强大的 Openssl
这里 主要是运用强大的openssl实现数据的加密传输。OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用
openssl是一个开源项目,其组成主要包括一下三个组件:
-
openssl:多用途的命令行工具
-
libcrypto:加密算法库
-
libssl:加密模块应用库,实现了ssl及tls
下面的程序会用到命令行工具生成数字证书,还会调用诸多的ssl库函数。
ssl_client.c
#include <stdio.h>
#include <string.h>
#include <errno.h>
#include <sys/socket.h>
#include <resolv.h>
#include <stdlib.h>
#include <netinet/in.h>
#include <arpa/inet.h>
#include <unistd.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define MAXBUF 1024 //注意宏定义格式
void ShowCerts (SSL* ssl)
{
X509 *cert;
char *line;
cert=SSL_get_peer_certificate(ssl);
if(cert !=NULL){
printf("数字证书信息:\n");
line=X509_NAME_oneline(X509_get_subject_name(cert),0,0);
printf("证书:%s\n",line);
free(line);
line=X509_NAME_oneline(X509_get_issuer_name(cert),0,0);
printf("颁发者:%s\n",line);
free(line);
X509_free(cert);
}else
printf("无证书信息!\n");
}
int main(int argc,char **argv)
{
int sockfd,len;
struct sockaddr_in dest;
char buffer[MAXBUF+1];
SSL_CTX *ctx;//定义两个结构体数据https://www.cnblogs.com/274914765qq/p/4513236.html
SSL *ssl;
if(argc!=3)
{
printf("please input correct parameter,just like:\n./a.out ipaddress port");
exit(0);
}
SSL_library_init();
OpenSSL_add_all_algorithms();
SSL_load_error_strings();
ctx=SSL_CTX_new(SSLv23_client_method());
if(ctx==NULL){
ERR_print_errors_fp(stdout);// 将错误打印到FILE中
exit(1);
}
//创建socket用于tcp通信
if((sockfd=socket(AF_INET,SOCK_STREAM,0))<0){
perror("socket");
exit(errno);
}
printf("socket created\n");
memset(&dest,0,sizeof(struct sockaddr_in));
dest.sin_family=AF_INET;
dest.sin_port=htons(atoi(argv[2]));//ascii to integer 字符串转化为整形数
//inet_aton 将字符串IP地址转化为32位的网络序列地址
if(inet_aton(argv[1],(struct in_addr *)&dest.sin_addr.s_addr)==0)
{
printf("error ");
exit(errno);
}
printf("socket created");
//连接服务器
if(connect(sockfd,(struct sockaddr*)&dest,sizeof(dest))!=0)
{
perror("Connect ");
exit(errno);
}
printf("server connected\n");
//基于ctx产生一个新的ssl,建立SSL连接
ssl=SSL_new(ctx);
SSL_set_fd(ssl,sockfd);
if(SSL_connect(ssl)==-1)
ERR_print_errors_fp(stderr);
else{
printf("connect with %s encryption\n",SSL_get_cipher(ssl));
ShowCerts(ssl);
}
bzero(buffer,MAXBUF+1);
fgets(buffer,MAXBUF+1,stdin);
len=SSL_write(ssl,buffer,strlen(buffer));
if(len<0)
printf("memsage send failure");
else
printf("memsage '%s' send success\n",buffer);
memset(buffer,0,MAXBUF+1);
len=SSL_read(ssl,buffer,MAXBUF);
if(len>0)
printf("receive '%s' successful!\n total %d bytes data\n",buffer,len);
else {
printf("receive data failure ,error reason:\n%d :%s ",errno,strerror(errno));
goto finish;
}
finish:
SSL_shutdown(ssl);
SSL_free(ssl);
close(sockfd);
SSL_CTX_free(ctx);
return 0;
}ssl_server.c
#include <stdio.h>
#include <stdlib.h>
#include <errno.h>
#include <string.h>
#include <sys/types.h>
#include <netinet/in.h>
#include <sys/socket.h>
#include <sys/wait.h>
#include <unistd.h>
#include <arpa/inet.h>
#include <openssl/ssl.h>
#include <openssl/err.h>
#define MAXBUF 1024
/************关于本文档********************************************
*filename: ssl-server.c
*purpose: 演示利用 OpenSSL 库进行基于 IP层的 SSL 加密通讯的方法,这是服务器端例子
* 科技站在巨人的肩膀上进步更快!感谢有开源前辈的贡献!
