利用OpenSSL库对Socket传输进行安全加密

利用OpenSSL库对Socket传输进行安全加密(RSA+AES)
 1. 利用RSA安全传输AES生成密钥所需的Seed(32字节)
 2. 利用AES_encrypt/AES_decrypt对Socket上面的业务数据进行AES加密/解密

 理论上只需要AES就能保证全部流程，但由于AES加密所需要的AES-KEY是一个结构。 这个一个结构，如果通过网络进行传输，就需要对它进行网络编码，OpenSSL里面没有现成的API
所以就引入RSA来完成首次安全的传输，保证Seed不会被窃听。同样，只使用RSA也能完成全部流程，但由于RSA的处理效率比AES低，所以在业务数据传输加密上还是使用AES

 下面的代码包含了上述传输加密流程所需的所有步骤(OpenSSL部分)
 在实际的Socket应用开发时，需要将这些步骤插入到Client/Server网络通信的特定阶段

 所需的OpenSSL主要的API及功能描述
 1. RSA_generate_key()    随机生成一个RSA密钥对，供RSA加密/解密使用
 2. i2d_RSAPublicKey()    将RSA密钥对里面的公钥提出到一个BUF，用于网络传输给对方
 3. d2i_RSAPublicKey()    将从网络传过来的公钥信息生成一个加密使用的RSA(它里面只有公钥)
 4. RSA_public_encrypt()  使用RSA的公钥对数据进行加密
 5. RSA_private_decrypt() 使用RSA的私钥对数据进行解密
 6. AES_set_encrypt_key() 根据Seed生成AES密钥对中的加密密钥
 7. AES_set_decrypt_key() 根据Seed生成AES密钥对中的解密密钥
 8. AES_encrypt()         使用AES加密密钥对数据进行加密
 9. AES_decrypt()         使用AES解密密钥对数据进行解密

 一个典型的安全Socket的建立流程, 其实就是如何将Server随机Seed安全发给Client
 C: Client   S:Server
 C: RSA_generate_key() --> RSAKey --> i2d_RSAPublicKey(RSAKey) --> RSAPublicKey
 C: Send(RSAPublicKey) TO Server
 S: Recv() --> RSAPublicKey --> d2i_RSAPublicKey(RSAPublicKey) --> RSAKey
 S: Rand() --> Seed --> RSA_public_encrypt(RSAKey, Seed) --> EncryptedSeed
 S: Send(EncryptedSeed) TO Client
 C: Recv() --> EncryptedSeed --> RSA_private_decrypt(RSAKey, EncryptedSeed) --> Seed
 --- 到此, Client和Server已经完成完成传输Seed的处理
 --- 后面的流程是它们怎样使用这个Seed来进行业务数据的安全传输
 C: AES_set_encrypt_key(Seed) --> AESEncryptKey
 C: AES_set_decrypt_key(Seed) --> AESDecryptKey
 S: AES_set_encrypt_key(Seed) --> AESEncryptKey
 S: AES_set_decrypt_key(Seed) --> AESDecryptKey
 --- Client传输数据给Server
 C: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Server
 S: Recv() --> EncryptedData -->  AES_decrypt(AESDecryptKey, EncryptedData) --> Data
 --- Server传输数据给Client
 S: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Client
 C: Recv() --> EncryptedData -->  AES_decrypt(AESDecryptKey, EncryptedData) --> Data

流程图如下：


相关的代码实现如下：

1. #include <string.h>
   
2. #include <openssl/rsa.h>
   
3. #include <openssl/aes.h>
   
4. 
   
5. int main()
   
6. {
   
7.         // 1. 产生RSA密钥对
   
8.         // 产生512字节公钥指数为RSA_F4的密钥对，公钥指数有RSA_F4和RSA_3两种
   
9.         // 我不清楚它们的区别，就随便选定RSA_F4
   
10.         // 可以使用RSA_print_fp()看看RSA里面的东西
    
11.         RSA *ClientRsa = RSA_generate_key(512, RSA_F4, NULL, NULL);
    
12.         
    
