安全通信系统--OpenSSL服务器和客户端

1. 环境配置
2. SSL的初始化

这一步主要使用OpenSSL提供的函数设置算法、证书等，一般步骤都固定了的，初始化流程示意图如下所示：

SSL初始化流程图

主要代码为：

[cpp] view plain copy

print?

1. SSL_load_error_strings(); /*为打印调试信息作准备*/
2. OpenSSL_add_ssl_algorithms(); /*初始化*/
3. //meth = TLSv1_server_method(); /*采用什么协议(SSLv2/SSLv3/TLSv1)在此指定*/
4. //注意这里是server，客户端那里会是client
5. ctx = SSL_CTX_new (TLSv1_server_method());
6. CHK_NULL(ctx);
7. SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*验证与否*/
8. SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若验证,则放置CA证书*/
9. if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) {
10. ERR_print_errors_fp(stderr);
11. getchar();
12. exit(3);
13. }
14. if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) {
15. ERR_print_errors_fp(stdout);
16. getchar();
17. exit(4);
18. }
19. if (!SSL_CTX_check_private_key(ctx)) {
20. printf("Private key does not match the certificate public keyn");
21. getchar();
22. exit(5);
23. }
24. SSL_CTX_set_cipher_list(ctx,"RC4-MD5");

3.SSL连接通信

建立TCP套接字，并且进入监听，当接收到客户端连接请求后，使用accept建立和客户端通信的套接字s，从初始化的SSL_CTX创建一个SSL，将该SSL和与客户端通信的套接字s绑定，然后使用SSL_accept建立和客户端的SSL连接，如果建立成功就可以检查客户端的证书并获取客户端的证书信息，实现相互认证。之后，可以使用异步通信机制处理该SSL连接的消息。原理图如下图所示：

控制台的非异步通信的SSL通信代码如下所示。(非异步通信的代码原理看起来原理更好理解)

服务器端代码

[cpp] view plain copy

print?

1. //创建监听套接字
2. sListen = socket (AF_INET, SOCK_STREAM, 0);
3. if(sListen == INVALID_SOCKET)
4. {
5. cout << "监听套接字创建失败" << endl;
6. exit(0);
7. }
8. //创建地址
9. sockaddr_in sin = {0};
10. sin.sin_family = AF_INET;
11. sin.sin_addr.s_addr = INADDR_ANY;
12. sin.sin_port = htons (PORT);
13. //套接字绑定
14. err = bind(sListen, (struct sockaddr*) &sin,sizeof(sin));
15. if(err == -1)
16. {
17. cout << "监听套接字绑定失败" << endl;
18. exit(0);
19. }
20. /*接受TCP链接*/
21. err = listen (sListen, 5);
22. if(err == -1)
23. {
24. cout << "监听套接字开启监听失败" << endl;
25. exit(0);
26. }
27. //接受客户端连接
28. SOCKET sd = accept(sListen, (struct sockaddr *)&sa_cli, (socklen_t*)&client_len);
29. if(err == -1)
30. {
31. cout << "监听套接字accept失败" << endl;
32. exit(0);
33. }
34. closesocket (sListen);
35. /*TCP连接已建立,进行服务端的SSL过程. */
36. cout << "TCP连接建立，创建SSL连接中....\n" << endl;
37. //从初始化的ctx新建SSL
38. ssl = SSL_new (ctx);
39. if(ssl == NULL)
40. {
41. cout << "SSL创建失败" << endl;
42. exit(0);
43. }
44. //套接字和SSL绑定
45. SSL_set_fd (ssl, sd);
46. //SSL连接建立
47. err = SSL_accept (ssl);
48. if(err == -1)
49. {
50. cout << "创建SSL连接失败" << endl;
51. exit(0);
52. }
53. else
54. {
55. cout << "创建SSL连接成功" << endl;
56. exit(0);
57. }
58. /*打印所有加密算法的信息(可选)*/
59. cout << "SSL连接算法信息:" << SL_get_cipher (ssl) << endl;
60. /*得到服务端的证书并打印些信息(可选) */
61. client_cert = SSL_get_peer_certificate (ssl);
62. if (client_cert != NULL) {
63. cout << "客户端证书:" << endl;
64. cout << "subject:" << X509_get_subject_name (client_cert), 0, 0) << endl;
65. cout << "issuer:" << X509_NAME_oneline (X509_get_issuer_name (client_cert),0,0) << endl;
66. CHK_NULL(str);
67. X509_free (client_cert);/*如不再需要,需将证书释放 */
68. }
69. else cout << "客户端没有证书信息！" << endl; //客户端认证失败
70. //SSL通信，用SSL_write,SSL_read代替send和recv
71. while(true)
72. {
73. //接收消息
74. err = SSL_read (ssl, buf, sizeof(buf) - 1);
75. if(err == -1)
76. {
77. cout << "SSL_read接收消息失败" << endl;
78. exit(0);
79. }
80. buf[err] = ‘\0‘;
81. cout << "【客户端】:" << buf << endl;
82. cin >> buf;
83. //发送消息
84. err = SSL_write(ssl, buf, strlen(ssl));
85. if(err == -1)
86. {
87. cout << "SSL_write发送消息失败" << endl;
88. exit(0);
89. }
90. cout << "【服务器】:" << buf << endl;
91. }
92. //关闭套接字和ssl
93. shutdown (sd,2);
94. SSL_free (ssl);
95. SSL_CTX_free (ctx);

客户端代码

[cpp] view plain copy

print?