*********************************************************************/
int main(int argc, char **argv)
{
int sockfd, new_fd;
socklen_t len;
struct sockaddr_in my_addr, their_addr;
unsigned int myport, lisnum;
char buf[MAXBUF + 1];
SSL_CTX *ctx;
if (argv[1])
myport = atoi(argv[1]);
else
myport = 7838;
if (argv[2])
lisnum = atoi(argv[2]);
else
lisnum = 2;
/* SSL 库初始化 */
SSL_library_init();
/* 载入所有 SSL 算法 */
OpenSSL_add_all_algorithms();
/* 载入所有 SSL 错误消息 */
SSL_load_error_strings();
/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
ctx = SSL_CTX_new(SSLv23_server_method());
/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
if (ctx == NULL) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
if (SSL_CTX_use_certificate_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 载入用户私钥 */
if (SSL_CTX_use_PrivateKey_file(ctx, argv[5], SSL_FILETYPE_PEM) <= 0) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 检查用户私钥是否正确 */
if (!SSL_CTX_check_private_key(ctx)) {
ERR_print_errors_fp(stdout);
exit(1);
}
/* 开启一个 socket 监听 */
if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
perror("socket");
exit(1);
} else
printf("socket created\n");
bzero(&my_addr, sizeof(my_addr));
my_addr.sin_family = PF_INET;
my_addr.sin_port = htons(myport);
if (argv[3])
my_addr.sin_addr.s_addr = inet_addr(argv[3]);
else
my_addr.sin_addr.s_addr = INADDR_ANY;
if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
== -1) {
perror("bind");
exit(1);
} else
printf("binded\n");
if (listen(sockfd, lisnum) == -1) {
perror("listen");
exit(1);
} else
printf("begin listen\n");
while (1) {
SSL *ssl;
len = sizeof(struct sockaddr);
/* 等待客户端连上来 */
if ((new_fd =accept(sockfd, (struct sockaddr *) &their_addr, &len)) == -1) {
perror("accept");
exit(errno);
} else
printf("server: got connection from %s, port %d, socket %d\n",
inet_ntoa(their_addr.sin_addr),
ntohs(their_addr.sin_port), new_fd);
/* 基于 ctx 产生一个新的 SSL */
ssl = SSL_new(ctx);
/* 将连接用户的 socket 加入到 SSL */
SSL_set_fd(ssl, new_fd);
/* 建立 SSL 连接 */
if (SSL_accept(ssl) == -1) {
perror("accept");
close(new_fd);
break;
}
/* 开始处理每个新连接上的数据收发 */
// strcpy(buf, "hello world!");
/* 接收客户端的消息 */
bzero(buf, MAXBUF + 1);
len = SSL_read(ssl, buf, MAXBUF);
if (len > 0)
printf("memsage '%s' received successful! total %d bytes data received\n",
buf, len);
else
printf
("receive memsage failure!error number %d,error reason:'%s'\n",
errno, strerror(errno));
//发送消息
bzero(buf, MAXBUF + 1);
fgets(buf,MAXBUF+1,stdin);
len = SSL_write(ssl, buf, strlen(buf));
if (len <= 0) {
printf
("memsage'%s'send failure!error number:%d,error reason:'%s'\n",
buf, errno, strerror(errno));
goto finish;
} else
printf("memsage '%s' send successful!total send %d bytes data!\n", buf, len);
/* 处理每个新连接上的数据收发结束 */
finish:
/* 关闭 SSL 连接 */
SSL_shutdown(ssl);
/* 释放 SSL */
SSL_free(ssl);
/* 关闭 socket */
close(new_fd);
}
/* 关闭监听的 socket */
close(sockfd);
/* 释放 CTX */
SSL_CTX_free(ctx);
return 0;
}
编译脚本mk.sh
#!/bin/sh
gcc -o client ssl_client.c -lssl -lcrypto -ldl
gcc -o server ssl_server.c -lssl -lcrypto -ldl生成证书与私钥脚本make_ca_pk.h
#!/bin/sh
openssl genrsa -out privkey.pem 2048
openssl req -new -x509 -key privkey.pem -out cacert.pem -days 1095此脚本运用了openssl库中的命令行工具,生成了数字证书和cacert.pem和私钥privkey.pem
这两个文件将在服务端程序中被SSL_CTX_use_certificate_file(),SSL_CTX_use_PrivateKey_file()两个openssl的库函数作为参数调用。
效果图
分别执行客户端和服务端程序,可实现如下图所示的加密交流。(由于fgets()函数读到了回车符,输出的时候也有个回车符,可以将buffer中字符串的最后一个字符去掉)
