2018-2019-1 20165212 實驗五 通訊協議設計

OpenSSL簡介

OpenSSL是為網絡通信提供安全及數據完整性的一種安全協議，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，并提供了豐富的應用程序供測試或其它目的使用。

OpenSSL是一個強大的安全套接字層密碼庫，Apache使用它加密HTTPS，OpenSSH使用它加密SSH，但是，你不應該只將其作為一個庫來使用，它還是一個多用途的、跨平臺的密碼工具。

1.基本功能

OpenSSL整個軟件包大概可以分成三個主要的功能部分：

• 密碼算法庫
• SSL協議庫
• 應用程序

OpenSSL的目錄結構自然也是圍繞這三個功能部分進行規劃的。

作為一個基于密碼學的安全開發包，OpenSSL提供的功能相當強大和全面，囊括了主要的密碼算法、常用的密鑰和證書封裝管理功能以及SSL協議，并提供了豐富的應用程序供測試或其它目的使用。

2.輔助功能?　　BIO機制是OpenSSL提供的一種高層IO接口，該接口封裝了幾乎所有類型的IO接口，如內存訪問、文件訪問以及Socket等。這使得代碼的重用性大幅度提高，OpenSSL提供API的復雜性也降低了很多。

　　OpenSSL對于隨機數的生成和管理也提供了一整套的解決方法和支持API函數。隨機數的好壞是決定一個密鑰是否安全的重要前提。

　　OpenSSL還提供了其它的一些輔助功能，如從口令生成密鑰的API，證書簽發和管理中的配置文件機制等等。

證書

證書就是數字化的文件，里面有一個實體（網站、個人等）的公共密鑰和其他的屬性，如名稱等。該公共密鑰只屬于某一個特定的實體，它的作用是防止一個實體假裝成另外一個實體。證書用來保證不對稱加密算法的合理性。

我們現在常用的證書是采用X.509結構的，這是一個國際標準證書結構。任何遵循該標準的應用程序都可以讀寫X509結構的證書。通過檢查證書里面的CA的名字，和CA的簽名，就知道這個證書的確是由該CA簽發的，然后，你就可以簡單證書里面的接收證書者的名字，然后提取公共密鑰。這樣做建立的基礎是，你信任該CA，認為該CA沒有頒發錯誤的證書。

常用指令

openssl有眾多子命令,分為三類：

• 標準命令
• 消息摘要(dgst子命令)
• 加密命令(enc子命令) 詳細的命令總結可以參考：OpenSSL簡介，這里以一個命令為例進行簡單介紹。

先生成自己的私有密鑰文件，比如叫server.key：

?openssl genrsa -des3 -out server.key 1024?

genras表示生成RSA私有密鑰文件，-des3表示用DES3加密該文件，1024是我們的key的長度。基于現在的計算機速度而言，一般用512就可以了，784可用于商業行為，1024可以用于軍事用途了。生成server.key的時候會要求輸入密碼，這個密鑰用來保護server.key文件，這樣即使server.key文件被竊取，也打不開，拿不到私鑰。

?openssl rsa -noout -text -in server.key?

如果你覺得server.key的保護密碼太麻煩想去掉的話：

?openssl rsa -in server.key -out server.key.unsecure?（不過不推薦這么做）

下一步要得到證書了。得到證書之前我們要生成一個Certificate Signing Request。CA只對CSR進行處理。

?openssl req -new -key server.key -out server.csr?

生成CSR的時候屏幕上將有提示，依照其指示一步一步輸入要求的信息即可。生成的csr文件交給CA簽名后形成服務端自己的證書。

任務一 Linux下OpenSSL的安裝與測試

安裝步驟1 ：再linux終端中輸入$ git clone git://git.openssl.org/openssl.git 直接下載OpenSSL（不是壓縮包）

安裝步驟2：依次輸入

• $ ./config
• $ make
• $ make test
• $ make install

然后就裝好了 測試步驟1：編輯測試代碼test_openssl.c

#include <stdio.h>#include <openssl/evp.h>int main(){OpenSSL_add_all_algorithms();return 0; }

測試步驟2：

• 輸入?gcc -o testopenssl testopenssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread??編譯，會提示：test_openssl.c:(.text+0xf)：對‘OPENSSLinitcrypto’未定義的引用，
• 問題原因：代碼中用到的庫函數系統沒有在制定目錄下找到，使用的該庫函數在“libcrypto.a”和“libssl.a”中，找到文件放進指定目錄即可（詳細參見gcc -I指令、gcc -L指令和https://www.cnblogs.com/MaAce/p/7999795.html）
• 解決方法：將“openssl-master”文件夾下的“libcrypto.a”和“libssl.a”放在/usr/local/ssl/lib目錄下（如果/usr/local/ssl下沒有lib文件夾就自己sudo mkdir創建一個lib文件夾，然后使用命令行移動這兩個文件），編譯時鏈接這個目錄即可。?
• 運行截圖：?

