SSL探索02

这篇文章探索TLS -ticket 的重用机制.

完整的SSL握手过程为:

Client                                               Server

         ClientHello
        (empty SessionTicket extension)-------->
                                                         ServerHello
                                     (empty SessionTicket extension)
                                                        Certificate*
                                                  ServerKeyExchange*
                                                 CertificateRequest*
                                      <--------      ServerHelloDone
         Certificate*
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                     -------->
                                                    NewSessionTicket
                                                  [ChangeCipherSpec]
                                      <--------             Finished
         Application Data             <------->     Application Data

使用TLS-ticket 的session复用机制时



Client                                                Server
         ClientHello
         (SessionTicket extension)      -------->
                                                          ServerHello
                                      (empty SessionTicket extension)
                                                     NewSessionTicket
                                                   [ChangeCipherSpec]
                                       <--------             Finished
         [ChangeCipherSpec]
         Finished                      -------->
         Application Data              <------->     Application Data


可见复用session可以缩短建立连接的时间.


复用session的流程:


在一次完整的SSL握手过程中,服务端会将ticket返回给客户端,客户端将此ticket保存,下次再进行连接时携带此ticket便可以回复session.


需要注意的是,ticket是ssl_st中的一个字段不能够单独保存,需要将整个session进行保存.


流程:


a. client1.cpp中建立SSL连接后,通过SSL_SESSION *session0 = SSL_get_session(ssl);得到session,然后通过PEM_write_SSL_SESSION(fp, session0);将session保存至文件中


b. client2.cpp若想重用上面的session,需要通过PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);从文件中读取session.


c. 然后通过SSL_set_session(ssl, session_new);将其设置,这样便实现了连接复用.


注意:必须调用SSL_set_session(ssl, session_new);将其设置,否则仍是完整的连接.


示例代码如下:


client1.cpp(将session保存)


int main(int argc, char * *argv) {
	int sockfd, len;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;

	/* SSL 库初始化*/
	SSL_library_init();
	/* 载入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 载入所有SSL 错误消息*/
	SSL_load_error_strings();
	/* 以SSL V2 和V3 标准兼容方式产生一个SSL_CTX ,即SSL Content Text */
	ctx = SSL_CTX_new(SSLv23_client_method());
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		exit(1);
	}
	/* 创建一个socket 用于tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服务器端(对方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//设置连接的端口
	dest.sin_port = htons(443);
	//设置连接的IP地址

	char *addr3 = "115.239.210.27";
	if (inet_aton(addr3, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 连接服务器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");

	/* 基于ctx 产生一个新的SSL */
	ssl = SSL_new(ctx);
	/* 将新连接的socket 加入到SSL */
	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 连接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session0 = SSL_get_session(ssl);

	FILE * fp;
	int leng = 20;
	int numwritten = 0;
	char data[leng];
	fp = fopen("/home/shuyan/file1.txt", "w+");

	if (fp == NULL) {
		printf("can't open file \n");
	} else {
		printf("open sucess\n");

		//将session 保存至文件中
		<span style="color:#ff0000;">PEM_write_SSL_SESSION(fp, session0);</span>
		fclose(fp);
	}

	unsigned char * session_id1 = session0->session_id;
	//cout << "sessionid : " << session_id << endl;
	int len3 = session0->session_id_length;
	cout << "session length:" << len3 << endl;
	unsigned char * ticket1 = session0->tlsext_tick;
	cout << "ticket:" << ticket1 << endl;
	size_t ticklen1 = session0->tlsext_ticklen;
	cout << "ticklen:" << ticklen1 << endl;
	long tick_lifetime_hint1 = session0->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint1 << endl;

	/* 关闭连接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}


client2.cpp(从文件中恢复session)


int main(int argc, char * *argv) {
	int sockfd;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;
	FILE *fp;

	/* SSL 库初始化*/
	SSL_library_init();
	/* 载入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 载入所有SSL 错误消息*/
	SSL_load_error_strings();

	//---------------------------再次连接--------------------------------------

	//这里从文件中恢复session
	fp = fopen("/home/shuyan/file1.txt", "r");
	<span style="color:#ff0000;">SSL_SESSION * session_new = PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);</span>
	if (session_new != NULL) {
		unsigned char * ticket2 = session_new->tlsext_tick;
		cout << "new ticket :" << ticket2 << endl;
	} else {
		cout << "=======NULL========" << endl;
	}

	ctx = SSL_CTX_new(SSLv23_client_method());
	/* 基于ctx 产生一个新的SSL */
	ssl = SSL_new(ctx);

	//必须有这一步骤,否则不会进行复用.
	SSL_set_session(ssl, session_new);
	/* 创建一个socket 用于tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服务器端(对方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//设置连接的端口
	dest.sin_port = htons(443);
	//设置连接的IP地址

	char *addr2 = "115.239.210.27";
	if (inet_aton(addr2, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 连接服务器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");
	/* 将新连接的socket 加入到SSL */

	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 连接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session2 = SSL_get_session(ssl);

	int len2 = session2->session_id_length;
	cout << "session length:" << len2 << endl;
	unsigned char * ticket2 = session2->tlsext_tick;
	cout << "ticket:" << ticket2 << endl;
	size_t ticklen2 = session2->tlsext_ticklen;
	cout << "ticklen:" << ticklen2 << endl;
	long tick_lifetime_hint2 = session2->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint2 << endl;

