基于openssl实现https双向身份认证及安全通信
openssl
传输层安全性/安全套接层及其加密库
项目地址:https://gitcode.com/gh_mirrors/ope/openssl
免费下载资源
·
一.概述
https基于SSL/TLS提供安全的通信信道,基于证书认证技术实现服务器和客户端之间的身份认证,确保了通信双方身份的可信。另外在双方完成身份认证之后协商出通信密钥,对通信过程中的数据进行加密,采用密文传输的方式进行通信,确保通信过程数据的隐私安全性。
openssl工具提供了强大的证书及密码学运算支持,可以很好的实现对证书的操作以及加密处理。本文基于openssl所提供的库函数实现server和client双方的身份认证,并实现https安全通信。完成通信双方的身份认证需要为server和client颁发数字证书,openssl提供了相关操作可以完成自建CA以及证书颁发,详情请见之前的博客:
基于openssl完成自建CA以及证书颁发
以下会设计ssl_server.c及ssl_ckient.c程序,分别实现服务端和客户端的程序,其中身份认证的流程及可靠通信代码设计关键点如下:
1.服务端和客户端分别选中各自信任的CA,就是加载CA的证书到程序中。
2.服务端和客户端分别加载自己的证书和私钥,并验证证书和私钥的匹配性。
3.server建立socket接口并与SSL绑定,等待客户端连接。
4.client也建立socket接口并与SSL绑定,请求连接server,并将自己的数字证书发送给server。
5.server收到client的证书后是要加载的CA信息验证client证书,验证失败直接断开连接,验证成功则继续,并将自家的数字证书发送给client。
6.client收到server的数字证书后采用同样的方式验证其证书。
7.双方证书验证通过后顺利建立https连接,可进行socket通信。
二.代码设计
2.1 ssl_server.c程序设计
/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./server 7838 1 server.crt server.key ca.crt
*/
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define OK 0
#define ERR 1
#define MAXBUF 1024
//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
X509 *cert;
char *line;
//获取证书并返回X509操作句柄
cert = SSL_get_peer_certificate(ssl);
// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
// 如果验证不通过,那么程序抛出异常中止连接
if(SSL_get_verify_result(ssl) == X509_V_OK){
printf("收到client X509证书\n");
}
else{
printf("未收到client X509证书\n");
return ERR;
}
if (cert != NULL) {
printf("client数字证书信息:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("证书: %s\n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("颁发者: %s\n\n", line);
free(line);
X509_free(cert);
printf("对client证书验证通过!!!\n");
}
else{
printf("无证书信息,对client证书验证失败!!!\n");
return ERR;
}
return OK;
}
int main(int argc, char **argv)
{
int sockfd, new_fd;
socklen_t len;
struct sockaddr_in my_addr, their_addr;
unsigned int myport, lisnum;
char send_buf[MAXBUF + 1];
char recv_buf[MAXBUF + 1];
SSL_CTX *ctx;
//判断参数个数是否正确
if(argc != 6)
{
printf("usage: %s ser_port lis_num ser_crt ser_key ca_crt\n",argv[0]);
return -1;
}
//获取port端口号,如果没指定则default=7838
if (argv[1])
myport = atoi(argv[1]);
else
myport = 7838;
//设置最大监听数量,如果没有指定则default=2
if (argv[2])
lisnum = atoi(argv[2]);
else
lisnum = 2;
/**************************************第一步:OPENSSL初始化**********************************/
/* SSL 库初始化 */
SSL_library_init();
/* 载入所有 SSL 算法 */
OpenSSL_add_all_algorithms();
/* 载入所有 SSL 错误消息 */
SSL_load_error_strings();
/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
ctx = SSL_CTX_new(SSLv23_server_method());
/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
// 双向验证
// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
// 设置信任根证书
if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户私钥 */
if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 检查用户私钥是否正确 */
if (!SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stdout);
exit(1);
}
/**************************************第二步:普通socket建立连接*******************************/
/* 开启一个 socket 监听 */
if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
perror("socket");
exit(1);
} else
printf("socket created success!\n");
bzero(&my_addr, sizeof(my_addr));
my_addr.sin_family = PF_INET;
my_addr.sin_port = htons(myport);
my_addr.sin_addr.s_addr = INADDR_ANY;
if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {
perror("bind");
exit(1);
} else
printf("binded success!\n");
if (listen(sockfd, lisnum) == -1) {
perror("listen");
exit(1);
} else
printf("begin listen,waitting for client connect...\n");
SSL *ssl;
