2018-2019-1 20165212 實驗五 通訊協議設計
阿新 • • 發佈:2018-12-16
2018-2019-1 20165212 實驗五 通訊協議設計
OpenSSL簡介
OpenSSL是為網路通訊提供安全及資料完整性的一種安全協議,囊括了主要的密碼演算法、常用的金鑰和證書封裝管理功能以及SSL協議,並提供了豐富的應用程式供測試或其它目的使用。
OpenSSL是一個強大的安全套接字層密碼庫,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不應該只將其作為一個庫來使用,它還是一個多用途的、跨平臺的密碼工具。
1.基本功能
OpenSSL整個軟體包大概可以分成三個主要的功能部分:
- 密碼演算法庫
- SSL協議庫
- 應用程式
OpenSSL的目錄結構自然也是圍繞這三個功能部分進行規劃的。
作為一個基於密碼學的安全開發包,OpenSSL提供的功能相當強大和全面,囊括了主要的密碼演算法、常用的金鑰和證書封裝管理功能以及SSL協議,並提供了豐富的應用程式供測試或其它目的使用。
2.輔助功能 BIO機制是OpenSSL提供的一種高層IO介面,該介面封裝了幾乎所有型別的IO介面,如記憶體訪問、檔案訪問以及Socket等。這使得程式碼的重用性大幅度提高,OpenSSL提供API的複雜性也降低了很多。
OpenSSL對於隨機數的生成和管理也提供了一整套的解決方法和支援API函式。隨機數的好壞是決定一個金鑰是否安全的重要前提。
OpenSSL還提供了其它的一些輔助功能,如從口令生成金鑰的API,證書籤發和管理中的配置檔案機制等等。
證書
證書就是數字化的檔案,裡面有一個實體(網站、個人等)的公共金鑰和其他的屬性,如名稱等。該公共金鑰只屬於某一個特定的實體,它的作用是防止一個實體假裝成另外一個實體。證書用來保證不對稱加密演算法的合理性。
我們現在常用的證書是採用X.509結構的,這是一個國際標準證書結構。任何遵循該標準的應用程式都可以讀寫X509結構的證書。通過檢查證書裡面的CA的名字,和CA的簽名,就知道這個證書的確是由該CA簽發的,然後,你就可以簡單證書裡面的接收證書者的名字,然後提取公共金鑰。這樣做建立的基礎是,你信任該CA,認為該CA沒有頒發錯誤的證書。
常用指令
openssl有眾多子命令,分為三類:
- 標準命令
- 訊息摘要(dgst子命令)
- 加密命令(enc子命令) 詳細的命令總結可以參考:OpenSSL簡介,這裡以一個命令為例進行簡單介紹。
先生成自己的私有金鑰檔案,比如叫server.key:
openssl genrsa -des3 -out server.key 1024
genras表示生成RSA私有金鑰檔案,-des3表示用DES3加密該檔案,1024是我們的key的長度。基於現在的計算機速度而言,一般用512就可以了,784可用於商業行為,1024可以用於軍事用途了。生成server.key的時候會要求輸入密碼,這個金鑰用來保護server.key檔案,這樣即使server.key檔案被竊取,也打不開,拿不到私鑰。
openssl rsa -noout -text -in server.key
如果你覺得server.key的保護密碼太麻煩想去掉的話:
openssl rsa -in server.key -out server.key.unsecure (不過不推薦這麼做)
下一步要得到證書了。得到證書之前我們要生成一個Certificate Signing Request。CA只對CSR進行處理。
openssl req -new -key server.key -out server.csr
生成CSR的時候螢幕上將有提示,依照其指示一步一步輸入要求的資訊即可。生成的csr檔案交給CA簽名後形成服務端自己的證書。
任務一 Linux下OpenSSL的安裝與測試
安裝步驟1 :再linux終端中輸入$ git clone git://git.openssl.org/openssl.git 直接下載OpenSSL(不是壓縮包)
安裝步驟2:依次輸入
- $ ./config
- $ make
- $ make test
- $ make install
然後就裝好了 測試步驟1:編輯測試程式碼test_openssl.c
#include <stdio.h> #include <openssl/evp.h> int main(){ OpenSSL_add_all_algorithms(); return 0; }
測試步驟2:
- 輸入 gcc -o testopenssl testopenssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread 編譯,會提示:test_openssl.c:(.text+0xf):對‘OPENSSLinitcrypto’未定義的引用,
- 問題原因:程式碼中用到的庫函式系統沒有在制定目錄下找到,使用的該庫函式在“libcrypto.a”和“libssl.a”中,找到檔案放進指定目錄即可(詳細參見gcc -I指令、gcc -L指令和https://www.cnblogs.com/MaAce/p/7999795.html)
- 解決方法:將“openssl-master”資料夾下的“libcrypto.a”和“libssl.a”放在/usr/local/ssl/lib目錄下(如果/usr/local/ssl下沒有lib資料夾就自己sudo mkdir建立一個lib資料夾,然後使用命令列移動這兩個檔案),編譯時連結這個目錄即可。
- 執行截圖:
任務二——混合密碼系統防護
混合密碼系統介紹
- OpenSSL流程
- 初始化
- 選擇會話協議和建立會話環境
- 建立SSL套接字
- 完成SSL握手
- 從SSL套接字中提取對方的證書資訊
- 資料傳輸
- 結束SSL通訊
OpenSSL應用程式設計框架 Server端:
ctx = SSL_CTX_new (SSLv23_server_method()); ssl = SSL_new (ctx); fd = socket (); bind (); listen (); accept (); SSL_set_fd (ssl, fd); SSL_accept (ssl); SSL_read ();
Client端:
ctx = SSL_CTX_new (SSLv23_client_method()); ssl = SSL_new (ctx); fd = socket (); connect (); SSL_set_fd (ssl, fd); SSL_connect (ssl); SSL_write ();
實驗程式碼
server.c:
#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <unistd.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h> #include <openssl/evp.h> #define MAXBUF 1024 int main(int argc, char **argv) { int sockfd, new_fd; socklen_t len; struct sockaddr_in my_addr, their_addr; unsigned int myport, lisnum; char buf[MAXBUF + 1]; SSL_CTX *ctx; if (argv[1]) myport = atoi(argv[1]); else myport = 7838; if (argv[2]) lisnum = atoi(argv[2]); else lisnum = 2; /* SSL 庫初始化 */ SSL_library_init(); /* 載入所有 SSL 演算法 */ OpenSSL_add_all_algorithms(); /* 載入所有 SSL 錯誤訊息 */ SSL_load_error_strings(); /* 以 SSL V2 和 V3 標準相容方式產生一個 SSL_CTX ,即 SSL Content Text */ ctx = SSL_CTX_new(SSLv23_server_method()); /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標準 */ if (ctx == NULL) { ERR_print_errors_fp(stdout); exit(1); } /* 載入使用者的數字證書, 此證書用來發送給客戶端。 證書裡包含有公鑰 */ if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) { ERR_print_errors_fp(stdout); exit(1); } /* 載入使用者私鑰 */ if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ ERR_print_errors_fp(stdout); exit(1); } /* 檢查使用者私鑰是否正確 */ if (!SSL_CTX_check_private_key(ctx)) { ERR_print_errors_fp(stdout); exit(1); } /* 開啟一個 socket 監聽 */ if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) { perror("socket"); exit(1); } else printf("socket created\n"); bzero(&my_addr, sizeof(my_addr)); my_addr.sin_family = PF_INET; my_addr.sin_port = htons(myport); my_addr.sin_addr.s_addr = INADDR_ANY; if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr)) == -1) { perror("bind"); exit(1); } else printf("binded\n"); if (listen(sockfd, lisnum) == -1) { perror("listen"); exit(1); } else printf("begin listen\n"); while (1) { SSL *ssl; len = sizeof(struct sockaddr); /* 等待客戶端連上來 */ if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len)) == -1) { perror("accept"); exit(errno); } else printf("server: got connection from %s, port %d, socket %d\n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd); /* 基於 ctx 產生一個新的 SSL */ ssl = SSL_new(ctx); /* 將連線使用者的 socket 加入到 SSL */ SSL_set_fd(ssl, new_fd); /* 建立 SSL 連線 */ if (SSL_accept(ssl) == -1) { perror("accept"); close(new_fd); break; } /* 開始處理每個新連線上的資料收發 */ bzero(buf, MAXBUF + 1); strcpy(buf, "server->client"); /* 發訊息給客戶端 */ len = SSL_write(ssl, buf, strlen(buf)); if (len <= 0) { printf ("'%s'傳送失敗!錯誤程式碼:%d,錯誤資訊:'%s'\n", buf, errno, strerror(errno)); goto finish; } else printf("'%s'傳送成功!共傳送%d個位元組!\n", buf, len); bzero(buf, MAXBUF + 1); /* 接收客戶端的訊息 */ len = SSL_read(ssl, buf, MAXBUF); if (len > 0) printf("'%s'接收成功!共接收%d個位元組的資料!\n", buf, len); else printf ("接收失敗!錯誤程式碼:%d,錯誤資訊:'%s'\n", errno, strerror(errno)); /* 處理每個新連線上的資料收發結束 */ finish: /* 關閉 SSL 連線 */ SSL_shutdown(ssl); /* 釋放 SSL */ SSL_free(ssl); /* 關閉 socket */ close(new_fd); } /* 關閉監聽的 socket */ close(sockfd); /* 釋放 CTX */ SSL_CTX_free(ctx); return 0; }
client.c:
#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <unistd.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h> #include <openssl/evp.h> #define MAXBUF 1024 int main(int argc, char **argv) { int sockfd, new_fd; socklen_t len; struct sockaddr_in my_addr, their_addr; unsigned int myport, lisnum; char buf[MAXBUF + 1]; SSL_CTX *ctx; if (argv[1]) myport = atoi(argv[1]); else myport = 7838; if (argv[2]) lisnum = atoi(argv[2]); else lisnum = 2; /* SSL 庫初始化 */ SSL_library_init(); /* 載入所有 SSL 演算法 */ OpenSSL_add_all_algorithms(); /* 載入所有 SSL 錯誤訊息 */ SSL_load_error_strings(); /* 以 SSL V2 和 V3 標準相容方式產生一個 SSL_CTX ,即 SSL Content Text */ ctx = SSL_CTX_new(SSLv23_server_method()); /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標準 */ if (ctx == NULL) { ERR_print_errors_fp(stdout); exit(1); } /* 載入使用者的數字證書, 此證書用來發送給客戶端。 證書裡包含有公鑰 */ if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) { ERR_print_errors_fp(stdout); exit(1); } /* 載入使用者私鑰 */ if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ ERR_print_errors_fp(stdout); exit(1); } /* 檢查使用者私鑰是否正確 */ if (!SSL_CTX_check_private_key(ctx)) { ERR_print_errors_fp(stdout); exit(1); } /* 開啟一個 socket 監聽 */ if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) { perror("socket"); exit(1); } else printf("socket created\n"); bzero(&my_addr, sizeof(my_addr)); my_addr.sin_family = PF_INET; my_addr.sin_port = htons(myport); my_addr.sin_addr.s_addr = INADDR_ANY; if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr)) == -1) { perror("bind"); exit(1); } else printf("binded\n"); if (listen(sockfd, lisnum) == -1) { perror("listen"); exit(1); } else printf("begin listen\n"); while (1) { SSL *ssl; len = sizeof(struct sockaddr); /* 等待客戶端連上來 */ if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len)) == -1) { perror("accept"); exit(errno); } else printf("server: got connection from %s, port %d, socket %d\n", inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port), new_fd); /* 基於 ctx 產生一個新的 SSL */ ssl = SSL_new(ctx); /* 將連線使用者的 socket 加入到 SSL */ SSL_set_fd(ssl, new_fd); /* 建立 SSL 連線 */ if (SSL_accept(ssl) == -1) { perror("accept"); close(new_fd); break; } /* 開始處理每個新連線上的資料收發 */ bzero(buf, MAXBUF + 1); strcpy(buf, "server->client"); /* 發訊息給客戶端 */ len = SSL_write(ssl, buf, strlen(buf)); if (len <= 0) { printf ("'%s'傳送失敗!錯誤程式碼:%d,錯誤資訊:'%s'\n", buf, errno, strerror(errno)); goto finish; } else printf("'%s'傳送成功!共傳送%d個位元組!\n", buf, len); bzero(buf, MAXBUF + 1); /* 接收客戶端的訊息 */ len = SSL_read(ssl, buf, MAXBUF); if (len > 0) printf("'%s'接收成功!共接收%d個位元組的資料!\n", buf, len); else printf ("接收失敗!錯誤程式碼:%d,錯誤資訊:'%s'\n", errno, strerror(errno)); /* 處理每個新連線上的資料收發結束 */ finish: /* 關閉 SSL 連線 */ SSL_shutdown(ssl); /* 釋放 SSL */ SSL_free(ssl); /* 關閉 socket */ close(new_fd); } /* 關閉監聽的 socket */ close(sockfd); /* 釋放 CTX */ SSL_CTX_free(ctx); return 0; }
操作步驟1:使用上述程式碼穿件client.c和server.c 操作步驟2: - 編譯: - gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread - gcc -o client client.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread
- 生產私鑰和證書
-
openssl genrsa -out privkey.pem 1024 openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
-
-
- 執行客戶端和伺服器
-
./server 7838 1 CAcert.pem privkey.pem ./client 127.0.0.1 7838
- 執行sever時可能會報錯:error: while loading shared libraries:lib.so.1.1:cannot open shared object file:No such file or directory
- 原因:ld連結器在預設路徑/usr/lib和/usr/lib32中找不到庫檔案lib.so.1.1和libcrypto.so.1.1(詳細參見“ld連結器”)
- 解決方法:找到這兩個檔案將其複製到這兩個資料夾下,或使用ln -s命令建立同步連結
-
執行截圖:
