网络安全综合课程设计基于SSL的C/S安全通信程序的实现实验指导书专业实验中心2013-7目录第一章、设计环境及目的 (3)1、实验环境 (3)2、实验目的 (3)第二章、相关技术介绍 (4)1.CA (4)2. OpenSSL (4)3.Winsocket编译原理 (5)第三章、设计步骤与开发平台的搭建 (6)1、环境搭建 (6)2、证书下载 (9)3、公私钥分割 (14)第四章、系统结构 (19)1、身份认证模块设计方法 (19)2、传输加密模块设计方法 (21)第五章、程序设计提示与测试 (22)1、初始化SSL证书 (22)2、启动线程处理函数 (22)3、接收消息线程处理函数 (23)4、发送消息函数 (24)5、服务端程序的框架 (25)6、客户端程序的框架 (27)7、测试结果示例 (29)第一章、设计环境及目的1、实验环境Windowsxp,visualC++,UltraEdit,ActivePerl-5.8.6.811-MSWin32-x86-122208等工具软件,并结合了openssl-0.9.7b等工具。
2、实验目的1)熟悉计算机的加密和应用,熟悉Socket通信编程函数,掌握TCP/IP协议的客服端、服务器模式的网络编程。
2)了解openssl的编译过程。
3)了解CA如何申请、下载和安装。
以及如何进行公私钥分割。
4)ActivePerl工具软件的安装及运用。
5)编译,搭建Openssl开发环境。
6)综合运用Socket编程和Openssl安全套接字编程建立安全通信通道。
第二章、相关技术介绍1.CACA:CA是PKI系统中通信双方都信任的实体,被称为可信第三方(Trusted Third Party,简称TTP)。
CA作为可信第三方的重要条件之一就是CA的行为具有非否认性。
作为第三方而不是简单的上级,就必须能让信任者有追究自己责任的能力。
CA通过证书证实他人的公钥信息,证书上有CA的签名。
用户如果因为信任证书而导致了损失,证书可以作为有效的证据用于追究CA的法律责任。
正是因为CA愿意给出承担责任的承诺,所以也被称为可信第三方。
在很多情况下,CA与用户是相互独立的实体,CA作为服务提供方,有可能因为服务质量问题(例如,发布的公钥数据有错误)而给用户带来损失。
证书中绑定了公钥数据、和相应私钥拥有者的身份信息,并带有CA的数字签名。
证书中也包含了CA的名称,以便于依赖方找到CA的公钥、验证证书上的数字签名。
1)CA的层级结构:CA建立自上而下的信任链,下级CA信任上级CA,下级CA由上级CA颁发证书并认证。
2)CA提供的服务:颁发证书、废除证书、更新证书、验证证书、管理密钥。
2. OpenSSLOpenSSL:为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
利用OpenSSL开发包编写建立在SSL上的C/S 程序,包含客户端和服务器端程序。
OpenSSL采用C语言作为开发语言,这使得OpenSSL具有优秀的跨平台性能,这对于广大技术人员来说是一件非常美妙的事情,可以在不同的平台使用同样熟悉的东西。
OpenSSL支持Linux、Windows、BSD、Mac、VMS等平台,这使得OpenSSL具有广泛的适用性。
3.Winsocket编译原理Windows Sockets接口是TCP/IP网络最为通用API(应用程序接口),已成为Windows网络编程的事实上的标准。
它以Unix中流行的Socket接口为范例定义了一套Microsoft Windows下网络编程接口函数库。
它不仅包含了人们所熟悉的Berkeley Socket风格的库函数;也包含了一组针对Windows的扩展库函数,以使程序员能充分地利用Windows消息驱动机制进行编程。
SOCKET实际在计算机中提供了一个通信端口,可以通过这个端口与任何一个具有SOCKET接口的计算机通信。
应用程序在网络上传输,接收的信息都通过这个SOCKET接口来实现。
在应用开发中就像使用文件句柄一样,可以对SOCKET句柄进行读,写操作。
VC++对原来的WindowsSockets库函数进行了一系列封装,继而产生了CAsynSocket、CSocket、CSocketFile等类,它们封装着有关Socket的各种功能。
在VC中进行WINSOCK的API编程开发,需要使用到下面三个文件:1)WINSOCK.H:这是WINSOCK API的头文件。
2)WSOCK32.LIB:WINSOCK API连接库文件。
在使用中,一点要把它作为项目的非缺省的连接库包含到项目文件中去。
3)WINSOCK.DLL:WINSOCK的动态连接库。
总的来说,使用SOCKET接口(面向连接或无连接)进行网络通信时,必须按下面简单的四步进行处理:1)程序必须建立一个SOCKET。
2)程序必须按要求配置此SOCKET。
也就是说,程序要么将此SOCKET连接到远方的主机上,要么给此SOCKET指定一个本地协议端口。
3)程序必须按要求通过此SOCKET发送和接收数据。
4)程序必须关闭此SOCKET。
