zoukankan      html  css  js  c++  java
  • 2018-2019-1 20165212 实验五 通讯协议设计

    2018-2019-1 20165212 实验五 通讯协议设计

    OpenSSL简介

    OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

    OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。

    1.基本功能

    OpenSSL整个软件包大概可以分成三个主要的功能部分:

    • 密码算法库
    • SSL协议库
    • 应用程序

    OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。

    作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。

    2.辅助功能   BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。

      OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。

      OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。

    证书

    证书就是数字化的文件,里面有一个实体(网站、个人等)的公共密钥和其他的属性,如名称等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。证书用来保证不对称加密算法的合理性。

    我们现在常用的证书是采用X.509结构的,这是一个国际标准证书结构。任何遵循该标准的应用程序都可以读写X509结构的证书。通过检查证书里面的CA的名字,和CA的签名,就知道这个证书的确是由该CA签发的,然后,你就可以简单证书里面的接收证书者的名字,然后提取公共密钥。这样做建立的基础是,你信任该CA,认为该CA没有颁发错误的证书。

    常用指令

    openssl有众多子命令,分为三类:

    • 标准命令
    • 消息摘要(dgst子命令)
    • 加密命令(enc子命令) 详细的命令总结可以参考:OpenSSL简介,这里以一个命令为例进行简单介绍。

    先生成自己的私有密钥文件,比如叫server.key:

     openssl genrsa -des3 -out server.key 1024 

    genras表示生成RSA私有密钥文件,-des3表示用DES3加密该文件,1024是我们的key的长度。基于现在的计算机速度而言,一般用512就可以了,784可用于商业行为,1024可以用于军事用途了。生成server.key的时候会要求输入密码,这个密钥用来保护server.key文件,这样即使server.key文件被窃取,也打不开,拿不到私钥。

     openssl rsa -noout -text -in server.key 

    如果你觉得server.key的保护密码太麻烦想去掉的话:

     openssl rsa -in server.key -out server.key.unsecure (不过不推荐这么做)

    下一步要得到证书了。得到证书之前我们要生成一个Certificate Signing Request。CA只对CSR进行处理。

     openssl req -new -key server.key -out server.csr 

    生成CSR的时候屏幕上将有提示,依照其指示一步一步输入要求的信息即可。生成的csr文件交给CA签名后形成服务端自己的证书。

    任务一 Linux下OpenSSL的安装与测试

    安装步骤1 :再linux终端中输入$ git clone git://git.openssl.org/openssl.git 直接下载OpenSSL(不是压缩包)

    安装步骤2:依次输入

    • $ ./config
    • $ make
    • $ make test
    • $ make install

    然后就装好了 测试步骤1:编辑测试代码test_openssl.c

    #include <stdio.h>
     #include <openssl/evp.h>
    
    int main(){
        OpenSSL_add_all_algorithms();
        return 0;
    }

    测试步骤2:

    • 输入 gcc -o testopenssl testopenssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread  编译,会提示:test_openssl.c:(.text+0xf):对‘OPENSSLinitcrypto’未定义的引用,
    • 问题原因:代码中用到的库函数系统没有在制定目录下找到,使用的该库函数在“libcrypto.a”和“libssl.a”中,找到文件放进指定目录即可(详细参见gcc -I指令、gcc -L指令和https://www.cnblogs.com/MaAce/p/7999795.html)
    • 解决方法:将“openssl-master”文件夹下的“libcrypto.a”和“libssl.a”放在/usr/local/ssl/lib目录下(如果/usr/local/ssl下没有lib文件夹就自己sudo mkdir创建一个lib文件夹,然后使用命令行移动这两个文件),编译时链接这个目录即可。 
    • 运行截图: 

    任务二——混合密码系统防护

    混合密码系统介绍

     

    • OpenSSL流程
      • 初始化
      • 选择会话协议和创建会话环境
      • 建立SSL套接字
      • 完成SSL握手
      • 从SSL套接字中提取对方的证书信息
      • 数据传输
      • 结束SSL通信

    OpenSSL应用编程框架 Server端:

    ctx = SSL_CTX_new (SSLv23_server_method());
    ssl = SSL_new (ctx);
    fd = socket ();
    bind ();
    listen ();
    accept ();
    SSL_set_fd (ssl, fd);
    SSL_accept (ssl);
    SSL_read ();

    Client端:

    ctx = SSL_CTX_new (SSLv23_client_method());
    ssl = SSL_new (ctx);
    fd = socket ();
    connect ();
    SSL_set_fd (ssl, fd);
    SSL_connect (ssl);
    SSL_write ();

    实验代码

    server.c:

    #include <stdio.h>
      #include <stdlib.h>
      #include <errno.h>
      #include <string.h>
      #include <sys/types.h>
      #include <netinet/in.h>
      #include <sys/socket.h>
      #include <sys/wait.h>
      #include <unistd.h>
      #include <arpa/inet.h>
      #include <openssl/ssl.h>
      #include <openssl/err.h>
      #include <openssl/evp.h>
    
