Linux C/C++实现SSL的应用层VPN (MiniVPN)

news2024/12/25 9:35:37

SSL协议和VPN(虚拟私人网络)原理是网络安全领域中的两个重要概念。

SSL协议,全称安全套接层(Secure Sockets Layer),是一种广泛应用于互联网的安全协议,主要在两个通信端点之间建立安全连接,以保护数据的传输安全。具体来说,SSL通过使用公钥加密算法实现数据的加密和解密,在客户端和服务器之间建立安全的通信通道。它还使用数字证书来验证通信双方的的身份,一旦身份验证成功,SSL就会使用加密算法对通信数据进行加密,确保数据在传输过程中不被篡改或窃取。

VPN是一种可以在公共网络上建立加密通道的技术,通过这种技术可以使远程用户访问公司内部网络资源时,实现安全的连接和数据传输。VPN通常是通过虚拟专用网络(Virtual Private Network)来实现的,即在公共网络上建立一个虚拟的专用网络,将用户的数据流量加密并隧道化,使得数据在传输过程中无法被窃听和篡改。

总的来说,SSL协议和VPN原理都是为了实现网络安全而设计的。SSL协议主要保护数据的传输安全,而VPN技术则是在公共网络上建立加密通道,使得数据在传输过程中更加安全。

OpenSSL库用于实现SSL的应用层VPN

OpenSSL是一个功能强大的开源SSL库,它提供了丰富的API和工具,可以用于实现SSL/TLS协议、加密算法、证书处理等功能。它还包含了IPSec和L2TP等VPN协议的实现。

使用OpenSSL库实现SSL的应用层VPN需要用到以下一些函数:

SSL_CTX_new(const SSL_METHOD *method):创建新的SSL上下文结构体。
SSL_new(SSL_CTX *ctx):基于SSL上下文创建一个新的SSL结构体。
SSL_set_fd(SSL *ssl, int fd):将SSL结构体的文件描述符设置为传入的文件描述符。
SSL_set_connect_state(SSL *ssl):设置SSL结构体为客户端模式。
SSL_do_handshake(SSL *ssl):执行SSL握手过程,与对方建立安全的连接。
SSL_write(SSL *ssl, const void *buf, int len):向对方发送数据。
SSL_read(SSL *ssl, void *buf, int len):从对方接收数据。
SSL_shutdown(SSL *ssl):关闭SSL连接,发送关闭通知并终止会话。
SSL_free(SSL *ssl):释放SSL结构体及其相关资源。
SSL_CTX_free(SSL_CTX *ctx):释放SSL上下文及其相关资源。

这些是OpenSSL库中一些常用的函数,它们用于在C语言中实现SSL的应用层VPN。在实际开发中,你可能还需要查看OpenSSL的文档和示例代码以获得更详细的信息和指导。

证书颁发机构

证书颁发机构是SSL协议中非常重要的一个环节,它负责为服务器颁发数字证书,以验证服务器的身份。客户端在和服务器建立连接时,会验证服务器的身份,以确保连接的安全性。

密钥交换

SSL协议使用密钥交换协议来协商客户端和服务器之间的加密密钥。密钥交换协议包括RSA密钥交换、Diffie-Hellman密钥交换等,它们都可以用于在客户端和服务器之间建立一个安全的通信通道。

Linux C/C++实现SSL的应用层VPN(实现MiniVPN)

  • vpn_client:

要使用OpenSSL命令生成CA证书(ca.crt)、客户端证书(client.crt)、客户端密钥(client.key)以及客户端的证书请求(client.crs),可以按照以下步骤进行操作:
生成CA证书(ca.crt):

openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 365 -key ca.key -sha256 -out ca.crt

上述命令将生成一个2048位的RSA私钥(ca.key)并使用它创建一个自签名的CA证书(ca.crt)。
生成客户端证书(client.crt)和客户端密钥(client.key):

openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr

上述命令将生成一个2048位的RSA私钥(client.key)并使用它创建一个证书请求(client.csr)。
生成客户端证书请求的证书(client.crs):

openssl x509 -req -days 365 -sha256 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

