OpenSSL的源代码包括三部分:加密算法库、SSL库和应用程序。
加密算法库的源代码主要在crypto文件夹里,包括ASN.1编码与解码接口(crypto/asn1/asn1.h),伪随机数产生器(crypto/rand/rand.h),ENGINE机制(crypto/engine),统一密码算法的EVP密码算法接口(crypto/evp/evp.h),大数运算接口(crypto/bn/bn.h),私钥信息语法(crypto/x509/x509.h),非对称密码算法(crypto/rsa/ras.h)等。
SSL库的源代码主要在ssl文件夹里,我们重点分析。
SSL相关的几个重要的数据结构包括:
1、SSL连接结构:核心结构,应用程序通过该结构获取所有其他结构。
2、上下文结构SSL_CTX:是全局的上下文结构,含有结构SSL的主要默认值,包含SSL会话结构。
3、会话结构SSL_SESSION:含有链接的当前TLS/SSL会话细节。
4、密码结构SSL_CIPHER:含有制定的加密算法信息。
5、方法结构SSL_METHOD:功能函数接口,统一了各种SSL协议版本(SSLv1, SSLv2, SSLv3, TLSv1)。
SSL连接结构列出如下:
列出SSL方法结构SSL_METHOD如下:
SSL工作方式:双向证书认证的SSL握手过程。
以下简要介绍SSL协议的工作方式。客户端要收发几个握手信号:
1、发送一个“ClientHello”消息,说明它支持的密码算法列表、压缩方法及最高协议版本,也发送稍后将被使用的随机数。
2、然后收到一个“ServerHello”消息,包含服务器选择的连接参数,源自客户端初期所提供的“ClientHello”。
3、当双方知道了连接参数,客户端与服务器交换证书(依靠被选择的公钥系统)。这些证书通常基于X.509,不过已有草案支持以OpenPGP为基础的证书。
4、服务器请求客户端公钥。客户端有证书即双向身份认证,没证书时随机生成公钥。
5、客户端与服务器通过公钥保密协商共同的主私钥(双方随机协商),这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换,或简化的公钥加密,双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。
数据传输中记录层(Record layer)用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密,与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。
使用SSL层接口函数有以下几个步骤:
1、初始化OpenSSL库
初始化函数列出如下:
#define OpenSSL_add_ssl_algorithms()SSL_library_init()
#define SSLeay_add_ssl_algorithms() SSL_library_init()
2、选择会话协议
客户端使用下面的函数选择会话协议:
const SSL_METHOD *SSLv2_client_method(void);/* SSLv2 */
const SSL_METHOD *SSLv3_client_method(void);/* SSLv3 */
const SSL_METHOD *SSLv23_client_method(void);/* SSLv3 but can rollback to v2 */
const SSL_METHOD *TLSv1_client_method(void);/* TLSv1.0 */
const SSL_METHOD *DTLSv1_client_method(void);/* DTLSv1.0 */
服务器端使用下面的函数选择会话协议:
const SSL_METHOD *SSLv2_server_method(void);/* SSLv2 */
const SSL_METHOD *SSLv3_server_method(void); /* SSLv3 */
const SSL_METHOD *SSLv23_server_method(void); /* SSLv3 but can rollback to v2 */
const SSL_METHOD *TLSv1_server_method(void); /* TLSv1.0 */
const SSL_METHOD *DTLSv1_server_method(void); /* DTLSv1.0 */
3、创建会话环境
创建会话环境:
SSL_CTX *SSL_CTX_new(const SSL_METHOD *meth);
设置证书验证方式:
void SSL_CTX_set_verify(SSL_CTX *ctx,int mode,
int (*callback)(int, X509_STORE_CTX *));
给会话环境加载CA证书:
int SSL_CTX_use_certificate(SSL_CTX *ctx, X509 *x);
int SSL_CTX_use_certificate_ASN1(SSL_CTX *ctx, int len, const unsigned char *d);
给会话环境加载用户私钥:
int SSL_CTX_use_PrivateKey(SSL_CTX *ctx, EVP_PKEY *pkey);
int SSL_CTX_use_PrivateKey_ASN1(int pk,SSL_CTX *ctx,
const unsigned char *d, long len);
验证私钥和证书是否相符:
int SSL_CTX_check_private_key(const SSL_CTX *ctx);
4、建立SSL套接字
SSL套接字建立在普通的TCP套接字基础上,应用程序在创建普通套接字、得到套接字描述符fd之后,再创建SSL套接字,并将fd绑定在SSL套接字上。
SSL *SSL_new(SSL_CTX *ctx);
intSSL_set_fd(SSL *s, int fd);
int SSL_set_rfd(SSL *s, int fd);
int SSL_set_wfd(SSL *s, int fd);
5、完成SSL握手
与普通socket编程类似,创建SSL套接字后,客户端使用SSL_connect替代普通socket的connect函数,服务器端则以SSL_accept代替普通socket的accept()函数。
int SSL_accept(SSL *ssl);
int SSL_connect(SSL *ssl);
握手完成之后,询问通信双方的证书信息:
X509 *SSL_get_peer_certificate(const SSL *s);
X509_NAME *X509_get_subject_name(X509 *a); //
6、数据传输
对数据的安全传输包括了加密/解密、压缩/解压缩的过程。
int SSL_read(SSL *ssl,void *buf,int num);
int SSL_peek(SSL *ssl,void *buf,int num);
int SSL_write(SSL *ssl,const void *buf,int num);
7、SSL通信结束
关闭SSL套接字、释放会话环境。
int SSL_shutdown(SSL *s);
voidSSL_free(SSL *ssl);
voidSSL_CTX_free(SSL_CTX *);
BIO是对IO操作的封装,OpenSSL的BIO抽象接口不仅可以对SSL连接的I/O使用,也可以对非加密的网络连接和文件的I/O使用。BIO的相关源代码在crypto/bio文件夹下。
BIO的相关数据结构列出如下。
BIO结构:
1、源/接收类型
2、过滤类型
BIO过滤缓冲结构: