概述

        在互联网时代,数据的安全性变得尤为重要。随着网络安全威胁的不断增加,确保信息传输过程中的机密性、完整性和可用性成为了开发者必须考虑的关键因素。在C++网络编程中,使用SSL/TLS加密通信是一种常见的做法。它允许客户端和服务器之间通过互联网安全地交换信息,从而为网络通信提供隐私性和数据完整性。

        SSL,英文全称为Secure Sockets Layer,最初由Netscape公司在1990年代开发,用于保护Web浏览器与服务器间的通信。TLS,英文全称为Transport Layer Security,是IETF标准化后的版本,可以看作是SSL的继承者。尽管名字不同,但两者提供的功能非常相似,通常会把它们统称为“SSL/TLS”。

基本概念

        SSL/TLS:一种用于在两个通信应用程序之间提供保密性和数据完整性的协议。

        证书:一种数字文档,包含了一个实体的信息及其公钥。它由一个可信赖的第三方机构(CA,即Certificate Authority)签发,以证明该实体的身份。

        公钥/私钥: 每个参与者都有一对密钥,主要用于非对称加密算法。公钥公开给所有人,用于加密或验证签名。私钥则保密保存,仅用于解密或创建签名。这保证了即使数据被拦截,没有私钥也无法读取其内容。非对称加密算法的安全性在于:计算上难以从公钥推导出私钥。常见的非对称加密算法包括:RSA、ECC等。

        会话密钥:一旦客户端与服务器建立了信任关系,就会生成一个临时的对称密钥,来进行后续的数据加密和解密工作。对称加密算法因为其加密解密速度快,在大量数据传输中非常有用。常用的对称加密算法有:AES、DES等。

        公钥/私钥与会话密钥之间的主要关系在于:安全地建立对称加密会话。具体来说,有如下两个主要步骤。

        1、使用非对称加密来安全地交换会话密钥。比如:小王可以使用小张的公钥加密一个会话密钥,并将它发送给小张;只有拥有相应私钥的小张,才能解密该会话密钥。

        2、一旦会话密钥被安全地交换,小王和小张就可以使用这个会话密钥,并通过对称加密算法来加密实际传输的数据。

API接口

        OpenSSL是一个开源软件包,提供了丰富的函数用于实现SSL/TLS加密通信,一些常用的API如下。

        SSL_CTX_new:创建一个新的SSL上下文。

        SSL_CTX_use_certificate_file:用于设置证书文件路径。

        SSL_CTX_use_PrivateKey_file:用于设置私钥文件路径。

        SSL_new:根据给定的SSL上下文创建一个新的SSL结构体实例。

        SSL_set_fd:将已有的socket描述符绑定至SSL对象上。

        SSL_connect:客户端调用此函数开始SSL握手过程。

        SSL_accept:服务端调用此函数开始SSL握手过程。

        SSL_read:用于读取加密后的数据流。

        SSL_write:用于写入加密后的数据流。

        SSL_shutdown:发起关闭SSL连接的过程。

        使用OpenSSL库进行SSL/TLS加密通信的主要步骤如下。

        1、初始化OpenSSL库。通常情况下,我们需要调用SSL_library_init等函数来初始化环境。

        2、创建SSL上下文。使用SSL_CTX_new创建一个新的SSL_CTX对象,并配置相关的选项。比如:选择使用的协议版本为TLSv1.2、TLSv1.3等。

        3、加载证书文件。如果作为服务端运行,则需要加载自己的证书及私钥。如果是客户端,则可能需要指定CA证书列表,以验证服务器的身份。

        4、建立普通套接字连接。与普通的TCP/IP编程一样,先完成两台机器之间的基本连接。

        5、将普通套接字转换成SSL套接字。通过SSL_set_fd函数,关联已有的Socket句柄与SSL结构体。

        6、握手。双方交换各自的信息,并协商加密算法、生成共享的密钥等。这一过程,通过SSL_connect或SSL_accept函数完成。

        7、数据传输。使用SSL_read和SSL_write代替标准的read和write操作,以确保所有发送和接收的数据都是加密的。

        8、关闭连接。正常情况下,应先调用SSL_shutdown()进行优雅断开,之后再关闭底层socket。

        在C++中如何进行SSL/TLS加密通信,可参考下面服务端的代码。

#include <iostream>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <string>
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <cstdlib>