程序分为两部分:客户端和服务器端,我们的目的是利用SSL/TLS的特性保证通信双方能够互相验证对方身份(真实性),并保证数据的完整性, 私密性.服务器和客服端程序框架的建立,另外重点是证书文件的生成。
本次编程基本上是改造的openssl自带的demos目录下的cli.cpp,serv.cpp文件,做了一些修改,并增加了一些功能。
第三章、设计步骤与开发平台的搭建1、环境搭建1)安装ActivePerl-5.6.1.629-MSWin32-x86-multi-thread.2)打开控制台程序,在openssl解压后的目录下执行Perl Configure VC-WIN32命令,注意,一定要在这个目录下执行该命令,否则找不到Configure 文件,当然,你也可以指定完整的Configure文件路径。
顺利通过。
3)根据openssl的帮助说明,在解压目录下执行ms\do_masm(和ms_\do_ms)命令,成功通过。
4)配置VC环境变量,我在相同的控制台程序下转到VC所在目录下的vc98\bin目录,执行vcvars32批处理命令,设置VC的环境变量,然后再转到openssl解压包的根目录下。
5)在openssl解压目录下执行nmake -f ms\ntdll.mak,如果没有错误,就完成编译了。
输出的文件在out32dll里面,包括应用程序的可执行文件、两个Lib 文件和两个dll文件。
2、证书下载1)访问http://172.16.110.5/certsrv申请证书、导出包含公私钥的pfx文件。
申请证书-->高级-->使用表格CA-->标记为密钥可导出(导出到文件--不要选择)-->安装证书。
2) IE-->internet 选项-->内容-->证书-->选中刚才安装的证书,导出-->是,导出私钥-->(缺省)下一步-->密码(1234)-->文件名(mykey.pfx ).3、公私钥分割注:红色字体为系统提示,黑色字体为输入或输入的说明。
1)运行opensslE:\openss\out32dll>openssl2)在openssl环境下运行。
Openssl>pkcs12 –in d:\ok\mykey.pfx –out d:\ok\mypem.pemEnter Import Password:此处输入mykey.pfx的密码“1234”MAC verified okEnter PEM pass phrase:此处输入保护私钥的密码(注:也就是服务器端加载私钥时要输入的密码)Verifying- Enter PEM pass phrase:验证输入Openssl>quit3)经过第2步所生成的mypem.pem文件即包含公钥又包含私钥,但和mykey.pfx比较编码格式发生了变化。
分割过程:(1)Ultraedit打开mypem.pem。
(2)找到-----BEGIN RSA PRIV ATE KEY-----…….-----END RSA PRIV ATE KEY-----将这一部分(如图1的阴影部分)内容复制并另存为chkey.pem,即私钥文件。
图14)找到-----BEGIN CERTIFICATE-----……….-----END CERTIFICATE----- 将这一部分(如下图的阴影部分)内容复制并另存为chcert.pem,即公钥钥文件。
第四章、系统结构通信系统需要由以下几个部分组成:SSL加密通信、身份认证、证书管理。
安全通信系统结构1、身份认证模块设计方法1)证书与密钥交换算法的选择在SSL协议中证书的一个重要作用就是参与通信双方对密钥交换算法的选择。
在通信双方开始进行算法协商时,SSL客户端在它发给SSL服务端的客户问候消息中列出了所有客户端支持的加密算法套件,每个加密套件中有一项标识了该加密套件支持的密钥交换算法,选择什么的密钥交换算法由SSL服务端所拥有的证书决定。
SSL服务端在对客户端发来的加密套件进行选择时,要通过它拥有的证书类型来决定是否该选择该加密套件。
我们使用两种方法来划分证书的类型,第一种是依据证书的用途,证书从其用途可以分为加密证书和签名证书等,它们分别指定证书在使用中的不同用途,加密证书用来加密数据,保证数据的保密性,签名证书用来对数据进行签名,保证数据的不可抵赖性。
第二种划分方法是依据证书绑定的公钥类型,目前我们的证书中可以绑定下列公钥加密算法的公钥:RSA、DH、ECC和DSS。
在SSL中这两种证书类型的划分方法都要考虑到,因为它们从不同的方面影响着SSL对密钥交换算法的选择,进而决定了SSL的握手过程。
下面我们介绍一下在SSL握手过程中进行算法协商时证书所起的作用。
当SSL客户端发起SSL连接请求时,它向SSL服务端发送客户问候消息,客户问候消息中包含有客户端支持的所有加密套件,加密套件中包含有该套件支持的密钥交换算法。
SSL服务端在接收到客户端发来的客户问候消息后,它要从客户端支持的加密套件组中选择一个加密套件,其中一个重要依据就是服务端拥有的证书。
如果待选择的加密套件中有SSL RSA WITH IDEA CBC SHA,它要求服务端必须提供RSA证书用于鉴别身份和交换密钥,此时如果SSL服务端有RSA证书,它就可以选择该加密套件,由于RSA证书中已经包含了密钥交换算法的参数,服务端就不需要在向客户端发送密钥交换消息。
