2018-2019-1 20165212 实验五 通讯协议设计
2018-2019-1 20165212 实验五 通讯协议设计
OpenSSL简介
OpenSSL是为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
OpenSSL是一个强大的安全套接字层密码库,Apache使用它加密HTTPS,OpenSSH使用它加密SSH,但是,你不应该只将其作为一个库来使用,它还是一个多用途的、跨平台的密码工具。
1.基本功能
OpenSSL整个软件包大概可以分成三个主要的功能部分:
- 密码算法库
- SSL协议库
- 应用程序
OpenSSL的目录结构自然也是围绕这三个功能部分进行规划的。
作为一个基于密码学的安全开发包,OpenSSL提供的功能相当强大和全面,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
2.辅助功能 BIO机制是OpenSSL提供的一种高层IO接口,该接口封装了几乎所有类型的IO接口,如内存访问、文件访问以及Socket等。这使得代码的重用性大幅度提高,OpenSSL提供API的复杂性也降低了很多。
OpenSSL对于随机数的生成和管理也提供了一整套的解决方法和支持API函数。随机数的好坏是决定一个密钥是否安全的重要前提。
OpenSSL还提供了其它的一些辅助功能,如从口令生成密钥的API,证书签发和管理中的配置文件机制等等。
证书
证书就是数字化的文件,里面有一个实体(网站、个人等)的公共密钥和其他的属性,如名称等。该公共密钥只属于某一个特定的实体,它的作用是防止一个实体假装成另外一个实体。证书用来保证不对称加密算法的合理性。
我们现在常用的证书是采用X.509结构的,这是一个国际标准证书结构。任何遵循该标准的应用程序都可以读写X509结构的证书。通过检查证书里面的CA的名字,和CA的签名,就知道这个证书的确是由该CA签发的,然后,你就可以简单证书里面的接收证书者的名字,然后提取公共密钥。这样做建立的基础是,你信任该CA,认为该CA没有颁发错误的证书。
常用指令
openssl有众多子命令,分为三类:
- 标准命令
- 消息摘要(dgst子命令)
- 加密命令(enc子命令) 详细的命令总结可以参考:OpenSSL简介,这里以一个命令为例进行简单介绍。
先生成自己的私有密钥文件,比如叫server.key:
openssl genrsa -des3 -out server.key 1024
genras表示生成RSA私有密钥文件,-des3表示用DES3加密该文件,1024是我们的key的长度。基于现在的计算机速度而言,一般用512就可以了,784可用于商业行为,1024可以用于军事用途了。生成server.key的时候会要求输入密码,这个密钥用来保护server.key文件,这样即使server.key文件被窃取,也打不开,拿不到私钥。
openssl rsa -noout -text -in server.key
如果你觉得server.key的保护密码太麻烦想去掉的话:
openssl rsa -in server.key -out server.key.unsecure (不过不推荐这么做)
下一步要得到证书了。得到证书之前我们要生成一个Certificate Signing Request。CA只对CSR进行处理。
openssl req -new -key server.key -out server.csr
生成CSR的时候屏幕上将有提示,依照其指示一步一步输入要求的信息即可。生成的csr文件交给CA签名后形成服务端自己的证书。
任务一 Linux下OpenSSL的安装与测试
安装步骤1 :再linux终端中输入$ git clone git://git.openssl.org/openssl.git 直接下载OpenSSL(不是压缩包)
安装步骤2:依次输入
- $ ./config
- $ make
- $ make test
- $ make install
然后就装好了 测试步骤1:编辑测试代码test_openssl.c
#include <stdio.h>#include <openssl/evp.h>int main(){OpenSSL_add_all_algorithms();return 0; }
测试步骤2:
- 输入 gcc -o testopenssl testopenssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread 编译,会提示:test_openssl.c:(.text+0xf):对‘OPENSSLinitcrypto’未定义的引用,
- 问题原因:代码中用到的库函数系统没有在制定目录下找到,使用的该库函数在“libcrypto.a”和“libssl.a”中,找到文件放进指定目录即可(详细参见gcc -I指令、gcc -L指令和https://www.cnblogs.com/MaAce/p/7999795.html)
- 解决方法:将“openssl-master”文件夹下的“libcrypto.a”和“libssl.a”放在/usr/local/ssl/lib目录下(如果/usr/local/ssl下没有lib文件夹就自己sudo mkdir创建一个lib文件夹,然后使用命令行移动这两个文件),编译时链接这个目录即可。
- 运行截图:
任务二——混合密码系统防护
混合密码系统介绍
- OpenSSL流程
- 初始化
- 选择会话协议和创建会话环境
- 建立SSL套接字
- 完成SSL握手
- 从SSL套接字中提取对方的证书信息
- 数据传输
- 结束SSL通信
OpenSSL应用编程框架 Server端:
ctx = SSL_CTX_new (SSLv23_server_method()); ssl = SSL_new (ctx); fd = socket (); bind (); listen (); accept (); SSL_set_fd (ssl, fd); SSL_accept (ssl); SSL_read ();
Client端:
ctx = SSL_CTX_new (SSLv23_client_method()); ssl = SSL_new (ctx); fd = socket (); connect (); SSL_set_fd (ssl, fd); SSL_connect (ssl); SSL_write ();
实验代码
server.c:
#include <stdio.h>#include <stdlib.h>#include <errno.h>#include <string.h>#include <sys/types.h>#include <netinet/in.h>#include <sys/socket.h>#include <sys/wait.h>#include <unistd.h>#include <arpa/inet.h>#include <openssl/ssl.h>#include <openssl/err.h>#include <openssl/evp.h>#define MAXBUF 1024int main(int argc, char **argv){int sockfd, new_fd;socklen_t len;struct sockaddr_in my_addr, their_addr;unsigned int myport, lisnum;char buf[MAXBUF + 1];SSL_CTX *ctx;if (argv[1])myport = atoi(argv[1]);elsemyport = 7838;if (argv[2])lisnum = atoi(argv[2]);elselisnum = 2;/* SSL 库初始化 */SSL_library_init();/* 载入所有 SSL 算法 */OpenSSL_add_all_algorithms();/* 载入所有 SSL 错误消息 */SSL_load_error_strings();/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */ctx = SSL_CTX_new(SSLv23_server_method());/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户私钥 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ERR_print_errors_fp(stdout);exit(1);}/* 检查用户私钥是否正确 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/* 开启一个 socket 监听 */if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {perror("socket");exit(1);} elseprintf("socket created\n");bzero(&my_addr, sizeof(my_addr));my_addr.sin_family = PF_INET;my_addr.sin_port = htons(myport);my_addr.sin_addr.s_addr = INADDR_ANY;if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {perror("bind");exit(1);} elseprintf("binded\n");if (listen(sockfd, lisnum) == -1) {perror("listen");exit(1);} elseprintf("begin listen\n");while (1) {SSL *ssl;len = sizeof(struct sockaddr);/* 等待客户端连上来 */if ((new_fd =accept(sockfd, (struct sockaddr *) &their_addr,&len)) == -1) {perror("accept");exit(errno);} elseprintf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr),ntohs(their_addr.sin_port), new_fd);/* 基于 ctx 产生一个新的 SSL */ssl = SSL_new(ctx);/* 将连接用户的 socket 加入到 SSL */SSL_set_fd(ssl, new_fd);/* 建立 SSL 连接 */if (SSL_accept(ssl) == -1) {perror("accept");close(new_fd);break;}/* 开始处理每个新连接上的数据收发 */bzero(buf, MAXBUF + 1);strcpy(buf, "server->client");/* 发消息给客户端 */len = SSL_write(ssl, buf, strlen(buf));if (len <= 0) {printf("'%s'发送失败!错误代码:%d,错误信息:'%s'\n",buf, errno, strerror(errno));goto finish;} elseprintf("'%s'发送成功!共发送%d个字节!\n",buf, len);bzero(buf, MAXBUF + 1);/* 接收客户端的消息 */len = SSL_read(ssl, buf, MAXBUF);if (len > 0)printf("'%s'接收成功!共接收%d个字节的数据!\n",buf, len);elseprintf("接收失败!错误代码:%d,错误信息:'%s'\n",errno, strerror(errno));/* 处理每个新连接上的数据收发结束 */ finish:/* 关闭 SSL 连接 */SSL_shutdown(ssl);/* 释放 SSL */SSL_free(ssl);/* 关闭 socket */close(new_fd);}/* 关闭监听的 socket */close(sockfd);/* 释放 CTX */SSL_CTX_free(ctx);return 0; }
client.c:
#include <stdio.h> #include <stdlib.h> #include <errno.h> #include <string.h> #include <sys/types.h> #include <netinet/in.h> #include <sys/socket.h> #include <sys/wait.h> #include <unistd.h> #include <arpa/inet.h> #include <openssl/ssl.h> #include <openssl/err.h> #include <openssl/evp.h>#define MAXBUF 1024int main(int argc, char **argv) {int sockfd, new_fd;socklen_t len;struct sockaddr_in my_addr, their_addr;unsigned int myport, lisnum;char buf[MAXBUF + 1];SSL_CTX *ctx;if (argv[1])myport = atoi(argv[1]);elsemyport = 7838;if (argv[2])lisnum = atoi(argv[2]);elselisnum = 2;/* SSL 库初始化 */SSL_library_init();/* 载入所有 SSL 算法 */OpenSSL_add_all_algorithms();/* 载入所有 SSL 错误消息 */SSL_load_error_strings();/* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */ctx = SSL_CTX_new(SSLv23_server_method());/* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */if (ctx == NULL) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {ERR_print_errors_fp(stdout);exit(1);}/* 载入用户私钥 */if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0){ERR_print_errors_fp(stdout);exit(1);}/* 检查用户私钥是否正确 */if (!SSL_CTX_check_private_key(ctx)) {ERR_print_errors_fp(stdout);exit(1);}/* 开启一个 socket 监听 */if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {perror("socket");exit(1);} elseprintf("socket created\n");bzero(&my_addr, sizeof(my_addr));my_addr.sin_family = PF_INET;my_addr.sin_port = htons(myport);my_addr.sin_addr.s_addr = INADDR_ANY;if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {perror("bind");exit(1);} elseprintf("binded\n");if (listen(sockfd, lisnum) == -1) {perror("listen");exit(1);} elseprintf("begin listen\n");while (1) {SSL *ssl;len = sizeof(struct sockaddr);/* 等待客户端连上来 */if ((new_fd =accept(sockfd, (struct sockaddr *) &their_addr,&len)) == -1) {perror("accept");exit(errno);} elseprintf("server: got connection from %s, port %d, socket %d\n",inet_ntoa(their_addr.sin_addr),ntohs(their_addr.sin_port), new_fd);/* 基于 ctx 产生一个新的 SSL */ssl = SSL_new(ctx);/* 将连接用户的 socket 加入到 SSL */SSL_set_fd(ssl, new_fd);/* 建立 SSL 连接 */if (SSL_accept(ssl) == -1) {perror("accept");close(new_fd);break;}/* 开始处理每个新连接上的数据收发 */bzero(buf, MAXBUF + 1);strcpy(buf, "server->client");/* 发消息给客户端 */len = SSL_write(ssl, buf, strlen(buf));if (len <= 0) {printf("'%s'发送失败!错误代码:%d,错误信息:'%s'\n",buf, errno, strerror(errno));goto finish;} elseprintf("'%s'发送成功!共发送%d个字节!\n",buf, len);bzero(buf, MAXBUF + 1);/* 接收客户端的消息 */len = SSL_read(ssl, buf, MAXBUF);if (len > 0)printf("'%s'接收成功!共接收%d个字节的数据!\n",buf, len);elseprintf("接收失败!错误代码:%d,错误信息:'%s'\n",errno, strerror(errno));/* 处理每个新连接上的数据收发结束 */finish:/* 关闭 SSL 连接 */SSL_shutdown(ssl);/* 释放 SSL */SSL_free(ssl);/* 关闭 socket */close(new_fd);}/* 关闭监听的 socket */close(sockfd);/* 释放 CTX */SSL_CTX_free(ctx);return 0; }
操作步骤1:使用上述代码穿件client.c和server.c 操作步骤2: - 编译: - gcc -o server server.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread - gcc -o client client.c -I /usr/local/ssl/include -L/usr/local/ssl/lib -lssl -lcrypto -ldl -lpthread
- 生产私钥和证书
openssl genrsa -out privkey.pem 1024 openssl req -new -x509 -key privkey.pem -out CAcert.pem -days 1095
- 运行客户端和服务器
./server 7838 1 CAcert.pem privkey.pem ./client 127.0.0.1 7838
- 运行sever时可能会报错:error: while loading shared libraries:lib.so.1.1:cannot open shared object file:No such file or directory
- 原因:ld链接器在默认路径/usr/lib和/usr/lib32中找不到库文件lib.so.1.1和libcrypto.so.1.1(详细参见“ld链接器”)
- 解决方法:找到这两个文件将其复制到这两个文件夹下,或使用ln -s命令建立同步链接
运行截图:
转载于:https://www.cnblogs.com/FenixRen/p/10126269.html
2018-2019-1 20165212 实验五 通讯协议设计相关推荐
- 2017-2018-1 20155327 实验五 通讯协议设计
2017-2018-1 20155327 实验五 通讯协议设计 实验一: 实验要求: 在Ubuntu中完成 http://www.cnblogs.com/rocedu/p/5087623.html 中 ...
