基于openssl实现https双向身份认证及安全通信

文章目录

  • 一.概述
  • 二.代码设计
    • 2.1 ssl_server.c程序设计
    • 2.2 ssl_client.c程序设计
  • 三.测试

一.概述

  https基于SSL/TLS提供安全的通信信道,基于证书认证技术实现服务器和客户端之间的身份认证,确保了通信双方身份的可信。另外在双方完成身份认证之后协商出通信密钥,对通信过程中的数据进行加密,采用密文传输的方式进行通信,确保通信过程数据的隐私安全性。
  openssl工具提供了强大的证书及密码学运算支持,可以很好的实现对证书的操作以及加密处理。本文基于openssl所提供的库函数实现server和client双方的身份认证,并实现https安全通信。完成通信双方的身份认证需要为server和client颁发数字证书,openssl提供了相关操作可以完成自建CA以及证书颁发,详情请见之前的博客:
基于openssl完成自建CA以及证书颁发
  以下会设计ssl_server.c及ssl_ckient.c程序,分别实现服务端和客户端的程序,其中身份认证的流程及可靠通信代码设计关键点如下:
1.服务端和客户端分别选中各自信任的CA,就是加载CA的证书到程序中。
2.服务端和客户端分别加载自己的证书和私钥,并验证证书和私钥的匹配性。
3.server建立socket接口并与SSL绑定,等待客户端连接。
4.client也建立socket接口并与SSL绑定,请求连接server,并将自己的数字证书发送给server。
5.server收到client的证书后是要加载的CA信息验证client证书,验证失败直接断开连接,验证成功则继续,并将自家的数字证书发送给client。
6.client收到server的数字证书后采用同样的方式验证其证书。
7.双方证书验证通过后顺利建立https连接,可进行socket通信。

二.代码设计

2.1 ssl_server.c程序设计

/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./server 7838 1 server.crt server.key ca.crt
*/
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#define OK 0
#define ERR 1

#define MAXBUF 1024

//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;
	
	//获取证书并返回X509操作句柄
    cert = SSL_get_peer_certificate(ssl);
    // SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
    // 如果验证不通过,那么程序抛出异常中止连接
    if(SSL_get_verify_result(ssl) == X509_V_OK){
        printf("收到client X509证书\n");
    }
	else{
		printf("未收到client X509证书\n");
		return ERR;
	}
    if (cert != NULL) {
        printf("client数字证书信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("证书: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("颁发者: %s\n\n", line);
        free(line);
        X509_free(cert);
		printf("对client证书验证通过!!!\n");
    } 
	else{
        printf("无证书信息,对client证书验证失败!!!\n");
		return ERR;
	}
	return OK;
}

int main(int argc, char **argv) 
{
    int sockfd, new_fd;
    socklen_t len;
    struct sockaddr_in my_addr, their_addr;
    unsigned int myport, lisnum;
    char send_buf[MAXBUF + 1];
	char recv_buf[MAXBUF + 1];
    SSL_CTX *ctx;
	
	//判断参数个数是否正确
	if(argc != 6)
	{
		printf("usage: %s ser_port lis_num ser_crt ser_key ca_crt\n",argv[0]);
		return -1;
	}
	//获取port端口号,如果没指定则default=7838
    if (argv[1])
        myport = atoi(argv[1]);
    else
        myport = 7838;
	
	//设置最大监听数量,如果没有指定则default=2
    if (argv[2])
        lisnum = atoi(argv[2]);
    else
        lisnum = 2;
	/**************************************第一步:OPENSSL初始化**********************************/
    /* SSL 库初始化 */
    SSL_library_init();
    /* 载入所有 SSL 算法 */
    OpenSSL_add_all_algorithms();
    /* 载入所有 SSL 错误消息 */
    SSL_load_error_strings();
    /* 以 SSL V2 和 V3 标准兼容方式产生一个 SSL_CTX ,即 SSL Content Text */
    ctx = SSL_CTX_new(SSLv23_server_method());
    /* 也可以用 SSLv2_server_method() 或 SSLv3_server_method() 单独表示 V2 或 V3标准 */
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    // 双向验证
    // SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
    // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
    // 设置信任根证书
    if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
    if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户私钥 */
    if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 检查用户私钥是否正确 */
    if (!SSL_CTX_check_private_key(ctx)) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
	
	/**************************************第二步:普通socket建立连接*******************************/
    /* 开启一个 socket 监听 */
    if ((sockfd = socket(PF_INET, SOCK_STREAM, 0)) == -1) {
        perror("socket");
        exit(1);
    } else
        printf("socket created success!\n");

    bzero(&my_addr, sizeof(my_addr));
    my_addr.sin_family = PF_INET;
    my_addr.sin_port = htons(myport);
    my_addr.sin_addr.s_addr = INADDR_ANY;

    if (bind(sockfd, (struct sockaddr *) &my_addr, sizeof(struct sockaddr))== -1) {
        perror("bind");
        exit(1);
    } else
        printf("binded success!\n");

    if (listen(sockfd, lisnum) == -1) {
        perror("listen");
        exit(1);
    } else
        printf("begin listen,waitting for client connect...\n");

