基于SSL协议的安全网络通信程序

本文深入解析SSL协议的优势、安全机制及工作流程,并通过实际案例演示如何生成X.509证书,以及如何构建SSL服务器和客户端进行安全通信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 基于SSL协议的安全网络通信程序


****************************************

目录结构:

1. SSL理解
1.1 SSL的优点
1.2 SSL密文会话的安全机制
1.3 SSL工作过程
(1) SSL分层结构
(2) SSL握手过程
(3) 利用Wireshark分析SSL工作过程
2. X.509证书相关文件的生成
3. 实现SSL服务器和客户端

****************************************


1. SSL理解


1.1 SSL的优点

(1)提供较高的安全性保证。SSL利用数据加密、身份验证和消息完整性验证机制,保证数据传输的安全性。

(2)支持各种应用层协议。虽然SSL设计的初衷是为了解决Web安全性问题,但是由于SSL位于应用层和传输层之间,它可以为任何基于TCP等可靠连接的应用层协议提供安全性保证

(3)部署简单。目前SSL己经成为网络中用来鉴别网站和网页浏览者身份,在客户端浏览器和Web服务器之间进行密文数据通信的全球化标准。SSL协议已被集成到大部分的浏览器中,如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接,不需要安装额外的客户端软件。


1.2 SSL密文会话的安全机制

(1)数据加密传输:数据需要加密后再进行传输,加密解密算法为对称密钥算法。

(2)身份验证:建立链接时需要对各通信对端进行身份验证,身份验证利用证书和数字签名技术,其中客户端的验证是可选的

(3)消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。

数据加密传输

与非对称密钥体制相比,对称密钥体制具有计算速度快的优点,通常用于对大量数据进行加密(如对整个数据流加密);而非对称密钥体制,一般用于数字签名和对少量的信息进行加密。SSL加密管道上的数据加解密使用对称密钥体制,目前主要支持的算法有DES、 3DES、 AES等,这些算法都可以有效地防止传输的数据被窃听。

身份验证

电子商务和网上银行等Web应用中必须保证客户要登录的Web服务器是真实的,以免重要信息被非法窃取。SSL安全协议利用数字签名来进行通信对端的身份验证。非对称密钥体制可以用来实现数字签名。由于通过私钥加密后的数据只能利用对应的公钥进行解密,因此根据解密是否成功,就可以判断发送者的身份,如同发送者对数据进行了 "签名"

SSL客户端必须验证SSL服务器的身份,SSL服务器是否验证SSL客户端的身份,则由SSL服务器决定。使用数字签名验证身份时,需要确保被验证端的公钥是真实的,否则,非法用户可能会冒充被验证端与验证端通信。

消息完整性验证

为了避免网络中传输的数据被非法篡改,SSL利用基于MD5SHAMAC(消息认证码)算法来保证消息的完整性。

MAC算法要求通信双方具有相同的密钥,否则MAC值附件验证将会失败。因此,利用MAC算法验证消息完整性之前,需要在数据通信的双方部署相同的密钥

利用非对称密钥算法保证密钥本身的安全

SSL利用非对称密钥体制加密密钥的方法來实现密钥交换,保证非授权的第三方无法获取相应的密钥。

利用非对称密钥算法加密对称密钥之前,Alice需要获取Bob的公钥,并保证该公钥确实属于Bob,否则,密钥可能会被未授权的非法用户窃取。SSL利用PKI提供的机制保证公钥的真实性

PKI保证公钥的真实性

数字证书(简称证书)是一个包含用户的公钥及其身份信息的文件,证明了客户与公钥的关联。数字证书由权威机构(CA)签发,并由CA保证数字证书的真实性。

验证SSL服务器/SSL客户端的身份之前,SSL服务器和SSL客户端需要将从CA获取的证书发送给通信对端,对端通过PKI判断该证书的真实性。如果该证书确实属于SSL服务器和SSL客户端,则通信对端利用该证书中的公钥验证SSL服务器和SSL客户端的身份。


1.3 SSL工作过程

(1) SSL分层结构

 



(2) SSL握手过程

SSL握手协议是SSL协议中最复杂的协议。SSL通过握手过程在客户端和服务器之间协商会话参数,并建立会话。会话包含的主要参数有会话ID、对方的证书、加密套件(密钥交换算法、数据加密算法和MAC算法等)以及主密钥(mastersecret)通过SSL会话传输的数据,都将采用此次会话的主密钥和加密套件进行加密、计算MAC等。

