开源项目SMSS发开指南(四)——SSL/TLS加密通信详解

最新推荐文章于 2023-05-05 21:57:35 发布
VIP文章 最新推荐文章于 2023-05-05 21:57:35 发布
阅读量496 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44626980/article/details/104146217
版权
本文将详细介绍如何在Java端、C++端和NodeJs端实现基于SSL/TLS的加密通信,重点分析Java端利用SocketChannel和SSLEngine从握手到数据发送/接收的完整过程。本文也涵盖了在Ubuntu系统上利用OpenSSL和Libevent如何创建一个支持SSL的服务端。文章中介绍的知识点并未全部在SMSS项目中实现,因此笔者会列出所有相关源码以方便读者查阅。提醒:由于知识点较多,分享涵盖了多种语言。预计的学习时间可能会大于3小时,为了保证读者能有良好的学习体验,继续前请先安排好时间。如果遇到困难,您也可以根据自己的实际情况有选择的学习,也欢迎与我交流。

一 相关前置知识

libevent网络库:libevent是一个用c语言编写的高性能支持事件响应的网络库,编译libevent前需要确保目标机器上已经完成对openssl的编译。否则生成的动态库中可能会缺少调用openssl的接口。这里选择的openssl版本为1.1.1d,如果你选择1.0以前的版本可能与后面的代码示例有所不同。

electron桌面应用:electron是一套依赖google的V8引擎直接使用HTML/JS/CSS创建桌面应用的跨平台解决方案。如果你需要开发轻量化的桌面端应用,electron基本是不二选择。从个人的实践来看,无论是开发生态还是开发效率都强于Qt。使用electron可以调用nodejs相关接口完成与系统的交互。

Java-nio开发包:基本是现在作为Java中高级开发的必备技能。

javax.net.ssl开发包:属于Java对SSL/TLS支持的比较底层的开发包。目前在应用中更多会选择Netty等集成式框架,如果你的项目中需要一些定制化功能可以选择它作为支持。建议在项目中慎重使用。由于一些特殊原因,Java只提供了SSLSocket对象,底层只支持阻塞式访问。文章最后会提供一个我个人实现的SSLSocketChannel对象,方便读者在基础上进行二次封装。

SSL/TLS通信:安全通信的目的是在原有的tcp/ip层和应用层之间增加了一个称之为SSL/TLS的加/解密层来实现的。在网络协议层中的位置大致如下:

在OSI七层网络协议的定义中,它处于表示层。程序开发的方式一般是在完成tcp/ip建立连接后,开始ssl/tls握手。发布ssl的服务端需要具备一个私钥文件(.key)以及与私钥配套的证书文件(.crt)。证书包含了公钥和对公钥的签名,还有一些用来证明源安全的信息。证书需要到专门的机构申请并且有年费要求,鉴于各位读者仅用于自学,后面生成的证书我们会做自签名。ssl/tls握手的目的是在客户端和服务端之间协商一个安全的对称秘钥,用来为本次会话的消息加解密,由于这对秘钥仅通信的服务端和客户端持有,会话结束即消失。

二 libevent和openssl

生成x.509证书

首选在安装好openssl的机器上创建私钥文件:server.key

> openssl genrsa -out server.key 2048

得到私钥文件后我们需要一个证书请求文件:server.csr,将来你可以拿这个证书请求向正规的证书管理机构申请证书

> openssl req -new -key server.key -out server.csr

最后我们生成自签名的x.509证书(有效期365天):server.crt

> openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

x.509证书是密码学里公钥证书的格式标准,被应用在包括ssl/tls等多项场景中。

OpenSSL加密通信接口分析

与ssl/tls通信相关的接口基本可以分为两大类,SSL_CTX通信上下文和SSL直接通信接口,下面逐一分析:

  1. SSL_CTX_new:新版本摒弃了一些老的接口,目前建议基本统一使用此方法来创建通信上下文
  2. SSL_CTX_free:释放SSL_CTX*
  3. SSL_CTX_use_certificate_file:设置证书文件
  4. SSL_CTX_use_PrivateKey_file:设置私钥文件,与上面的证书文件必须配套否则检测不通过
  5. SSL_CTX_check_private_key:检查私钥和证书文件
  6. SSL_new:方法一创建完成的上下文在通过此方法创建配套的SSL*
  7. SSL_set_fd:与上面创建的SSL和socket_fd绑定
  8. SSL_accept:服务端握手方法
  9. SSL_connect:客户端握手方法
  10. SSL_write:消息发送,内部会对明文消息加密并调用socket发送
  11. SSL_read:消息接收,内部会从socket接收到密文数据再解码成文明返回
  12. SSL_shutdown:通知对方关闭本次加密会话
  13. SSL_free:释放SSL*

C++编写socket利用openssl接口开发测试代码

在熟悉以上基本概念之后,根据测试先行和敏捷开发的原则。我们接下来就要直接使用c++开发一个socket测试程序,并利用openssl接口进行加密通信。以下代码的开发和运行系统为ubuntu 16.04 LTS,openssl版本为1.1.1d 10 Sep 2019,开发工具为Visual Studio Code 1.41.1。

服务端源码 server.cpp

#include <iostream>
#include <sys/types.h> /* See NOTES */
#include <sys/socket.h>
#include <cstring>
#include <netinet/in.h>
#include <string>
#include "openssl/ssl.h"
#include "openssl/err.h"

using namespace std;

// 前置申明
struct ssl_ctx_st *InitSSLServer(const char *crt_file, const char *key_file);

int main(int argc, char *argv[])
{
    ssl_ctx_st *ssl_ctx = InitSSLServer("../server.crt", "../server.key"); // 引入之前生成好的私钥文件和证书文件
    int sock = socket(AF_INET, SOCK_STREAM, 0);
    sockaddr_in sin;
    memset(&sin, 0, sizeof(sin));
    sin.sin_family = AF_INET;
    sin.sin_addr.s_addr = INADDR_ANY;
    sin.sin_port = htons(10020); // 指定通信端口
    int res = ::bind(sock, (sockaddr *)&sin, sizeof(sin));
    if (res == -1)
    {
        return -1;
    }
    listen(sock, 1); // 开始监听
    // 只接受一次客户端的连接
    int client_fd = accept(sock, 0, 0);
    cout << "Client accept success!" << endl;
    ssl_st *ssl = SSL_new(ssl_ctx);
    SSL_set_fd(ssl, client_fd);
    res = SSL_accept(ssl); // 执行SSL层握手
    if (res != 1)
    {
        ERR_print_errors_fp(stderr);
        return -1;
    }
    // 握手完成,接受消息并发送一次应答
    char buf[1024] = {
  0};
    int len = SSL_read(ssl, buf, sizeof(buf));
    cout << buf << endl;
    string s = "Hi Client, I'm CppSSLSocket Server.";
    SSL_write(ssl, s.c_str(), s.size());
    // 释放资源
    SSL_free(ssl);
    SSL_CTX_free(ssl_ctx);
    return 0;
}

struct ssl_ctx_st *InitSSLServer(const char *crt_file, const char *key_file)
{
    // 创建通信上下文
    ssl_ctx_st *ssl_ctx = SSL_CTX_new(TLS_server_method());
    if (!ssl_ctx)
    {
        cout << "ssl_ctx new failed" << endl;
        return nullptr;
    }
    int res = SSL_CTX_use_certificate_file(ssl_ctx, crt_file, SSL_FILETYPE_PEM);
    if (res != 1)
    {
        ERR_print_errors_fp(stderr);
        return nullptr;
    }
    res = SSL_CTX_use_PrivateKey_file(ssl_ctx, key_file, SSL_FILETYPE_PEM);
    if (res != 1)
    {
        ERR_print_errors_fp(stderr);
        return nullptr;
    }
    res = SSL_CTX_check_private_key(ssl_ctx);
    if (res != 1)
    {
        return nullptr;
    }
    return ssl_ctx;
}

