一種多攻擊攻擊的安全服務(wù)的openssl實(shí)現(xiàn)方法

網(wǎng)絡(luò)傳輸安全通常用于加密傳輸數(shù)據(jù)。目前密碼編碼算法分3大類：對(duì)稱密碼算法、公開密鑰算法、消息摘要算法，要真正去實(shí)現(xiàn)這些算法以及相應(yīng)的一些協(xié)議，工作量是非常巨大的，因此作為工程實(shí)現(xiàn)，通常采用現(xiàn)存的一些密碼算法軟件包來(lái)實(shí)現(xiàn)二次開發(fā)。其中OpenSSL是由C語(yǔ)言開發(fā)的軟件包，開放源碼，支持到SSL3.0和TLS，并且支持Linux、Windows、BSD、Mac、VMS等平臺(tái)，這使得OpenSSL具有廣泛的適用性。本文將以O(shè)penSSL在一個(gè)具體系統(tǒng)中的應(yīng)用為例說(shuō)明其在網(wǎng)絡(luò)安全傳輸中的應(yīng)用。1生成的文件以及國(guó)外信息OpenSSL整個(gè)軟件包大致可以分成3個(gè)主要的功能部分：密碼算法庫(kù)、SSL協(xié)議庫(kù)以及應(yīng)用程序。OpenSSL的根目錄下有不少文件，這些文件包含OpenSSL各個(gè)平臺(tái)下編譯安裝的說(shuō)明文檔、編譯安裝的配置文件以及OpenSSL本身版本變化的一些說(shuō)明文檔。表1簡(jiǎn)要列出了每個(gè)目錄與其對(duì)應(yīng)的功能說(shuō)明。2安全服務(wù)的概念和相應(yīng)的開放ssl實(shí)現(xiàn)2.1對(duì)稱加密算法驗(yàn)證機(jī)密性是對(duì)截獲攻擊的防范措施，通常通過(guò)對(duì)通信數(shù)據(jù)進(jìn)行加密與解密來(lái)實(shí)現(xiàn)。如果數(shù)據(jù)量大，一般采用對(duì)稱加密算法。OpenSSL使用EVP封裝了所有的對(duì)稱加密算法，使得各種對(duì)稱加密算法能夠使用統(tǒng)一的API接口EVP＿Encrypt和EVP＿Decrypt進(jìn)行數(shù)據(jù)的加密和解密，大大提高了代碼的可重用性。OpenSSL中與對(duì)稱密鑰加密相關(guān)的函數(shù)可在evp.h文件中找到，用到的主要函數(shù)有：2.2evpdigest接口完整性是對(duì)篡改攻擊的防范措施，通常采用對(duì)消息摘要碼的計(jì)算與對(duì)比來(lái)確認(rèn)數(shù)據(jù)是否被篡改。OpenSSL實(shí)現(xiàn)了5種消息摘要算法，分別是MD2、MD5、MDC2、SHA(SHA1）和RIPEMD。OpenSSL采用EVP＿Digest接口作為消息摘要算法統(tǒng)一的EVP接口，對(duì)所有消息摘要算法進(jìn)行了封裝，提供了代碼的重用性。OpenSSL中與消息摘要相關(guān)的函數(shù)可在evp.h文件中找到，用到的主要函數(shù)有：EVP＿get＿digestbyname(mdname)；//獲取算法名稱，根據(jù)輸入的消息摘要函數(shù)的名字得到相應(yīng)的EVP＿M(jìn)D算法結(jié)構(gòu)EVP＿DigestInit＿ex(&md＿ctx,md,imp1)；//消息摘要初始化，使用md的算法結(jié)構(gòu)設(shè)置md＿ctx結(jié)構(gòu)，如果impl為NULL，即使用缺省實(shí)現(xiàn)的算法（OpenSSL本身提供的消息摘要算法）2.3數(shù)字簽名驗(yàn)證不可抵賴性主要針對(duì)發(fā)送方對(duì)接收方接收到的信息的不可抵賴，通常采用的方法是對(duì)傳輸數(shù)據(jù)進(jìn)行數(shù)字簽名。