SSL握手协议由一系列报文组成,根据功能基本上可以分为四个阶段:

1)      第一阶段是建立安全能力。

2)      第二阶段是服务器鉴别和密钥交换。

3)      第三个阶段是客户鉴别和密钥交换。

4)      第四个阶段是完成握手阶段。

(3)利用Wireshark分析SSL工作过程

1.handshake--client hello


注释:

ECC算法和DH结合使用,用于密钥磋商,这个密钥交换算法称为ECDH

使用RC4加密体制算法对通信数据加密(密钥长度128位)

使用SHA哈希算法进行消息完整性验证

使用RSA公钥体制算法进行证书验证和对称密钥交换

【既然密钥交换算法有很多种(RSA 和DH)那SSL握手期间用哪种呢,这个就是之前由选择的ciphersuit决定的,比如选择的是SSL_RSA_WITH_RC4_128_MD5 = 0x0004,那就是RSA的密钥交换算法即用非对称加密对称将密钥传送到对方,若选择的是SSL_DHE_RSA_EXPORT….那就使用DH交换算法】

2.handshake--server hello

3.S—>C handshake—certificate 服务器端向客户端发送服务器证书


【Certificate(可选):服务器发一个证书或一个证书链到客户端,证书链开始于服务器公共钥匙并结束于证明权威的根证书。该证书用于向客户端确认服务器的身份,该消息是可选的。如果配置服务器的SSL需要验证服务器的身份,会发送该消息。多数电子商务应用都需要服务器端身份验证。】

4.S-->Chandshake—sever key exchange   handshake—sever hello done 


服务器发送公钥和签名信息

【如果服务器发送的公共密钥对加密密钥的交换不是很合适,则发送一个服务器密钥交换消息。即和客户端协商密钥。

RSA方式密钥交换消息则把消息中的加密用公钥放入会话缓存中,作为客户端这边握手阶段的写密钥而不是用服务器证书中的公钥。

DH 方式的消息就把消息中的 p,g,Ys三个参数ECDH密钥交换情况下是G和A)记录下来,有这些 client端就可以计算出 pre-master了,只要回头再把自己这边的Yc参数发过去, server端就也能计算出相同的 pre-maseter了。

为了防止消息被恶意篡改,Server Key exchange消息中还要包含一个对密钥参数(pubKey签名(Signature)

(1)serverkey exchange Pubkey  signature

(2)Server hello done

5.C->S  handshake—clientkey exchange


客户端产生一个会话密钥与服务器共享。在SSL握手协议完成后,客户端与服务器端通信信息的加密就会使用该会话密钥。如果使用RSA加密算法客户端将使用服务器的公钥将会话密钥之后再发送给服务器。服务器使用自己的私钥对接收的消息进行解密得到共享的会话密钥

若是 RSA 方式密钥交换,则产生一个 48 位随机数作为 pre-master 并用服务器公钥加密后发出去若是 DH 方式的密钥交换,则根据 sever 的 g,p,Ys ,产生 Xa 和 Yc , Xa 和 Ys 能计算出 pre-master ,把产生的 Yc 放入消息中发给server ,这样 server 用它的 Xb 和 Yc 也能计算出 pre-master 了。计算出预主密码后就顺便把主密码 (master secret) 给算出来了。算出主密码就把对称密钥产生出来了(预主要密码à主密码à对称密钥)

clientkey exchange, change cipher spec ,encrypted handshakemessage

【Change cipher spec:客户端要求服务器在后续的通信中使用加密模式

6.S->C handshake—new session ticket

New session ticket,change cipher spec,encrypted handshake message

【Change cipher spec:服务器要求客户端在后续的通信中使用加密模式


“session Ticket”(RFC 5077)取代机制被引入,目标是消除服务器需要维护每个客户端的会话状态缓存的要求。相反,如果客户指示它支持Session Ticket,在TLS握手的最后一步中服务器将包含一个“NewSession Ticket”信息,包含了一个加密通信所需要的信息,这些数据采用一个只有服务器知道的密钥进行加密。

【引:http://cache.baiducontent.com/cm=9f65cb4a8c8507ed4fece763105392230e54f7257b8c8148228a8448e435061e5a35a3fd7c734e5392d8781f79fb3e18feb56b32610c7ce0dedf883b9cecd36974d57b23706dc01a438a4ee9&p=b47ac64ad4af5ae508e297790a4d82&newp=8b2a971a818c11a05bea936213528c231610db2151d7d5122083dc&user=baidu&fm=sc&query=New+session+ticket&qid=&p1=5

