SSL探索02

原創 leokelly001 2020-02-22 15:37

這篇文章探索TLS -ticket 的重用機制.

完整的SSL握手過程爲:

Client                                               Server

         ClientHello
        (empty SessionTicket extension)-------->
                                                         ServerHello
                                     (empty SessionTicket extension)
                                                        Certificate*
                                                  ServerKeyExchange*
                                                 CertificateRequest*
                                      <--------      ServerHelloDone
         Certificate*
         ClientKeyExchange
         CertificateVerify*
         [ChangeCipherSpec]
         Finished                     -------->
                                                    NewSessionTicket
                                                  [ChangeCipherSpec]
                                      <--------             Finished
         Application Data             <------->     Application Data
使用TLS-ticket 的session複用機制時 



Client                                                Server
         ClientHello
         (SessionTicket extension)      -------->
                                                          ServerHello
                                      (empty SessionTicket extension)
                                                     NewSessionTicket
                                                   [ChangeCipherSpec]
                                       <--------             Finished
         [ChangeCipherSpec]
         Finished                      -------->
         Application Data              <------->     Application Data

可見覆用session可以縮短建立連接的時間.






複用session的流程:


在一次完整的SSL握手過程中,服務端會將ticket返回給客戶端,客戶端將此ticket保存,下次再進行連接時攜帶此ticket便可以回覆session.


需要注意的是,ticket是ssl_st中的一個字段不能夠單獨保存,需要將整個session進行保存.


流程:


a. client1.cpp中建立SSL連接後,通過SSL_SESSION *session0 = SSL_get_session(ssl);得到session,然後通過PEM_write_SSL_SESSION(fp, session0);將session保存至文件中


b. client2.cpp若想重用上面的session,需要通過PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);從文件中讀取session.


c. 然後通過SSL_set_session(ssl, session_new);將其設置,這樣便實現了連接複用.


注意:必須調用SSL_set_session(ssl, session_new);將其設置,否則仍是完整的連接.





示例代碼如下:


client1.cpp(將session保存)




int main(int argc, char * *argv) {
	int sockfd, len;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;

	/* SSL 庫初始化*/
	SSL_library_init();
	/* 載入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 載入所有SSL 錯誤消息*/
	SSL_load_error_strings();
	/* 以SSL V2 和V3 標準兼容方式產生一個SSL_CTX ,即SSL Content Text */
	ctx = SSL_CTX_new(SSLv23_client_method());
	if (ctx == NULL) {
		ERR_print_errors_fp(stdout);
		exit(1);
	}
	/* 創建一個socket 用於tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服務器端(對方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//設置連接的端口
	dest.sin_port = htons(443);
	//設置連接的IP地址

	char *addr3 = "115.239.210.27";
	if (inet_aton(addr3, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 連接服務器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");

	/* 基於ctx 產生一個新的SSL */
	ssl = SSL_new(ctx);
	/* 將新連接的socket 加入到SSL */
	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 連接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session0 = SSL_get_session(ssl);

	FILE * fp;
	int leng = 20;
	int numwritten = 0;
	char data[leng];
	fp = fopen("/home/shuyan/file1.txt", "w+");

	if (fp == NULL) {
		printf("can't open file \n");
	} else {
		printf("open sucess\n");

		//將session 保存至文件中
		<span style="color:#ff0000;">PEM_write_SSL_SESSION(fp, session0);</span>
		fclose(fp);
	}

	unsigned char * session_id1 = session0->session_id;
	//cout << "sessionid : " << session_id << endl;
	int len3 = session0->session_id_length;
	cout << "session length:" << len3 << endl;
	unsigned char * ticket1 = session0->tlsext_tick;
	cout << "ticket:" << ticket1 << endl;
	size_t ticklen1 = session0->tlsext_ticklen;
	cout << "ticklen:" << ticklen1 << endl;
	long tick_lifetime_hint1 = session0->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint1 << endl;

	/* 關閉連接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}


client2.cpp(從文件中恢復session)





int main(int argc, char * *argv) {
	int sockfd;
	struct sockaddr_in dest;
	char buffer[MAXBUF + 1];
	SSL_CTX * ctx;
	SSL * ssl;
	FILE *fp;

	/* SSL 庫初始化*/
	SSL_library_init();
	/* 載入所有SSL 算法*/OpenSSL_add_all_algorithms();
	/* 載入所有SSL 錯誤消息*/
	SSL_load_error_strings();

	//---------------------------再次連接--------------------------------------

	//這裏從文件中恢復session
	fp = fopen("/home/shuyan/file1.txt", "r");
	<span style="color:#ff0000;">SSL_SESSION * session_new = PEM_read_SSL_SESSION(fp, NULL, NULL, NULL);</span>
	if (session_new != NULL) {
		unsigned char * ticket2 = session_new->tlsext_tick;
		cout << "new ticket :" << ticket2 << endl;
	} else {
		cout << "=======NULL========" << endl;
	}

	ctx = SSL_CTX_new(SSLv23_client_method());
	/* 基於ctx 產生一個新的SSL */
	ssl = SSL_new(ctx);

	//必須有這一步驟,否則不會進行復用.
	SSL_set_session(ssl, session_new);
	/* 創建一個socket 用於tcp 通信*/
	if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0) {
		perror("Socket");
		exit(errno);
	}
	printf("socket created\n");
	/* 初始化服務器端(對方)的地址和端口信息*/
	bzero(&dest, sizeof(dest));
	dest.sin_family = AF_INET;
	//設置連接的端口
	dest.sin_port = htons(443);
	//設置連接的IP地址

	char *addr2 = "115.239.210.27";
	if (inet_aton(addr2, (struct in_addr *) &dest.sin_addr.s_addr) == 0) {
		perror(argv[0]);
		exit(errno);
	}
	printf("address created\n");
	/* 連接服務器*/
	if (connect(sockfd, (struct sockaddr *) &dest, sizeof(dest)) != 0) {
		perror("Connect ");
		exit(errno);
	}
	printf("server connected\n");
	/* 將新連接的socket 加入到SSL */

	SSL_set_fd(ssl, sockfd);

	/* 建立SSL 連接*/
	if (SSL_connect(ssl) == -1) {
		ERR_print_errors_fp(stderr);
	} else {
		printf("Connected with %s encryption\n", SSL_get_cipher(ssl));
		ShowCerts(ssl);
	}

	SSL_SESSION *session2 = SSL_get_session(ssl);

	int len2 = session2->session_id_length;
	cout << "session length:" << len2 << endl;
	unsigned char * ticket2 = session2->tlsext_tick;
	cout << "ticket:" << ticket2 << endl;
	size_t ticklen2 = session2->tlsext_ticklen;
	cout << "ticklen:" << ticklen2 << endl;
	long tick_lifetime_hint2 = session2->tlsext_tick_lifetime_hint;
	cout << "tick_lifetime_hint:" << tick_lifetime_hint2 << endl;

	/* 關閉連接*/
	SSL_shutdown(ssl);
	SSL_free(ssl);
	close(sockfd);
	SSL_CTX_free(ctx);

	return 0;
}
































leokelly001



發佈了64 篇原創文章 · 獲贊 25 · 訪問量 21萬+





私信

關注

















發表評論














所有評論



還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.







相關文章








SSL探索01






1. OPENSSL簡介
OpenSSL項目是一個協作開發一個健壯的,商業級的,全功能的,並且開放源代碼工具包,它實現了安全套接字層(SSL v2/v3)和傳輸層安全(TLS v1)協議以及全強大的通用加密庫。
2.使用SSL進行安全IO






 leokelly001

2020-07-05 05:26:59









ssl_write






TCP + OPENSSL前言TCP封裝SSL封裝
前言
關於TCP/IP和OPENSSL相關的描述我想很多人都知道,這裏也不做什麼陳述,如果剛接觸的話可以去搜搜相關的文章,有很多寫的不錯的例子讓你來更充分地瞭解他們。
這裏的示例






 KOBE_ZERO-q576926484

2020-07-04 21:22:49









ssl_read






前言
這裏的實現其實主要是基於libev,這個事件庫用起來自我感覺還是比較方便的,關於libev的使用方法大家可以去查一查,這裏不會做過多的陳述。
關於SSL_READ,相信大家在用到的時候可能會出現收到空的消息,然後就會不停地循






 KOBE_ZERO-q576926484

2020-07-04 21:22:49









iOS開發問題之:支付寶集成報錯openssl/asn1.h file not found






支付寶出現的'openssl/asn1.h file not found'的問題
按照支付寶官網配置流程的會遇到'openssl/asn1.h file not found'的問題
集成支付寶,報上面的錯誤。需要在Header Sear






 VKOOY

2020-06-28 17:57:14









SSL 認證安全相關名詞






PKI
PKI(Public Key Infrastructure)是一種遵循標準的利用公鑰加密技術爲電子商務的開展提供一套安全基礎平臺的技術和規範。1 簡介
進行電子交易的互聯網用戶所面臨的安全問題有:
  一,保密性 :如何保






 xyyaiguozhe

2020-06-16 16:48:11









用VS2015編譯OpenSSL






一、Openssl簡介
OpenSSL 是一個安全套接字層密碼庫,囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協議,並提供豐富的應用程序供測試或其它目的使用。
OpenSSL被曝出現嚴重安全漏洞後,發現多數通過SSL協議加密的






 traceme2011

2020-06-16 16:21:31









Openssl-1.1.0f在VS工程中的配置






1 Openssl-1.1.0f在VS2015工程中的配置
1)配置工程屬性 ---> C/C++ ---> 附加包含目錄
2)配置工程屬性 ---> 鏈接器 ---> 附加庫目錄
3)配置工程屬性 ---> 鏈接器 ---> 附






 Jinato2016

2020-06-15 19:02:58









VS2005編譯Openssl-1.1.0f






0 前言
本文是在Windows系統中用VS2005編譯Openssl-1.1.0f,注意是VS2005而非VS2015。如果用VS2015編譯,請閱讀:《VS2015編譯Openssl-1.1.0f》  。
因爲項目需要在VS200






 Jinato2016

2020-06-15 19:02:58









Openssl-rc2






RC2是一種對稱加密算法,所見到的安全解決方案中,使用RC2的算法不多,從資料上看,RC2算法可以替代DES算法,而且計算速度快,能在16位計算機上實現,密鑰長度從1到128字節都可以。一般採用16字節,計算的數據塊爲8字節。
void






 Sunspider107

2020-06-13 07:34:43









openssl——server和client






一. openssl中的s_server命令與s_client命令
1.1 s_server的man函數
     
 
NAME
       s_server - SSL/TLS server program
 
SYNOPSIS
 






 G_sng

2020-06-09 14:59:26









SSL_WRITE在斷網時的表現






 KOBE_ZERO-q576926484

2020-02-25 07:35:15









SSL探索03






 leokelly001

2020-02-22 15:37:12









【openssl】(2)openssl源代碼簡介






 jiatingqiang

2020-02-21 05:31:15









(0)SSL/TLS/WTLS原理






 jiatingqiang

2020-02-21 05:31:15









【openssl】(1)openssl簡介






 jiatingqiang

2020-02-21 05:31:15