13.         // ---------
    
14.         // 2. 从RSA结构中提取公钥到BUFF，以便将它传输给对方
    
15.         // 512位的RSA其公钥提出出来长度是74字节，而私钥提取出来有超过300字节
    
16.         // 为保险起见，建议给它们预留一个512字节的空间
    
17.         unsigned char PublicKey[512];
    
18.         unsigned char *PKey = PublicKey; // 注意这个指针不是多余，是特意要这样做的，
    
19.         int PublicKeyLen = i2d_RSAPublicKey(ClientRsa, &PKey);
    
20.         
    
21.         // 不能采用下面的方法，因为i2d_RSAPublicKey()会修改PublicKey的值
    
22.         // 所以要引入PKey，让它作为替死鬼
    
23.         // unsigned char *PublicKey = (unsigned char *)malloc(512);
    
24.         // int PublicKeyLen = i2d_RSAPublicKey(ClientRsa, &PublicKey); 
    
25.         
    
26.         // 逐个字节打印PublicKey信息
    
27.         printf("PublicKeyBuff, Len=%d\n", PublicKeyLen);
    
28.         for (int i=0; i<PublicKeyLen; i++)
    
29.         {
    
30.                 printf("0x%02x, ", *(PublicKey+i));
    
31.         }
    
32.         printf("\n");
    
33.         
    
34.         
    
35.         // ---------
    
36.         // 3. 跟据上面提出的公钥信息PublicKey构造一个新RSA密钥(这个密钥结构只有公钥信息)
    
37.         PKey = PublicKey;
    
38.         RSA *EncryptRsa = d2i_RSAPublicKey(NULL, (const unsigned char**)&PKey, PublicKeyLen);
    
39.         
    
40.         // ---------
    
41.         // 4. 使用EncryptRsa加密数据，再使用ClientRsa解密数据
    
42.         // 注意, RSA加密/解密的数据长度是有限制，例如512位的RSA就只能最多能加密解密64字节的数据
    
43.         // 如果采用RSA_NO_PADDING加密方式，512位的RSA就只能加密长度等于64的数据
    
44.         // 这个长度可以使用RSA_size()来获得
    
45.         unsigned char InBuff[64], OutBuff[64]; 
    
46.         
    
47.         strcpy((char *)InBuff, "1234567890abcdefghiklmnopqrstuvwxyz.");
    
48.         RSA_public_encrypt(64, (const unsigned char*)InBuff, OutBuff, EncryptRsa, RSA_NO_PADDING); // 加密
    
49.         
    
50.         memset(InBuff, 0, sizeof(InBuff));
    
51.         RSA_private_decrypt(64, (const unsigned char*)OutBuff, InBuff, ClientRsa, RSA_NO_PADDING); // 解密
    
52.         printf("RSADecrypt OK: %s \n", InBuff);
    
53.         
    
54.         
    
55.         // ----------
    
56.         // 5. 利用随机32字节Seed来产生256位的AES密钥对
    
57.         unsigned char Seed[32]; // 可以采用Rand()等方法来构造随机信息
    
58.         AES_KEY AESEncryptKey, AESDecryptKey;
    
59.         AES_set_encrypt_key(Seed, 256, &AESEncryptKey);
    
60.         AES_set_decrypt_key(Seed, 256, &AESDecryptKey);
    
61.         
    
62.         // ----------
    
63.         // 6. 使用AES密钥对来加密/解密数据
    
64.         // 注意，256位的AES密钥只能加密/解密16字节长的数据
    
65.         strcpy((char *)InBuff, "a1b2c3d4e5f6g7h8?");
    
66.         AES_encrypt(InBuff, OutBuff, &AESEncryptKey);
    
67.         
    
68.         memset(InBuff, 0, sizeof(InBuff));
    
69.         AES_decrypt(OutBuff, InBuff, &AESDecryptKey);
    
70.         printf("AESDecrypt OK: %s \n", InBuff);
    
71.         
    
72.         
    
73.         // ----------
    
74.         // 7. 谨记要释放RSA结构
    
75.         RSA_free(ClientRsa);
    
76.         RSA_free(EncryptRsa);
    
77.         
    
78.         return(0);
    
79. }