以上1-6步,握手完成。下面开始客户端和服务器端开始传输加密信息。

7.C-->传送正式数据

【淘宝网登陆页面SSL连接建立分析】

42.156.196.14 https://login.taobao.com/member/login.jhtml



(1)C-->S  client hello


(2)S-->C server hello

     Ciphersuite:TLS_RSA_WITH_RC4_128_SHA

(3)S-->C certificate 证书链

(4)C-->S Client Key Exchange

    RSA Encrypted Secret

(5)C-->S New Session Ticket


2. X.509证书相关文件的生成

【参考:基于X.509证书和SSL协议的身份认证过程实现http://h2appy.blog.51cto.com/609721/1181234】

生成数字证书相关文件的步骤:

1.生成服务器端的私钥(key文件),执行命令

openssl genrsa -des3 -out server.key1024   

Enter pass phrase for server.key:123456

2.生成服务器端的csr文件

openssl req -new -key server.key -outserver.csr -config openssl.cnf 

===拷贝 openssl\apps 下的openssl.cnf文档到out32dll目录下,就可以使用 Openssl了。

Enter pass phrase for server.key:123456

A challenge password:147258

3.客户端生成key文件

openssl genrsa -des3 -out client.key1024    

Enter pass phrase for client.key:123456

4.生成客户端的csr文件

openssl req -new -key client.key -outclient.csr -config openssl.cnf

Enter pass phrase for client.key:123456

A challenge password:147258

5.生成自己的CA

 openssl req -new -x509 -keyout ca.key -outca.crt -config openssl.cnf

Enter PEM pass phrase:123456

生成ca.key和ca.crt证书文件

6.用生成的ca给服务器的csr文件签名,生成服务器端的证书

openssl ca -in server.csr -out server.crt-cert ca.crt -keyfile ca.key -config openssl.cnf

===将apps目录下的demoCA目录以及根目录下的crypto目录复制到out32dll目录下;并在demoCA目录下新建文件夹newcerts.

Enter pass phrase for ca.key:123456

7.用生成的ca给客户端的csr文件签名,生成客户端的证书

openssl ca -in client.csr -out client.crt-cert ca.crt -keyfile ca.key -config openssl.cnf

===清空index.txt文件内容后正常生成

Enter pass phrase for ca.key:123456

生成的相关文件如下图所示:


3. 实现SSL服务器和客户端

对于上面的证书生成过程中,SSL服务器和客户端中所需要使用的只有五个文件,分别是ca.crt,client.crt,client.key,server.crt和server.key。

客户端需要ca.crt,client.crt,client.key这三个文件,

服务器端需要ca.crt,server.crt,server.key这三个文件。

源代码:

 SSL Server端:

//
#include "openssl/rsa.h" 
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
#include "openssl/rand.h"
#include <iostream>

using namespace std;

#pragma comment(lib, "libeay32.lib")
#pragma comment(lib, "ssleay32.lib")

/*所有需要的参数信息都在此处以#define的形式提供*/

#define CERTF "D:\\openssl-1.0.1e\\out32dll\\server.crt" /*客户端的证书(需经CA签名)*/
#define KEYF "D:\\openssl-1.0.1e\\out32dll\\server.key" /*客户端的私钥(建议加密存储)*/
#define CACERT "D:\\openssl-1.0.1e\\out32dll\\ca.crt" /*CA 的证书*/
#define PORT 7758 /*服务端的端口*/

#define CHK_NULL(x) if ((x)==NULL) { printf("null\n"); }
#define MAXLEN 4096	

int main ()
{
	int err;

	int ListenSock;//监听套接字
	int ConnectSock;//连接套接字
	
	SSL_CTX* ctx;
	SSL* ssl;
	X509* client_cert;
//	char* str;
	char buf [MAXLEN] = {0};
//	char szMsg[4096] = {0}; 
	//SSL_METHOD *meth;

	WSADATA wsaData;
	system("title SSL_SERVER");
	system("color 0a");
	if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
		printf("WSAStartup()fail:%d\n",GetLastError());
		return -1;
	} 
	

	OpenSSL_add_ssl_algorithms(); /*初始化*/
	SSL_load_error_strings(); /*为打印调试信息作准备*/

	//注意这里是server和和客户端不同
	//meth=TLSv1_server_method();
	ctx = SSL_CTX_new (TLSv1_server_method()); //采用什么协议(SSLv2/SSLv3/TLSv1)在此指定
	CHK_NULL(ctx);

	SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*验证与否*/
	SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若验证,则放置CA证书*/


	if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) 
	{
		cout<<"服务器端证书检查失败!"<<endl;
		exit(0);
	}

	if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) 
	{
		cout <<"服务器端key检查失败!"<<endl;
		system("pause");
		exit(0);
	}
	else
	{
		cout<<"服务器端key检查成功!"<<endl;
	}

	if (!SSL_CTX_check_private_key(ctx)) 
	{
		cout << "服务器端证书和key不匹配!"<<endl;
		exit(0);
	}
	 SSL_CTX_set_cipher_list(ctx,"AES128-SHA");//*********加密方式  1.4******
	 SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY); //不需要任何重试请求
	

	//创建监听套接字
	 ListenSock = socket (AF_INET, SOCK_STREAM, 0); 
	 if(ListenSock == INVALID_SOCKET)
	 {
		 cout << "监听套接字创建失败" << endl;
		 exit(0);
	 }
	 
	 //创建地址
	 sockaddr_in sin = {0};
	 sin.sin_family = AF_INET;
	 sin.sin_addr.s_addr = INADDR_ANY;
	 sin.sin_port = htons (PORT); //Servert Port Number

	 //套接字绑定
	 err = bind(ListenSock, (struct sockaddr*)&sin,sizeof(sin)); 
	 if(err == -1)
	 {
		 cout << "监听套接字绑定失败" << endl;
		 exit(0);
	 }
	 
	 /*接受TCP链接*/
	 err = listen (ListenSock, 5); //等待连接的队列的最大长度为5
	 if(err == -1)
	 {
		 cout << "监听套接字开启监听失败" << endl;
		 exit(0);
	 }
	 
	 //接受客户端连接
	 struct sockaddr_in sa_client;
	 int len=sizeof(struct sockaddr);
	 ConnectSock = accept(ListenSock, (struct sockaddr *)&sa_client, &len);
	 if(err == -1)
	 {
		 cout << "监听套接字accept失败" << endl;
		 exit(0);
	 }

	 cout<<"Connection from "<<inet_ntoa(sa_client.sin_addr)<<",port:"<<ntohs(sa_client.sin_port)<<"............"<<endl;
	 closesocket (ListenSock);    //**********
	 

	 /*--------------------TCP连接已建立,进行服务端的SSL过程.--------------- */
	 cout << "TCP连接建立,创建SSL连接中....\n" << endl;
	 //从初始化的ctx新建SSL
	 ssl = SSL_new (ctx); 
	 if(ssl == NULL)
	 {
		 cout << "SSL创建失败" << endl;
		 exit(0);
	 }
	 
	 //(连接)套接字和SSL绑定  //<------------key
	 SSL_set_fd (ssl, ConnectSock);
	 //    SSL连接建立
	 err = SSL_accept (ssl);//等待一个TLS / SSL客户端启动TLS / SSL握手,类似于socket中的accept。
	 if(err == -1)
	 {
		 cout << "创建SSL连接失败" << endl;
		 exit(0);
	 }
	 else
	 {
		 cout << "创建SSL连接成功" << endl;
	 }
	 
	 /*打印所有加密算法的信息(可选)*/
	 cout << "SSL连接算法信息:" << SSL_get_cipher (ssl) << endl; 
	 /*得到客户端的证书并打印些信息(可选) */  
	 client_cert = SSL_get_peer_certificate (ssl);  
	 if (client_cert != NULL) {  
		 cout << "客户端证书:" << endl;  
		 cout << "subject:" <<X509_NAME_oneline(X509_get_subject_name (client_cert), 0, 0)<< endl;  
		 cout << "issuer:" <<X509_NAME_oneline(X509_get_issuer_name (client_cert),0,0) << endl;  
		 // CHK_NULL(str);  
		 X509_free (client_cert);/*如不再需要,需将证书释放 */  
	 }  
	 else cout << "客户端没有证书信息!" << endl; //客户端认证失败 
	 

	 //SSL通信,用SSL_write,SSL_read代替send和recv
	 while(true)
	 {	
		 //接收消息
		 err = SSL_read (ssl, buf, sizeof(buf) - 1); 
		 if(err == -1)
		 {
			 cout << "SSL_read接收消息失败" << endl;
			 exit(0);
		 }
		 buf[err] = '\0';
		 cout << "【Client】:" << buf << endl;
		 
