码迷,mamicode.com
首页 > 其他好文 > 详细

2018-2019-1 20165212 实验五 通讯协议设计

时间:2018-12-16 14:42:04      阅读:173      评论:0      收藏:0      [点我收藏+]

标签:封装   bind   stdio.h   src   作用   用户   .so   简单介绍   系统   

2018-2019-1 20165212 实验五 通讯协议设计

OpenSSL简介

OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。

1.基本功能

OpenSSL整个软件包大概可以分成三个主要的功能部分:

  • 密码算法库
  • SSL协议库
  • 应用程序

OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

2.辅助功能   BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。

  OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。

  OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。

证书

证书就是数字化的文件,里面有一个实体(网站、个人等)的公共密钥和其他的属性,如名称等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。证书用来保证不对称加密算法的合理性。

我们现在常用的证书是采用X.509结构的,这是一个国际标准证书结构。任何遵循该标准的应用程序都可以读写X509结构的证书。通过检查证书里面的CA的名字,和CA的签名,就知道这个证书的确是由该CA签发的,然后,你就可以简单证书里面的接收证书者的名字,然后提取公共密钥。这样做建立的基础是,你信任该CA,认为该CA没有颁发错误的证书。

常用指令

openssl有众多子命令,分为三类:

  • 标准命令
  • 消息摘要(dgst子命令)
  • 加密命令(enc子命令) 详细的命令总结可以参考:OpenSSL简介,这里以一个命令为例进行简单介绍。

先生成自己的私有密钥文件,比如叫server.key:

 openssl genrsa -des3 -out server.key 1024 

genras表示生成RSA私有密钥文件,-des3表示用DES3加密该文件,1024是我们的key的长度。基于现在的计算机速度而言,一般用512就可以了,784可用于商业行为,1024可以用于军事用途了。生成server.key的时候会要求输入密码,这个密钥用来保护server.key文件,这样即使server.key文件被窃取,也打不开,拿不到私钥。

 openssl rsa -noout -text -in server.key 

如果你觉得server.key的保护密码太麻烦想去掉的话:

 openssl rsa -in server.key -out server.key.unsecure (不过不推荐这么做)

下一步要得到证书了。得到证书之前我们要生成一个Certificate Signing Request。CA只对CSR进行处理。

 openssl req -new -key server.key -out server.csr 

生成CSR的时候屏幕上将有提示,依照其指示一步一步输入要求的信息即可。生成的csr文件交给CA签名后形成服务端自己的证书。

任务一 Linux下OpenSSL的安装与测试

安装步骤1 :再linux终端中输入$ git clone git://git.openssl.org/openssl.git 直接下载OpenSSL(不是压缩包)

安装步骤2:依次输入

  • $ ./config
  • $ make
  • $ make test
  • $ make install

然后就装好了 测试步骤1:编辑测试代码test_openssl.c

#include <stdio.h>
 #include <openssl/evp.h>

int main(){
    OpenSSL_add_all_algorithms();
    return 0;
}

测试步骤2:

  • 输入 gcc -o testopenssl testopenssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread  编译,会提示:test_openssl.c:(.text+0xf):对‘OPENSSLinitcrypto’未定义的引用,
  • 问题原因:代码中用到的库函数系统没有在制定目录下找到,使用的该库函数在“libcrypto.a”和“libssl.a”中,找到文件放进指定目录即可(详细参见gcc -I指令、gcc -L指令和https://www.cnblogs.com/MaAce/p/7999795.html)
  • 解决方法:将“openssl-master”文件夹下的“libcrypto.a”和“libssl.a”放在/usr/local/ssl/lib目录下(如果/usr/local/ssl下没有lib文件夹就自己sudo mkdir创建一个lib文件夹,然后使用命令行移动这两个文件),编译时链接这个目录即可。 技术分享图片
  • 运行截图: 
  • 技术分享图片

任务二——混合密码系统防护

混合密码系统介绍

 技术分享图片

  • OpenSSL流程
    • 初始化
    • 选择会话协议和创建会话环境
    • 建立SSL套接字
    • 完成SSL握手
    • 从SSL套接字中提取对方的证书信息
    • 数据传输
    • 结束SSL通信

OpenSSL应用编程框架 Server端:

ctx = SSL_CTX_new (SSLv23_server_method());
ssl = SSL_new (ctx);
fd = socket ();
bind ();
listen ();
accept ();
SSL_set_fd (ssl, fd);
SSL_accept (ssl);
SSL_read ();

 

Client端:

ctx = SSL_CTX_new (SSLv23_client_method());
ssl = SSL_new (ctx);
fd = socket ();
connect ();
SSL_set_fd (ssl, fd);
SSL_connect (ssl);
SSL_write ();

 

实验代码

server.c:

#include <stdio.h>
  #include <stdlib.h>
  #include <errno.h>
  #include <string.h>
  #include <sys/types.h>
  #include <netinet/in.h>
  #include <sys/socket.h>
  #include <sys/wait.h>
  #include <unistd.h>
  #include <arpa/inet.h>
  #include <openssl/ssl.h>
  #include <openssl/err.h>
  #include <openssl/evp.h>


  #define MAXBUF 1024

  int main(int argc, char **argv)
  {
  int sockfd, new_fd;
  socklen_t len;
  struct sockaddr_in my_addr, their_addr;
  unsigned int myport, lisnum;
  char buf[MAXBUF + 1];
  SSL_CTX *ctx;

  if (argv[1])
  myport = atoi(argv[1]);
  else
  myport = 7838;

  if (argv[2])
  lisnum = atoi(argv[2]);
  else
  lisnum = 2;

  /* SSL 库初始化 */
  SSL_library_init();
  /* 载入所有 SSL 算法 */
  OpenSSL_add_all_algorithms();
  /* 载入所有 SSL 错误消息 */
  SSL_load_error_strings();
  /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
  ctx = SSL_CTX_new(SSLv23_server_method());
  /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
  if (ctx == NULL) {
  ERR_print_errors_fp(stdout);
  exit(1);
  }
  /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
  if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
  ERR_print_errors_fp(stdout);
  exit(1);
  }
  /* 载入用户私钥 */
  if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){
  ERR_print_errors_fp(stdout);
  exit(1);
  }
  /* 检查用户私钥是否正确 */
  if (!SSL_CTX_check_private_key(ctx)) {
  ERR_print_errors_fp(stdout);
  exit(1);
  }

  /* 开启一个 socket 监听 */
  if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
  perror("socket");
  exit(1);
  } else
  printf("socket created\n");

  bzero(&my_addr, sizeof(my_addr));
  my_addr.sin_family = PF_INET;
  my_addr.sin_port = htons(myport);
  my_addr.sin_addr.s_addr = INADDR_ANY;

  if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
  == -1) {
  perror("bind");
  exit(1);
  } else
  printf("binded\n");

  if (listen(sockfd, lisnum) == -1) {
  perror("listen");
  exit(1);
  } else
  printf("begin listen\n");

  while (1) {
  SSL *ssl;
  len = sizeof(struct sockaddr);
  /* 等待客户端连上来 */
  if ((new_fd =
   accept(sockfd, (struct sockaddr *) &their_addr,
  &len)) == -1) {
  perror("accept");
  exit(errno);
  } else
  printf("server: got connection from %s, port %d, socket %d\n",
 inet_ntoa(their_addr.sin_addr),
 ntohs(their_addr.sin_port), new_fd);

  /* 基于 ctx 产生一个新的 SSL */
  ssl = SSL_new(ctx);
  /* 将连接用户的 socket 加入到 SSL */
  SSL_set_fd(ssl, new_fd);
  /* 建立 SSL 连接 */
  if (SSL_accept(ssl) == -1) {
  perror("accept");
  close(new_fd);
  break;
  }

  /* 开始处理每个新连接上的数据收发 */
  bzero(buf, MAXBUF + 1);
  strcpy(buf, "server->client");
  /* 发消息给客户端 */
  len = SSL_write(ssl, buf, strlen(buf));

  if (len <= 0) {
  printf
  ("‘%s‘发送失败!错误代码:%d,错误信息:‘%s‘\n",
   buf, errno, strerror(errno));
  goto finish;
  } else
  printf("‘%s‘发送成功!共发送%d个字节!\n",
 buf, len);

  bzero(buf, MAXBUF + 1);
  /* 接收客户端的消息 */
  len = SSL_read(ssl, buf, MAXBUF);
  if (len > 0)
  printf("‘%s‘接收成功!共接收%d个字节的数据!\n",
 buf, len);
  else
  printf
  ("接收失败!错误代码:%d,错误信息:‘%s‘\n",
   errno, strerror(errno));
  /* 处理每个新连接上的数据收发结束 */
finish:
  /* 关闭 SSL 连接 */
  SSL_shutdown(ssl);
  /* 释放 SSL */
  SSL_free(ssl);
  /* 关闭 socket */
  close(new_fd);
  }
  /* 关闭监听的 socket */
  close(sockfd);
  /* 释放 CTX */
  SSL_CTX_free(ctx);
  return 0;
}

 

client.c:

#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <openssl/evp.h>


#define MAXBUF 1024

int main(int argc, char **argv)
{
  int sockfd, new_fd;
  socklen_t len;
  struct sockaddr_in my_addr, their_addr;
  unsigned int myport, lisnum;
  char buf[MAXBUF + 1];
  SSL_CTX *ctx;

  if (argv[1])
      myport = atoi(argv[1]);
  else
      myport = 7838;

  if (argv[2])
      lisnum = atoi(argv[2]);
  else
      lisnum = 2;

