轉利用OpenSSL庫對Socket傳輸進行安全加密(RSA+AES)

    

分類： 網絡與安全

利用OpenSSL庫對Socket傳輸進行安全加密(RSA+AES)
 1. 利用RSA安全傳輸AES生成密鑰所需的Seed(32字節)
 2. 利用AES_encrypt/AES_decrypt對Socket上面的業務數據進行AES加密/解密

 理論上只需要AES就能保證全部流程，但由於AES加密所需要的AES-KEY是一個結構。 這個一個結構，如果通過網絡進行傳輸，就需要對它進行網絡編碼，OpenSSL里面沒有現成的API
所以就引入RSA來完成首次安全的傳輸，保證Seed不會被竊聽。同樣，只使用RSA也能完成全部流程，但由於RSA的處理效率比AES低，所以在業務數據傳輸加密上還是使用AES

 下面的代碼包含了上述傳輸加密流程所需的所有步驟(OpenSSL部分)
 在實際的Socket應用開發時，需要將這些步驟插入到Client/Server網絡通信的特定階段

 所需的OpenSSL主要的API及功能描述
 1. RSA_generate_key()    隨機生成一個RSA密鑰對，供RSA加密/解密使用
 2. i2d_RSAPublicKey()    將RSA密鑰對里面的公鑰提出到一個BUF，用於網絡傳輸給對方
 3. d2i_RSAPublicKey()    將從網絡傳過來的公鑰信息生成一個加密使用的RSA(它里面只有公鑰)
 4. RSA_public_encrypt()  使用RSA的公鑰對數據進行加密
 5. RSA_private_decrypt() 使用RSA的私鑰對數據進行解密
 6. AES_set_encrypt_key() 根據Seed生成AES密鑰對中的加密密鑰
 7. AES_set_decrypt_key() 根據Seed生成AES密鑰對中的解密密鑰
 8. AES_encrypt()         使用AES加密密鑰對數據進行加密
 9. AES_decrypt()         使用AES解密密鑰對數據進行解密

 一個典型的安全Socket的建立流程, 其實就是如何將Server隨機Seed安全發給Client
 C: Client   S:Server
 C: RSA_generate_key() --> RSAKey --> i2d_RSAPublicKey(RSAKey) --> RSAPublicKey
 C: Send(RSAPublicKey) TO Server
 S: Recv() --> RSAPublicKey --> d2i_RSAPublicKey(RSAPublicKey) --> RSAKey
 S: Rand() --> Seed --> RSA_public_encrypt(RSAKey, Seed) --> EncryptedSeed
 S: Send(EncryptedSeed) TO Client
 C: Recv() --> EncryptedSeed --> RSA_private_decrypt(RSAKey, EncryptedSeed) --> Seed
 --- 到此, Client和Server已經完成完成傳輸Seed的處理
 --- 后面的流程是它們怎樣使用這個Seed來進行業務數據的安全傳輸
 C: AES_set_encrypt_key(Seed) --> AESEncryptKey
 C: AES_set_decrypt_key(Seed) --> AESDecryptKey
 S: AES_set_encrypt_key(Seed) --> AESEncryptKey
 S: AES_set_decrypt_key(Seed) --> AESDecryptKey
 --- Client傳輸數據給Server
 C: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Server
 S: Recv() --> EncryptedData -->  AES_decrypt(AESDecryptKey, EncryptedData) --> Data
 --- Server傳輸數據給Client
 S: AES_encrypt(AESEncryptKey, Data) --> EncryptedData --> Send() --> Client
 C: Recv() --> EncryptedData -->  AES_decrypt(AESDecryptKey, EncryptedData) --> Data