任務二——混合密碼系統防護

混合密碼系統介紹

?

• OpenSSL流程
  • 初始化
  • 選擇會話協議和創建會話環境
  • 建立SSL套接字
  • 完成SSL握手
  • 從SSL套接字中提取對方的證書信息
  • 數據傳輸
  • 結束SSL通信

OpenSSL應用編程框架 Server端：

ctx = SSL_CTX_new (SSLv23_server_method()); ssl = SSL_new (ctx); fd = socket (); bind (); listen (); accept (); SSL_set_fd (ssl, fd); SSL_accept (ssl); SSL_read ();

?

Client端:

ctx = SSL_CTX_new (SSLv23_client_method()); ssl = SSL_new (ctx); fd = socket (); connect (); SSL_set_fd (ssl, fd); SSL_connect (ssl); SSL_write ();

?

實驗代碼

server.c:

#include <stdio.h>#include <stdlib.h>#include <errno.h>#include <string.h>#include <sys/types.h>#include <netinet/in.h>#include <sys/socket.h>#include <sys/wait.h>#include <unistd.h>#include <arpa/inet.h>#include <openssl/ssl.h>#include <openssl/err.h>#include <openssl/evp.h>#define MAXBUF 1024int main(int argc, char **argv){int sockfd, new_fd;socklen_t len;struct sockaddr_in my_addr, their_addr;unsigned int myport, lisnum;char buf[MAXBUF + 1];SSL_CTX *ctx;if (argv[1])myport = atoi(argv[1]);elsemyport = 7838;if (argv[2])lisnum = atoi(argv[2]);elselisnum = 2;/* SSL 庫初始化 */SSL_library_init();/* 載入所有 SSL 算法 */OpenSSL_add_all_algorithms();/* 載入所有 SSL 錯誤消息 */SSL_load_error_strings();/* 以 SSL V2 和 V3 標準兼容方式產生一個 SSL_CTX ，即 SSL Content Text */ctx = SSL_CTX_new(SSLv23_server_method());/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標準 */if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}/* 載入用戶的數字證書， 此證書用來發送給客戶端。 證書里包含有公鑰 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 載入用戶私鑰 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ERR_print_errors_fp(stdout);exit(1);}/* 檢查用戶私鑰是否正確 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/* 開啟一個 socket 監聽 */if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {perror("socket");exit(1);} elseprintf("socket created\n");bzero(&my_addr, sizeof(my_addr));my_addr.sin_family = PF_INET;my_addr.sin_port = htons(myport);my_addr.sin_addr.s_addr = INADDR_ANY;if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {perror("bind");exit(1);} elseprintf("binded\n");if (listen(sockfd, lisnum) == -1) {perror("listen");exit(1);} elseprintf("begin listen\n");while (1) {SSL *ssl;len = sizeof(struct sockaddr);/* 等待客戶端連上來 */if ((new_fd =accept(sockfd, (struct sockaddr *) &their_addr,&len)) == -1) {perror("accept");exit(errno);} elseprintf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr),ntohs(their_addr.sin_port), new_fd);/* 基于 ctx 產生一個新的 SSL */ssl = SSL_new(ctx);/* 將連接用戶的 socket 加入到 SSL */SSL_set_fd(ssl, new_fd);/* 建立 SSL 連接 */if (SSL_accept(ssl) == -1) {perror("accept");close(new_fd);break;}/* 開始處理每個新連接上的數據收發 */bzero(buf, MAXBUF + 1);strcpy(buf, "server->client");/* 發消息給客戶端 */len = SSL_write(ssl, buf, strlen(buf));if (len <= 0) {printf("'%s'發送失敗!錯誤代碼:%d,錯誤信息:'%s'\n",buf, errno, strerror(errno));goto finish;} elseprintf("'%s'發送成功!共發送%d個字節!\n",buf, len);bzero(buf, MAXBUF + 1);/* 接收客戶端的消息 */len = SSL_read(ssl, buf, MAXBUF);if (len > 0)printf("'%s'接收成功!共接收%d個字節的數據!\n",buf, len);elseprintf("接收失敗!錯誤代碼:%d,錯誤信息:'%s'\n",errno, strerror(errno));/* 處理每個新連接上的數據收發結束 */ finish:/* 關閉 SSL 連接 */SSL_shutdown(ssl);/* 釋放 SSL */SSL_free(ssl);/* 關閉 socket */close(new_fd);}/* 關閉監聽的 socket */close(sockfd);/* 釋放 CTX */SSL_CTX_free(ctx);return 0; }