	SSL *ssl;
	len = sizeof(struct sockaddr);
	/* 等待客户端连上来 */
	if ((new_fd = accept(sockfd, (struct sockaddr *) &their_addr, &len))
			== -1) {
		perror("accept");
		exit(errno);
	} else
		printf("server: got connection from %s, port %d, socket %d\n",
				inet_ntoa(their_addr.sin_addr), ntohs(their_addr.sin_port),
				new_fd);
				
	/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
	/* 基于 ctx 产生一个新的 SSL */
	ssl = SSL_new(ctx);
	/* 将连接用户的 socket 加入到 SSL */
	SSL_set_fd(ssl, new_fd);
	/* 建立 SSL 连接 */
	if (SSL_accept(ssl) == -1) {
		perror("accept");
		printf("SSL 连接失败!\n");
		close(new_fd);
		goto end;
	}
	/**************************************第四步:验证client客户端的证书*******************************/
	if(ShowCerts(ssl) == ERR)goto end;

	/**************************************第五步:https进行收发数据*******************************/
	while(1)
	{	
		/* SSL_read接收客户端的消息 */
		printf("等待客户端发送过来的消息:\n");
		len = SSL_read(ssl, recv_buf, MAXBUF);
		if (len > 0)
			printf("接收client消息成功:'%s',共%d个字节的数据\n", recv_buf, len);
		else{
			printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
			break;          //退出通信
		}
		memset(recv_buf,0,sizeof(recv_buf));   //清空接收缓存区
		/* SSL_write发消息给客户端 */
		printf("请输入要发送给客户端的内容:\n");
		scanf("%s",send_buf);
		if(!strncmp(send_buf,"+++",3))break;    //收到+++表示退出
		len = SSL_write(ssl, send_buf, strlen(send_buf));
		if (len <= 0) {
			printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n", send_buf, errno,strerror(errno));
			break;
		} else
			printf("消息'%s'发送成功,共发送了%d个字节!\n", send_buf, len);
		memset(send_buf,0,sizeof(send_buf));   //清空接收缓存区
	}
	/**************************************第六步:关闭连接及资源清理*******************************/
	/* 处理每个新连接上的数据收发结束 */
end:
	/* 关闭 SSL 连接 */
	SSL_shutdown(ssl);
	/* 释放 SSL */
	SSL_free(ssl);
	/* 关闭 socket */
	close(new_fd);
    /* 关闭监听的 socket */
    close(sockfd);
    /* 释放 CTX */
    SSL_CTX_free(ctx);
    return 0;
}

2.2 ssl_client.c程序设计

/*
参考链接:https://www.cnblogs.com/lsdb/p/9391979.html
执行命令:./client 127.0.0.1 7838 client.crt client.key ca.crt
*/
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 
#include 

#define OK 0
#define ERR 1

#define MAXBUF 1024

#define CACERT "ca.crt"		//定义CA根证书存放路径

//进行证书认证并打印证书相关信息
//return:OK表示证书验证成功,ERR表示证书验证失败
int ShowCerts(SSL * ssl)
{
    X509 *cert;
    char *line;

    cert = SSL_get_peer_certificate(ssl);
    // SSL_get_verify_result()是重点,SSL_CTX_set_verify()只是配置启不启用并没有执行认证,调用该函数才会真证进行证书认证
    // 如果验证不通过,那么程序抛出异常中止连接
    if(SSL_get_verify_result(ssl) == X509_V_OK){
        printf("收到server X509证书\n");
    }
	else{
		printf("未收到server X509证书\n");
		return ERR;
	}
    if (cert != NULL) {
        printf("server数字证书信息:\n");
        line = X509_NAME_oneline(X509_get_subject_name(cert), 0, 0);
        printf("证书: %s\n", line);
        free(line);
        line = X509_NAME_oneline(X509_get_issuer_name(cert), 0, 0);
        printf("颁发者: %s\n\n", line);
        free(line);
        X509_free(cert);
		printf("对server证书验证通过!!!\n");
    } 
	else{
		printf("无证书信息,对server证书验证失败!!!\n");
		return ERR;
	}
	return OK;
}

int main(int argc, char **argv)
{
    int sockfd, len;
    struct sockaddr_in dest;
    char send_buffer[MAXBUF + 1];
	char recv_buffer[MAXBUF + 1];
    SSL_CTX *ctx;
    SSL *ssl;

	//判断参数个数是否正确
	if(argc != 6)
	{
		printf("usage: %s ser_ip ser_port cli_crt cli_key ca_crt\n",argv[0]);
		return -1;
	}
	
    // if (argc != 5) {
        // printf("参数格式错误!正确用法如下:\n\t\t%s IP地址 端口\n\t比如:\t%s 127.0.0.1 80\n此程序用来从某个"
             // "IP 地址的服务器某个端口接收最多 MAXBUF 个字节的消息",
             // argv[0], argv[0]);
        // exit(0);
    // }
	
