搜索
  • 如何在Rust中建立TLS安全连接?
  • 发布于 2个月前
  • 221 热度
    0 评论
TLS基础知识
TLS是一种安全协议,有助于在双方之间建立安全连接。TLS通过握手来验证双方彼此的身份,并就如何加密数据达成一致。如图:

身份验证:TLS使用数字证书对参与通信的各方进行身份验证,数字证书由受信任的第三方颁发,例如证书颁发机构(CA)。
加密:TLS使用加密来保护交换的数据,使用的加密算法取决于协商的参数。
完整性:TLS使用散列函数来确保交换的数据未被篡改。
协商:TLS允许通信双方协商使用的加密参数,这可以确保双方使用相同的参数,并以一致的方式加密数据。
握手:TLS使用握手过程来建立安全连接,握手过程允许双方相互验证并协商要使用的加密参数。

TLS多年来已经更新了几次。TLS的当前版本是TLS 1.3。TLS 1.3是对TLS的重大更新,带来了许多安全性和性能改进。如图:

我们已经介绍了TLS的基础知识,下面让我们开始看看Rustls库。

Rustls库
Rustls是一个用Rust编写的现代TLS库。它的设计是安全、高效和易于使用。
安全性:Rustls在设计时就考虑到了安全性,它使用现代加密技术,并不断被审计是否有安全漏洞。
性能:Rustls非常高效,因为它是用Rust编写的。
易用性:Rustls易于使用,它提供了一个简单的API,可以很容易地在应用程序中实现TLS。

下面是创建TLS客户端和服务器的代码
在Cargo.toml中加入Rustls库:
[dependencies]
rustls = "0.21.7"
webpki-roots = "0.25"
use std::sync::Arc;

use std::io::{stdout, Read, Write};
use std::net::TcpStream;

fn main() {
    // 加载根证书,用于验证服务器。使用webpki_roots库,它包含Mozilla的根证书集。
    let mut root_store = rustls::RootCertStore::empty();
    root_store.add_trust_anchors(webpki_roots::TLS_SERVER_ROOTS.iter().map(|ta| {
        rustls::OwnedTrustAnchor::from_subject_spki_name_constraints(
            ta.subject,
            ta.spki,
            ta.name_constraints,
        )
    }));

    // 创建ClientConfig
    let config = rustls::ClientConfig::builder()
        .with_safe_defaults()
        .with_root_certificates(root_store)
        .with_no_client_auth();

    let rc_config = Arc::new(config);
    let example_com = "www.rust-lang.org".try_into().unwrap();

    // 建立到服务器端443端口的连接
    let mut conn = rustls::ClientConnection::new(rc_config, example_com).unwrap();
    let mut sock = TcpStream::connect("www.rust-lang.org:443").unwrap();

    // 建立TLS连接
    let mut tls = rustls::Stream::new(&mut conn, &mut sock);

    // 发送请求数据
    tls.write_all(
        concat!(
            "GET / HTTP/1.1\r\n",
            "Host: www.rust-lang.org\r\n",
            "Connection: close\r\n",
            "Accept-Encoding: identity\r\n",
            "\r\n"
        ).as_bytes(),
    ).unwrap();

    let ciphersuite = tls.conn.negotiated_cipher_suite().unwrap();

    writeln!(
        &mut std::io::stderr(),
        "Current ciphersuite: {:?}",
        ciphersuite.suite()
    ).unwrap();

    let mut plaintext = Vec::new();
    // 堆代码 duidaima.com
    // 接收服务器端返回的数据
    tls.read_to_end(&mut plaintext).unwrap();
    stdout().write_all(&plaintext).unwrap();
}
这段代码创建了一个连接到“www.rust-lang.org”服务器443端口的TLS客户端。然后打印服务器返回的信息。

一旦建立了安全连接,我们就可以开始交换数据。为此,我们使用tls.write_all方法通过连接发送数据,并使用tls.read_to_end方法接收数据。
用户评论
可能感兴趣的话题