利用 OpenSSL 进行国际算法加密通信实验

lightningyang2026-01-16 8:12

一、实验前置准备

系统版本:OpenEuler 22.04

实验平台:天枢一体化虚拟仿真平台

( 1 ) . OpenSSL安装与版本验证

openEuler默认预装OpenSSL,但需确认完整性和版本(推荐1.1.1及以上,支持主流国际算法):

|----------------------------------------------------------------------------------------------------------------------------------------|
| # 检查OpenSSL版本 openssl version # 若未安装/版本过低,执行安装(openEuler用dnf包管理器) sudo dnf install openssl openssl-devel -y # 再次验证安装成功 openssl version |

正常输出示例:OpenSSL 1.1.1k FIPS 25 Mar 2021(openEuler 22.03 LTS默认版本)。

二、实验1:对称加密(AES-256-CBC)- 文件加解密

AES是国际标准对称加密算法(NIST认证),CBC是常用的分组加密模式,适合小数据加密,也是加密通信的基础。

实验步骤

1 创建测试文件(用于验证加解密效果):

|---------------------------------------------------------------------------------|
| echo "OpenEuler OpenSSL AES Encryption Test" > test.txt cat test.txt # 查看原文件内容 |

2 )生成AES密钥和初始化向量(IV):

AES-256需要256位(32字节)密钥,CBC模式要求IV长度等于分组长度(AES分组为128位/16字节):

|-----------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 生成256位AES密钥(16进制格式) openssl rand -hex 32 > aes_key.txt # 生成128位IV(16进制格式) openssl rand -hex 16 > aes_iv.txt # 查看生成的密钥/IV(可选) cat aes_key.txt cat aes_iv.txt |

3 )AES-256-CBC加密文件:

|-----------------------------------------------------------------------------------------------------------|
| openssl enc -aes-256-cbc -in test.txt -out test_encrypted.enc -K (cat aes_key.txt) -iv (cat aes_iv.txt) |

命令解释:

  • enc:OpenSSL加密/解密核心指令;
  • -aes-256-cbc:指定算法为AES-256-CBC(国际标准对称算法);
  • -in/-out:输入/输出文件路径;
  • -K:指定16进制格式的密钥(区分大小写,需与生成的一致);
  • -iv:指定16进制格式的初始化向量。

4 解密验证:

|------------------------------------------------------------------------------------------------------------------------|
| openssl enc -d -aes-256-cbc -in test_encrypted.enc -out test_decrypted.txt -K (cat aes_key.txt) -iv (cat aes_iv.txt) |

关键参数:-d 表示解密模式。

5 验证结果:

|------------------------|
| cat test_decrypted.txt |

输出应与原文件test.txt完全一致,说明AES加解密成功。

三、实验2:非对称加密(RSA)- 密钥交换与签名验签

RSA是国际标准非对称加密算法,用于加密通信的密钥交换 (如TLS握手)和数字签名(防篡改/伪造),实验步骤如下:

实验步骤

1 生成RSA私钥(2048位,安全与性能平衡):

|------------------------------------------|
| openssl genrsa -out rsa_private.key 2048 |

解释:genrsa 生成RSA私钥,2048位是主流安全长度(4096位更安全但速度慢)。

2 从私钥提取公钥:

|-------------------------------------------------------------|
| openssl rsa -in rsa_private.key -pubout -out rsa_public.key |

解释:-pubout 指定输出公钥(公钥可公开,私钥需严格保密)。

3 公钥加密小数据(RSA适合加密密钥/短数据):

|-----------------------------------------------------------------------------------------------|
| openssl rsautl -encrypt -inkey rsa_public.key -pubin -in test.txt -out test_rsa_encrypted.enc |

解释:

  • rsautl:RSA加解密工具;
  • -encrypt:加密模式;
  • -pubin:表示输入的是公钥文件。

4 私钥解密验证:

|-------------------------------------------------------------------------------------------------------|
| openssl rsautl -decrypt -inkey rsa_private.key -in test_rsa_encrypted.enc -out test_rsa_decrypted.txt |