		 //发送消息
		 cout << "请输入要发送的消息:";
		 gets(buf);//end with CRLF or EOF
		 err = SSL_write(ssl, buf, strlen(buf));
		 if(err == -1)
		 {
			 cout << "SSL_write发送消息失败" << endl;
			 exit(0);
		 }
		 cout << "【Server】:" << buf << endl;
	 }
	 
	 //关闭套接字和ssl
	 SSL_shutdown (ssl);
	 shutdown (ConnectSock,2);
	 SSL_free (ssl);
	 SSL_CTX_free (ctx);
	 closesocket(ConnectSock);
	 return 0;
}

SSL Client 端:

//
#include "openssl/rsa.h" 
#include "openssl/crypto.h"
#include "openssl/x509.h"
#include "openssl/pem.h"
#include "openssl/ssl.h"
#include "openssl/err.h"
#include "openssl/rand.h"
#include <iostream>
using namespace std;

#pragma comment(lib, "libeay32.lib")
#pragma comment(lib, "ssleay32.lib")

/*所有需要的参数信息都在此处以#define的形式提供*/

#define CERTF "D:\\openssl-1.0.1e\\out32dll\\client.crt" /*客户端的证书(需经CA签名)*/
#define KEYF "D:\\openssl-1.0.1e\\out32dll\\client.key" /*客户端的私钥(建议加密存储)*/
#define CACERT "D:\\openssl-1.0.1e\\out32dll\\ca.crt" /*CA 的证书*/
#define PORT 7758 /*服务端的端口*/
#define CHK_NULL(x) if ((x)==NULL) { printf("null\n"); }
#define MAXLEN 4096

int main ()
{
	int err;
	int sd;

	struct sockaddr_in sa;
	SSL_CTX* ctx;
	SSL* ssl;
	X509* server_cert;
//	char* str;
	char buf [MAXLEN] = {0};
//	char szMsg[MAXLEN] = {0}; 
	//SSL_METHOD *meth;
	//int seed_int[100]; /*存放随机序列*/

	WSADATA wsaData;

	if(WSAStartup(MAKEWORD(2,2),&wsaData) != 0){
		printf("WSAStartup()fail:%d\n",GetLastError());
		return -1;
	} 
	system("title SSL_CLIENT");
	system("color 0a");
	OpenSSL_add_ssl_algorithms(); /*1.SSL初始化*/
	SSL_load_error_strings(); /*2.SSL错误信息初始化 为打印调试信息作准备*/

	//注意这里是client和和服务器不同
	ctx = SSL_CTX_new (TLSv1_client_method()); //3.创建本次会话所使用的协议(TLSv1); 4.申请SSL会话的环境
	CHK_NULL(ctx);
	//SSL_VERIFY_PEER:希望验证对方的证书
	SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL); /*验证与否*/  //5.设置会话的握手方式
	SSL_CTX_load_verify_locations(ctx,CACERT,NULL); /*若验证,则放置CA证书*/  //6.并加载CA证书


	if (SSL_CTX_use_certificate_file(ctx, CERTF, SSL_FILETYPE_PEM) <= 0) //7.加载自己(客户端)的整数
	{
		cout << "客户端证书检查失败!" << endl;
		exit(0);
	}
	if (SSL_CTX_use_PrivateKey_file(ctx, KEYF, SSL_FILETYPE_PEM) <= 0) //8.加载客户端的私钥
	{
		cout << "客户端key检查失败!" << endl;
		system("pause");
		exit(0);
	}
	else
	{
		cout<<"客户端证key检查成功!"<<endl;
	}

	if (!SSL_CTX_check_private_key(ctx))//9.检查自己的证书和私钥是否匹配 
	{
		cout << "客户端证书和key不匹配!" << endl;
		exit(0);
	}

	 //10.加密方式  
 //   SSL_CTX_set_cipher_list(ctx, "RC4-MD5"); 
	SSL_CTX_set_cipher_list(ctx, "AES128-SHA");

    //处理握手多次  
	//设置ssl的模式为SSL_MODE_AUTO_RETRY,使用这个选项进行设置,如果服务器突然希望进行一次新的握手,那么OpenSSL可以在后台处理它。
    SSL_CTX_set_mode(ctx, SSL_MODE_AUTO_RETRY); 

	/*构建随机数生成机制,WIN32平台必需*/
/*	srand( (unsigned)time( NULL ) );
	for( int i = 0; i < 100;i++ ) seed_int[i] = rand();
	RAND_seed(seed_int, sizeof(seed_int));*/
	
	//11.创建TCP连接请求
	sd = socket (AF_INET, SOCK_STREAM, 0); 
	if(sd == INVALID_SOCKET)
	{
		cout << "套接字创建失败!" << endl;
		exit(0);
	}
	memset(&sa,'\0', sizeof(sa));
	sa.sin_family = AF_INET;
	
	// 获取本地地址信息
//	unsigned int SrcIp;
/*	char szLocalName[MAXLEN]={0};
	gethostname(szLocalName,MAXLEN);
	hostent* pHost=gethostbyname(szLocalName);
	if(pHost!=NULL)
		memcpy(&(sa.sin_addr.s_addr),pHost->h_addr_list[0],pHost->h_length);
	else
		exit(0);*/

	sa.sin_addr.s_addr = inet_addr ("127.0.0.1"); 
//	sa.sin_addr.s_addr = inet_addr ("192.168.146.1"); 

	sa.sin_port = htons (PORT); /* Server Port number *///SERVER PORT

	//TCP连接  等待服务器的响应
	cout<<"等待连接中..."<<endl;
	int try_count=0;
	while(1)
	{
		err = connect(sd, (struct sockaddr*) &sa,sizeof(sa));
		if(try_count>5)
		{
			cout<<"TCP 连接超时..."<<endl;
			system("pause");
			exit(1);
		}
		
		else
		{
			if(err == -1)
			{
				//	cout << "TCP连接失败!" << endl;
				try_count++;
				continue;
			}
			else
			{
				cout << "TCP连接成功!" << endl;
				break;
			}
		}
	}

	 /* 12.TCP 链接已建立.开始 SSL 握手过程.......................... */  
	//SSL连接
	//新建SSL
	ssl = SSL_new (ctx); //利用SSL会话的环境ctx申请SSL
	if(ssl == NULL)
	{
		cout << "新建SSL失败!" << endl;
		exit(0);
	}
	//13. 套接字sd和SSL绑定
	SSL_set_fd (ssl, sd);
	//14.SLL连接(SSL handshake)
	//设置等待服务器响应的超时时间
	while(1)
	{
		err = SSL_connect (ssl);
		if(err == -1)
		{
			cout << "SSL连接失败" << endl;
			continue;
		}
		
		else
		{
			cout << "SSL连接成功" << endl;
			break;
		}
	}

	//打印连接信息
	cout << "SSL连接算法信息:" << SSL_get_cipher (ssl) << endl;
	/*得到服务端的证书并打印些信息(可选) */
	server_cert = SSL_get_peer_certificate (ssl);//从SSL套接字中提取对方的证书信息,这些信息已经被SSL验证过了
	if (server_cert != NULL) {
		cout << "服务器证书:" << endl;
		cout << "subject:" << X509_NAME_oneline( X509_get_subject_name (server_cert), 0, 0)<< endl;//得到证书所用者的名字
		cout << "issuer:" << X509_NAME_oneline (X509_get_issuer_name (server_cert),0,0) << endl;
	//	CHK_NULL(str);
		X509_free (server_cert);/*如不再需要,需将证书释放 */
	}
	else cout << "服务器没有证书信息!" << endl; //服务器端认证失败

	//SSL通信,用SSL_write,SSL_read代替send和recv
	while(true)
	{	
		//发送消息 int SSL_write(SSL *ssl,const void *buf,int num);
		cout << "请输入要发送的消息:";
		gets(buf);
		err = SSL_write(ssl, buf, strlen(buf));
		if(err == -1)
		{
			cout << "SSL_write发送消息失败" << endl;
			exit(0);
		}
		cout << "【Client】:" << buf << endl;

		//接收消息 int SSL_read(SSL *ssl,void *buf,int num);
		err = SSL_read (ssl, buf, sizeof(buf) - 1); 
		if(err == -1)
		{
			cout << "SSL_read接收消息失败" << endl;
			exit(0);
		}
		buf[err] = '\0';
		cout << "【Server】:" << buf << endl;
	}

	/* 收尾工作 */
	SSL_shutdown (ssl);//关闭SSL套接字
	//shutdown( SOCKET s, int how); 0关闭套接字的读功能   1关闭套接字的写功能   2关闭套接字的读写功能
	//请注意shutdown()函数并不关闭套接口,且套接口所占有的资源将被一直保持到closesocket()调用。
	//shutdown (sd,2);//
	SSL_free (ssl);//释放SSL套接字
	SSL_CTX_free (ctx);//释放SSL会话环境
	closesocket(sd);//
	return 0;
}

运行结果示例:

 

 


评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值