linux下的OPENSSL编程- 简单函数介绍

来源：互联网发布：厦门巨龙软件怎么样编辑：程序博客网时间：2024/06/05 07:16

OpenSSL是一个开放源代码的SSL协议的产品实现，它采用C语言作为开发语言，具备了跨系统的性能。调用OpenSSL的函数就可以实现一个SSL加密的安全数据传输通道，从而保护客户端和服务器之间数据的安全。

头文件：
#include <openssl/ssl.h>
#include <openssl/err.h>
基于OpenSSL的程序都要遵循以下几个步骤：

(1 ) OpenSSL初始化

在使用OpenSSL之前，必须进行相应的协议初始化工作，这可以通过下面的函数实现：
int SSL_library_int(void);

(2 ) 选择会话协议

在利用OpenSSL开始SSL会话之前，需要为客户端和服务器制定本次会话采用的协议，目前能够使用的协议包括TLSv1.0、SSLv2、SSLv3、SSLv2/v3。
需要注意的是，客户端和服务器必须使用相互兼容的协议，否则SSL会话将无法正常进行。

(3 ) 创建会话环境
在OpenSSL中创建的SSL会话环境称为CTX，使用不同的协议会话，其环境也不一样的。
申请SSL会话环境的OpenSSL函数是：
SSL_CTX *SSL_CTX_new(SSL_METHOD * method);
当SSL会话环境申请成功后，还要根据实际的需要设置CTX的属性，通常的设置是指定SSL握手阶段证书的验证方式和加载自己的证书。
制定证书验证方式的函数是：
int SSL_CTX_set_verify(SSL_CTX *ctx,int mode,int(*verify_callback),int(X509_STORE_CTX *));
为SSL会话环境加载CA证书的函数是：
SSL_CTX_load_verify_location(SSL_CTX *ctx,const char *Cafile,const char *Capath);
为SSL会话加载用户证书的函数是：
SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file,int type);
为SSL会话加载用户私钥的函数是：
SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx,const char* file,int type);
在将证书和私钥加载到SSL会话环境之后，就可以调用下面的函数来验证私钥和证书是否相符：
int SSL_CTX_check_private_key(SSL_CTX *ctx);

(4) 建立SSL套接字
SSL套接字是建立在普通的TCP套接字基础之上，在建立SSL套接字时可以使用下面的一些函数：
SSL *SSl_new(SSL_CTX *ctx);
//申请一个SSL套接字
int SSL_set_fd(SSL *ssl,int fd);)
//绑定读写套接字
int SSL_set_rfd(SSL *ssl,int fd);
//绑定只读套接字
int SSL_set_wfd(SSL *ssl,int fd);
//绑定只写套接字

(5) 完成SSL握手
在成功创建SSL套接字后，客户端应使用函数SSL_connect( )替代传统的函数connect( )来完成握手过程:
int SSL_connect(SSL *ssl);
而对服务器来讲，则应使用函数SSL_ accept ( )替代传统的函数accept ( )来完成握手过程:
int SSL_accept(SSL *ssl);
握手过程完成之后，通常需要询问通信双方的证书信息，以便进行相应的验证，这可以借助于下面的函数来实现:
X509 *SSL_get_peer_certificate(SSL *ssl);
该函数可以从SSL套接字中提取对方的证书信息，这些信息已经被SSL验证过了。
X509_NAME *X509_get_subject_name(X509 *a);
该函数得到证书所用者的名字。

(6) 进行数据传输
当SSL握手完成之后，就可以进行安全的数据传输了，在数据传输阶段，需要使用SSL_read( )和SSL_write( )来替代传统的read( )和write( )函数，来完成对套接字的读写操作：
int SSL_read(SSL *ssl,void *buf,int num);

int SSL_write(SSL *ssl,const void *buf,int num);

(7 ) 结束SSL通信
当客户端和服务器之间的数据通信完成之后，调用下面的函数来释放已经申请的SSL资源：
int SSL_shutdown(SSL *ssl);
//关闭SSL套接字
void SSl_free(SSL *ssl);
//释放SSL套接字
void SSL_CTX_free(SSL_CTX *ctx);