客户端源码 client.cpp

#include <iostream>
#include <sys/types.h> /* See NOTES */
#include <sys/socket.h>
#include <cstring>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <string>
#include "openssl/ssl.h"
#include "openssl/err.h"

using namespace std;

struct ssl_ctx_st *InitSSLClient();

int main(int argc, char *argv[])
{
    int sock = socket(AF_INET, SOCK_STREAM, 0);
    sockaddr_in sin;
    memset(&sin, 0, sizeof(sin));
    sin.sin_family = AF_INET;
    sin.sin_addr.s_addr = inet_addr("127.0.0.1");
    sin.sin_port = htons(10020);
    // 首先执行socket连接
    int res = connect(sock, (sockaddr *)&sin, sizeof(sin));
    if (res != 0)
    {
        return -1;
    }
    cout << "Client connect success." << endl;

    ssl_ctx_st *ssl_ctx = InitSSLClient();
    ssl_st *ssl = SSL_new(ssl_ctx);
    SSL_set_fd(ssl, sock);
    // 进行SSL层握手
    res = SSL_connect(ssl);
    if (res != 1)
    {
        ERR_print_errors_fp(stderr);
        return -1;
    }
    string send_msg = "Hello Server, I'm CppSSLSocket Client.";
    SSL_write(ssl, send_msg.c_str(), send_msg.size());
    char recv_msg[1024] = {
  0};
    int recv_len = SSL_read(ssl, recv_msg, sizeof(recv_msg));
    recv_msg[recv_len] = '\0';
    cout << recv_msg << endl;
    SSL_shutdown(ssl);
    SSL_free(ssl);
    SSL_CTX_free(ssl_ctx);
    return 0;
}

struct ssl_ctx_st *InitSSLClient()
{
    // 创建一个ssl客户端的上下文
    ssl_ctx_st *ssl_ctx = SSL_CTX_new(TLS_client_method());
    return ssl_ctx;
}

编译使用Makefile,客户端的修改TARGET即可

TARGET=server.x
SRC=$(wildcard *.cpp)
OBJS=$(patsubst %.cpp,%.o,$(SRC))
LIBS=-lssl -lcrypto
$(TARGET):$(SRC)
    g++ -std=c++11 $^ -o $@ $(LIBS)
clean:
    rm -fr $(TARGET) $(OBJS)

如果在服务端和客户端都可以正常发送和接收显示消息,即表示通信正常。

C++编写openssl与libevent安全通信服务端

当前项目使用的libevent版本为2.1,在编译的时候需要在目标机器上预先编译好openssl。否则编译时检测不到,无法生成对应接口。有关libevent的基础可以参考smss开源系列的前期文章,这里不再赘述。考虑到同构系统的开发案例网上的资料相对丰富,同时笔者目前的工作大多为异构系统开发为主。因此这里选择使用C++作为服务端,Java和NodeJs为客户端的方式。如果读者有需要也可以给我留言,我会补充Java作为服务端C++作为客户端的相关案例。

目前使用libevent和openssl作为通信框架,在追求性能优先的物联网项目中应用广泛,开发难度也相对较低。libevent也提供了专门调用openssl的接口,它可以帮助我们管理SSL对象,不过SSL_CTX的维护还需要我们自己实现。与直接使用libevent创建服务端相比最大的区别在于我们需要自己创建socket并同时交给event_base和SSL_CTX来使用。