  /* SSL 库初始化 */
  SSL_library_init();
  /* 载入所有 SSL 算法 */
  OpenSSL_add_all_algorithms();
  /* 载入所有 SSL 错误消息 */
  SSL_load_error_strings();
  /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
  ctx = SSL_CTX_new(SSLv23_server_method());
  /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
  if (ctx == NULL) {
      ERR_print_errors_fp(stdout);
      exit(1);
  }
  /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
  if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
      ERR_print_errors_fp(stdout);
      exit(1);
  }
  /* 载入用户私钥 */
  if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){
      ERR_print_errors_fp(stdout);
      exit(1);
  }
  /* 检查用户私钥是否正确 */
  if (!SSL_CTX_check_private_key(ctx)) {
      ERR_print_errors_fp(stdout);
      exit(1);
  }

  /* 开启一个 socket 监听 */
  if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
      perror("socket");
      exit(1);
  } else
      printf("socket created\n");

  bzero(&my_addr, sizeof(my_addr));
  my_addr.sin_family = PF_INET;
  my_addr.sin_port = htons(myport);
  my_addr.sin_addr.s_addr = INADDR_ANY;

  if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
      == -1) {
      perror("bind");
      exit(1);
  } else
      printf("binded\n");

  if (listen(sockfd, lisnum) == -1) {
      perror("listen");
      exit(1);
  } else
      printf("begin listen\n");

  while (1) {
      SSL *ssl;
      len = sizeof(struct sockaddr);
      /* 等待客户端连上来 */
      if ((new_fd =
           accept(sockfd, (struct sockaddr *) &their_addr,
                  &len)) == -1) {
          perror("accept");
          exit(errno);
      } else
          printf("server: got connection from %s, port %d, socket %d\n",
                 inet_ntoa(their_addr.sin_addr),
                 ntohs(their_addr.sin_port), new_fd);

      /* 基于 ctx 产生一个新的 SSL */
      ssl = SSL_new(ctx);
      /* 将连接用户的 socket 加入到 SSL */
      SSL_set_fd(ssl, new_fd);
      /* 建立 SSL 连接 */
      if (SSL_accept(ssl) == -1) {
          perror("accept");
          close(new_fd);
          break;
      }

      /* 开始处理每个新连接上的数据收发 */
      bzero(buf, MAXBUF + 1);
      strcpy(buf, "server->client");
      /* 发消息给客户端 */
      len = SSL_write(ssl, buf, strlen(buf));

      if (len <= 0) {
          printf
              ("‘%s‘发送失败!错误代码:%d,错误信息:‘%s‘\n",
               buf, errno, strerror(errno));
          goto finish;
      } else
          printf("‘%s‘发送成功!共发送%d个字节!\n",
                 buf, len);

      bzero(buf, MAXBUF + 1);
      /* 接收客户端的消息 */
      len = SSL_read(ssl, buf, MAXBUF);
      if (len > 0)
          printf("‘%s‘接收成功!共接收%d个字节的数据!\n",
                 buf, len);
      else
          printf
              ("接收失败!错误代码:%d,错误信息:‘%s‘\n",
               errno, strerror(errno));
      /* 处理每个新连接上的数据收发结束 */
    finish:
      /* 关闭 SSL 连接 */
      SSL_shutdown(ssl);
      /* 释放 SSL */
      SSL_free(ssl);
      /* 关闭 socket */
      close(new_fd);
  }
  /* 关闭监听的 socket */
  close(sockfd);
  /* 释放 CTX */
  SSL_CTX_free(ctx);
  return 0;
}

 

操作步骤1:使用上述代码穿件client.c和server.c 操作步骤2: - 编译: - gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread - gcc -o client client.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread

  • 生产私钥和证书
    • openssl genrsa -out privkey.pem 1024
      openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
    •  技术分享图片
    • 技术分享图片
  • 运行客户端和服务器
    • ./server 7838 1 CAcert.pem privkey.pem
      ./client 127.0.0.1 7838
    • 运行sever时可能会报错:error: while loading shared libraries:lib.so.1.1:cannot open shared object file:No such file or directory
      • 原因:ld链接器在默认路径/usr/lib和/usr/lib32中找不到库文件lib.so.1.1和libcrypto.so.1.1(详细参见“ld链接器”)
      • 解决方法:找到这两个文件将其复制到这两个文件夹下,或使用ln -s命令建立同步链接

运行截图:

技术分享图片

2018-2019-1 20165212 实验五 通讯协议设计

标签:封装   bind   stdio.h   src   作用   用户   .so   简单介绍   系统   

原文地址:https://www.cnblogs.com/FenixRen/p/10126269.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!