using namespace std;

int main()
{
    if (OPENSSL_init_crypto(0, nullptr) != 1)
    {
        cout << "Failed to initialize OpenSSL crypto library." << endl;
        exit(EXIT_FAILURE);
    }

    if (OPENSSL_init_ssl(0, nullptr) != 1)
    {
        cout << "Failed to initialize OpenSSL SSL library." << endl;
        exit(EXIT_FAILURE);
    }

    // 使用最新的TLS版本
    const SSL_METHOD *method = TLS_server_method();
    SSL_CTX *ctx = SSL_CTX_new(method);
    if (ctx == nullptr)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 配置服务器证书
    if (SSL_CTX_use_certificate_file(ctx, "server.crt", SSL_FILETYPE_PEM) <= 0)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 配置服务器私钥
    if (SSL_CTX_use_PrivateKey_file(ctx, "server.key", SSL_FILETYPE_PEM) <= 0)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 检查私钥是否匹配证书
    if (!SSL_CTX_check_private_key(ctx))
    {
        cout << "Private key does not match the certificate public key." << endl;
        exit(EXIT_FAILURE);
    }

    // 开启监听
    int serverSock = socket(AF_INET, SOCK_STREAM, 0);
    if (serverSock < 0)
    {
        cout << "Failed to create socket." << endl;
        exit(EXIT_FAILURE);
    }

    struct sockaddr_in server_addr;
    memset(&server_addr, 0, sizeof(server_addr));
    server_addr.sin_family = AF_INET;
    server_addr.sin_port = htons(443);
    server_addr.sin_addr.s_addr = htonl(INADDR_ANY);
    if (bind(serverSock, (struct sockaddr*)&server_addr, sizeof(server_addr)) < 0)
    {
        cout << "Failed to bind socket." << endl;
        exit(EXIT_FAILURE);
    }

    listen(serverSock, 5);
    while (true)
    {
        cout << "Wait client connecting..." << endl;

        struct sockaddr_in client_addr;
        socklen_t addr_len = sizeof(client_addr);
        int clientSock = accept(serverSock, (struct sockaddr*)&client_addr, &addr_len);

        SSL *pSsl = SSL_new(ctx);
        // 关联已有的Socket句柄与SSL结构体
        SSL_set_fd(pSsl, clientSock);

        // 执行握手
        if (SSL_accept(pSsl) <= 0)
        {
            ERR_print_errors_fp(stdout);
        }
        else
        {
            char pBuff[1024] = { 0 };
            int nBytesReceived = SSL_read(pSsl, pBuff, sizeof(pBuff) - 1);
            if (nBytesReceived > 0)
            {
                cout << "Received msg: " << pBuff << endl;

                // 向客户端回传消息
                string strRsp = "Hello from Hope Wisdom";
                SSL_write(pSsl, strRsp.c_str(), strRsp.size());
            }
        }

        SSL_free(pSsl);
        close(clientSock);
    }

    close(serverSock);
    SSL_CTX_free(ctx);
    return 0;
}

双向认证

        通常情况下,对于标准的HTTPS连接(比如:浏览器访问一个安全网站),客户端并不需要提供自己的证书或私钥。服务器会向客户端发送其证书,客户端使用预置的信任根证书来验证服务器的身份。

        然而,在某些对安全性要求更高的场景下,比如:企业内部网络、金融交易系统等,服务器可能会要求客户端也提供证书以证明自己的身份。这种机制,被称为双向认证。当客户端也需要进行身份验证时,除了要验证服务器提供的证书外,还需要准备好自己的证书和私钥,并将它们配置到SSL/TLS上下文中。

