Linux下基于OpenSSL的SSL安全通信设计

最新推荐文章于 2024-04-24 23:13:35 发布
最新推荐文章于 2024-04-24 23:13:35 发布
阅读量1.9k 收藏 2
点赞数
分类专栏: openssl Linux 文章标签: ssl linux socket struct tcp 服务器
Linux 同时被 2 个专栏收录
285 篇文章 1 订阅
订阅专栏
openssl
24 篇文章 0 订阅
订阅专栏

http://blog.163.com/xiaohu345@126/blog/static/6358736720107194658637/


本程序可以自由使用,请遵守GPL规范。

       OpenSSL中的SSL安全通信可以分为两类,两类基本上的操作相同,一类是建立SSL环境后使用BIO读写,另一类是直接在socket上建立SSL上下文环境。本文主要讨论在socket上建立SSL环境,以实现安全通信。首先需要生成一对客户机和服务器证书,这可以使用openssl的命令实现。使用赵春平前辈的OpenSSL编程一书中建立SSL测试环境的命令,可以建立一个模拟的CA,生成数字证书。如下:
1、建立自己的CA
在OpenSSL的安装目录下的misc目录下,运行脚本sudo ./CA.sh -newCA。运行完后会生成一个demoCA的目录,里面存放了CA的证书和私钥。
2、生成客户端和服务器证书申请
openssl req -newkey rsa:1204 -out req1.pem -keyout sslclientkey.pem
openssl req -newkey rsa:1204 -out req2.pem -keyout sslserverkey.pem 
3、签发客户端和服务器证书
openssl ca -in req1.pem -out sslclientcert.pem 
openssl ca -in req2.pem -out sslservercert.pem

       然后就可以使用OpenSSL的开源库实现SSL安全通信,本文设计了两种模式的通信,一种是没有建立SSL环境的TCP,另一种是建立了SSL环境的TCP,之后可以使用Linux下的嗅探软件wireshark嗅探出两种模式下的数据包,比较不同。程序设计参考了周立发老师的程序。

     下面首先是服务器端的程序:


    Profile: ssl tcp ip server
    Time   : 2010.07.31
    Edition: 1.0
********************************/
#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <errno.h>
#include <string.h>
#include <netdb.h>
#include <resolv.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <arpa/inet.h>

#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include "tcp_video.h"

#define MAXSIZE 1024 //每次最大数据传输量

#define PKEY_FILE "sslserverkey.pem"
#define CERT_FILE "sslservercert.pem"

int main()
{
    int sockfd,client_fd;
    socklen_t len;
 
    SSL_CTX *ctx;
   
    char serverbuf[MAXSIZE];

    ERR_load_BIO_strings();
    /* SSL 库初始化 */
    SSL_library_init();
    /* 载入所有 SSL 算法 */
    OpenSSL_add_all_algorithms();
    /* 载入所有 SSL 错误消息 */
    SSL_load_error_strings();
    /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
    ctx = SSL_CTX_new(SSLv23_server_method());
    /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
    if (ctx == NULL)
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
    if (!SSL_CTX_use_certificate_file(ctx, CERT_FILE, SSL_FILETYPE_PEM))
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户私钥 */
    if (!SSL_CTX_use_PrivateKey_file(ctx, PKEY_FILE, SSL_FILETYPE_PEM) )
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 检查用户私钥是否正确 */
    if (!SSL_CTX_check_private_key(ctx))
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
   
    int chose=0;
   
    signal(SIGPIPE,SIG_IGN);
    tcpserver_init(&sockfd);

    while(1)
    {
        printf("Please Chose Channel No.:\n");
        printf("1.:SSL Protocol Channel\n");
        printf("2.:TCP Protocol Channel\n");
        scanf("%d",&chose);
        if(chose==1)
        {

            SSL *ssl;
            tcp_accept(sockfd,&client_fd);

            /* 基于 ctx 产生一个新的 SSL */
            ssl = SSL_new(ctx);
            /* 将连接用户的 socket 加入到 SSL */
            SSL_set_fd(ssl, client_fd);
            /* 建立 SSL 连接 */
            if (SSL_accept(ssl) == -1)
            {
                perror("accept");
                close(client_fd);
                break;
            }

            // 接收消息
            bzero(serverbuf, MAXSIZE);
            /* 接收客户端的消息 */
            len = SSL_read(ssl,serverbuf, MAXSIZE);
            if (len > 0)
                printf("接收消息成功:'%s',共%d个字节的数据\n",serverbuf, len);
            else
                printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));

