2017-2018-1 20155336 实验五 通信协议设计

Openssl简介

  • 在做实验之前,我们先了解一下什么是Openssl!openssl是网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。电脑管家分析,OpenSSL被曝发现严重安全漏洞后,多数SSL加密网站使用名为OpenSSL的开源软件包,由于这也是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以漏洞影响范围广大。OpenSSL漏洞不仅影响以https开头的网站,黑客还可利用此漏洞直接对个人PC发起“心脏出血”(Heartbleed)攻击。据分析,Windows上有大量软件使用了存在漏洞的OpenSSL代码库,可能被黑客攻击抓取用户电脑上的内存数据。
  • OpenSSL整个软件包大概可以分成三个主要的功能部分:密码算法库、SSL协议库以及应用程序。
  • BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
  • OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
  • OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。如果你有足够的耐心,将会在深入使用OpenSSL的过程慢慢发现很多这样的小功能,让你不断有新的惊喜。

任务一:Linux下OpenSSL的安装与测试

步骤一:tar xzvf openssl-1.1.0-pre1.tar.gz解压已经下载好的文件

步骤二:安装

./config
make
make test
make install

步骤三:测试

  • 编写一个测试代码test_openssl.c:

      #include <stdio.h>
      #include <openssl/evp.h>
      	
      int main(){
      	OpenSSL_add_all_algorithms();
      	return 0;
      }
    

步骤四:编译运行

	- gcc -o test_openssl test_openssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread
	- echo $?
	- 结果打印0,测试结果表明安装成功。

任务二:混合密码系统防护

什么是混合密码系统:

基础openssl模块了解学习

  • 头文件:

      #include <openssl/ssl.h>
      #include <openssl/err.h>
    
  • SSL_CTX *ctx=NULL; /* SSL会话环境 */

  • SSL *ssl=NULL; /* SSL安全套接字 */

  • 建立学习环境

      建立一个供调试的openssl环境,可以是windows平台,也可以是linux或者其他平台。用户需有在这些平台下调试源代码的能力。
    
  • 学习openssl的命令

      通过openssl命令的学习,对openssl有基本的了解。	
    
  • 为SSL会话加载用户证书

      if( 0>=SSL_CTX_use_certificate_file(ctx, "./cacert.pem"
      SSL_FILETYPE_PEM/*SSL_FILETYPE_ASN1*/) )
    
  • 为SSL会话加载用户私钥

      if( 0>=SSL_CTX_use_PrivateKey_file(ctx, "./privkey.pem"
      SSL_FILETYPE_PEM/*SSL_FILETYPE_ASN1*/) )
    
  • SSL层握手

       if( -1==SSL_accept(ssl) )	
    
  • 关闭SSL套接字

      SSL_shutdown(SSL *ssl);
    
  • 释放SSL套接字

      SSl_free(SSL *ssl);
    
  • 释放SSL会话环境

      SSL_CTX_free(SSL_CTX *ctx);
    

产品代码

  • 服务器端:

      #include <stdio.h>
      #include <stdlib.h>
      #include <errno.h>
      #include <string.h>
      #include <sys/types.h>
      #include <netinet/in.h>
      #include <sys/socket.h>
      #include <sys/wait.h>
      #include <unistd.h>
      #include <arpa/inet.h>
      #include <openssl/ssl.h>
      #include <openssl/err.h>
      #include <openssl/evp.h>
    
    
      #define MAXBUF 1024
    
      int main(int argc, char **argv)
      {
      int sockfd, new_fd;
      socklen_t len;
      struct sockaddr_in my_addr, their_addr;
      unsigned int myport, lisnum;
      char buf[MAXBUF + 1];
      SSL_CTX *ctx;
    
      if (argv[1])
          myport = atoi(argv[1]);
      else
          myport = 7838;
    
      if (argv[2])
          lisnum = atoi(argv[2]);
      else
          lisnum = 2;
    
