OpenSSL 中的 SSL
加密是透過 SSL/TLS
協議來實現的。SSL/TLS
是一種安全通訊協議,可以保障通訊雙方之間的通訊安全性和資料完整性。在 SSL/TLS
協議中,加密演算法是其中最核心的組成部分之一,SSL可以使用各類加密演算法進行金鑰協商,一般來說會使用RSA
等加密演算法,使用TLS
加密針對服務端來說則需要同時載入公鑰與私鑰檔案,當傳輸被建立後客戶端會自行下載公鑰並與服務端完成握手,讀者可將這個流程理解為上一章中RSA
的分發金鑰環節,只是SSL
將這個過程簡化了,當使用時無需關注傳輸金鑰對的問題。
與RSA實現加密傳輸一致,使用SSL實現加密傳輸讀者同樣需要自行生成對應的金鑰對,金鑰對的生成可以使用如下命令實現;
- 生成私鑰: openssl genrsa -out privkey.pem 2048
- 生成公鑰: openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
執行如上兩條命令,讀者可得到兩個檔案首先生成2048
位的privkey.pem
也就是私鑰,接著利用私鑰檔案生成cacert.pem
證書檔案,該檔案的有效期為1095
天也就是三年,當然此處由於是測試可以使用自定義生成,如果在實際環境中還是需要購買正規簽名來使用的。
服務端實現程式碼與原生套接字通訊保持高度一致,在連線方式上同樣採用了標準API
實現,唯一的不同在於當accept
函式接收到用於請求時,我們需要透過SSL_new
產生一個SSL
物件,當需要傳送資料時使用SSL_write
,而當需要接收資料時則使用SSL_read
函式,透過使用這兩個函式即可保證中間的傳輸流程是安全的,其他流程與標準套接字程式設計保持一致,如下是服務端完整程式碼實現。
#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>
extern "C"
{
#include <openssl/applink.c>
}
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")
#define MAXBUF 1024
int main(int argc, char** argv)
{
SOCKET sockfd, new_fd;
struct sockaddr_in socket_ptr, their_addr;
char buf[MAXBUF + 1] = {0};
SSL_CTX* ctx;
// SSL庫初始化
SSL_library_init();
// 載入所有SSL演算法
OpenSSL_add_all_algorithms();
// 載入所有SSL錯誤訊息
SSL_load_error_strings();
// 以SSLV2和V3標準相容方式產生一個SSL_CTX即SSLContentText
ctx = SSL_CTX_new(SSLv23_server_method());
if (ctx == NULL)
{
std::cout << "[-] 產生CTX上下文物件錯誤" << std::endl;
return 0;
}
else
{
std::cout << "[+] 產生CTX上下文物件" << std::endl;
}
// 載入使用者的數字證書,此證書用來傳送給客戶端,證書裡包含有公鑰
if (SSL_CTX_use_certificate_file(ctx, "d://cacert.pem", SSL_FILETYPE_PEM) <= 0)
{
std::cout << "[-] 載入公鑰失敗" << std::endl;
return 0;
}
else
{
std::cout << "[+] 已載入公鑰" << std::endl;
}
// 載入使用者私鑰
if (SSL_CTX_use_PrivateKey_file(ctx, "d://privkey.pem", SSL_FILETYPE_PEM) <= 0)
{
std::cout << "[-] 載入私鑰失敗" << std::endl;
return 0;
}
else
{
std::cout << "[+] 已載入私鑰" << std::endl;
}
// 檢查使用者私鑰是否正確
if (!SSL_CTX_check_private_key(ctx))
{
std::cout << "[-] 使用者私鑰錯誤" << std::endl;
return 0;
}
// 開啟Socket監聽
WSADATA wsaData;
WSAStartup(MAKEWORD(2, 2), &wsaData);
if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
{
WSACleanup();
return 0;
}
// 建立套接字
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1)
{
return 0;
}
socket_ptr.sin_family = AF_INET;
socket_ptr.sin_addr.s_addr = htonl(INADDR_ANY);
socket_ptr.sin_port = htons(9999);
// 繫結套接字
if (bind(sockfd, (struct sockaddr*)&socket_ptr, sizeof(struct sockaddr)) == -1)
{
return 0;
}
if (listen(sockfd, 10) == -1)
{
return 0;
}
while (1)
{
SSL* ssl;
int len = sizeof(struct sockaddr);
// 等待客戶端連線
if ((new_fd = accept(sockfd, (struct sockaddr*)&their_addr, &len)) != -1)
{
printf("客戶端地址: %s --> 埠: %d --> 套接字: %d \n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd);
}
// 基於ctx產生一個新的SSL
ssl = SSL_new(ctx);
// 將連線使用者的socket加入到SSL
SSL_set_fd(ssl, new_fd);
// 建立SSL連線
if (SSL_accept(ssl) == -1)
{