            /* 关闭 SSL 连接 */
            SSL_shutdown(ssl);
            /* 释放 SSL */
            SSL_free(ssl);
            /* 关闭 socket */
            close(client_fd);
        }
        else if(chose==2)
        {
            tcp_accept(sockfd,&client_fd);
            len=recv(client_fd,serverbuf, MAXSIZE,0);
            if (len > 0)
                printf("接收消息成功:'%s',共%d个字节的数据\n",serverbuf, len);
            else
                printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));

            /* 关闭 socket */
            close(client_fd);
        }
        chose=0;
    }

    /* 关闭监听的 socket */
    close(sockfd);
    /* 释放 CTX */
    SSL_CTX_free(ctx);
    return 0;

}//main

再次是客户端编程 



/*********************************
    Profile: ssl tcp ip client
    Time   : 2010.07.31
    Edition: 1.0
*********************************/
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <netdb.h>
#include <resolv.h>
#include <fcntl.h>
#include <unistd.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <arpa/inet.h>

#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include "tcp_video.h"

#define MAXSIZE 1024 //每次最大数据传输量

void ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;

    cert = SSL_get_peer_certificate(ssl);
    if (cert != NULL)
    {
        printf("数字证书信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("证书: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("颁发者: %s\n", line);
        free(line);
        X509_free(cert);
    }
    else
        printf("无证书信息!\n");
}

int main()
{
    char *hostname="127.0.0.1";
    int sockfd, len;
    char clientbuf[MAXSIZE];
    struct hostent *host;//gethostbyname函数的参数返回
    struct sockaddr_in serv_addr;
    SSL_CTX *ctx;
    SSL *ssl;
   
    /* SSL 库初始化 */
    SSL_library_init();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL)
    {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    int chose=0;
    printf("Please Chose Channel No.:\n");
    printf("1.:SSL Protocol Channel\n");
    printf("2.:TCP Protocol Channel\n");
    scanf("%d",&chose);

    serv_addr=tcpclient_init(&sockfd);
    if(chose==1)
    {
        tcp_connect(&sockfd,serv_addr);
        /* 基于 ctx 产生一个新的 SSL */
        ssl = SSL_new(ctx);
        SSL_set_fd(ssl, sockfd);
        /* 建立 SSL 连接 */
        if (SSL_connect(ssl) == -1)
            ERR_print_errors_fp(stderr);
        else
        {
            printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
            ShowCerts(ssl);
        }
   
        /* 发消息给服务器 */
        bzero(clientbuf, MAXSIZE);
        strcpy(clientbuf, "id:am3517&pw:am3517\n");
        len = SSL_write(ssl, clientbuf, strlen(clientbuf));
        if (len < 0)
            printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",clientbuf, errno, strerror(errno));
        else
            printf("消息'%s'发送成功,共发送了%d个字节!\n",clientbuf, len);

        /* 关闭连接 */
        SSL_shutdown(ssl);
        SSL_free(ssl);
    }
    else if(chose==2)
    {
        tcp_connect(&sockfd,serv_addr);
        /* 发消息给服务器 */
        bzero(clientbuf, MAXSIZE);
        strcpy(clientbuf, "id:am3517&pw:am3517\n");
        len = send(sockfd, clientbuf, strlen(clientbuf),0);
        if (len < 0)
            printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",clientbuf, errno, strerror(errno));
        else
            printf("消息'%s'发送成功,共发送了%d个字节!\n",clientbuf, len);
    }

    close(sockfd);
    SSL_CTX_free(ctx);
    return 0;
}

       编译是需要OpenSSL库的支持,怎么安装OpenSSL在这里就不说了,网上有很多例子,另外在Ubuntu系统下可以直接使用新力得软件包安装。编辑时需要加 -lssl 选项,另外如果要调试,需要加 -g选项。
       另外,程序中使用的tcp连接的函数,可以使用下面的函数,本系统使用端口7838。

/*********************************
         服务器socket建立
*********************************/
void tcpserver_init(int *sockfd)
{
    socklen_t len;
    struct sockaddr_in my_addr;
    unsigned int myport, lisnum;

    myport = 7838;
    lisnum = 1;

    if ((*sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1)
    {
        perror("socket");
        exit(1);
    }
    else
        printf("socket created\n");

    bzero(&my_addr, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(myport);
    my_addr.sin_addr.s_addr = INADDR_ANY;

    if(bind(*sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr)) == -1)
    {
        perror("bind");
        exit(1);
    }
    else
        printf("binded\n");

    if (listen(*sockfd, lisnum) == -1)
    {
        perror("listen");
        exit(1);
    }
    else
        printf("begin listen\n");
}