流程圖如下：


相關的代碼實現如下：

1. #include <string.h>
   
2. #include <openssl/rsa.h>
3. #include <openssl/aes.h>
4.  
5. int main()
6. {
7.         // 1. 產生RSA密鑰對
8.         // 產生512字節公鑰指數為RSA_F4的密鑰對，公鑰指數有RSA_F4和RSA_3兩種
9.         // 我不清楚它們的區別，就隨便選定RSA_F4
10.         // 可以使用RSA_print_fp()看看RSA里面的東西
11.         RSA *ClientRsa = RSA_generate_key(512, RSA_F4, NULL, NULL);
12.           
13.         // ---------
14.         // 2. 從RSA結構中提取公鑰到BUFF，以便將它傳輸給對方
15.         // 512位的RSA其公鑰提出出來長度是74字節，而私鑰提取出來有超過300字節
16.         // 為保險起見，建議給它們預留一個512字節的空間
17.         unsigned char PublicKey[512];
18.         unsigned char *PKey = PublicKey; // 注意這個指針不是多余，是特意要這樣做的，
19.         int PublicKeyLen = i2d_RSAPublicKey(ClientRsa, &PKey);
20.           
21.         // 不能采用下面的方法，因為i2d_RSAPublicKey()會修改PublicKey的值
22.         // 所以要引入PKey，讓它作為替死鬼
23.         // unsigned char *PublicKey = (unsigned char *)malloc(512);
24.         // int PublicKeyLen = i2d_RSAPublicKey(ClientRsa, &PublicKey); 
25.           
26.         // 逐個字節打印PublicKey信息
27.         printf("PublicKeyBuff, Len=%d\n", PublicKeyLen);
28.         for (int i=0; i<PublicKeyLen; i++)
29.         {
30.                 printf("0x%02x, ", *(PublicKey+i));
31.         }
32.         printf("\n");
33.           
34.           
35.         // ---------
36.         // 3. 跟據上面提出的公鑰信息PublicKey構造一個新RSA密鑰(這個密鑰結構只有公鑰信息)
37.         PKey = PublicKey;
38.         RSA *EncryptRsa = d2i_RSAPublicKey(NULL, (const unsigned char**)&PKey, PublicKeyLen);
39.           
40.         // ---------
41.         // 4. 使用EncryptRsa加密數據，再使用ClientRsa解密數據
42.         // 注意, RSA加密/解密的數據長度是有限制，例如512位的RSA就只能最多能加密解密64字節的數據
43.         // 如果采用RSA_NO_PADDING加密方式，512位的RSA就只能加密長度等於64的數據
44.         // 這個長度可以使用RSA_size()來獲得
45.         unsigned char InBuff[64], OutBuff[64]; 
46.           
47.         strcpy((char *)InBuff, "1234567890abcdefghiklmnopqrstuvwxyz.");
48.         RSA_public_encrypt(64, (const unsigned char*)InBuff, OutBuff, EncryptRsa, RSA_NO_PADDING); // 加密
49.           
50.         memset(InBuff, 0, sizeof(InBuff));
51.         RSA_private_decrypt(64, (const unsigned char*)OutBuff, InBuff, ClientRsa, RSA_NO_PADDING); // 解密
52.         printf("RSADecrypt OK: %s \n", InBuff);
53.           
54.           
55.         // ----------
56.         // 5. 利用隨機32字節Seed來產生256位的AES密鑰對
57.         unsigned char Seed[32]; // 可以采用Rand()等方法來構造隨機信息
58.         AES_KEY AESEncryptKey, AESDecryptKey;
59.         AES_set_encrypt_key(Seed, 256, &AESEncryptKey);
60.         AES_set_decrypt_key(Seed, 256, &AESDecryptKey);
61.           
62.         // ----------
63.         // 6. 使用AES密鑰對來加密/解密數據
64.         // 注意，256位的AES密鑰只能加密/解密16字節長的數據
65.         strcpy((char *)InBuff, "a1b2c3d4e5f6g7h8?");
66.         AES_encrypt(InBuff, OutBuff, &AESEncryptKey);
67.           
68.         memset(InBuff, 0, sizeof(InBuff));
69.         AES_decrypt(OutBuff, InBuff, &AESDecryptKey);
70.         printf("AESDecrypt OK: %s \n", InBuff);
71.           
72.           
73.         // ----------
74.         // 7. 謹記要釋放RSA結構
75.         RSA_free(ClientRsa);
76.         RSA_free(EncryptRsa);
77.           
78.         return(0);
79. }