验证:cat test_rsa_decrypted.txt 应与原文件内容一致。

5 扩展:数字签名与验签(通信防篡改):

|------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| # 用私钥生成SHA256签名 openssl dgst -sha256 -sign rsa_private.key -out test.sig test.txt # 用公钥验签(验证文件未被篡改) openssl dgst -sha256 -verify rsa_public.key -signature test.sig test.txt |

验签成功输出:Verified OK;若修改test.txt后验签,会输出Verification Failure。

四、实验3:TLS加密通信(客户端-服务器模拟)

这是最贴近实际场景的加密通信实验,OpenSSL的s_server/s_client模拟基于RSA+AES的TLS加密通信(国际算法组合)。

实验步骤

1 生成服务器自签名证书(实验用):

|----------------------------------------------------------------------------------------|
| openssl req -x509 -newkey rsa:2048 -keyout server.key -out server.crt -days 365 -nodes |

命令解释:

  • -x509:生成自签名证书(无需CA认证,仅实验用);
  • -newkey rsa:2048:同时生成2048位RSA私钥;
  • -nodes:私钥不加密(实验方便,生产环境需加密)。

执行后会提示填写证书信息(国家、省份、组织等),Common Name(CN)建议填[127.0.0.1](127.0.0.1)(服务器本地IP),其余可随意填写。

2 启动TLS服务器(监听12345端口):

|-----------------------------------------------------------------------|
| openssl s_server -key server.key -cert server.crt -port 12345 -tls1_2 |

解释:

  • -tls1_2:指定TLS 1.2版本(主流安全版本,支持AES/RSA等国际算法);
  • 启动后服务器会输出ACCEPT,等待客户端连接。

3 启动TLS客户端(新终端执行):

保持服务器终端运行,打开新终端执行:

|---------------------------------------------------|
| openssl s_client -connect 127.0.0.1:12345 -tls1_2 |

连接成功后,客户端会输出TLS握手信息,包括加密套件 (如ECDHE-RSA-AES256-GCM-SHA384,包含RSA和AES国际算法)。

4 测试加密通信:

  • 在客户端终端输入任意文字(如Hello OpenEuler TLS Encryption!),按回车;
  • 服务器终端会收到该文字;在服务器终端输入文字,客户端也会收到;
  • 所有传输内容均通过TLS加密,而非明文(可通过抓包工具验证,如wireshark)。

5 停止实验:

分别在客户端/服务器终端按Ctrl+C退出即可。

相关推荐
代码AI弗森3 小时前
NAS 服务器 vs 普通服务器:一场关于「存储中心」与「计算中心」的系统分工之争
运维·服务器
菜鸟程序猿小章3 小时前
人大金仓服务器定时备份
运维·服务器
zt1985q3 小时前
本地部署静态网站生成工具 Vuepress 并实现外部访问
运维·服务器·网络·数据库·网络协议
楼田莉子4 小时前
Linux学习:进程信号
linux·运维·服务器·c++·学习
软件资深者4 小时前
免费的2026网刻工具, 轻松解决局域网电脑批量还原问题
运维·服务器·负载均衡
松涛和鸣4 小时前
69、Linux字符设备驱动实战
linux·服务器·网络·arm开发·数据库·驱动开发
女王大人万岁4 小时前
Go语言JSON标准库(encoding/json):功能解析与实战指南
服务器·开发语言·后端·golang·json
“αβ”4 小时前
IP协议内容补充
服务器·网络·网络协议·tcp/ip·智能路由器·nat·ip协议
深圳市恒讯科技4 小时前
2026新加坡服务器硬件防火墙配置推荐
运维·服务器·云计算
小江||小廖4 小时前
服务器如何设置共享文件夹,让其他内网电脑可以访问
运维·服务器
热门推荐
01GitHub 镜像站点02一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示03Vue-skills的中文文档04Claude Code Skills 实用使用手册05让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南06UV安装并设置国内源07OpenClaw部署与配置教程:在Mac mini上接入国产大模型与飞书08Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services09在Trae中使用Pencil MCP10OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)