服务端源码 libevent_server.cpp

#include <iostream>
#include <sys/types.h> /* See NOTES */
#include <sys/socket.h>
#include <netinet/in.h>
最低0.47元/天 解锁文章
weixin_836869520
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL应用
ingy
09-25 1958
OpenSSL的安装 https://blog.csdn.net/simonyucsdy/article/details/82812970 OpenSSL OpenSSL是一个放源代码的SSL协议的产品实现,它采用C语言作为语言,具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道,从而保护客户端和服务器之间数据的安全。  OpenSSL是一个放源...
SSL 多线程通信 linux openSSL C API编程
健忘16的博客
02-21 2170
一、环境 需要提前准备好服务端和客户端的证书和私钥,以及CA的证书。 OpenSSL 1.1.1f 31 Mar 2020 built on: Wed Nov 24 13:20:48 2021 UTC platform: debian-amd64 options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr) Thread model: posix gcc version 9.3.0 (Ubuntu 9.3.0-17ubuntu1~20.04) 二...
SQL学习03-SMSS及VB查询数据库基础
Excel工作圈的博客
03-16 740
SQL学习,SMSS入门,VB设置查询语句
SSL 服务器与客户端样本代码
白袍小将的博客
08-14 2600
本文为了方便进行SSL编程参考而整理,SSL编程调用的大多数流程就如如下样本代码,通过本样本代码可以比较快的测试SSL相关API。
基于openssl的单向和双向认证
zhanglei_admin的博客
07-27 2680
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=referral。 在openssl的基础上修改私钥校验过程,因此需要对openssl的认证认证流程需要熟悉一下。SSL
blog.rar_smss
09-14
SMSS 病毒专杀工具 可学习到如何操作注册表和系统进程
SMSS短信软件
11-20
短信加密, 可以有效地隐藏秘密短信,再也不怕老婆察看手机了!
手机短消息协议大全 smss
11-29
手机的手机短消息协议大全,通信行业 SMPPV3.3 SMPPV3.4 SMPPV50 (联通)SGIP1.2 (小灵通)SMGPv1.3 ……
iBiliPlayer-3812_ss_smss_bs_1.apk
最新发布
02-25
iBiliPlayer-3812_ss_smss_bs_1.apk
一款LSASS和SMSS病毒杀毒软件
12-06
本软件为lsass.exe和smss.exe病毒(暂定名)的专杀工具,基于恶意软件查杀助理辅助工具的查杀引擎,并专门针对该病毒作了强化,支持扫描rar格式和自解压格式,支持扫描被感染的应用程序与网页文件,能比较有效的查杀...
用OpenSSL编写SSL,TLS程序
05-31
SSL(Secure Socket Layer)是netscape公司提出的主要用于web的安全通信标准,分为2.0版和3.0版. TLS(Transport Layer Security)是IETF的TLS工作组在SSL3.0基础之上提出的安全通信标准,目前版本是1.0, 即RFC2246.SSL/TLS提供的安全机制可以保证应用层数据在互联网络传输不被监听,伪造和窜改. openssl(www.openssl.org)是sslv2,sslv3,tlsv1的一份完整实现,内部包含了大量加密算法程序. 其命令行提供了丰富的加密,验证,证书生成等功能,甚至可以用其建立一个完整的CA. 与其同时,它也提供了一套完整的库函数,可用SSL/TLS通信程序. Apache的https两种版本,mod_ssl和apachessl均基于它实现的. openssl继承于ssleay,并做了一定的扩展,当前的版本是0.9.5a. openssl 的缺点是文档太少,连一份完整的函数说明都没有,man page也至今没做完整:-(, 如果想用它编程序,除了熟悉已有的文档(包括ssleay,mod_ssl,apachessl的文档)外, 可以到它的maillist上找相关的帖子,许多问题可以在以前的文章中找到答案. 编程: 程序分为两部分,客户端和服务器端,我们的目的是利用SSL/TLS的特性保证通信双方能够 互相验证对方身份(真实性), 并保证数据的完整性, 私密性.
OpenSSLSSL_CTX_use_certificate_file分析
u012023606的博客
09-04 8512
