printf("Received: %s\n", buf);

        SSL_write(ssl, "Hello from server", strlen("Hello from server"));
    }

    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(client);
}

close(sock);
SSL_CTX_free(ctx);
cleanup_openssl();

}
3. 客户端代码
客户端程序需要连接服务器,进行双向 TLS 认证,并发送和接收加密信息。

c
复制代码
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <arpa/inet.h>
#include <unistd.h>

#define HOST “127.0.0.1”
#define PORT 4433

void init_openssl() {
SSL_load_error_strings();
OpenSSL_add_ssl_algorithms();
}

void cleanup_openssl() {
EVP_cleanup();
}

SSL_CTX *create_context() {
const SSL_METHOD *method;
SSL_CTX *ctx;

method = SSLv23_client_method();

ctx = SSL_CTX_new(method);
if (!ctx) {
    perror("Unable to create SSL context");
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

return ctx;

}

void configure_context(SSL_CTX *ctx) {
// 加载客户端的证书和私钥
if (SSL_CTX_use_certificate_file(ctx, “client.crt”, SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stderr);
exit(EXIT_FAILURE);
}

if (SSL_CTX_use_PrivateKey_file(ctx, "client.key", SSL_FILETYPE_PEM) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 加载服务器的 CA 证书,用于验证服务器证书
if (SSL_CTX_load_verify_locations(ctx, "ca.crt", NULL) <= 0) {
    ERR_print_errors_fp(stderr);
    exit(EXIT_FAILURE);
}

// 强制验证服务器证书
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, NULL);
SSL_CTX_set_verify_depth(ctx, 4);

}

int main() {
SSL_CTX *ctx;
SSL *ssl;
int server;
struct sockaddr_in addr;

init_openssl();
ctx = create_context();

configure_context(ctx);

server = socket(AF_INET, SOCK_STREAM, 0);
addr.sin_family = AF_INET;
addr.sin_port = htons(PORT);
inet_pton(AF_INET, HOST, &addr.sin_addr);

connect(server, (struct sockaddr*)&addr, sizeof(addr));

ssl = SSL_new(ctx);
SSL_set_fd(ssl, server);

if (SSL_connect(ssl) <= 0) {
    ERR_print_errors_fp(stderr);
} else {
    SSL_write(ssl, "Hello from client", strlen("Hello from client"));

    char buf[256];
    int bytes = SSL_read(ssl, buf, sizeof(buf));
    buf[bytes] = 0;
    printf("Received: %s\n", buf);
}

SSL_shutdown(ssl);
SSL_free(ssl);
close(server);

SSL_CTX_free(ctx);
cleanup_openssl();

}
4. 运行程序
先运行服务器程序。
然后运行客户端程序。客户端连接到服务器,并进行双向认证,成功后进行数据交换。
总结
以上代码展示了一个基本的双向认证的 TLS 加密通信的实现。为了确保代码的安全性和稳定性,在实际应用中还需要处理更多的错误和异常情况。

您说:
上个问题中,双向认证的TLS握手过程具体是怎么样的
ChatGPT 说:
ChatGPT
双向认证的 TLS 握手过程,也称为双向 SSL/TLS 握手,是一个复杂的过程,用于在客户端和服务器之间建立一个安全的通信通道。在这个过程中,双方都会验证对方的身份,并协商加密套件以保护通信。以下是双向认证的 TLS 握手过程的详细步骤:

  1. 客户端发起握手请求(ClientHello)
    客户端向服务器发送一个ClientHello消息。这个消息包含以下内容:
    客户端支持的 TLS 版本。
    客户端支持的加密套件列表。
    随机数(Client Random)。
    支持的压缩方法。
    支持的扩展(例如 Server Name Indication,SNI)。
  2. 服务器响应握手请求(ServerHello)
    服务器接收到ClientHello消息后,会选择以下内容并通过ServerHello消息响应:
    协议版本:服务器从客户端支持的版本中选择一个共同支持的版本。
    加密套件:服务器从客户端提供的加密套件中选择一个。
    随机数(Server Random)。
    服务器证书:服务器发送它的数字证书(通常是 X.509 证书),包含服务器的公钥。
  3. 请求客户端证书(Client Certificate Request)
    服务器发送一个CertificateRequest消息,要求客户端提供其数字证书。这是双向认证的关键部分。
    服务器还会发送ServerHelloDone消息,表示它的初始握手部分已完成,等待客户端响应。
  4. 客户端证书验证
    客户端收到CertificateRequest后,会发送以下内容:
    客户端证书:客户端发送其数字证书。
    客户端密钥交换:客户端使用服务器的公钥加密一个“预主密钥”(pre-master secret)并发送给服务器。
    证书验证:客户端使用其私钥对之前发送的数据进行签名,并发送给服务器,以证明客户端确实拥有相应的私钥。
  5. 服务器验证客户端证书
    服务器验证客户端的证书,检查其真实性、有效性和合法性。
    服务器使用客户端的公钥验证客户端发送的签名,以确认客户端的身份。
  6. 生成共享密钥
    客户端和服务器通过各自的随机数和“预主密钥”生成对称加密的会话密钥(Session Key),用于之后的数据加密通信。
  7. 握手完成(Finished)
    客户端发送一个Finished消息,表示握手的客户端部分已经完成。
    服务器收到后,也发送一个Finished消息,表示握手的服务器部分已经完成。
  8. 加密通信开始
    双方都已经协商并生成了相同的对称加密密钥,接下来所有的应用层数据都将使用这个密钥进行加密和解密。
    总结
    在双向认证的 TLS 握手中,除了服务器验证客户端证书之外,其他步骤与单向 TLS 握手相似。通过双向认证,双方都确认了对方的身份,使通信更加安全。
spring*-*
关注
  • 15
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openSSL实现TLS双向认证
新时代农民工
07-26 1343
TLS(传输层安全性)双向认证,也称为客户端认证或互相认证,是一种网络安全协议的扩展,用于建立在传输层上的安全连接。传统的TLS认证只需要服务器验证客户端的身份,而双向认证则要求客户端也验证服务器的身份。在TLS双向认证中,客户端和服务器都必须拥有数字证书。数字证书由可信的第三方证书颁发机构(CA)签发,用于证明实体(如服务器)的身份。以下是TLS双向认证的基本步骤:1. 服务器配置:服务器需要配置受信任的数字证书,该证书由CA签发。配置包括私钥和公钥。
Netty使用SSL实现双向通信加密
最新发布
我是香菜
01-03 1352
最近项目有个需求,TCP服务器实现基于证书通信加密,之前没做过,花了一些时间调研,今天整理下。
java登录界面 socket_Java--Socket通信双向,有界面)
weixin_30821881的博客
02-28 249
服务端:import java.awt.BorderLayout;import java.awt.Dimension;import java.awt.Toolkit;import java.awt.event.ActionEvent;import java.awt.event.ActionListener;import java.io.BufferedReader;import java.io.I...
openssl双向认证
LJYXz的博客
04-10 356
Qt使用openssl进行双向认证,ssl_connect连接失败 在Qt里加入openssl的动态库,实现双向认证。 客户端与服务器进行ssl_connect 和ssl_accept时一直报错。 最后发现是Qt的Qtcpsocket的套接字默认是不阻塞模式,但是我认为ssl_connect 和ssl_accept是要走一套流程的 ssl通过套接字进行证书的验证,但如果处于不阻塞模式,很有可能会因为客户端未收到服务器证书而完成ssl_connect连接,导致ssl连接认证失败。 解决方法:QT得到套接
openssl API网络通信
weixin_34343689的博客
12-02 121
1.本文是在别人的基础上,经过测试,大体总结的。操作环境ubuntu12和ubuntu14 *****************************************************************************************"网络通信加密"头文件:#include <openssl/ssl.h>#include <openssl/e...
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1871
利用 Openssl 在两台 uBuntu 之间建立双向认证TLS/SSL 通信
openssl实现双向认证教程(服务端代码+客户端代码+证书生成)
CHYabc123456hh的博客
07-19 1598
openssl实现双向认证教程(服务端代码+客户端代码+证书生成)
client&server.zip_client/server_openssl tcp server_tcp_服务端开发
07-14