	/* 关闭连接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}

				


				
时间: 2024-08-02 05:56:19 

		


		


	

	
	

		


		
SSL探索02的相关文章


								

		

			

                SSL探索03
			

		

		

									

				本文探索Openssl的Engine机制.Openssl硬件引擎(Engine)能够使用户比较容易地将自己的硬件加入到openssl中去,替换其提供的软件算法. ENGINE 是 OPENSSL 预留的用以加载第三方加密库引擎,主要包括了动态库加载的代码和加密函数指针管理的一系列接口.如果要使用 Engine(假设你已经加载上 该 Engine 了 ) , 那 么 首 先 要 加 载 该Engine(比如 ENGINE_load_XXXX),然后选择要使用的算法或者使用支持的所有加密算法.这样你			

		

	

				

		

			

                VS中Qt的探索02
			

		

		

									

				边看C++ GUI QT4教程,边在VS2010中进行编程学习探索. 在使用Qt设计师时,其中每一个对象的ObjectName属性是非常重要的,在程序功能的实现过程中,需要不断的使用该变量名. 当所有的对象属性设置完之后,在VS2010中右击*.ui文件,选择编译(ctrl+F7),便会自动生成另一个.h文件,里面的某一个类包含了对象的所有属性情况,如下图所示: 并且在VS自动生成的*.h文件中,会有一个该类的变量名用来访问你在Qt设计师中更改的每个对象的属性值,从而我们可以在实现某项功能时进行			

		

	

				

		

			

                SSL探索01
			

		

		

									

				1. OPENSSL简介 OpenSSL项目是一个协作开发一个健壮的,商业级的,全功能的,并且开放源代码工具包,它实现了安全套接字层(SSL v2/v3)和传输层安全(TLS v1)协议以及全强大的通用加密库. 2.使用SSL进行安全IO 使用SSL进行安全IO与原本的socketIO通信区别不大,只是增加了SSL部分内容. 下面说明SSL IO的基本过程: 客户端流程 ① // SSL初始化 ②//socket,connect, ③//ssl,建立SSL连接,SSL_connect(ssl)			

		

	

				

		

			

                redis应用之使用sentinel实现主从复制高可用
			

		

		

									

				一.redis的高可用管理工具sentinel介绍 sentinel是一个管理redis实例的工具,它可以实现对redis的监控.通知.自动故障转移.sentinel不断的检测redis实例是否可以正常工作,通过API向其他程序报告redis的状态, 如果redis master不能工作,则会自动启动故障转移进程,将其中的一个slave提升(通过选举)为master,其他的slave重新设置新的master服务器.而故障的master再次启动后 会被sentinel自动降级为slave服务器加入			

		

	

				

		

			

                corosync 实现 MariaDB 数据库服务的高可用
			

		

		

									

				方案: corosync + pacemaker  提供HA的解决方案. 使用NFS共享服务器导出的共享文件系统做为数据目录: 拓扑图如下: 一.配置HA高可用集群的各节点间能够基于主机名通讯. 1.设置主机名 (1).在 192.168.60.128 主机设置 编辑/etc/sysconfig/network文件,使得主机名永久有效 [[email protected] ~]# vim /etc/sysconfig/network HOSTNAME=node2.9527du.com 使用hos			

		

	

				

		

			

                MS-Windows中的Git命令行
			

		

		

									

				Git command line for MS-Windows Inhalt 1 Download and install, or copy the git command line suite for MS-Windows 2 sh.exe 2.1 pure run >sh.exe 2.2 run sh.exe in a batch file with some environment variables 2.3 run sh.exe in a batch file to execute on			

		

	

				

		

			

                CentOS7上安装并配置KVM,以及通过KVM安装CentOS系统
			

		

		

									

				笔记内容:CentOS7上安装并配置KVM,以及通过KVM安装CentOS系统笔记日期:2018-03-07 28.5 Centos7上安装KVM 28.6 配置网卡 28.7 创建虚拟机安装CentOS7 28.8 虚拟机管理 Centos7上安装KVM 首先我们需要一台配置较高的CentOS7虚拟机,当然用物理机也可以,我这里用的是虚拟机,配置如下: 硬盘需要新增一个,其中的新硬盘用于在KVM里安装操作系统时需要用到,内存的大小最好有4个G,最低2个G,因为我这里物理机的内存有16G所以就给			

		

	

				

		

			

                百度刚放假啊数据库风口浪尖萨拉疯了
			

		

		

									

				http://www.ebay.com/cln/l_x5585/2015.02.11/176746639012 http://www.ebay.com/cln/jiacha_boryk/2015.02.11/176837188016 http://www.ebay.com/cln/gbnlin0/2015.02.11/176837189016 http://www.ebay.com/cln/j_j2841/2015.02.11/177066749015 http://www.ebay.com/c			

		

	

				

		

			

                百度房间爱师傅卡卡是快乐疯了;爱死
			

		

		

									

				http://www.ebay.com/cln/shx9479/-/177007606013/2015.02.11 http://www.ebay.com/cln/genqi12/-/176846034010/2015.02.11 http://www.ebay.com/cln/seyyon2/-/176906811016/2015.02.11 http://www.ebay.com/cln/wcn5971/-/176846032010/2015.02.11 http://www.ebay.co