    
      #define MAXBUF 1024
    
      int main(int argc, char **argv)
      {
      int sockfd, new_fd;
      socklen_t len;
      struct sockaddr_in my_addr, their_addr;
      unsigned int myport, lisnum;
      char buf[MAXBUF + 1];
      SSL_CTX *ctx;
    
      if (argv[1])
      myport = atoi(argv[1]);
      else
      myport = 7838;
    
      if (argv[2])
      lisnum = atoi(argv[2]);
      else
      lisnum = 2;
    
      /* SSL 库初始化 */
      SSL_library_init();
      /* 载入所有 SSL 算法 */
      OpenSSL_add_all_algorithms();
      /* 载入所有 SSL 错误消息 */
      SSL_load_error_strings();
      /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
      ctx = SSL_CTX_new(SSLv23_server_method());
      /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
      if (ctx == NULL) {
      ERR_print_errors_fp(stdout);
      exit(1);
      }
      /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
      if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
      ERR_print_errors_fp(stdout);
      exit(1);
      }
      /* 载入用户私钥 */
      if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){
      ERR_print_errors_fp(stdout);
      exit(1);
      }
      /* 检查用户私钥是否正确 */
      if (!SSL_CTX_check_private_key(ctx)) {
      ERR_print_errors_fp(stdout);
      exit(1);
      }
    
      /* 开启一个 socket 监听 */
      if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
      perror("socket");
      exit(1);
      } else
      printf("socket created
    ");
    
      bzero(&my_addr, sizeof(my_addr));
      my_addr.sin_family = PF_INET;
      my_addr.sin_port = htons(myport);
      my_addr.sin_addr.s_addr = INADDR_ANY;
    
      if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
      == -1) {
      perror("bind");
      exit(1);
      } else
      printf("binded
    ");
    
      if (listen(sockfd, lisnum) == -1) {
      perror("listen");
      exit(1);
      } else
      printf("begin listen
    ");
    
      while (1) {
      SSL *ssl;
      len = sizeof(struct sockaddr);
      /* 等待客户端连上来 */
      if ((new_fd =
       accept(sockfd, (struct sockaddr *) &their_addr,
      &len)) == -1) {
      perror("accept");
      exit(errno);
      } else
      printf("server: got connection from %s, port %d, socket %d
    ",
     inet_ntoa(their_addr.sin_addr),
     ntohs(their_addr.sin_port), new_fd);
    
      /* 基于 ctx 产生一个新的 SSL */
      ssl = SSL_new(ctx);
      /* 将连接用户的 socket 加入到 SSL */
      SSL_set_fd(ssl, new_fd);
      /* 建立 SSL 连接 */
      if (SSL_accept(ssl) == -1) {
      perror("accept");
      close(new_fd);
      break;
      }
    
      /* 开始处理每个新连接上的数据收发 */
      bzero(buf, MAXBUF + 1);
      strcpy(buf, "server->client");
      /* 发消息给客户端 */
      len = SSL_write(ssl, buf, strlen(buf));
    
      if (len <= 0) {
      printf
      ("'%s'发送失败!错误代码:%d,错误信息:'%s'
    ",
       buf, errno, strerror(errno));
      goto finish;
      } else
      printf("'%s'发送成功!共发送%d个字节!
    ",
     buf, len);
    
      bzero(buf, MAXBUF + 1);
      /* 接收客户端的消息 */
      len = SSL_read(ssl, buf, MAXBUF);
      if (len > 0)
      printf("'%s'接收成功!共接收%d个字节的数据!
    ",
     buf, len);
      else
      printf
      ("接收失败!错误代码:%d,错误信息:'%s'
    ",
       errno, strerror(errno));
      /* 处理每个新连接上的数据收发结束 */
    finish:
      /* 关闭 SSL 连接 */
      SSL_shutdown(ssl);
      /* 释放 SSL */
      SSL_free(ssl);
      /* 关闭 socket */
      close(new_fd);
      }
      /* 关闭监听的 socket */
      close(sockfd);
      /* 释放 CTX */
      SSL_CTX_free(ctx);
      return 0;
    }

    client.c:

    #include <stdio.h>
    #include <stdlib.h>
    #include <errno.h>
    #include <string.h>
    #include <sys/types.h>
    #include <netinet/in.h>
    #include <sys/socket.h>
    #include <sys/wait.h>
    #include <unistd.h>
    #include <arpa/inet.h>
    #include <openssl/ssl.h>
    #include <openssl/err.h>
    #include <openssl/evp.h>
    
    
    #define MAXBUF 1024
    
    int main(int argc, char **argv)
    {
      int sockfd, new_fd;
      socklen_t len;
      struct sockaddr_in my_addr, their_addr;
      unsigned int myport, lisnum;
      char buf[MAXBUF + 1];
      SSL_CTX *ctx;
    
      if (argv[1])
          myport = atoi(argv[1]);
      else
          myport = 7838;
    
      if (argv[2])
          lisnum = atoi(argv[2]);
      else
          lisnum = 2;
    