1. //
2. #include "openssl/rsa.h"
3. #include "openssl/crypto.h"
4. #include "openssl/x509.h"
5. #include "openssl/pem.h"
6. #include "openssl/ssl.h"
7. #include "openssl/err.h"
8. #include "openssl/rand.h"
9. #pragma comment(lib, "libeay32.lib")
10. #pragma comment(lib, "ssleay32.lib")
11. /*所有需要的参数信息都在此处以#define的形式提供*/
12. #define CERTF "C:\\client.crt" /*服务端的证书(需经CA签名)*/
13. #define KEYF "C:\\client.key" /*服务端的私钥(建议加密存储)*/
14. #define CACERT "C:\\ca.crt" /*CA 的证书*/
15. #define PORT 7758 /*服务端的端口*/
16. int main ()
17. {
18. int err;
19. int sd;
20. struct sockaddr_in sa;
21. SSL_CTX* ctx;
22. SSL* ssl;
23. X509* server_cert;
24. char* str;
25. char buf [4096] = {0};
26. char szMsg[4096] = {0};
27. //SSL_METHOD *meth;
28. int seed_int[100]; /*存放随机序列*/
29. WSADATA wsaData;
30. if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
31. printf("WSAStartup()fail:%d\n",GetLastError());
32. return -1;
33. }
34. OpenSSL_add_ssl_algorithms(); /*初始化*/
35. SSL_load_error_strings(); /*为打印调试信息作准备*/
36. //注意这里是client和和服务器不同
37. ctx = SSL_CTX_new (TLSv1_client_method());
38. CHK_NULL(ctx);
39. SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*验证与否*/
40. SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若验证,则放置CA证书*/
41. if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0)
42. {
43. cout << "客户端证书检查失败！" << endl;
44. exit(0);
45. }
46. if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0)
47. {
48. cout << "客户端key检查失败！" << endl;
49. exit(0);
50. }
51. if (!SSL_CTX_check_private_key(ctx))
52. {
53. cout << "客户端证书和key不匹配！" << endl;
54. exit(0);
55. }
56. /*构建随机数生成机制,WIN32平台必需*/
57. srand( (unsigned)time( NULL ) );
58. for( int i = 0; i < 100;i++ ) seed_int[i] = rand();
59. RAND_seed(seed_int, sizeof(seed_int));
60. //创建TCP连接请求
61. sd = socket (AF_INET, SOCK_STREAM, 0);
62. if(sd == INVALID_SOCKET)
63. {
64. cout << "套接字创建失败！" << endl;
65. exit(0);
66. }
67. memset(&sa,‘\0‘, sizeof(sa));
68. sa.sin_family = AF_INET;
69. sa.sin_addr.s_addr = inet_addr ("127.0.0.1");
70. sa.sin_port = htons (PORT); /* Server Port number */
71. //TCP连接
72. err = connect(sd, (struct sockaddr*) &sa,
73. if(err == -1)
74. {
75. cout << "TCP连接失败！" << endl;
76. exit(0);
77. }
78. else
79. {
80. cout << "SSL连接成功！" << endl;
81. exit(0);
82. }
83. //SSL连接
84. //新建SSL
85. ssl = SSL_new (ctx);
86. if(ssl == NULL)
87. {
88. cout << "新建SSL失败!" << endl;
89. exit(0);
90. }
91. //套接字和SSL绑定
92. SSL_set_fd (ssl, sd);
93. //SLL连接
94. err = SSL_connect (ssl);
95. if(err == -1)
96. {
97. cout << "SSL连接失败" << endl;
98. exit(0);
99. }
100. else
101. {
102. cout << "SSL连接成功" << endl;
103. exit(0);
104. }
105. //打印连接信息
106. cout << "SSL连接算法信息：" << SSL_get_cipher (ssl) << endl;
107. /*得到服务端的证书并打印些信息(可选) */
108. server_cert = SSL_get_peer_certificate (ssl);
109. if (server_cert != NULL) {
110. cout << "服务器证书:" << endl;
111. cout << "subject:" << X509_get_subject_name (server_cert), 0, 0) << endl;
112. cout << "issuer:" << X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0) << endl;
113. CHK_NULL(str);
114. X509_free (server_cert);/*如不再需要,需将证书释放 */
115. }
116. else cout << "服务器没有证书信息！" << endl; //服务器端认证失败
117. //SSL通信，用SSL_write,SSL_read代替send和recv
118. while(true)
119. {
120. cout << "请输入要发送的消息:";
121. cin >> buf;
122. //发送消息
123. err = SSL_write(ssl, buf, strlen(ssl));
124. if(err == -1)
125. {
126. cout << "SSL_write发送消息失败" << endl;
127. exit(0);
128. }
129. cout << "【客户端】:" << buf << endl;
130. //接收消息
131. err = SSL_read (ssl, buf, sizeof(buf) - 1);
132. if(err == -1)
133. {
134. cout << "SSL_read接收消息失败" << endl;
135. exit(0);
136. }
137. buf[err] = ‘\0‘;
138. cout << "【服务器】:" << buf << endl;
139. }
140. /* 收尾工作 */
141. SSL_shutdown (ssl);
142. shutdown (sd,2);
143. SSL_free (ssl);
144. SSL_CTX_free (ctx);
145. return 0;
146. }