closesocket(new_fd);
break;
}
// 開始處理每個新連線上的資料收發
memset(buf, 0, MAXBUF);
strcpy(buf, "[服務端訊息] hello lyshark");
// 發訊息給客戶端
len = SSL_write(ssl, buf, strlen(buf));
if (len <= 0)
{
goto finish;
return 0;
}
memset(buf, 0, MAXBUF);
// 接收客戶端的訊息
len = SSL_read(ssl, buf, MAXBUF);
if (len > 0)
{
printf("[接收到客戶端訊息] => %s \n", buf);
}
// 關閉套接字連線
finish:
SSL_shutdown(ssl);
SSL_free(ssl);
closesocket(new_fd);
}
closesocket(sockfd);
WSACleanup();
SSL_CTX_free(ctx);
system("pause");
return 0;
}
客戶端實現程式碼同樣與原生套接字程式設計保持一致,如下是完整程式碼,讀者可以發現當使用connect
連線到服務端後,依然呼叫了SSL_connect
函式,此處的函式功能是在服務端下載證書資訊,並完成證書通訊驗證,當驗證實現後,則讀者就可以向原生套接字那樣去運算元據包的流向了。
#include <WinSock2.h>
#include <iostream>
#include <string.h>
#include <errno.h>
#include <stdlib.h>
#include <openssl/bio.h>
#include <openssl/err.h>
#include <openssl/ssl.h>
#include <openssl/pem.h>
#include <openssl/crypto.h>
extern "C"
{
#include <openssl/applink.c>
}
#pragma comment(lib, "WS2_32.lib")
#pragma comment(lib,"libssl.lib")
#pragma comment(lib,"libcrypto.lib")
#define MAXBUF 1024
void ShowCerts(SSL* ssl)
{
X509* cert;
char* line;
cert = SSL_get_peer_certificate(ssl);
if (cert != NULL)
{
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("[+] 證書: %s \n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("[+] 頒發者: %s \n", line);
free(line);
X509_free(cert);
}
else
{
printf("[-] 無證書資訊 \n");
}
}
int main(int argc, char** argv)
{
int sockfd, len;
struct sockaddr_in dest;
char buffer[MAXBUF + 1] = { 0 };
SSL_CTX* ctx;
SSL* ssl;
// SSL庫初始化
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
// 建立CTX上下文
ctx = SSL_CTX_new(SSLv23_client_method());
if (ctx == NULL)
{
WSACleanup();
return 0;
}
// 建立Socket
WSADATA wsaData;
WSAStartup(MAKEWORD(2, 2), &wsaData);
if (LOBYTE(wsaData.wVersion) != 2 || HIBYTE(wsaData.wVersion) != 2)
{
WSACleanup();
return 0;
}
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
{
WSACleanup();
return 0;
}
// 初始化伺服器端(對方)的地址和埠資訊
dest.sin_family = AF_INET;
dest.sin_addr.s_addr = inet_addr("127.0.0.1");
dest.sin_port = htons(9999);
// 連線伺服器
if (connect(sockfd, (struct sockaddr*)&dest, sizeof(dest)) != 0)
{
WSACleanup();
return 0;
}
// 基於ctx產生一個新的SSL
ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
// 建立 SSL 連線
if (SSL_connect(ssl) != -1)
{
printf("[+] SSL連線型別: %s \n", SSL_get_cipher(ssl));
ShowCerts(ssl);
}
//接收伺服器來的訊息 最多接收MAXBUF位元組
len = SSL_read(ssl, buffer, MAXBUF);
if (len > 0)
{
printf("接收訊息: %s --> 共 %d 位元組 \n", buffer, len);
}
else
{
goto finish;
}
memset(buffer, 0, MAXBUF);
strcpy(buffer, "[客戶端訊息] hello Shark");
// 發訊息給伺服器
len = SSL_write(ssl, buffer, strlen(buffer));
if (len > 0)
{
printf("[+] 傳送成功 \n");
}
finish:
// 關閉連線
SSL_shutdown(ssl);
SSL_free(ssl);
closesocket(sockfd);
SSL_CTX_free(ctx);
system("pause");
return 0;
}
至此讀者可以分別編譯服務端與客戶端程式,並首先執行服務端偵聽套接字,接著執行客戶端,此時即可看到如下圖所示的通訊流程,至此兩者的通訊資料包將被加密傳輸,從而保證了資料的安全性。