      /* SSL 库初始化 */
      SSL_library_init();
      /* 载入所有 SSL 算法 */
      OpenSSL_add_all_algorithms();
      /* 载入所有 SSL 错误消息 */
      SSL_load_error_strings();
      /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
      ctx = SSL_CTX_new(SSLv23_server_method());
      /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
      if (ctx == NULL) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
      if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 载入用户私钥 */
      if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){
          ERR_print_errors_fp(stdout);
          exit(1);
      }
      /* 检查用户私钥是否正确 */
      if (!SSL_CTX_check_private_key(ctx)) {
          ERR_print_errors_fp(stdout);
          exit(1);
      }
    
      /* 开启一个 socket 监听 */
      if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
          perror("socket");
          exit(1);
      } else
          printf("socket created\n");
    
      bzero(&my_addr, sizeof(my_addr));
      my_addr.sin_family = PF_INET;
      my_addr.sin_port = htons(myport);
      my_addr.sin_addr.s_addr = INADDR_ANY;
    
      if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))
          == -1) {
          perror("bind");
          exit(1);
      } else
          printf("binded\n");
    
      if (listen(sockfd, lisnum) == -1) {
          perror("listen");
          exit(1);
      } else
          printf("begin listen\n");
    
      while (1) {
          SSL *ssl;
          len = sizeof(struct sockaddr);
          /* 等待客户端连上来 */
          if ((new_fd =
               accept(sockfd, (struct sockaddr *) &their_addr,
                      &len)) == -1) {
              perror("accept");
              exit(errno);
          } else
              printf("server: got connection from %s, port %d, socket %d\n",
                     inet_ntoa(their_addr.sin_addr),
                     ntohs(their_addr.sin_port), new_fd);
    
          /* 基于 ctx 产生一个新的 SSL */
          ssl = SSL_new(ctx);
          /* 将连接用户的 socket 加入到 SSL */
          SSL_set_fd(ssl, new_fd);
          /* 建立 SSL 连接 */
          if (SSL_accept(ssl) == -1) {
              perror("accept");
              close(new_fd);
              break;
          }
    
          /* 开始处理每个新连接上的数据收发 */
          bzero(buf, MAXBUF + 1);
          strcpy(buf, "server->client");
          /* 发消息给客户端 */
          len = SSL_write(ssl, buf, strlen(buf));
    
          if (len <= 0) {
              printf
                  ("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",
                   buf, errno, strerror(errno));
              goto finish;
          } else
              printf("消息'%s'发送成功,共发送了%d个字节!\n",
                     buf, len);
    
          bzero(buf, MAXBUF + 1);
          /* 接收客户端的消息 */
          len = SSL_read(ssl, buf, MAXBUF);
          if (len > 0)
              printf("接收消息成功:'%s',共%d个字节的数据\n",
                     buf, len);
          else
              printf
                  ("消息接收失败!错误代码是%d,错误信息是'%s'\n",
                   errno, strerror(errno));
          /* 处理每个新连接上的数据收发结束 */
        finish:
          /* 关闭 SSL 连接 */
          SSL_shutdown(ssl);
          /* 释放 SSL */
          SSL_free(ssl);
          /* 关闭 socket */
          close(new_fd);
      }
      /* 关闭监听的 socket */
      close(sockfd);
      /* 释放 CTX */
      SSL_CTX_free(ctx);
      return 0;
      }
    
  • 客户端:

      #include <stdio.h>  
      #include <string.h>  
      #include <errno.h>  
      #include <sys/socket.h>  
      #include <resolv.h>  
      #include <stdlib.h>  
      #include <netinet/in.h>  
      #include <arpa/inet.h>  
      #include <unistd.h>  
      #include <openssl/ssl.h>  
      #include <openssl/err.h>
       #include <openssl/evp.h>
    
    
      #define MAXBUF 1024  
    
      void ShowCerts(SSL * ssl)  
      {  
          X509 *cert;  
          char *line;  
    
          cert = SSL_get_peer_certificate(ssl);  
          if (cert != NULL) {  
          printf("数字证书信息:\n");  
          line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);  
          printf("证书: %s\n", line);  
          free(line);  
          line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);  
          printf("颁发者: %s\n", line);  
          free(line);  
         X509_free(cert);  
      } else  
          printf("无证书信息!\n");  
      }  
        
      int main(int argc, char **argv)  
      {  
      int sockfd, len;  
      struct sockaddr_in dest;  
      char buffer[MAXBUF + 1];  
      SSL_CTX *ctx;  
      SSL *ssl;  
    
      if (argc != 3) {  
          printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"  
               "IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",  
               argv[0], argv[0]);  
          exit(0);  
      }  
    