上述命令将使用CA证书(ca.crt)和CA私钥(ca.key)对客户端证书请求(client.csr)进行签名,生成客户端证书(client.crt)。
完成以上步骤后,你将得到以下文件:
ca.crt:CA证书
client.crt:客户端证书
client.key:客户端密钥
client.crs:客户端证书请求(通常不需要使用,但可以保留作为记录)

int verify_callback(int preverify_ok, X509_STORE_CTX *x509_ctx);
SSL *setupTLSClient(const char *hostname);
int setupTCPClient(const char *hostname, int port);
int createTunDevice();
int try_login(SSL *ssl);
void sendto_TUN(SSL *ssl, int tunfd);
void sendto_SSL(SSL *ssl, int tunfd);
...
#define CERTF HOME "client.crt"
#define KEYF HOME "client.key"
#define CACERT HOME "ca.crt"
...
int main(int argc, char *argv[])
{
...

    /*------ Destination initialization ------*/
    printf(PREFIX "Enter server name:");
    scanf("%s", hostname);
    printf(PREFIX "Enter port:");
    scanf("%d", &port);
    /*------ TLS initialization ------*/
    SSL *ssl = setupTLSClient(hostname);
    /*------ TCP connection ------*/
    int sockfd = setupTCPClient(hostname, port);
    /*------ TLS handshake ------*/
    SSL_set_fd(ssl, sockfd);
    int err = SSL_connect(ssl);
    CHK_SSL(err);
    printf(PREFIX "SSL connected! \n");
    printf(PREFIX "SSL connection using %s\n", SSL_get_cipher(ssl));
    /*------ Authenticating ------*/
    int ret = try_login(ssl);
    //login failed
    if (ret < 0){
        printf(PREFIX"Login failed!\n");
        SSL_shutdown(ssl);
        SSL_free(ssl);
        close(sockfd);
        return 0;
    }
    printf(PREFIX "Login successfully!\n");
    /*------ Allocate IP ------*/
    char client_IP[64] = {0};
    char cmd[100];
    SSL_read(ssl, client_IP, sizeof(client_IP));
    printf(PREFIX "Auto-assigned IP:%s\n", client_IP);
    /*------ Add route ------*/
    int tunfd = createTunDevice();
    sprintf(cmd, "sudo ifconfig tun0 %s/24 up", client_IP);
    system(cmd);
    sprintf(cmd, "sudo route add -net 192.168.60.0/24 tun0");
    system(cmd);
    /*------ Listen sock&tun0 ------*/
    while (1)
    {
        fd_set readFDSet;
        int ret;
        FD_ZERO(&readFDSet);
        FD_SET(sockfd, &readFDSet);
        FD_SET(tunfd, &readFDSet);
        ret = select((sockfd > tunfd ? sockfd : tunfd) + 1, &readFDSet, NULL, NULL, NULL);
        if (FD_ISSET(sockfd, &readFDSet))
        {
            ret = sendto_TUN(ssl, tunfd);
            // 服务端关闭会话
            if (ret == -1)
            {
                printf(PREFIX "Server disconnected!\n");
                SSL_shutdown(ssl);
                SSL_free(ssl);
                close(sockfd);
            }
        }
        ...
        if (FD_ISSET(tunfd, &readFDSet))
            sendto_SSL(ssl, tunfd);
    }
    return 0;
}
  • vpn_server:

您可以使用以下步骤生成CA证书(ca.crt)、服务器证书(server.crt)、服务器密钥(server.key)以及服务器证书请求(server.crs)文件:
生成CA证书(ca.crt):

openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 365 -key ca.key -sha256 -out ca.crt

这将生成一个2048位的RSA私钥(ca.key),然后使用它创建自签名的CA证书(ca.crt)。
生成服务器证书(server.crt)和服务器密钥(server.key):

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

这将生成一个2048位的RSA私钥(server.key),然后使用它创建一个证书请求(server.csr)。
生成服务器证书请求的证书(server.crt):

openssl x509 -req -days 365 -sha256 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

这将使用CA证书(ca.crt)和CA私钥(ca.key)对服务器证书请求(server.csr)进行签名,生成服务器证书(server.crt)。
完成以上步骤后,您将得到以下文件:
ca.crt:CA证书
server.crt:服务器证书
server.key:服务器密钥
server.crs:服务器证书请求(通常不需要使用,但可以保留作为记录)

