主页 / 问题 / 1098254
Accepted
Iceman
Asked:2020-03-23 03:12:02 +0800 CST2020-03-23 03:12:02 +0800 CST

如何在 C++ 中“手动”使用 OpenSSL,完全控制网络部分

  • 772

您需要将 TLS 加密添加到服务器。在研究了 OpenSSL 文档之后,我发现了像SSL_connectSSL_do_handshake和类似的方便包装器这样的函数,它们不仅可以处理加密/解密,还可以处理网络功能。

我不知道这些功能是如何安排在后台的,我想自己控制网络部分,让库只对数据缓冲区和证书文件进行加密工作。

对响应握手请求、验证证书、对从套接字读取(或写入套接字)的数据应用约定的加密算法的机制感兴趣

请告诉我 OpenSSL 库的哪些对象和函数适用于此,以及如何在这种情况下使用它们?

c++

1 个回答

  1. Best Answer

    这是一个读取/写入套接字本身的 C++ 应用程序示例,SSL 引擎与网络 I/O 分开工作。

    有很多技术细节,所以这里我只对地方的代码进行评论。

    1. 在 OpenSSL 中,引擎通过 I/O 流、BIO 与外界通信。如果您想自己使用套接字,则需要使用内存映射流初始化 SSL:
      // Поток для зашифрованных входных данных
  p->rbio = BIO_new(BIO_s_mem());
  // Поток для зашифрованных выходных данных
  p->wbio = BIO_new(BIO_s_mem());

  // Экземпляр контекста для этой пары потоков
  p->ssl = SSL_new(ctx);

  SSL_set_accept_state(p->ssl); /* sets ssl to work in server mode. */
  // Прикрепляются потоки к контексту
  SSL_set_bio(p->ssl, p->rbio, p->wbio);
    1. 来自套接字的加密数据被传输到输入流并调用 SSL_read 函数,该函数尝试解密输入流的内容并写入提供的缓冲区。重要的是要了解,在解密过程中,您可能需要向对方发送一些东西。因此,您需要检查状态,并在必要时将输出流的内容转发到网络。
        // Зашифрованные байты из src копируются в mem_bio
    n = BIO_write(client.rbio, src, len);
    // ...
    do {
      // Зачли несколько байтов из входного потока, результат расшифровки сохранили в buf
      n = SSL_read(client.ssl, buf, sizeof(buf));
      // ...
    } while (n > 0);

    status = get_sslstatus(client.ssl, n);
    // Фишка в том, что SSL может потребоваться обменяться служебными пакетами с другой стороной
    // Поэтому нужно обязательно проверить статус
    /* Did SSL request to write bytes? This can happen if peer has requested SSL
     * renegotiation. */
    if (status == SSLSTATUS_WANT_IO)
      do {
        // зашифрованные данные для отправки в сеть находятся в выходном потоке
        // их копируют в буфер и отправляют в сеть
        n = BIO_read(client.wbio, buf, sizeof(buf));
        if (n > 0)
          queue_encrypted_bytes(buf, n);
        // ...
      } while (n>0);
    1. 无需手动调用握手。有一个通用函数 SSL_accept 它从输入流中读取握手包,并将结果写入输出流。
        if (!SSL_is_init_finished(client.ssl)) {
      // Процесс хэндшейка на стороне сервера
      n = SSL_accept(client.ssl);
      status = get_sslstatus(client.ssl, n);

      // Нужно отправить ответ другой стороне?
      /* Did SSL request to write bytes? */
      if (status == SSLSTATUS_WANT_IO)
        do {
          // Пакеты протокола TLS в выходном потоке, готовы для отправки в сеть.
          n = BIO_read(client.wbio, buf, sizeof(buf));
          if (n > 0)
            queue_encrypted_bytes(buf, n);
          // ...
        } while (n>0);
      // ...
    }
    1. 发送数据由 SSL_write 加密。加密结果在输出流中。
        // Открытый текст находится в client.encrypt_buf, длина client.encrypt_len
    int n = SSL_write(client.ssl, client.encrypt_buf, client.encrypt_len);
    status = get_sslstatus(client.ssl, n);

    if (n>0) {
      // ...
      // Результат шифрования в выходном потоке.
      /* take the output of the SSL object and queue it for socket write */
      do {
        // Содержимое выходного потока копируется в буфер для отправки в сеть
        n = BIO_read(client.wbio, buf, sizeof(buf));
        if (n > 0)
          queue_encrypted_bytes(buf, n);
        // ...
      } while (n>0);
    }
    • 2

相关问题