      /* SSL 库初始化,参看 ssl-server.c 代码 */  
      SSL_library_init();  
      OpenSSL_add_all_algorithms();  
      SSL_load_error_strings();  
      ctx = SSL_CTX_new(SSLv23_client_method());  
      if (ctx == NULL) {  
          ERR_print_errors_fp(stdout);  
          exit(1);  
      }  
    
      /* 创建一个 socket 用于 tcp 通信 */  
      if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {  
          perror("Socket");  
          exit(errno);  
      }  
      printf("socket created\n");  
    
      /* 初始化服务器端(对方)的地址和端口信息 */  
      bzero(&dest, sizeof(dest));  
      dest.sin_family = AF_INET;  
      dest.sin_port = htons(atoi(argv[2]));  
      if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {  
          perror(argv[1]);  
          exit(errno);  
      }  
      printf("address created\n");  
    
      /* 连接服务器 */  
      if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {  
          perror("Connect ");  
          exit(errno);  
      }  
      printf("server connected\n");  
    
      /* 基于 ctx 产生一个新的 SSL */  
      ssl = SSL_new(ctx);  
      SSL_set_fd(ssl, sockfd);  
      /* 建立 SSL 连接 */  
      if (SSL_connect(ssl) == -1)  
          ERR_print_errors_fp(stderr);  
      else {  
          printf("Connected with %s encryption\n", SSL_get_cipher(ssl));  
          ShowCerts(ssl);  
      }  
    
      /* 接收对方发过来的消息,最多接收 MAXBUF 个字节 */  
      bzero(buffer, MAXBUF + 1);  
      /* 接收服务器来的消息 */  
      len = SSL_read(ssl, buffer, MAXBUF);  
      if (len > 0)  
          printf("接收消息成功:'%s',共%d个字节的数据\n",  
                 buffer, len);  
      else {  
          printf  
              ("消息接收失败!错误代码是%d,错误信息是'%s'\n",  
               errno, strerror(errno));  
          goto finish;  
      }  
      bzero(buffer, MAXBUF + 1);  
      strcpy(buffer, "from client->server");  
      /* 发消息给服务器 */  
      len = SSL_write(ssl, buffer, strlen(buffer));  
      if (len < 0)  
          printf  
              ("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",  
               buffer, errno, strerror(errno));  
      else  
          printf("消息'%s'发送成功,共发送了%d个字节!\n",  
                 buffer, len);  
    
        finish:  
          /* 关闭连接 */  
          SSL_shutdown(ssl);  
          SSL_free(ssl);  
          close(sockfd);  
          SSL_CTX_free(ctx);  
          return 0;  
      }  
    
  • 编译方式:

      gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread
      gcc -o telent telent.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread
    
  • 生成私钥和证书:

      openssl genrsa -out privkey.pem 1024
      openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
    
  • 程序运行:

      ./server 7838 1 CAcert.pem privkey.pem
      ./telent 10.0.2.15 7838
    
  • 运行截图

实验感想与体会

基于OpenSSL函数库的应用相比与基于OpenSSL指令的应用开发的工作量会大很多,但这并不意味着其应用会更少。事实上,基于OpenSSL的应用大部分是这种方式的,这种方式使得开发者能够根据自己的需求灵活地进行选择,而不必受OpenSSL有限的指令的限制。 通过OpenSSL,我学到了很多东西,并且发现现在所学的课程都是想通的,比如客服端服务器就与刘念老师教的JAVA WEB这门课程差不多,所以理解起来也不是很晦涩难懂。所以在以后的学习中,要学会融会贯通,这样会有更多的收获的!
posted on 2017-12-16 14:38  丿尛丶熊  阅读(151)  评论(0编辑  收藏  举报