...
typedef struct
{
    char client_ip[16];
    char virtual_ip[16];
    int socket_fd;
    SSL *ssl_session;
} session_t;

typedef struct
{
    int last_byte_IP;
    bool if_valid;
} last_byte_pool;
void initialize_IP_POOL();
int add_session(const char *client_ip, const char *virtual_ip, int socket_fd,SSL* ssl_session);
session_t *find_session(const char *virtual_ip);
void remove_session(int client_sock);
SSL *setupTLSServer();
int setupTCPServer();
int createTunDevice();
int sendto_TUN(SSL *ssl, int client_sock, int tunfd);
void sendto_SSL(int tunfd);
int login(char *user, char *passwd);
int verify_user(SSL *ssl, struct sockaddr_in client_addr, int sock);
...
#define CERTF HOME "server.crt"
#define KEYF HOME "server.key"
#define CACERT HOME "ca.crt"
...
int main(int argc, char **argv)
{
...
    /*------ TCP Connect ------*/
    int listen_sock = setupTCPServer();
    if (listen_sock <= 0)
        printf(PREFIX "Create listen_sock failed\n");
    /*------ tunnel init, redirect and forward ------*/
    int tunfd = createTunDevice();
    system("sudo ifconfig tun0 192.168.53.1/24 up");
    system("sudo sysctl net.ipv4.ip_forward=1");
    /*------ Initialize IP pool ------*/
    initialize_IP_POOL();
    /*------ Manage multiple tunnels ------*/
    while (1)
    {
...
        for (i = 0; i < MAX_SESSIONS; i++)
        {
            // 将大于0的项加入readfds
            if (session_table[i].socket_fd > 0)
            {
                FD_SET(session_table[i].socket_fd, &readfds);
                if (session_table[i].socket_fd > max_fd)
                    max_fd = session_table[i].socket_fd;
            }
        }
        int ret = select(max_fd + 1, &readfds, NULL, NULL, NULL);
        if (ret <= 0)
            printf(PREFIX "Select fds failed\n");
        // 当有新的客户端连接请求
        if (FD_ISSET(listen_sock, &readfds))
        {
            int new_sock = accept(listen_sock, (struct sockaddr *)&sa_client, &client_len);
            CHK_ERR(new_sock, "accept");
            printf(PREFIX "TCP accept successfully! sock:%d\n", new_sock);
            // 连接的客户端数量达到上限
            if (session_count >= MAX_SESSIONS)
            {
                printf(PREFIX "Client connection full!\n");
                close(new_sock);
                continue;
            }
            //为该会话创建一个新的ssl
            SSL *ssl = setupTLSServer();
            ret = SSL_set_fd(ssl, new_sock);
            if (!ret)
            {
                printf(PREFIX "SSL_set_fd failed\n");
                exit(1);
            }
            int err = SSL_accept(ssl);
            fprintf(stderr, PREFIX "SSL_accept return %d\n", err);
            CHK_SSL(err);
            printf(PREFIX "SSL connection established!\n");
            int ret = verify_user(ssl, sa_client, new_sock);
            if (ret == -1)
                printf(PREFIX "Login failed!\n");
        }
        // 从SSL链路接收数据及判断客户端是否断开连接
        for (i = 0; i < MAX_SESSIONS; i++)
        {
            if (session_table[i].socket_fd <= 0)
                continue;
            if (FD_ISSET(session_table[i].socket_fd, &readfds))
            {
                int client_sock = session_table[i].socket_fd;
                SSL* ssl = session_table[i].ssl_session;
                sendto_TUN(ssl, client_sock, tunfd);
            }
        }
        ...
        // 从tun0接收数据到SSL链路
        if (FD_ISSET(tunfd, &readfds))
        {
            sendto_SSL(tunfd);
        }
    }
    ...
    return 0;
}

If you need the complete source code, please add the WeChat number (c17865354792)

运行结果:

在这里插入图片描述

Linux添加虚拟网卡(tunctl添加虚拟网卡TUN):
在这里插入图片描述可以使用命令"route -n"来查看路由表:
完成代码后,需要进行调试和测试,以确保VPN和SSL的正常工作,实现SSL的应用层VPN是一项复杂的任务,需要深入了解网络协议和安全原理。

总结

在VPN的实现过程中,SSL协议常常被用于对数据进行加密,从而确保数据的传输安全。因此,SSL VPN是使用SSL协议来实现的安全通信通道,提供更高级别的安全性。此外,VPN还可以隐藏用户的真实IP地址,提供匿名性和绕过地理限制。