?

client.c:

#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <unistd.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h> #include <openssl/evp.h>#define MAXBUF 1024int main(int argc, char **argv) {int sockfd, new_fd;socklen_t len;struct sockaddr_in my_addr, their_addr;unsigned int myport, lisnum;char buf[MAXBUF + 1];SSL_CTX *ctx;if (argv[1])myport = atoi(argv[1]);elsemyport = 7838;if (argv[2])lisnum = atoi(argv[2]);elselisnum = 2;/* SSL 庫初始化 */SSL_library_init();/* 載入所有 SSL 算法 */OpenSSL_add_all_algorithms();/* 載入所有 SSL 錯誤消息 */SSL_load_error_strings();/* 以 SSL V2 和 V3 標準兼容方式產生一個 SSL_CTX ，即 SSL Content Text */ctx = SSL_CTX_new(SSLv23_server_method());/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 單獨表示 V2 或 V3標準 */if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}/* 載入用戶的數字證書， 此證書用來發送給客戶端。 證書里包含有公鑰 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 載入用戶私鑰 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ERR_print_errors_fp(stdout);exit(1);}/* 檢查用戶私鑰是否正確 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/* 開啟一個 socket 監聽 */if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {perror("socket");exit(1);} elseprintf("socket created\n");bzero(&my_addr, sizeof(my_addr));my_addr.sin_family = PF_INET;my_addr.sin_port = htons(myport);my_addr.sin_addr.s_addr = INADDR_ANY;if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {perror("bind");exit(1);} elseprintf("binded\n");if (listen(sockfd, lisnum) == -1) {perror("listen");exit(1);} elseprintf("begin listen\n");while (1) {SSL *ssl;len = sizeof(struct sockaddr);/* 等待客戶端連上來 */if ((new_fd =accept(sockfd, (struct sockaddr *) &their_addr,&len)) == -1) {perror("accept");exit(errno);} elseprintf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr),ntohs(their_addr.sin_port), new_fd);/* 基于 ctx 產生一個新的 SSL */ssl = SSL_new(ctx);/* 將連接用戶的 socket 加入到 SSL */SSL_set_fd(ssl, new_fd);/* 建立 SSL 連接 */if (SSL_accept(ssl) == -1) {perror("accept");close(new_fd);break;}/* 開始處理每個新連接上的數據收發 */bzero(buf, MAXBUF + 1);strcpy(buf, "server->client");/* 發消息給客戶端 */len = SSL_write(ssl, buf, strlen(buf));if (len <= 0) {printf("'%s'發送失敗!錯誤代碼:%d,錯誤信息:'%s'\n",buf, errno, strerror(errno));goto finish;} elseprintf("'%s'發送成功!共發送%d個字節!\n",buf, len);bzero(buf, MAXBUF + 1);/* 接收客戶端的消息 */len = SSL_read(ssl, buf, MAXBUF);if (len > 0)printf("'%s'接收成功!共接收%d個字節的數據!\n",buf, len);elseprintf("接收失敗!錯誤代碼:%d,錯誤信息:'%s'\n",errno, strerror(errno));/* 處理每個新連接上的數據收發結束 */finish:/* 關閉 SSL 連接 */SSL_shutdown(ssl);/* 釋放 SSL */SSL_free(ssl);/* 關閉 socket */close(new_fd);}/* 關閉監聽的 socket */close(sockfd);/* 釋放 CTX */SSL_CTX_free(ctx);return 0; }

?

操作步驟1：使用上述代碼穿件client.c和server.c 操作步驟2： - 編譯： - gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread - gcc -o client client.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread

• 生產私鑰和證書
  • openssl genrsa -out privkey.pem 1024 openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
  • ?
• 運行客戶端和服務器
  • ./server 7838 1 CAcert.pem privkey.pem ./client 127.0.0.1 7838
  • 運行sever時可能會報錯：error： while loading shared libraries:lib.so.1.1:cannot open shared object file:No such file or directory
    • 原因：ld鏈接器在默認路徑/usr/lib和/usr/lib32中找不到庫文件lib.so.1.1和libcrypto.so.1.1（詳細參見“ld鏈接器”）
    • 解決方法：找到這兩個文件將其復制到這兩個文件夾下，或使用ln -s命令建立同步鏈接

運行截圖：

轉載于:https://www.cnblogs.com/FenixRen/p/10126269.html

總結

以上是生活随笔為你收集整理的2018-2019-1 20165212 实验五 通讯协议设计的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。