        下面的示例代码,演示了客户端程序如何设置证书与私钥来完成双向认证。

#include <iostream>
#include <openssl/ssl.h>
#include <openssl/err.h>
#include <string.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <unistd.h>

using namespace std;

int main() 
{
    if (OPENSSL_init_crypto(0, nullptr) != 1)
    {
        cout << "Failed to initialize OpenSSL crypto library." << endl;
        exit(EXIT_FAILURE);
    }

    if (OPENSSL_init_ssl(0, nullptr) != 1)
    {
        cout << "Failed to initialize OpenSSL SSL library." << endl;
        exit(EXIT_FAILURE);
    }

    // 使用最新的TLS版本
    const SSL_METHOD *method = TLS_client_method();
    SSL_CTX *ctx = SSL_CTX_new(method);
    if (ctx == NULL)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 配置客户端证书
    if (SSL_CTX_use_certificate_file(ctx, "client.crt", SSL_FILETYPE_PEM) <= 0)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 配置客户端私钥
    if (SSL_CTX_use_PrivateKey_file(ctx, "client.key", SSL_FILETYPE_PEM) <= 0)
    {
        ERR_print_errors_fp(stdout);
        exit(EXIT_FAILURE);
    }

    // 创建socket
    int sock = socket(AF_INET, SOCK_STREAM, 0);
    if (sock < 0)
    {
        cout << "Failed to create socket." << endl;
        return -1;
    }

    // 设置服务器地址
    struct sockaddr_in server_addr;
    memset(&server_addr, 0, sizeof(server_addr));
    server_addr.sin_family = AF_INET;
    server_addr.sin_port = htons(443);
    // 假设服务器IP为本地回环地址
    inet_pton(AF_INET, "127.0.0.1", &server_addr.sin_addr);

    // 连接到服务器
    if (connect(sock, (struct sockaddr*)&server_addr, sizeof(server_addr)) < 0)
    {
        cout << "Failed to connect" << endl;
        close(sock);
        return -1;
    }

    SSL *pSsl = SSL_new(ctx);
    // 关联已有的Socket句柄与SSL结构体
    SSL_set_fd(pSsl, sock);

    // 执行握手
    if (SSL_connect(pSsl) <= 0)
    {
        ERR_print_errors_fp(stdout);
        goto end;
    }

    // 发送消息给服务器
    const char* pMsg = "Hi, Hope Wisdom";
    SSL_write(pSsl, pMsg, strlen(pMsg));

    // 接收响应
    char pBuff[1024] = {0};
    int nBytesReceived = SSL_read(pSsl, pBuff, sizeof(pBuff) - 1);
    if (nBytesReceived > 0)
    {
        cout << "Received msg: " << pBuff << endl;
    }
    else
    {
        cout << "Failed to receive msg" << endl;
    }

end:
    SSL_free(pSsl);
    close(sock);
    SSL_CTX_free(ctx);
    return 0;
}

        在上面的示例代码中,client.crt和client.key表示客户端的证书和私钥文件。这些文件必须预先生成好,并放置于程序可以访问的位置。另外,还需要确保服务端已正确配置允许客户端认证,并且加载了用于验证客户端证书的CA证书。

        至于服务端如何配置,可参考下面的示例代码。

// 设置验证模式为需要客户端证书
SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, nullptr);

// 加载CA证书
if (SSL_CTX_load_verify_locations(ctx, "ca.crt", nullptr) != 1)
{
    ERR_print_errors_fp(stdout);
    exit(EXIT_FAILURE);
}

        在上面的示例代码中,SSL_CTX_set_verify设置了客户端验证策略。我们设置了标志位SSL_VERIFY_PEERh和SSL_VERIFY_FAIL_IF_NO_PEER_CERT,这意味着服务端会强制要求客户端提供证书。如果客户端没有提供证书,则握手失败。SSL_CTX_load_verify_locations函数指定了一个或多个CA证书文件的位置,这些证书用于验证客户端提供的证书是否有效。如果没有找到合适的CA证书来验证客户端证书,握手也会失败。

Logo

助力广东及东莞地区开发者,代码托管、在线学习与竞赛、技术交流与分享、资源共享、职业发展,成为松山湖开发者首选的工作与学习平台

更多推荐