网络安全传输系统(3)-加密传输
来源:互联网 发布:音频矩阵 线序 编辑:程序博客网 时间:2024/06/05 00:32
1、介绍
网络传输中有很多加密技术,有DES、AES、RSA、SSL等。我们这里采用OpenSSL的开源加密算法。
SSL协议位于TCP/IP协议与各种应用层协议之间,利用数据加密技术,可确保数据在网络上之传输过程中不会被截取及窃听。
SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用.
它的介绍见:http://blog.csdn.net/u013181595/article/details/73199363
2、OpenSSL移植
下载源代码,解压并进入文件夹,在里面创建_install目录
配置OpenSSL库:
#./config no-asm shared --prefix=${PWD}/_install
no-asm表示在编译过程中不要使用汇编代码加快编译过程
如果在X86上运行不需要修改Makefile,如果在ARM上运行需要修改Makefile:
把cc改成arm-linux-gcc
把ar改成arm-linux-ar
把ranlib改成arm-linux-ranlib
把ar改成arm-linux-ar
把ranlib改成arm-linux-ranlib
编译和安装:
#make
#make install
如果需要在开发板上运行需要拷贝_install/lib目录下的库文件到开发板上的lib目录下。
3、OpenSSL编程
头文件:
#include <openssl/err.h>
#include <openssl/ssl.h>
在TCP传输文件框架上,增加OpenSSL加密系统,需要遵循如下的编程步骤
客户机:
#include <openssl/ssl.h>
在TCP传输文件框架上,增加OpenSSL加密系统,需要遵循如下的编程步骤
客户机:
服务器:
(1 ) OpenSSL初始化
在使用OpenSSL之前,必须进行相应的协议初始化工作,这可以通过下面的函数实现:
int SSL_library_int(void);
(2 ) 选择会话协议
在利用OpenSSL开始SSL会话之前,需要为客户端和服务器制定本次会话采用的协议,目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。
需要注意的是,客户端和服务器必须使用相互兼容的协议,否则SSL会话将无法正常进行。
(3 ) 创建会话环境
在OpenSSL中创建的SSL会话环境称为CTX,使用不同的协议会话,其环境也不一样的。
申请SSL会话环境的OpenSSL函数是:
SSL_CTX *SSL_CTX_new(SSL_METHOD * method);
当SSL会话环境申请成功后,还要根据实际的需要设置CTX的属性,通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。
制定证书验证方式的函数是:
int SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int(*verify_callback),int(X509_STORE_CTX *));
为SSL会话环境加载CA证书的函数是:
SSL_CTX_load_verify_location(SSL_CTX *ctx,const char *Cafile,const char *Capath);
为SSL会话加载用户证书的函数是:
SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file,int type);
为SSL会话加载用户私钥的函数是:
SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx,const char* file,int type);
在将证书和私钥加载到SSL会话环境之后,就可以调用下面的函数来验证私钥和证书是否相符:
int SSL_CTX_check_private_key(SSL_CTX *ctx);
(4) 建立SSL套接字
SSL套接字是建立在普通的TCP套接字基础之上,在建立SSL套接字时可以使用下面的一些函数:
SSL *SSl_new(SSL_CTX *ctx);//申请一个SSL套接字
int SSL_set_fd(SSL *ssl,int fd);)//绑定读写套接字
int SSL_set_rfd(SSL *ssl,int fd);//绑定只读套接字
int SSL_set_wfd(SSL *ssl,int fd);//绑定只写套接字
(5) 完成SSL握手
在成功创建SSL套接字后,客户端应使用函数SSL_connect( )替代传统的函数connect( )来完成握手过程:
int SSL_connect(SSL *ssl);
而对服务器来讲,则应使用函数SSL_ accept ( )替代传统的函数accept ( )来完成握手过程:
int SSL_accept(SSL *ssl);
握手过程完成之后,通常需要询问通信双方的证书信息,以便进行相应的验证,这可以借助于下面的函数来实现:
X509 *SSL_get_peer_certificate(SSL *ssl);
该函数可以从SSL套接字中提取对方的证书信息,这些信息已经被SSL验证过了。
X509_NAME *X509_get_subject_name(X509 *a);
该函数得到证书所用者的名字。
(6) 进行数据传输
当SSL握手完成之后,就可以进行安全的数据传输了,在数据传输阶段,需要使用SSL_read( )和SSL_write( )来替代传统的read( )和write( )函数,来完成对套接字的读写操作:
int SSL_read(SSL *ssl,void *buf,int num);
int SSL_write(SSL *ssl,const void *buf,int num);
(7 ) 结束SSL通信
当客户端和服务器之间的数据通信完成之后,调用下面的函数来释放已经申请的SSL资源:
int SSL_shutdown(SSL *ssl);//关闭SSL套接字
void SSl_free(SSL *ssl); //释放SSL套接字
在使用OpenSSL之前,必须进行相应的协议初始化工作,这可以通过下面的函数实现:
int SSL_library_int(void);
(2 ) 选择会话协议