	/**************************************第一步:OPENSSL初始化**********************************/
    /* SSL 库初始化,参看 ssl-server.c 代码 */
    SSL_library_init();
    OpenSSL_add_all_algorithms();
    SSL_load_error_strings();
    ctx = SSL_CTX_new(SSLv23_client_method());
    if (ctx == NULL) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    // 双向验证
    // SSL_VERIFY_PEER---要求对证书进行认证,没有证书也会放行
    // SSL_VERIFY_FAIL_IF_NO_PEER_CERT---要求客户端需要提供证书,但验证发现单独使用没有证书也会放行
    SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER|SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL);
    // 设置信任根证书
    if (SSL_CTX_load_verify_locations(ctx, argv[5],NULL)<=0){
        ERR_print_errors_fp(stdout);
        exit(1);
    }

    /* 载入用户的数字证书, 此证书用来发送给客户端。 证书里包含有公钥 */
    if (SSL_CTX_use_certificate_file(ctx, argv[3], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 载入用户私钥 */
    if (SSL_CTX_use_PrivateKey_file(ctx, argv[4], SSL_FILETYPE_PEM) <= 0) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }
    /* 检查用户私钥是否正确 */
    if (!SSL_CTX_check_private_key(ctx)) {
        ERR_print_errors_fp(stdout);
        exit(1);
    }

	/**************************************第二步:普通socket建立连接*******************************/
    /* 创建一个 socket 用于 tcp 通信 */
    if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
        perror("Socket");
        exit(errno);
    }
    printf("socket created success!\n");

    /* 初始化服务器端(对方)的地址和端口信息 */
    bzero(&dest, sizeof(dest));
    dest.sin_family = AF_INET;
    dest.sin_port = htons(atoi(argv[2]));
    if (inet_aton(argv[1], (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
        perror(argv[1]);
        exit(errno);
    }
    printf("address created success!\n");

    /* 连接服务器 */
    if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
        perror("Connect ");
        exit(errno);
    }
    printf("server connected  success!\n");

	/**************************************第三步:将普通socket与SSL绑定,在SSL层建立连接*******************************/
    /* 基于 ctx 产生一个新的 SSL */
    ssl = SSL_new(ctx);
    SSL_set_fd(ssl, sockfd);
    /* 建立 SSL 连接 */
    if (SSL_connect(ssl) == -1)
	{
        ERR_print_errors_fp(stderr);
		printf("SSL 连接失败!\n");
		goto end;
	}
    else {
        printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
	/**************************************第四步:验证server服务端的证书*******************************/
		if(ShowCerts(ssl) == ERR)goto end;
    }
	/**************************************第五步:https进行收发数据*******************************/
	//下面客户端和服务器互相收发
	while(1)
	{
		//使用SSL_write函数发送数据
		printf("请输入要发送给服务器的内容:\n");
		scanf("%s",send_buffer);
		if(!strncmp(send_buffer,"+++",3))break;    //收到+++表示退出
		/* 发消息给服务器 */
		len = SSL_write(ssl, send_buffer, strlen(send_buffer));
		if (len < 0)
			printf("消息'%s'发送失败!错误代码是%d,错误信息是'%s'\n",send_buffer, errno, strerror(errno));
		else
			printf("消息'%s'发送成功,共发送了%d个字节!\n",send_buffer, len);
		memset(send_buffer,0,sizeof(send_buffer));   //清空接收缓存区
		
		
		/* 使用SSL_read函数接收数据,接收对方发过来的消息,最多接收 MAXBUF 个字节 */
		len = SSL_read(ssl, recv_buffer, MAXBUF);
		if (len > 0)
			printf("接收消息成功:'%s',共%d个字节的数据\n",recv_buffer, len);
		else 
		{
			printf("消息接收失败!错误代码是%d,错误信息是'%s'\n",errno, strerror(errno));
			break;
		}
		memset(recv_buffer,0,sizeof(recv_buffer));   //清空接收缓存区
	}  
  /**************************************第六步:关闭连接及资源清理*******************************/
end:
	/* 关闭连接 */
    SSL_shutdown(ssl);
    SSL_free(ssl);
    close(sockfd);
    SSL_CTX_free(ctx);
    return 0;
}

三.测试

1.首先确保openssl工具安装成功。
2.编译:

gcc ssl_server.c -o server -lssl -lcrypto -ldl -lcurses
gcc ssl_client.c -o client -lssl -lcrypto -ldl -lcurses

3.server服务端运行:

./server 7838 1 server.crt server.key ca.crt

其中7838表示server的端口号;1表示socket listen的数量;server.crt表示server证书存放路径;server.key表示server私钥存放路径;ca.crt表示CA根证书存放路径。
4.client客户端运行:

./client 127.0.0.1 7838 client.crt client.key ca.crt

其中127.0.0.1表示server的ip地址;7838表示server的端口号;client.crt表示client证书存放路径;client.key表示client私钥存放路径;ca.crt表示CA根证书存放路径。
5.执行结果
server端:
基于openssl实现https双向身份认证及安全通信_第1张图片
client端:
基于openssl实现https双向身份认证及安全通信_第2张图片

你可能感兴趣的:(PKI身份认证,openssl,https,pki,数字证书,双向身份认证)