len = sizeof(struct sockaddr);
/* 等待客户端连上来 */
if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))
== -1) {
perror("accept");
exit(errno);
} else
printf("server: got connection from %s, port %d, socket %d\n",
inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),
new_fd);
/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
/* 基于 ctx 产生一个新的 SSL */
ssl = SSL_new(ctx);
/* 将连接用户的 socket 加入到 SSL */
SSL_set_fd(ssl, new_fd);
/* 建立 SSL 连接 */
if (SSL_accept(ssl) == -1) {
perror("accept");
printf("SSL 连接失败!\n");
close(new_fd);
goto end;
}
/**************************************第四步:验证client客户端的证书*******************************/
if(ShowCerts(ssl) == ERR)goto end;
/**************************************第五步:https进行收发数据*******************************/
while(1)
{
/* SSL_read接收客户端的消息 */
printf("等待客户端发送过来的消息:\n");
len = SSL_read(ssl, recv_buf, MAXBUF);
if (len > 0)
printf("接收client消息成功:'%s',共%d个字节的数据\n", recv_buf, len);
else{
printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
break; //退出通信
}
memset(recv_buf,0,sizeof(recv_buf)); //清空接收缓存区
/* SSL_write发消息给客户端 */
printf("请输入要发送给客户端的内容:\n");
scanf("%s",send_buf);
if(!strncmp(send_buf,"+++",3))break; //收到+++表示退出
len = SSL_write(ssl, send_buf, strlen(send_buf));
if (len <= 0) {
printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", send_buf, errno,strerror(errno));
break;
} else
printf("消息'%s'发送成功,共发送了%d个字节!\n", send_buf, len);
memset(send_buf,0,sizeof(send_buf)); //清空接收缓存区
}
/**************************************第六步:关闭连接及资源清理*******************************/
/* 处理每个新连接上的数据收发结束 */
end:
/* 关闭 SSL 连接 */
SSL_shutdown(ssl);
/* 释放 SSL */
SSL_free(ssl);
/* 关闭 socket */
close(new_fd);
/* 关闭监听的 socket */
close(sockfd);
/* 释放 CTX */
SSL_CTX_free(ctx);
return 0;
}
2.2 ssl_client.c程序设计
/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./client 127.0.0.1 7838 client.crt client.key ca.crt
*/
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define OK 0
#define ERR 1
#define MAXBUF 1024
#define CACERT "ca.crt" //定义CA根证书存放路径
//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
X509 *cert;
char *line;
cert = SSL_get_peer_certificate(ssl);
// SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
// 如果验证不通过,那么程序抛出异常中止连接
if(SSL_get_verify_result(ssl) == X509_V_OK){
printf("收到server X509证书\n");
}
else{
printf("未收到server X509证书\n");
return ERR;
}
if (cert != NULL) {
printf("server数字证书信息:\n");
line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
printf("证书: %s\n", line);
free(line);
line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
printf("颁发者: %s\n\n", line);
free(line);
X509_free(cert);
printf("对server证书验证通过!!!\n");
}
else{
printf("无证书信息,对server证书验证失败!!!\n");
return ERR;
}
return OK;
}
int main(int argc, char **argv)
{
int sockfd, len;
struct sockaddr_in dest;
char send_buffer[MAXBUF + 1];
char recv_buffer[MAXBUF + 1];
SSL_CTX *ctx;
SSL *ssl;
//判断参数个数是否正确
if(argc != 6)
{
printf("usage: %s ser_ip ser_port cli_crt cli_key ca_crt\n",argv[0]);
return -1;
}
// if (argc != 5) {
// printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"
// "IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",
// argv[0], argv[0]);
// exit(0);
// }
/**************************************第一步:OPENSSL初始化**********************************/
/* SSL 库初始化,参看 ssl-server.c 代码 */
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
ctx = SSL_CTX_new(SSLv23_client_method());
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
// 双向验证
// SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
// SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
// 设置信任根证书
if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户私钥 */
if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 检查用户私钥是否正确 */
if (!SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stdout);
exit(1);
}
/**************************************第二步:普通socket建立连接*******************************/
/* 创建一个 socket 用于 tcp 通信 */
if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
perror("Socket");
exit(errno);
}
printf("socket created success!\n");
/* 初始化服务器端(对方)的地址和端口信息 */
bzero(&dest, sizeof(dest));
dest.sin_family = AF_INET;
dest.sin_port = htons(atoi(argv[2]));
if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
perror(argv[1]);
exit(errno);
}
printf("address created success!\n");
/* 连接服务器 */
if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
perror("Connect ");
exit(errno);
}
printf("server connected success!\n");
/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
/* 基于 ctx 产生一个新的 SSL */
ssl = SSL_new(ctx);
SSL_set_fd(ssl, sockfd);
/* 建立 SSL 连接 */
if (SSL_connect(ssl) == -1)
{
ERR_print_errors_fp(stderr);
printf("SSL 连接失败!\n");
goto end;
}
else {
printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
/**************************************第四步:验证server服务端的证书*******************************/
if(ShowCerts(ssl) == ERR)goto end;
}
/**************************************第五步:https进行收发数据*******************************/
//下面客户端和服务器互相收发
while(1)
{
//使用SSL_write函数发送数据
printf("请输入要发送给服务器的内容:\n");
scanf("%s",send_buffer);
if(!strncmp(send_buffer,"+++",3))break; //收到+++表示退出
/* 发消息给服务器 */
len = SSL_write(ssl, send_buffer, strlen(send_buffer));
if (len < 0)
printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",send_buffer, errno, strerror(errno));
else
printf("消息'%s'发送成功,共发送了%d个字节!\n",send_buffer, len);
memset(send_buffer,0,sizeof(send_buffer)); //清空接收缓存区
/* 使用SSL_read函数接收数据,接收对方发过来的消息,最多接收 MAXBUF 个字节 */
len = SSL_read(ssl, recv_buffer, MAXBUF);
if (len > 0)
printf("接收消息成功:'%s',共%d个字节的数据\n",recv_buffer, len);
else
{
printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
break;
}
memset(recv_buffer,0,sizeof(recv_buffer)); //清空接收缓存区
}
/**************************************第六步:关闭连接及资源清理*******************************/
end:
/* 关闭连接 */
SSL_shutdown(ssl);
SSL_free(ssl);
close(sockfd);
SSL_CTX_free(ctx);
return 0;
}
三.测试
1.首先确保openssl工具安装成功。
2.编译:
gcc ssl_server.c -o server -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -lssl -lcrypto -ldl -lcurses
3.server服务端运行:
./server 7838 1 server.crt server.key ca.crt
其中7838表示server的端口号;1表示socket listen的数量;server.crt表示server证书存放路径;server.key表示server私钥存放路径;ca.crt表示CA根证书存放路径。
4.client客户端运行:
./client 127.0.0.1 7838 client.crt client.key ca.crt
其中127.0.0.1表示server的ip地址;7838表示server的端口号;client.crt表示client证书存放路径;client.key表示client私钥存放路径;ca.crt表示CA根证书存放路径。
5.执行结果
server端:
client端:
四. 感谢支持
完结撒花!密码学实属复杂深奥的问题,不仅在原理上难以理解,在代码实现上更是难的一批,写这篇文章花了我很大精力。希望看到这里的小伙伴能点个关注,我后续会持续更新更多关于密码学原理分析和实现,也欢迎大家广泛交流。
码字实属不易,如果本文对你有10分帮助,就赏个10分把,感谢各位大佬支持!
GitHub 加速计划 / ope / openssl
25.13 K
9.99 K
下载
传输层安全性/安全套接层及其加密库
最近提交(Master分支:1 个月前 )
fd39d1c8
Reviewed-by: Tomas Mraz <tomas@openssl.org>
Reviewed-by: Shane Lontis <shane.lontis@oracle.com>
(Merged from https://github.com/openssl/openssl/pull/25095)
3 个月前
ae87c488
Reviewed-by: Tomas Mraz <tomas@openssl.org>
Reviewed-by: Shane Lontis <shane.lontis@oracle.com>
(Merged from https://github.com/openssl/openssl/pull/25095)
3 个月前
旨在为数千万中国开发者提供一个无缝且高效的云端环境,以支持学习、使用和贡献开源项目。
更多推荐
8
0- 0
已为社区贡献4条内容
所有评论(0)