OpenSSL也使用EVP技術(shù)對(duì)不同功能的非對(duì)稱加密算法進(jìn)行封裝，提供了統(tǒng)一的API接口。如果使用非對(duì)稱加密算法進(jìn)行密鑰交換或者密鑰加密，則使用EVP＿Seal和EVP＿Open進(jìn)行加密和解密；如果使用非對(duì)稱加密算法進(jìn)行數(shù)字簽名，則使用EVP＿Sign和EVP＿Verify進(jìn)行簽名和驗(yàn)證。OpenSSL中與證書和私鑰讀取相關(guān)的函數(shù)可在x509.h文件中找到，用到的主要函數(shù)有：d2i＿X509＿bio(cert,NULL)；//從DER格式的證書文件中讀出X509格式的證書d2i＿PrivateKey＿bio(bio,NULL)；//從DER格式的私鑰文件里讀出EVP＿PKEY結(jié)構(gòu)的私鑰EVP＿get＿cipherbyname(cpname)；//根據(jù)算法名稱獲得加密算法指針X509＿get＿pubkey(x509)；//從X509格式的證書中獲取EVP＿PKEY結(jié)構(gòu)的公鑰OpenSSL中與簽名、驗(yàn)證簽名及數(shù)字信封相關(guān)的函數(shù)可在evp.h文件中找到，用到的主要函數(shù)有：EVP＿SignInit＿ex(&md＿ctx,md,NULL)；//簽名初始化EVP＿SignUpdate(&md＿ctx,inbuf,len)；//簽名中間過(guò)程EVP＿VerifyInit＿ex(&md＿ctx,md,NULL)；//驗(yàn)證簽名初始化3使用開放ssol方法傳輸網(wǎng)絡(luò)安全3.1考試系統(tǒng)的安全傳輸本文將OpenSSL在基于Internet的多層次分布式網(wǎng)絡(luò)考試系統(tǒng)中進(jìn)行了具體的應(yīng)用。本網(wǎng)絡(luò)考試系統(tǒng)由一個(gè)考試中心和若干個(gè)考務(wù)中心和考點(diǎn)組成。考試中心負(fù)責(zé)考試基本信息管理、考題發(fā)布、考試系統(tǒng)參數(shù)設(shè)置、試題回收及相關(guān)管理等；考務(wù)中心負(fù)責(zé)考試數(shù)據(jù)的生成、審核、上報(bào)及相關(guān)管理等；考點(diǎn)負(fù)責(zé)組織實(shí)施具體的考試及相關(guān)管理。系統(tǒng)中網(wǎng)絡(luò)安全傳輸包括兩部分，一是各類用戶的瀏覽器與其對(duì)應(yīng)的Web服務(wù)器之間的安全傳輸(B-Web傳輸)，主要是確保網(wǎng)頁(yè)傳輸、消息傳輸、消息響應(yīng)、表單提交、控件下載等會(huì)話事務(wù)的安全；另一類是各Web服務(wù)器之間的安全傳輸(WebWeb傳輸)，是指在上下級(jí)Web服務(wù)器之間提供安全的文件下載、數(shù)據(jù)回收、參數(shù)設(shè)置等批量數(shù)據(jù)傳輸。3.2evp認(rèn)識(shí)結(jié)構(gòu)實(shí)現(xiàn)加密算法主要針對(duì)傳輸中的機(jī)密性、完整性、不可抵賴性而設(shè)計(jì)，加密設(shè)計(jì)如圖1所示。(1)生成摘要碼是為了保證數(shù)據(jù)的完整性，用EVP＿Digest系列函數(shù)實(shí)現(xiàn)。(2)用發(fā)送方私鑰簽名是為了實(shí)現(xiàn)發(fā)送方的不可抵賴，用EVP＿private＿decrypt函數(shù)實(shí)現(xiàn)。