      /* SSL 库初始化 */
      SSL_library_init();
      /* 载入所有 SSL 算法 */
      OpenSSL_add_all_algorithms();
      /* 载入所有 SSL 错误消息 */
      SSL_load_error_strings();
      /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
      ctx = SSL_CTX_new(SSLv23_server_method());
      /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
      if (ctx == NULL) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
      if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 载入用户私钥 */
      if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 检查用户私钥是否正确 */
      if (!SSL_CTX_check_private_key(ctx)) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
    
      /* 开启一个 socket 监听 */
      if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
          perror("socket");
          exit(1);
      } else
          printf("socket created
    ");
    
      bzero(&my_addr, sizeof(my_addr));
      my_addr.sin_family = PF_INET;
      my_addr.sin_port = htons(myport);
      my_addr.sin_addr.s_addr = INADDR_ANY;
    
      if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
          == -1) {
          perror("bind");
          exit(1);
      } else
          printf("binded
    ");
    
      if (listen(sockfd, lisnum) == -1) {
          perror("listen");
          exit(1);
      } else
          printf("begin listen
    ");
    
      while (1) {
          SSL *ssl;
          len = sizeof(struct sockaddr);
          /* 等待客户端连上来 */
          if ((new_fd =
               accept(sockfd, (struct sockaddr *) &their_addr,
                      &len)) == -1) {
              perror("accept");
              exit(errno);
          } else
              printf("server: got connection from %s, port %d, socket %d
    ",
                     inet_ntoa(their_addr.sin_addr),
                     ntohs(their_addr.sin_port), new_fd);
    
          /* 基于 ctx 产生一个新的 SSL */
          ssl = SSL_new(ctx);
          /* 将连接用户的 socket 加入到 SSL */
          SSL_set_fd(ssl, new_fd);
          /* 建立 SSL 连接 */
          if (SSL_accept(ssl) == -1) {
              perror("accept");
              close(new_fd);
              break;
          }
    
          /* 开始处理每个新连接上的数据收发 */
          bzero(buf, MAXBUF + 1);
          strcpy(buf, "server->client");
          /* 发消息给客户端 */
          len = SSL_write(ssl, buf, strlen(buf));
    
          if (len <= 0) {
              printf
                  ("'%s'发送失败!错误代码:%d,错误信息:'%s'
    ",
                   buf, errno, strerror(errno));
              goto finish;
          } else
              printf("'%s'发送成功!共发送%d个字节!
    ",
                     buf, len);
    
          bzero(buf, MAXBUF + 1);
          /* 接收客户端的消息 */
          len = SSL_read(ssl, buf, MAXBUF);
          if (len > 0)
              printf("'%s'接收成功!共接收%d个字节的数据!
    ",
                     buf, len);
          else
              printf
                  ("接收失败!错误代码:%d,错误信息:'%s'
    ",
                   errno, strerror(errno));
          /* 处理每个新连接上的数据收发结束 */
        finish:
          /* 关闭 SSL 连接 */
          SSL_shutdown(ssl);
          /* 释放 SSL */
          SSL_free(ssl);
          /* 关闭 socket */
          close(new_fd);
      }
      /* 关闭监听的 socket */
      close(sockfd);
      /* 释放 CTX */
      SSL_CTX_free(ctx);
      return 0;
    }

    操作步骤1:使用上述代码穿件client.c和server.c 操作步骤2: - 编译: - gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread - gcc -o client client.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread

    • 生产私钥和证书
      • openssl genrsa -out privkey.pem 1024
        openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
      •  
    • 运行客户端和服务器
      • ./server 7838 1 CAcert.pem privkey.pem
        ./client 127.0.0.1 7838
      • 运行sever时可能会报错:error: while loading shared libraries:lib.so.1.1:cannot open shared object file:No such file or directory
        • 原因:ld链接器在默认路径/usr/lib和/usr/lib32中找不到库文件lib.so.1.1和libcrypto.so.1.1(详细参见“ld链接器”)
        • 解决方法:找到这两个文件将其复制到这两个文件夹下,或使用ln -s命令建立同步链接

    运行截图:

  • 相关阅读:
    第二阶段冲刺报告(三)
    第二阶段冲刺报告(二)
    第二阶段冲刺报告(一)
    课程改进意见
    用户体验
    返回一个二维整数数组中最大联通子数组的和
    《你的灯亮着吗》阅读笔记三 ——谁的问题
    《你的灯亮着吗》阅读笔记二 ——什么是真正的问题
    《你的灯亮着吗》阅读笔记一 —— 问题是什么?
    我爱淘冲刺阶段站立会议2每天任务6
  • 原文地址:https://www.cnblogs.com/FenixRen/p/10126269.html
Copyright © 2011-2022 走看看