OpenSSLSSL_CTX_use_certificate_file分析 本系列OpenSSL使用的代码版本为:1.0.2o 文章目录 系列文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 本篇文章纯属个人学习的一点经验分享,若有不对之处烦请各位大神现身指点,共同进步。 一、SSL_use_certificate_file是什么? SSL_CTX_use_certificate_file是openssl代码中的证..
Netty集成国密开源基础密码库Tongsuo
热门推荐
x1075339587的博客
05-05 1万+
本次完成了Tongsuo TLCP协议的四种国密套件;X86架构的编译。TLSv1.3的TLS_SM4_GCM_SM3套件的支持。ARM架构、PPC架构、Windows的编译。mac系统一般服务器环境没有应用场景,有能力的小伙伴可以帮忙测试一下。时代的车轮在加速的运转,在有限的视野里也要不断地追赶。铜锁开源密码库 · 语雀铜锁/Tongsuo(原BabaSSL)是一个提供现代...https://www.yuque.com/tsdoc。
OpenSSL API入门和踩坑大全
xmcy001122的专栏
05-24 4582
SSL学习笔记 OpenSSL库基础 根据 官方的例子,OpenSSL常用的结构体和函数如下: 初始化OpenSSLSSL_library_init():初始化SSL算法库函数 SSL_load_error_strings():载入所有SSL 错误消息 OpenSSL_add_all_algorithms(): 载入所有SSL 算法 加载和验证证书 通过SSL_CTX_new(SSL_METHOD *method)创建一个SSL_CTX *实例,用来保存证书的私钥。其中method通过TLS_
SSL双向认证的认证模式设置问题
enjoy.day
11-23 1万+
今天介绍一下SSL双向认证服务器端认证模式的设置,很关键。 初始化ssl时,要使用SSL_CTX_set_verify函数设置验证模式,下面介绍下集中模式: OpenSSL 验证证书模式 OpenSSL 有四种验证证书的模式,这样可以自己根据验证结构来决定应用程序的行为。四种验证模式分别是: SSL_VERIFY_NONE:完全忽略验证证书的结果。当握手必须完成的话,就
openssl基本原理 + 生成证书 + 使用实例
huang714的专栏
10-15 3192
公司一个项目要进行交易数据传输,因为这个项目银行那边也是刚刚始启动,所有的支持只有一个传输字段的说明文档,好吧,总的有人做事不是嘛,于是接口正式展,第一步的难点就是加密解密,我选择使用OpenSSL. OpenSSL初接触的人恐怕最难的在于先理解各种概念   公钥/私钥/签名/验证签名/加密/解密/非对称加密   我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码
关于OpenSSL的一些问题的补充
Fern2018的博客
08-05 470
【1】warning C4150: 删除指向不完整“ssl_ctx_st”类型的指针;没有调用析构函数 SSL_CTX *ctx; SSL *ssl; delete ssl; delete ctx; ctx 和 ssl 是不能直接用delete释放内存的,析构函数对调用的类是不可见的,必须以如下方式释放内存: SSL_shutdown(ssl); SSL_free(ssl); SSL_CTX_free(ctx); 【2】warning C4251: “CSSLPort::m_...
西电捷通:可信网络连接之平台鉴别PAI工程化解析
ITwarm的博客
02-20 732
平台鉴别基础设施PAI作为TCA技术体系的核心组件之一,提供平台鉴别安全服务。具体来说,PAI协议从理论到应用转化,必须以灵活的策略作为支撑,策略的作用在于为平台提供评估要求及准则,实现协议与具体网络评估的有机结合。策略包括平台完整性评估策略(简称评估策略)和平台完整性配置保护策略(简称配置保护策略),本文旨在研究配置保护策略的相关技术,以提供有效、可行的工程化配置保护策略实施方案。
一张图看懂开源许可协议
carl.zhao的专栏
11-21 9896
LGPL许可证是LESSER GENERAL PUBLIC LICENSE的简写,也叫LIBRARY GENERAL PUBLIC LICENSE,中文译为“较宽松公共许可证”或者“函数库公共许可证”。该许可证适用于一些由自由软件基金会与其它决定使用此许可证的软件作者所特殊设计的软件软件包─比如函数库(即Library)。开源许可证有GPL、BSD、MIT、Mozilla、Apache和LGPL。
ipcl spi、smss spi
05-30
SMSS(Smart Metering Sensor System)是智能电表监测系统,其中智能电表需要与其他设备进行通信,例如读取电表数据并传输给数据中心。这种通信也可以通过SPI总线实现,因此需要实现SMSS SPI接口。 总之,这两个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值