- 2017-2018-1 201553334 实验五 通讯协议设计
2017-2018-1 201553334 实验五 通讯协议设计 1.在Ubuntu中完成 http://www.cnblogs.com/rocedu/p/5087623.html 中的作业 提交运行 ...
- 2017-2018-1 20155222 201552228 实验五 通讯协议设计
2017-2018-1 20155222 201552228 实验五 通讯协议设计 实验内容和要求 通讯协议设计-1 在Ubuntu中完成 http://www.cnblogs.com/rocedu/ ...
- 2018-2019-1 20165201 实验五 通讯协议设计
2018-2019-1 20165201 实验五 通讯协议设计 实验五 通讯协议设计-1 任务详情 在Ubuntu中完成 http://www.cnblogs.com/rocedu/p/5087623 ...
- 2018-2019-1 20165318 20165326 实验五 通讯协议设计
2018-2019-1 20165318 20165326 实验五 通讯协议设计 目录 实验内容 问题及解决 参考资料 实验内容 任务一 在Ubuntu中完成作业 openSSL OpenSSL是一个 ...
- 2017-2018-1 20155201 实验五 通讯协议设计
2017-2018-1 20155201 实验五 固件程序设计 一.实验内容 安装OpenSSL环境,并编写测试代码验证无误 研究OpenSSL算法,测试对称算法中的AES,非对称算法中的RSA,Ha ...
- 2018-2019-1 20165323 20165333 20165336 实验五 通讯协议设计
任务一.Linux下OpenSSL的安装与使用 在Ubuntu中完成 http://www.cnblogs.com/rocedu/p/5087623.html 中的作业 OpenSSL是一套用于SSL ...
- 2018-2019-1 20165303 实验五 通讯协议设计
任务一 Linux下OpenSSL的安装与使用 前往OpenSSL官网,选择打开OpenSSL源码下载地址,按照下图所示方法下载压缩包"openssl-master.zip Linux下使用 ...
- 2018-2019-1 20165227 20165228 20165237 实验五 通讯协议设计
小组成员:20165227朱越.20165228苏祚堃.20165237方若鸿 小组博客链接:https://www.cnblogs.com/cloud795/p/10126478.html 转载于: ...
最新文章
- java银行管理系统_java实现银行管理系统
- 前端学习(493):script之延迟脚本和异步脚本
- python笨办法_笨办法学Python(十)
- mysql的源码目录_Mysql DBA系统学习(2)了解mysql的源码目录及源文件
- java增删改查代码_低代码开发平台
- web.xml 配置
- P11:经典卷积神经网络结构案例分析
- ajax控件扩展,22.6 扩展控件
- oracle添加两个约束,Oracle添加表约束的2种方法
- QQ隐藏福利二-----------------那些免费的挂件和气泡
- ubuntu搜狗拼音输入法无法切换英文
- 如何用纯 CSS 创作一个永动的牛顿摆
- 如何将微信服务号改成订阅号?
- ipv6dns服务器无法响应,ipv6获取不到网关和dns服务器
- 10个月时间,CMO如何挽救这家破产的电商巨头?
- 基于经典蓝牙的安卓蓝牙APP开发(基于蓝牙2.0开发,例:HC-05)
- 关于dpi、dp与sp的基础了解
- 大数据重新定义‘餐饮行业增长黑客’/怎么用数据驱动餐饮行业到店营销
- 【一文讲解深度学习】语言自然语言处理(NLP)第一篇
- 使用再生龙制作linux系统镜像及还原,使用再生龙(clonezilla)制作系统还原盘及恢复镜像并测试恢复(命令行方式)...