Welcome to follow WeChat official account【程序猿编码

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1018008.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

深度解剖数据在栈中的应用

> 作者简介&#xff1a;დ旧言~&#xff0c;目前大一&#xff0c;现在学习Java&#xff0c;c&#xff0c;c&#xff0c;Python等 > 座右铭&#xff1a;松树千年终是朽&#xff0c;槿花一日自为荣。 > 望小伙伴们点赞&#x1f44d;收藏✨加关注哟&#x1f495;&#x1…

Vue 2 组件间的通信方式总结

引言 组件间的关系有父子关系、兄弟关系、祖孙关系和远亲关系。 不同的关系间&#xff0c;组件的通信有不同的方式。 一、prop 和 $emit prop向下传递&#xff0c;emit向上传递。 父组件使用 prop 向子组件传递信息。 ParentComponent.vue <template><div><…

红心向阳 百鸟朝凤

背景 最近在玩 folium 模块&#xff0c;基于使用过程中的一些个人体验&#xff0c;对 folium 进行了二次封装&#xff0c;开源在 GpsAndMap.在使用的过程中&#xff0c;发现在地图上打图标是可以进行旋转的。遇到就发现了一些有意思的玩法。 隔海的相望 下面的代码在地图 厦…

GIS跟踪监管系统信息查询

GIS跟踪监管系统信息查询 GIS跟踪监管系统&#xff08;1&#xff09;物资查询与展示。① 几何查询。代码说明&#xff1a;② 物资定位。• 单个物资定位&#xff1a;• 多个物资定位&#xff1a;③ 物资统计。&#xff08;2&#xff09;物资信息更新① 新增物资。 GIS跟踪监管系…

【项目经验】:elementui表格中数字汉字排序问题及字符串方法localeCompare()

一.需求 表格中数字汉字排序&#xff0c;数字按大小排列&#xff0c;汉字按拼音首字母&#xff08;A-Z&#xff09;排序。 二.用到的方法 第一步&#xff1a;把el-table-column上加上sortable"custom" <el-table-column prop"date" label"序号…

第七章 查找 一、查找的基本概念

一、基本概念 查找——在数据集合中寻找满足某种条件的数据元素的过程称为查找。 查找表(查找结构)——用于查找的数据集合称为查找表&#xff0c;它由同一类型的数据元素(或记录)组成。 关键字——数据元素中唯一标识该元素的某个数据项的值&#xff0c;使用基于关键字的查…

2023年的深度学习入门指南(27) - CUDA的汇编语言PTX与SASS

通过前面的学习&#xff0c;我们了解了在深度学习和大模型中&#xff0c;GPU的广泛应用。可以说&#xff0c;不用说没有GPU&#xff0c;就算是没有大显存和足够先进的架构&#xff0c;也没法开发大模型。 有的同学表示GPU很神秘&#xff0c;不知道它是怎么工作的。其实&#x…

Vue2.7 封装 Router@4 的 hook

1、问题 在 Vue2.7 中&#xff0c;尤大大是支持大部分 Vue3 的功能&#xff0c;并且支持使用 CompositionAPI 的写法&#xff0c;也支持 script setup 的便捷语法&#xff0c;但是 Vue2 对应的 Vue-router3 库并没有提供 hook 对应的支持&#xff0c;所以需要我们自行封装 Vue…

代码对比工具,都在这了

Git Diff Git是一个流行的分布式版本控制系统&#xff0c;它内置了代码对比功能。使用git diff命令可以比较两个不同版本的代码文件&#xff0c;也可以使用图形化的Git客户端进行可视化对比。 git diff 命令 | 菜鸟教程www.runoob.com/git/git-diff.html Diff diff是一个Un…

NAND价格第4季度回暖,现在是SSD入手时机吗?