总的来说,"client&server.zip_client/server_openssl tcp server_tcp_服务端开发"这个项目涉及到了客户端与服务器之间的TCP通信,以及使用OpenSSL进行安全通信的实现。通过这个项目,开发者可以深入理解TCP协议的...
tls.rar_TLS_openssl TLS_openssl server_openssl t
09-24
"openssl"是实现TLS/SSL(Secure Sockets Layer,安全套接字层)的开源库,它提供了加密算法、证书管理和网络通信等功能,广泛应用于服务器和客户端的通信。 描述中提到的“openssltls应用程序的源代码,包含...
基于openssl建立tls双向验证连接方法
weixin_41564401的博客
05-07 3180
1. 概述 本文介绍了如何基于openssl库建立tls加密通道连接。 2. 步骤 X509 *cert = NULL; // 客户端公钥证书指针 EVP_PKEY *key = NULL; // 客户端私钥证书指针 const SSL_METHOD *meth = NULL; g_bio_err = dup_bio_err(FORMAT_TEXT); SS...
Openssl实现双向认证教程(附服务端客户端代码)
09-14
主要介绍了Openssl实现双向认证教程(附服务端客户端代码),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
openssl加密通信服务器、客户端代码
07-06
自己写的openssl加密通信的代码模板
用tomcat和openSSL构建https双向认证
07-28
这是我实战的笔记,全程直播。 #### Tomcat和Openssl构建HTTPS双向认证 ###### 选择HTTPS WEB服务器 Linux下安装OpenSSL 一、创建服务器证书、客户端证书以及CA 1、生成--服务器端--私钥和证书请求 2、生成--客户端-----私钥和证书请求 3、生成CA 4、通过CA签发证书 5、生成pem格式证书 6、生成pkcs12格式证书 二、tomcat实现双向认证 1、创建服务器信任的CA证书库 2、配置Tomcat支持HTTPS双向认证服务器认证客户端证书
Openssl Socket实现SSL双向认证连接 -易语言
06-12
`Client`和`Server`可能分别是客户端和服务器端的程序示例,它们展示了如何在易语言中使用这些库实现SSL双向认证连接。 在实际编程中,开发者需要处理各种异常情况,例如证书验证失败、网络中断等。同时,还需要...
openssl双向认证 (自签发证书实例)
热门推荐
chen55bo的专栏
12-22 1万+
基础知识 SSL:Secure Socket Layer,安全套接字层,它位于TCP层与Application层之间。提供对Application数据的加密保护(密文),完整性保护(不被篡改)等安全服务,它缺省工作在TCP 443 端口,一般对HTTP加密,即俗称的HTTPS。 SSL双向认证具体过程 ① 浏览器发送一个连接请求给安全服务器。 ② 服务器将自己的证书,以及同证书
openssl生成证书双向验证
veaglefly的博客
03-09 1071
1. 首先生成服务器端的私钥server.key,同理也可以生成客户端的key,client.key: openssl genrsa -des3 -out server.key 1024 2.生成签名的公钥client.crt: openssl req -new -x509 -key client.key -out client.crt -days 3
Linux网络编程一步一步学-利用OpenSSL提供的SSL操作函数进行加密通讯原始例子
10-27 657
Linux网络编程一步一步学-利用OpenSSL提供的SSL操作函数进行加密通讯原始例子 首先,大家知道SSL这一目前“事实上的Internet加密标准”吧?一般的网站是没有用到SSL的,所以如果你用TCPDUMP就可以很容易地看到别人上网的帐号、密码之类的,当然,现在有些已
使用openssl生成双向加密证书(转)
weixin_30270561的博客
01-29 348
要生成证书的目录下建立几个文件和文件夹,有./demoCA/./demoCA/newcerts/./demoCA/private/./demoCA/index.txt (空文件,生成证书时会将数据记录写入)./demoCA/serial (在serial文件中写入第一个序列号“01”,在生成证书时会以此递增)概念:首先要有一个根证书,然后用根证书来签发用户证书。用户进行证书申请:一般先生成一个私钥...
代码分析。结合TLS安全通信协议原理,分析OpenSSL协议漏洞利用程序ssltest.py,回答以下问题: 1)16进制Hello数据包应该包含哪些内容? 2)heartbleed数据包hb,要服务器返回缓冲区16kb数据和64kb数据,分别应该怎样构造?并解释说明 3)画出该漏洞测试(利用)程序的程序流程图
06-10
抱歉,作为一个AI语言模型,我无法画出程序流程图,但我可以回答你的其他问题。 1) 16进制Hello数据包应该包含TLS握手协议的ClientHello消息,具体包含以下内容: - TLS版本号 - 一个Client Random值(随机数) - 支持的加密算法和压缩算法列表 2) 发送心跳包hb,要让服务器返回缓冲区16kb和64kb数据,需要构造一个恶意的心跳消息,具体如下: - 设置心跳消息类型为0x01 - 设置心跳负载长度为3字节,其中第一个字节为0x01(代表心跳请求),后两个字节为0x4000(代表心跳负载的长度为16KB) - 发送恶意心跳消息,服务器会返回16KB的数据 构造返回缓冲区64KB的数据时,只需要将上面的心跳负载长度改为0x10000即可。 3) 该漏洞测试程序的大致流程如下: - 创建TCP连接到目标服务器的443端口 - 发送TLS ClientHello消息 - 接收服务器返回的ServerHello消息和Certificate消息等 - 发送心跳请求消息 - 接收服务器返回的心跳响应消息 - 解析响应消息,判断是否泄露了服务器的内存数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值