//释放SSL会话环境

客户端源代码示例

    #include <stdio.h>      #include <string.h>      #include <errno.h>      #include <sys/socket.h>      #include <resolv.h>      #include <stdlib.h>      #include <netinet/in.h>      #include <arpa/inet.h>      #include <unistd.h>      #include <openssl/ssl.h>      #include <openssl/err.h>            #define MAXBUF 1024            void ShowCerts(SSL * ssl)      {  X509 *cert;  char *line;    cert = SSL_get_peer_certificate(ssl);  if (cert != NULL) {  <span style="font-family:simsun;">        </span>printf("num cert messsage:\n");  line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);  printf("cert: %s\n", line);  free(line);  line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);  printf("Issuer: %s\n", line);  free(line);  X509_free(cert);  } else printf("no cert message \n");      }            int main(int argc, char **argv)      {  int sockfd, len;  struct sockaddr_in dest;  char buffer[MAXBUF + 1];  SSL_CTX *ctx;  SSL *ssl;    if (argc != 3) {          printf  ("err param ：\n\t\t%s IPaddress port\n\teg:\t%s 127.0.0.1 80\n",argv[0], argv[0]);  exit(0);  }    SSL_library_init();  OpenSSL_add_all_algorithms();  SSL_load_error_strings();  ctx = SSL_CTX_new(SSLv23_client_method());  if (ctx == NULL) {  ERR_print_errors_fp(stdout);  exit(1);  }    if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {  perror("Socket");  exit(errno);  }  printf("socket created\n");    bzero(&dest, sizeof(dest));  dest.sin_family = AF_INET;  dest.sin_port = htons(atoi(argv[2]));  if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {  perror(argv[1]);  exit(errno);  }  printf("address created\n");  if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {  perror("Connect ");          exit(errno);  <span style="font-family:simsun;">        </span>}  printf("server connected\n");    ssl = SSL_new(ctx);  SSL_set_fd(ssl, sockfd);    if (SSL_connect(ssl) == -1)  ERR_print_errors_fp(stderr);  else {  printf("Connected with %s encryption\n", SSL_get_cipher(ssl));  ShowCerts(ssl);  }    <span style="font-family:simsun;">        </span>bzero(buffer, MAXBUF + 1);  len = SSL_read(ssl, buffer, MAXBUF);  if (len > 0)  printf("recive message succes:'%s'，total%dbytle data \r\n",buffer, len);  else {  printf  ("recive message failed %d，error message is '%s'  \r\n",errno, strerror(errno));  goto finish;  }  <span style="font-family:simsun;">        </span>bzero(buffer, MAXBUF + 1);  strcpy(buffer, "from client->server");    len = SSL_write(ssl, buffer, strlen(buffer));  if (len < 0)  printf("message'%s'send failed！error code id %d，error message is '%s'  \r\n",buffer, errno, strerror(errno));  else  printf("message'%s'send success，total send %d bytle data！  \r\n",buffer, len);    finish:  SSL_shutdown(ssl);  SSL_free(ssl);  close(sockfd);  SSL_CTX_free(ctx);  return 0;      }

服务器端源码

#include <stdio.h>  #include <stdlib.h>  #include <errno.h>  #include <string.h>  #include <sys/types.h>  #include <netinet/in.h>  #include <sys/socket.h>  #include <sys/wait.h>  #include <unistd.h>  #include <arpa/inet.h>  #include <openssl/ssl.h>  #include <openssl/err.h>    #define MAXBUF 1024    int main(int argc, char **argv)  {  int sockfd, new_fd;  socklen_t len;  struct sockaddr_in my_addr, their_addr;  unsigned int myport, lisnum;  char buf[MAXBUF + 1];  SSL_CTX *ctx;    if (argv[1])  myport = atoi(argv[1]);  else  myport = 7838;  if (argv[2])  lisnum = atoi(argv[2]);  else  lisnum = 2;    SSL_library_init();  OpenSSL_add_all_algorithms();  SSL_load_error_strings();  ctx = SSL_CTX_new(SSLv23_server_method());  if (ctx == NULL) {  ERR_print_errors_fp(stdout);  exit(1);  }  if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {  ERR_print_errors_fp(stdout);  exit(1);  }  if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) {  ERR_print_errors_fp(stdout);  exit(1);  }  if (!SSL_CTX_check_private_key(ctx)) {  ERR_print_errors_fp(stdout);  exit(1);  }  if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {  perror("socket");  exit(1);  } else  printf("socket created\n");    bzero(&my_addr, sizeof(my_addr));  my_addr.sin_family = PF_INET;  my_addr.sin_port = htons(myport);  if (argv[3])  my_addr.sin_addr.s_addr = inet_addr(argv[3]);  else  my_addr.sin_addr.s_addr = INADDR_ANY;    if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {  perror("bind");  exit(1);  } else  printf("binded\n");    if (listen(sockfd, lisnum) == -1) {  perror("listen");  exit(1);  } else  printf("begin listen\n");    while (1) {  SSL *ssl;  len = sizeof(struct sockaddr);    if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len)) == -1) {  perror("accept");  exit(errno);  } else  printf("server: got connection from %s, port %d, socket %d \n",inet_ntoa(their_addr.sin_addr),ntohs(their_addr.sin_port), new_fd);    ssl = SSL_new(ctx);  SSL_set_fd(ssl, new_fd);  if (SSL_accept(ssl) == -1) {  perror("accept");  close(new_fd);  break;  }    bzero(buf, MAXBUF + 1);  strcpy(buf, "server->client");  len = SSL_write(ssl, buf, strlen(buf));    if (len <= 0) {  printf("message'%s'send failed！error code is %d，error message'%s' \r\n",buf, errno, strerror(errno));  goto finish;  } else  { printf("message '%s',send succes，total send%dbytle！  \r\n",buf, len);  }bzero(buf, MAXBUF + 1);  len = SSL_read(ssl, buf, MAXBUF);  if (len > 0)  printf("recive message succes :'%s'，total %d bytle data  \r\n",buf, len);  else  printf("recive message error！error code id%d，error message is '%s'  \r\n",errno, strerror(errno));    finish:  SSL_shutdown(ssl);  SSL_free(ssl);  close(new_fd);  }  close(sockfd);  SSL_CTX_free(ctx);  return 0;  }

编译程序用下列命令：
gcc -Wall ssl-client.c -o client -lssl -lcrypto
gcc -Wall ssl-server.c -o server -lssl -lcrypto

运行程序用如下命令：
./server 7838 127.0.0.1 1 cacert.pem privkey.pem
./client 127.0.0.1 7838

用下面这两个命令产生上述cacert.pem和privkey.pem文件：
openssl genrsa -out privkey.pem 2048
openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095

0 0