这两天有粉丝后台在咨询购买SSD相关的问题。小编也好奇的搜下当前业内SSD品牌。不搜不知道&#xff0c;一搜吓一跳&#xff0c;将近200多个品牌。 那么&#xff0c;买SSD应该买什么品牌&#xff1f;现在是否可以入手SSD呢&#xff1f; 1.固态硬盘SSD的原理 我们首先了解下固态…

兄弟DCP-7080激光打印机硒鼓清零方法

兄弟DCP-708打印机清零方法?兄弟DCP-7080打印机的硒鼓计数器是用来记录硒鼓使用寿命的&#xff0c;当硒鼓使用寿命达到一定程度时&#xff0c;打印机会提示更换硒鼓。如果用户更换了硒鼓&#xff0c;但打印机仍提示需要更换&#xff0c;这时需要进行清零操作&#xff0c;详细请…

xen-gic初始化流程

xen-gic初始化流程 调试平台使用的是gic-600&#xff0c;建议参考下面的文档来阅读代码&#xff0c;搞清楚相关寄存器的功能。 《corelink_gic600_generic_interrupt_controller_technical_reference_manual_100336_0106_00_en》 《IHI0069H_gic_architecture_specification》…

基于SSM的实验室开放管理系统设计与实现

末尾获取源码 开发语言&#xff1a;Java Java开发工具&#xff1a;JDK1.8 后端框架&#xff1a;SSM 前端&#xff1a;采用JSP技术开发 数据库&#xff1a;MySQL5.7和Navicat管理工具结合 服务器&#xff1a;Tomcat8.5 开发软件&#xff1a;IDEA / Eclipse 是否Maven项目&#x…

「信号与系统」语音信号的语谱图、尺度变化、带限处理、基音提取

「信号与系统」语音信号的语谱图、尺度变化、带限处理、基音提取 本文将简单介绍几种语音信号的处理方法。 1、语谱图 语谱图是一种描述语音信号频率特征的方法&#xff0c;横轴表示时间&#xff0c;纵轴表示频率&#xff0c;颜色深浅表示能量。基本原理是将语音信号分帧&am…

js中this的原理详解(web前端开发javascript语法基础)

欢迎关注作者微信公众号&#xff1a;愤怒的it男 一、问题的由来 学懂 JavaScript 语言&#xff0c;一个标志就是理解下面两种写法&#xff0c;可能有不一样的结果。 var angry_it_man {name : 欢迎关注微信公众号&#xff1a;angry_it_man,say : function(){console.log(thi…

学习SLAM:SLAM进阶(十)暴力更改ROS中的PCL库

话不多说&#xff0c;上活 1.1 为什么要这么做 项目中有依赖。。。。 1.2 安装VTK7.1.1 PCL1.8.0 略 1.3 移植到ROS 删除ROS依赖的vtk6.2和PCL1.8.0的动态链接库&#xff1a; liugongweiubuntu:~$ sudo mv /usr/lib/x86_64-linux-gnu/libvtk* Desktop/lib/ [sudo] password fo…

windows平台 git bash使用

打开所在需要git管理的目录,鼠标右键open Git BASH here 这样就直接进来,不需要windows dos窗口下麻烦的切路径&#xff0c;windows和linux 路径方向不一致 (\ /) 然后git init 建立本地仓库,接下来就是git相关的操作了. 图形化界面查看 打开所在需要git管理的目录,鼠标右键…

DipC 构建基因组 3D 结构(学习笔记)

背景 本文主要记录了 DipC 数据的复现过程、学习笔记及注意事项。 目录 下载 SRA 数据使用 SRA Toolkit 转换 SRA 数据为 Fastq 格式使用 bwa 比对测序数据使用 Hickit 计算样本的基因组 3D 结构使用散点图展示 3D 结构计算 3D 结构重复模拟的稳定性其他 步骤 1. 下载 SRA…

从输入一个网址到浏览器页面展示到底发生了什么

从输入一个网址到浏览器页面展示到底发生了什么 1. HTTP 解析URL 首先浏览器做的第一步工作就是解析URL&#xff0c;从而生产一个发送给服务器的请求信息。 URL是什么呢&#xff0c;见下图&#xff1a; 图中长长的URL实际上是请求服务器里的文件资源。 要是上图中的蓝色部分…

ES6中新增加的Symbol数据类型及其使用场景

聚沙成塔每天进步一点点 ⭐ 专栏简介在这里插入图片描述 ⭐ ES6中的Symbol数据类型⭐ 对象属性名称⭐ 防止属性冲突⭐ 内置Symbols⭐ 迭代器和生成器⭐ 写在最后 ⭐ 专栏简介 前端入门之旅&#xff1a;探索Web开发的奇妙世界 记得点击上方或者右侧链接订阅本专栏哦 几何带你启航…