/*********************************
      响应客户端请求,建立连接
*********************************/
void tcp_accept(int sockfd,int *new_fd)
{
    struct sockaddr_in their_addr;
    socklen_t len;
    len = sizeof(struct sockaddr);
    if ((*new_fd = accept(sockfd, (struct sockaddr *)&their_addr, &len)) == -1)
    {
        perror("accept");
        exit(errno);
    }
    else
        printf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), *new_fd);
   
    int flags;
    flags = fcntl (sockfd, F_GETFL);  
    if (flags & O_NONBLOCK) /* if O_NONBLOCK is set */
    { 
        //fcntl (sockfd, F_SETFL, flags-O_NONBLOCK); /* unset it */
        fcntl(sockfd,F_SETFL,flags&(~O_NONBLOCK));
    }
}

/*********************************
          客户端socket建立
*********************************/
struct sockaddr_in tcpclient_init(int *sockfd)
{
    int len;
    struct sockaddr_in dest;

    char parainfo[3][20];
    printf("input server IP:\n");
    scanf("%s",parainfo[0]);
    printf("input server port:\n");
    scanf("%s",parainfo[1]);
   
    /* 创建一个 socket 用于 tcp 通信 */
    if((*sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
    {
        perror("Socket");
        exit(errno);
    }
    printf("socket created\n");

    /* 初始化服务器端(对方)的地址和端口信息 */
    bzero(&dest, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(atoi(parainfo[1]));
    if (inet_aton(parainfo[0], (struct in_addr *) &dest.sin_addr.s_addr) == 0)
    {
        perror(parainfo[0]);
        exit(errno);
    }
    printf("address created\n");
    return dest;
}

/*********************************
          与服务器建立连接
*********************************/
void tcp_connect(int *sockfd,struct sockaddr_in dest)
{
    /* 连接服务器 */
    if (connect(*sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0)
    {
        perror("Connect ");
        exit(errno);
    }
    printf("server connected\n");
   
    int flags;
    flags = fcntl (sockfd, F_GETFL);  
    if (flags & O_NONBLOCK) /* if O_NONBLOCK is set */
    { 
        //fcntl (sockfd, F_SETFL, flags-O_NONBLOCK); /* unset it */
        fcntl(sockfd,F_SETFL,flags&(~O_NONBLOCK));
    }
}