在利用OpenSSL开始SSL会话之前,需要为客户端和服务器制定本次会话采用的协议,目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。
需要注意的是,客户端和服务器必须使用相互兼容的协议,否则SSL会话将无法正常进行。
(3 ) 创建会话环境
在OpenSSL中创建的SSL会话环境称为CTX,使用不同的协议会话,其环境也不一样的。
申请SSL会话环境的OpenSSL函数是:
SSL_CTX *SSL_CTX_new(SSL_METHOD * method);
当SSL会话环境申请成功后,还要根据实际的需要设置CTX的属性,通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。
制定证书验证方式的函数是:
int SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int(*verify_callback),int(X509_STORE_CTX *));
为SSL会话环境加载CA证书的函数是:
SSL_CTX_load_verify_location(SSL_CTX *ctx,const char *Cafile,const char *Capath);
为SSL会话加载用户证书的函数是:
SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file,int type);
为SSL会话加载用户私钥的函数是:
SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx,const char* file,int type);
在将证书和私钥加载到SSL会话环境之后,就可以调用下面的函数来验证私钥和证书是否相符:
int SSL_CTX_check_private_key(SSL_CTX *ctx);
(4) 建立SSL套接字
SSL套接字是建立在普通的TCP套接字基础之上,在建立SSL套接字时可以使用下面的一些函数:
SSL *SSl_new(SSL_CTX *ctx);//申请一个SSL套接字
int SSL_set_fd(SSL *ssl,int fd);)//绑定读写套接字
int SSL_set_rfd(SSL *ssl,int fd);//绑定只读套接字
int SSL_set_wfd(SSL *ssl,int fd);//绑定只写套接字
(5) 完成SSL握手
在成功创建SSL套接字后,客户端应使用函数SSL_connect( )替代传统的函数connect( )来完成握手过程:
int SSL_connect(SSL *ssl);
而对服务器来讲,则应使用函数SSL_ accept ( )替代传统的函数accept ( )来完成握手过程:
int SSL_accept(SSL *ssl);
握手过程完成之后,通常需要询问通信双方的证书信息,以便进行相应的验证,这可以借助于下面的函数来实现:
X509 *SSL_get_peer_certificate(SSL *ssl);
该函数可以从SSL套接字中提取对方的证书信息,这些信息已经被SSL验证过了。
X509_NAME *X509_get_subject_name(X509 *a);
该函数得到证书所用者的名字。
(6) 进行数据传输
当SSL握手完成之后,就可以进行安全的数据传输了,在数据传输阶段,需要使用SSL_read( )和SSL_write( )来替代传统的read( )和write( )函数,来完成对套接字的读写操作:
int SSL_read(SSL *ssl,void *buf,int num);
int SSL_write(SSL *ssl,const void *buf,int num);
(7 ) 结束SSL通信
当客户端和服务器之间的数据通信完成之后,调用下面的函数来释放已经申请的SSL资源:
int SSL_shutdown(SSL *ssl);//关闭SSL套接字
void SSl_free(SSL *ssl); //释放SSL套接字
void SSL_CTX_free(SSL_CTX *ctx); //释放SSL会话环境
4、编程实例
在编程之前需要产生私钥和公钥
产生私钥:
# openssl genrsa -out privkey.pem 2048
# openssl genrsa -out privkey.pem 2048
产生公钥:
# openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
# openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095
同时在编译的时候需要用到ssl库,所以需要加上-lssl。
客户机:
#include<stdio.h>#include<string.h>#include<sys/socket.h>#include<sys/types.h>#include<netinet/in.h>#include <sys/stat.h>#include<errno.h>#include<fcntl.h>#include<unistd.h>#include <openssl/err.h>#include <openssl/ssl.h>#define port 3333char ipaddr[15];int sockfd;struct sockaddr_in sockaddr;SSL_CTX *ctx;//SSL套接字SSL *ssl;void linkS(){//创建socketif((sockfd = socket(AF_INET,SOCK_STREAM,0)) == -1){perror("socket");_exit(0);}//连接memset(&sockaddr,0, sizeof(sockaddr));sockaddr.sin_family = AF_INET;sockaddr.sin_port = htons(port);sockaddr.sin_addr.s_addr = inet_addr(ipaddr);if(connect(sockfd,(struct sockaddr *)&sockaddr,sizeof(sockaddr)) == -1){perror("connect");_exit(0);}ssl = SSL_new(ctx);SSL_set_fd(ssl,sockfd);if(SSL_connect(ssl) == -1){printf("SSL