2017-2018-1 20155230 实验五 通信协议设计

OpenSSL简介

• OpenSSL是一个SSL协议的开源实现，采用C语言做为开发语言，具有了跨平台的能力，支持Unix/Linux、Windows、Mac OS等多种平台。

• OpenSSL最先的版本在1995年发布，1998年后开始由OpenSSL项目组维护和开发。当前最新的版本是1.1.0 alpha版本，彻底实现了对SSLv一、SSLv二、SSLv3和TLS的支持。。目前，OpenSSL已经获得了普遍的应用，许多类型的软件中的安所有分都使用了OpenSSL的库，如VOIP的OpenH323协议、Apache服务器、Linux安全模块等等。

• OpenSSL整个软件包大概能够分红三个主要的功能部分：密码算法库、SSL协议库、应用程序

• OpenSSL源码的目录结构也是围绕这三个功能部分进行规划的。

• 密码算法库是一个强大完整的密码算法库，它是OpenSSL的基础部分，也是很值得通常密码安全技术人员研究的部分，它实现了目前大部分主流的密码算法和标准。主要包括对称算法、非对称算法、散列算法、数字签名和认证、X509数字证书标准、PKCS十二、PKCS7等标准。其余两个功能部分SSL协议和应用程序都是基于这个库开发的。

• 在密码算法库的基础上实现的，SSL协议部分彻底实现和封装了SSL协议的三个版本和TLS协议。使用协议库，你彻底能够创建一个SSL服务器和SSL客户端。

• 应用程序是基于密码算法库和SSL协议库实现的命令，熟悉OpenSSL能够从使用这些应用程序开始。应用程序覆盖了密码技术的应用，主要包括了各类算法的加密程序和各类类型密钥的产生程序(如RSA、Md五、Enc等等)、证书签发和验证程序（如Ca、X50九、Crl等）、SSL链接测试程序（如S_client和S_server等）以及其它的标准应用程序（如Pkcs12和Smime等）。

### Linux下OpenSSL的安装

环境

Ubuntu 14.10
OpenSSL 1.1.0alpha

Ubuntu最新版本下载参见http://www.ubuntu.com/download/。

OpenSSL最新版本下载参见http://www.openssl.org/source/。

#### 安装过程

- Linux下的应用大多能够直接使用，也能够获取源代码本身进行编译、安装，使用源代码安装的过程通常是：

config
make
make install

- OpenSSL的安装也是这样。首先解压源代码：```tar xzvf openssl-1.1.0-pre1.tar.gz```而后进入源代码目录：```cd openssl-1.1.0-pre1```而后使用下列命令编译安装：```./configure```、```make```、```sudo make install```

### 基于OpenSSL的程序都要遵循如下几个步骤：

- （1）OpenSSL初始化：

在使用OpenSSL以前，必须进行相应的协议初始化工做，能够经过这个函数实现：```int SSL_library_int(void)```

- （2）选择会话协议：

在利用OpenSSL开始SSL会话以前，须要为客户端和服务器制定本次会话采用的协议，目前可以使用的协议包括TLSv1.0、SSLv二、SSLv三、SSLv2/v3。须要注意的是，***客户端和服务器必须使用相互兼容的协议，不然SSL会话将没法正常进行***。

- （3）建立会话环境：

在OpenSSL中建立的SSL会话环境称为CTX，使用不一样的协议会话，其环境也不同的。申请SSL会话环境的OpenSSL函数是：```SSL_CTX *SSL_CTX_new(SSL_METHOD * method)```，当SSL会话环境申请成功后，还要根据实际的须要设置CTX的属性，一般的设置是指定SSL握手阶段证书的验证方式和加载本身的证书。