(3)在OpenSSL中可以用EVP＿Sign系列函數(shù)集成實(shí)現(xiàn)（在EVP＿Sign系列函數(shù)中包含了生成摘要碼和私鑰簽名的功能實(shí)現(xiàn)，為我們的設(shè)計(jì)提供了方便）。很多時(shí)候我們是把這個(gè)合成步驟統(tǒng)稱為數(shù)字簽名。(4)對(duì)稱密鑰算法加密是為了保證數(shù)據(jù)的機(jī)密性，用EVP＿Encrypt接口實(shí)現(xiàn)。(5)用接收方公鑰加密。在標(biāo)準(zhǔn)的SSL實(shí)現(xiàn)中是為了交換對(duì)話密鑰，實(shí)現(xiàn)一次會(huì)話過(guò)程的多次報(bào)文的往返傳輸安全，因此它在實(shí)現(xiàn)上是把交換對(duì)話密鑰與報(bào)文加密分成兩個(gè)步驟的，但是在Web服務(wù)器之間的傳輸類型不是以會(huì)話為主，而是以批量數(shù)據(jù)的傳輸為主，因此我們?cè)趯?shí)現(xiàn)上把它與傳輸報(bào)文綁定，這樣可以簡(jiǎn)化傳輸過(guò)程。用RSA＿public＿encrypt函數(shù)實(shí)現(xiàn)。(6)在OpenSSL中可以用EVP＿Seal系列函數(shù)集成實(shí)現(xiàn)（在EVP＿Seal系列函數(shù)中包含了公鑰加密和對(duì)稱加密兩個(gè)步驟的功能實(shí)現(xiàn)，為我們的設(shè)計(jì)提供了方便）。整個(gè)加密過(guò)程用算法表示如下：4len的過(guò)程網(wǎng)絡(luò)安全傳輸是一個(gè)不斷發(fā)展的研究課題，加密解密算法和理論也在不斷發(fā)展，OpenSSL作為一個(gè)內(nèi)容豐富的軟件包，其在網(wǎng)絡(luò)工程中的應(yīng)用和需求也在不斷變化之中，這些都是我們未來(lái)需要不斷探索的內(nèi)容。EVP＿CipherInit＿ex(&ctx,cipher,NULL,key,iv,type))；//初始化；type為1，則加密；如果type為0，則解密；如果type是-1，則不改變數(shù)據(jù)；cipher是加密算法指針；NULL表示使用默認(rèn)的算法EVP＿CipherUpdate(&ctx,outbuf,&outlen,inbuf,inlen));//加密的中間過(guò)程EVP＿CipherFinal＿ex(&ctx,outbuf,&outlen);//加密的最終過(guò)程處理。EVP＿DigestUpdate(&md＿ctx,inbuf,len);//消息摘要算法的中間處理過(guò)程EVP＿DigestFinal＿ex(&md＿ctx,md＿value,md＿len);//消息摘要的最后處理過(guò)程,將完成的摘要信息存儲(chǔ)在md＿value里面,長(zhǎng)度信息存儲(chǔ)在md＿len里面。EVP＿PKEY＿get1＿RSA(pcert);//從EVP＿PKEY格式的公鑰內(nèi)讀出RSA結(jié)構(gòu)的公鑰信息EVP＿SignFinal(&md＿ctx,sig＿buf,&sig＿len,pkey);//簽名最終過(guò)程EVP＿VerifyUpdate(&md＿ctx,inbuf,len);//驗(yàn)證簽名中間過(guò)程EVP＿VerifyFinal(&md＿ctx,sig＿buf,sig＿len,pcert);//驗(yàn)證簽名最終過(guò)程EVP＿SealUpdate(&ectx,ebuf,&ebuflen,buf,readlen);//數(shù)字信封的中間處理過(guò)程EVP＿SealFinal(&ectx,ebuf,&ebuflen);//數(shù)字信封的最后處理過(guò)程EVP＿OpenInit(&e