connect successful!");}else{printf("SSL connect error!");}}void upload_file(char *filename){int fd;char cmd = 'U';int FileNameSize = strlen(filename);char buf[1024];int count=0;struct stat fstat;//打开文件fd = open(filename,O_RDONLY);//发送命令SSL_write(ssl,&cmd,1);//发送文件名SSL_write(ssl,(void *)&FileNameSize,4);SSL_write(ssl,filename, FileNameSize);//发送文件长度if((stat(filename,&fstat)) == -1)return;SSL_write(ssl,(void *)&fstat.st_size,4);//发送文件数据while((count = read(fd,(void *)buf,1024)) > 0){SSL_write(ssl,buf,count);}//关闭文件close(fd);}void download_file(char *filename){int fd;char cmd = 'D';char buf[1024];int FileNameSize = strlen(filename);int filesize=0,count=0,totalrecv=0;//发送命令SSL_write(ssl,&cmd,1);//发送文件名SSL_write(ssl,(void *)&FileNameSize,4);SSL_write(ssl,filename,FileNameSize);//打开并创建文件if((fd = open(filename,O_RDWR|O_CREAT)) == -1){perror("open:");_exit(0);}//接收数据SSL_read(ssl,&filesize,4);while((count = SSL_read(ssl,(void *)buf,1024)) > 0){write(fd,buf,count);totalrecv += count;if(totalrecv == filesize)break;}//关闭文件close(fd);}void quit(){char cmd = 'Q';//发送命令SSL_write(ssl,(void *)&cmd,1);//关闭及释放SSL连接SSL_shutdown(ssl);SSL_free(ssl);//清屏system("clear");//退出_exit(0);}void menu(){char cmd;char c;char file_u[30];char file_d[30];while(1){printf("\n------------------------------ 1.Upload Files ------------------------------\n");printf("------------------------------ 2.Download Files ------------------------------\n");printf("------------------------------ 3.Exit ------------------------------------\n");printf("Please input the Client command:");cmd = getchar();switch(cmd){case '1':{printf("Upload Files:");//输入文件名while((c = getchar()) != '\n' && c != EOF);fgets(file_u, 30, stdin);file_u[strlen(file_u)-1] = '\0';//上传文件upload_file(file_u);}break;case '2':{printf("Download Files:");//输入文件名while((c = getchar()) != '\n' && c != EOF);fgets(file_d, 30, stdin);file_d[strlen(file_d)-1] = '\0';//下载文件download_file(file_d);}break;case '3':{//退出quit();break;}break;default:{printf("Please input right command!");}break;}}}int main(int argc, char *args[]){if(argc != 2){printf("format error: you mast enter ipaddr like this : client 192.168.0.6\n"); _exit(0);}strcpy(ipaddr,args[1]);//初始化SSlSSL_library_init();OpenSSL_add_all_algorithms();SSL_load_error_strings();ctx = SSL_CTX_new(SSLv23_client_method());//创建SSL套接字,参数表明支持版本和客户机if(ctx == NULL){printf("Creat CTX error!!!");}//建立连接linkS();//打印菜单menu();//结尾操作close(sockfd);//释放CTXSSL_CTX_free(ctx);return 0;}
服务器:
#include<stdio.h>#include<string.h>#include<sys/socket.h>#include<sys/types.h>#include<netinet/in.h>#include<errno.h>#include<fcntl.h>#include<unistd.h>#include <openssl/err.h>#include <openssl/ssl.h>#define port 3333int sockfd,newfd;struct sockaddr_in sockaddr;struct sockaddr_in client_addr;int sin_size;SSL_CTX *ctx;SSL *ssl;void handle(char cmd){char filename[30]={0};int FileNameSize=0;int fd;int filesize=0;int count=0,totalrecv=0;char buf[1024];struct stat fstat;switch(cmd){case 'U':{//接收文件名SSL_read(ssl, &FileNameSize, 4);SSL_read(ssl, (void *)filename, FileNameSize);filename[FileNameSize]='\0';//创建文件if((fd = open(filename,O_RDWR|O_CREAT)) == -1){perror("creat:");_exit(0);}//接收文件长度SSL_read(ssl, &filesize, 4);//接收文件while((count = SSL_read(ssl,(void *)buf,1024)) > 0){write(fd,&buf,count);totalrecv += count;if(totalrecv == filesize)break;}//关闭文件close(fd);}break;case 'D':{//接收文件名SSL_read(ssl, &FileNameSize, 4);SSL_read(ssl, filename, FileNameSize);filename[FileNameSize]='\0';//打开文件if((fd = open(filename,O_RDONLY)) == -1){perror("creat:");_exit(0);}//发送文件包括文件长度if((stat(filename,&fstat)) == -1)return;SSL_write(ssl,&fstat.st_size,4);while((count = read(fd,(void *)buf,1024)) > 0){SSL_write(ssl,&buf,count);}close(fd);}break;}}int main(){char cmd;//建立连接//SSL连接SSL_library_init();OpenSSL_add_all_algorithms();SSL_load_error_strings();ctx = SSL_CTX_new(SSLv23_server_method());//载入数字证书SSL_CTX_use_certificate_file(ctx,"./cacert.pem",SSL_FILETYPE_PEM);//载入并检查私钥SSL_CTX_use_PrivateKey_file(ctx,"./privkey.pem",SSL_FILETYPE_PEM);SSL_CTX_check_private_key(ctx);//创建socketif((sockfd = socket(AF_INET,SOCK_STREAM,0)) == -1){perror("socket:");_exit(0);}memset(&sockaddr,0, sizeof(sockaddr));sockaddr.sin_family = AF_INET;sockaddr.sin_port = htons(port);sockaddr.sin_addr.s_addr = htonl(INADDR_ANY);//绑定地址if(bind(sockfd,(struct sockaddr *)&sockaddr,sizeof(sockaddr)) == -1){perror("bind:");_exit(0);}//监听if(listen(sockfd,10) == -1){perror("listen");}while(1){//连接if((newfd = accept(sockfd, (struct sockaddr *)(&client_addr),&sin_size)) == -1){perror("accept:");_exit(0);}ssl = SSL_new(ctx);//产生新的SSLSSL_set_fd(ssl,newfd);SSL_accept(ssl);//处理事件while(1){SSL_read(ssl,&cmd,1);if(cmd == 'Q'){break;}else{handle(cmd);}}SSL_shutdown(ssl);SSL_free(ssl);close(newfd);}close(sockfd);SSL_CTX_free(ctx);return 0;}
阅读全文
0 0
- 网络安全传输系统(3)-加密传输
- 网络安全传输系统(1)-功能介绍
- 网络安全传输系统(2)-框架搭建
- 网络安全传输系统(6)-其它改进
- 网络安全传输系统(7)-总结
- 网络安全传输(读书笔记)
- 网络安全传输系统(5)-账号管理系统
- 网络安全传输系统(4)-线程池优化
- HTTPS加密传输数据,加强P2P平台网络安全和信任
- HTTPS加密传输数据,加强P2P平台网络安全和信任
- 设置iOS9网络安全传输
- CA加密,网络安全HTTPS SSL-安全传输协议SSL和TLS及WTLS的原理
- CA加密,网络安全HTTPS SSL-安全传输协议SSL和TLS及WTLS的原理
- 用RSA加密实现Web登录密码加密传输(网页口令传输加密)
- 数字签名、加密传输--原理
- url加密传输C#
- 数字签名、加密传输原理
- SSH:加密传输
- GNSS和SBAS各官网等总结
- JS中判断字符串中出现次数最多的字符及出现的次数的简单实例
- Codefores 460C-Present(二分+贪心)
- "dpkg 被中断,您必须手工运行 sudo dpkg --configure -a 解决此问题"
- 数据库中主键,外键,索引
- 网络安全传输系统(3)-加密传输
- java之模糊查询
- windows中的eclipse工程在Ubuntu中打开出现中文乱码
- solrcore的schema.xml
- Genymotion unfortunately has stopped
- Codeforces 821D Okabe and City 题解
- Why does MariaDB 10.2 use InnoDB instead of XtraDB?
- 《数据结构学习与实验指导》4-4:Windows消息队列
- DCMTK学习之无法解析的外部符号 Netbios dcmdata.lib