制定证书验证方式的函数是：```int SSL_CTX_set_verify(SSL_CTX ctx,int mode,int(verify_callback),int(X509_STORE_CTX *))```
为SSL会话环境加载CA证书的函数是：```SSL_CTX_load_verify_location(SSL_CTX *ctx,const char *Cafile,const char *Capath);```
为SSL会话加载用户证书的函数是：```SSL_CTX_use_certificate_file(SSL_CTX *ctx, const char *file,int type);```
为SSL会话加载用户私钥的函数是：```SSL_CTX_use_PrivateKey_file(SSL_CTX *ctx,const char* file,int type);```
在将证书和私钥加载到SSL会话环境以后，就能够调用下面的函数来验证私钥和证书是否相符：```int SSL_CTX_check_private_key(SSL_CTX *ctx);```

- （4）创建SSL套接字

SSL套接字是创建在普通的TCP套接字基础之上，在创建SSL套接字时可使用下面的一些函数：

SSL *SSl_new(SSL_CTX *ctx);//申请一个SSL套接字
int SSL_set_fd(SSL *ssl,int fd)😉//绑定读写套接字
int SSL_set_rfd(SSL *ssl,int fd);//绑定只读套接字
int SSL_set_wfd(SSL *ssl,int fd);//绑定只写套接字

- （5）完成SSL握手

在成功建立SSL套接字后，客户端应使用函数```SSL_connect( )```替代传统的函数```connect( )```来完成握手过程```int SSL_connect(SSL *ssl)```而对服务器来说，则应使用函数```SSL_ accept ( )```替代传统的函数```accept ( )```来完成握手过程:```int SSL_accept(SSL *ssl)```握手过程完成以后，一般须要询问通讯双方的证书信息，以便进行相应的验证，这能够借助于下面的函数来实现```X509 SSL_get_peer_certificate(SSL ssl)```该函数能够从SSL套接字中提取对方的证书信息，这些信息已经被SSL验证过了。```X509_NAMEX509_get_subject_name(X509 a)```该函数获得证书所用者的名字。

- （6）进行数据传输

当SSL握手完成以后，就能够进行安全的数据传输了，在数据传输阶段，须要使用```SSL_read( )```和```SSL_write( )```来替代传统的```read( )```和```write( )```函数，来完成对套接字的读写操做：```int SSL_read(SSL *ssl,void *buf,int num)```、```int SSL_write(SSL *ssl,const void *buf,int num)```

- （7）结束SSL通讯

当客户端和服务器之间的数据通讯完成以后，调用下面的函数来释放已经申请的SSL资源：```int SSL_shutdown(SSL *ssl);//关闭SSL套接字```、```void SSl_free(SSL *ssl);//释放SSL套接字```、```void SSL_CTX_free(SSL_CTX *ctx); //释放SSL会话环境```

### 实验目的

#### 任务一
- 编写一个测试代码test_openssl.c：

include <stdio.h>

include <openssl/evp.h>

int main(){

OpenSSL_add_all_algorithms();

return 0;

}

<span id="1"></span>
- 而后用下面命令编译：
```gcc -o to test_openssl.c -I（大写i） /usr/local/ssl/inlcude -L（这个位置老师给的教程步骤里没有-L因此没法编译）/usr/local/ssl/lib -ldl -lpthread```执行```./to;echo $?```结果打印0.

![](http://images2017.cnblogs.com/blog/1071497/201712/1071497-20171217210027796-988626714.png)

### 任务二

- 在Ubuntu中实现对实验二中的“wc服务器”经过混合密码系统进行防御

#### 混合密码系统

- 编写一个测试代码

include <stdio.h>

include <openssl/evp.h>

int main(){
OpenSSL_add_all_algorithms();
return 0;
}

- 使用```gcc -o test_openssl test_openssl.c -L/usr/local/ssl/lib -lcrypto -ldl -lpthread```命令编译，生成“test_openssl”可执行文件，运行程序，并执行```echo $?```，结果打印0，测试结果代表安装成功。

![](http://images2017.cnblogs.com/blog/1071497/201712/1071497-20171217211614593-1158125274.png)

### 遇到的问题1：实验1中老师给出的编译命令有错
#### [改正方式](#1)