参考资料:赵春平。OpenSSL编程
                周立发。http://zhoulifa.bokee.com/



wdt3385
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用OpenSSL建立SSL安全通信(C/S)
Dylan-97
06-04 6943
一、环境OS:win10 IDE:Visual Studio 2010类库支持:Win32OpenSSL_Light-1_0_1f,vcredist_x86,ActivePerl-5.16.3.1603-MSWin32-x86-296746.exe二、OpenSSL工具库的安装和编译直接安装:(1)安装VC++2008环境支持(vcredist_x86),使系统能够运行VC++2008编译形成的W...
死磕GMSSL通信-java/Netty系列(三)
qq_36577699的博客
04-18 536
Netty集成GMSSL实现SSL Server
linux openssl基础介绍
01-10
现行网上银行和电子商务等大型的网上交易系统普遍采用HTTP和SSL相结合的方式。服务器端采用支持SSL的Web服务器,用户端采用支持SSL的浏览器实现安全通信。     SSL是Secure Socket Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准,目前已有3.0版本。SSL采用公开密钥技术。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。目前,利用公开密钥技术的SSL协议,已成为Internet上保密通讯的工业标准。本文着重在SSL协议和SSL程序设计两方面
openssl-openssl-3.1.1.zip
06-03
在计算机网络上,OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连线者的身份。这个包广泛被应用在互联网的网页服务器上。 其主要库是以C语言所写成,实现了基本的加密功能,实现了SSL与TLS协议。OpenSSL可以运行在OpenVMS、 Microsoft Windows以及绝大多数类Unix操作系统上(包括Solaris,Linux,Mac OS X与各种版本的开放源代码BSD操作系统)。 虽然此软件是开放源代码的,但其许可书条款与GPL有冲突之处,故GPL软件使用OpenSSL时(如Wget)必须对OpenSSL给予例外。
DTLS-示例:使用OpenSSL通过SCTP和UDP进行DTLS的示例
02-06
DTLS-示例:使用OpenSSL通过SCTP和UDP进行DTLS的示例
Openssl 建立双向认证的 SSL/TLS 通信
嵌入式攻城狮
11-01 1653
利用 Openssl 在两台 uBuntu 之间建立双向认证的 TLS/SSL 通信
SSL握手通信详解及linux下c/c++ SSL Socket代码举例
weixin_34233856的博客
08-25 496
2019独角兽企业重金招聘Python工程师标准>>> ...
openSSL解析证书及建立安全通道通信实验
菜鸡的啄米园
10-21 1480
写在前面 实验一可根据输入证书路径做解析 实验二需要配套证书,文件夹结构如下 certs │ ├─ca │ ca.crt │ ca.csr │ ca.key │ ├─client │ client.crt │ client.csr │ client.key │ ...
linux命令之openssl详解
全栈行动派的博客
05-12 1619
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。在OpenSSL被曝出现严重安全漏洞后,发现多数通过SSL协议加密的网站使用名为OpenSSL的开源软件包。由于这是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以该漏洞影响范围广大。
springboot nginx linux 配置ssl 实现https通信
从入门到放弃
09-30 682
我们先来了解一下什么是HTTPS 1. HTTPS概念 1)简介 HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。这个系统的最初研发由网景公司进行, 提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。 ...
java的ssl客户端编程与LINUXOpenSSL服务器通讯的实现及有关文
03-19
java的ssl客户端编程与LINUXOpenSSL服务器通讯的实现及有关文档 附件中包含本人开发工程中使用过的DEMO程序及制作证书的解本文件
openssl-1.0.0a
06-19
OpenSSL的应用程序是基于OpenSSL的密码算法库和SSL协议库写成的,所以也是一些非常好的OpenSSL的API使用范例,读懂所有这些范例,你对OpenSSL的API使用了解就比较全面了,当然,这也是一项锻炼你的意志力的工作。...
史上最详细的Openssl搭建及ssl原理解析
杰森斯坦陈的博客
05-08 2319
文章目录一、SSL:secure sokets layer(安全套接字层)1.套接字的概念SSL的概念二、SSL保证的目标与防范的攻击保密性confidentiality完整性integrity可用性availability三、攻击类型 一、SSL:secure sokets layer(安全套接字层) 1.套接字的概念 两个主机通信时,其实本质上也就是两个进程之间的通信,而进程通信当然需要标记,...
基于C++和OpenSSL实现的SSL网络通信
huang714的专栏
03-10 6490
一、实验内容 安装openSSL 编写一个服务器的程序,服务器端的功能是建立SSL网络服务,接受客户端的SSL连接,收发SSL消息 编写一个客户端的程序,客户端的功能是通过SSL协议连接服务器,收发SSL消息 生成SSL证书 撰写试验报告,包括了服务器端和客户端运行结果截图,以及生成的SSL证书 二、实验框架 程序分为两部分,客户端和服务器端,我...
基于OpenSSL安全Web Server实现
王陈锋的博客
01-01 1833
(2)Server能够并发处理多个请求,要求至少能支持Get命令。可以增加Web Server的功能,如支持Head、Post及Delete命令等;(3)编写必要的客户端测试程序,用户发送HTTPS请求并返回结果,也可以使用一般的浏览器程序。(1)在理解HTTPS及SSL工作原理的基础上,实现安全的Web Server。在编写的网页上,上传图片,测试Server是否能够成功处理命令。熟悉软件安全需求分析方法,掌握软件安全分析技术。在项目-属性-C/C++这边,选择SDL检查否。3、安装VS2019。
使用 OpenSSL API 进行安全编程,第 3 部分: 提供安全--服务
leopard_ray的专栏
04-12 1705
如果没有安全服务器应用程序,那么也就不需要安全的客户机应用程序。使用 OpenSSL,我们可以创建安全服务器应用程序,尽管文档让这一切看起来非常复杂,但实际上并非如此。本文中我们将学习如何使用在这个 3 部分系列文章 的 第 1 部分 中学习到的概念来构建安全服务器应用程序。 本系列文章的前两部分讨论了使用 OpenSSL 来创建客户机端应用程序的内容。第 1 部分 讨论了使用 Ope
Linux下的OpenSSL编程——openssl例子
热门推荐
星沙摘
01-14 1万+
1.安装openssl库:   sudo sudo apt-get install libssl-dev 2.服务器端实现代码 #include stdio.h> #include stdlib.h> #include errno.h> #include string.h> #include sys/types.h> #include netinet/in.h>
MySQL数据库SSL连接测试
最新发布
sunny05296的博客
04-24 275
环境信息:Centos7 + MySQL 5.7.21。在该环境上进行SSL连接测试。
基于OpenSSL安全WEB服务器实现
05-05
要基于 OpenSSL 实现安全的 Web 服务器,需要遵循以下步骤: 1. 安装 OpenSSL 库 首先,需要在服务器上安装 OpenSSL 库。如果你使用 Linux 操作系统,可以使用包管理器来安装它。例如,在 Ubuntu 系统上,可以执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值