写点什么

鸿蒙网络编程系列 7-TLS 安全数据传输单向认证示例

作者:长弓三石
  • 2024-10-22
    广东
  • 本文字数:5216 字

    阅读完需:约 17 分钟

1.TLS 简介

TLS(Transport Layer Security)协议的前身是 SSL(Secure Socket Layer)安全套接层协议,由 Netscape 公司于 1994 年提出,是一套网络通信安全协议。IETF(The Internet Engineering Task Force)后期负责 SSL 协议,并且重新命名为 TLS 协议。IETF 于 1999 年发布了 TLS 1.0 版本,该版本基于 SSL 3.0;2006 年 4 月,发布了 TLS 1.1 版本,2008 年 8 月,发布了 TLS 1.2 版本,2018 年 3 月,TLS 1.3 版本发布,是目前最新的 TLS 版本。

2. TLS 的常用方法

鸿蒙封装的 TLS 操作类位于模块 socket 中,使用如下的方式导入:


import socket from '@ohos.net.socket';


​ socket 模块包括了众多的 TCP 操作方法,就本文而言,重点需要掌握的是如下五个:


1)constructTLSSocketInstance(): TLSSocket


创建并返回一个 TLSSocket 对象,,在使用 TLSSocket 的方法以前需要创建该对象。


2)bind(address: NetAddress): Promise


绑定 IP 地址和端口,端口可以指定或由系统随机分配,可以使用 0.0.0.0 表示本机 IP 地址;使用 Promise 方式作为异步方法。


3)connect(options: TLSConnectOptions): Promise


连接到指定的 TLS 服务端,参数 options 包含了连接的地址 address、TLS 安全配置 secureOptions 以及 ALPN 协议列表 ALPNProtocols,其中 address 和 secureOptions 是必选的,ALPN 是可选的,使用 promise 方法作为异步方法。


4)send(data: string): Promise


通过 TLSSocket 连接向服务端发送消息 data,使用 Promise 方式作为异步方法。


5)on(type: 'message', callback: Callback<{message: ArrayBuffer, remoteInfo: SocketRemoteInfo}>): void


订阅 TLSSocket 连接的接收消息事件,当套接字接收到消息时触发该事件,其中 message 表示接收到的消息,remoteInfo 是发送方信息;使用 callback 方式作为异步方法。

3. TLS 单向认证通讯示例

为演示 TLS 安全通讯单向认证的方式(即客户端认证服务端,客户端本身不提供证书),本示例实现了使用 TLS 协议发送、接收消息的功能,运行后的初始界面如下所示:



本示例中,可以配置 TLS 服务端的地址,可以直接输入服务端证书的 CA 信息,或者从文件加载,在配置好 CA 后,就可以连接服务端了,连接握手成功后,就可以发送信息给对方。


下面详细介绍创建该应用的步骤。


步骤 1:创建 Empty Ability 项目。


步骤 2:在 module.json5 配置文件加上对权限的声明:


"requestPermissions": [

{

​ "name": "ohos.permission.INTERNET"

},

{

​ "name": "ohos.permission.GET_WIFI_INFO"

}

]


这里分别添加了访问互联网和访问 WIFI 信息的权限。


步骤 3:在 Index.ets 文件里添加如下的代码:


import socket from '@ohos.net.socket';import wifiManager from '@ohos.wifiManager';import systemDateTime from '@ohos.systemDateTime';import util from '@ohos.util';import picker from '@ohos.file.picker';import fs from '@ohos.file.fs';import common from '@ohos.app.ability.common';
//执行TLS通讯的对象let tlsSocket = socket.constructTLSSocketInstance()
//说明:本地的IP地址不是必须知道的,绑定时绑定到IP:0.0.0.0即可,显示本地IP地址的目的是方便对方发送信息过来//本地IP的数值形式let ipNum = wifiManager.getIpInfo().ipAddress//本地IP的字符串形式let localIp = (ipNum >>> 24) + '.' + (ipNum >> 16 & 0xFF) + '.' + (ipNum >> 8 & 0xFF) + '.' + (ipNum & 0xFF);
let caFileUri = ''
@Entry@Componentstruct Index { //连接、通讯历史记录 @State msgHistory: string = '' //要发送的信息 @State sendMsg: string = '' //服务端IP地址 @State serverIp: string = "0.0.0.0" //服务端端口 @State serverPort: number = 9999 //是否可以加载 @State canLoad: boolean = false //是否可以连接 @State canConnect: boolean = false //是否可以发送消息 @State canSend: boolean = false @State ca: string = ``
scroller: Scroller = new Scroller()
build() { Row() { Column() { Text("TLS通讯示例") .fontSize(14) .fontWeight(FontWeight.Bold) .width('100%') .textAlign(TextAlign.Center) .padding(10)
Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) { Text("本地IP地址:") .width(100) .fontSize(14) .flexGrow(0) Text(localIp) .width(110) .fontSize(12) .flexGrow(1)
}.width('100%') .padding(10)
Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) { Text("服务端地址:") .fontSize(14) .width(90) .flexGrow(1)
TextInput({ text: this.serverIp }) .onChange((value) => { this.serverIp = value }) .width(110) .fontSize(12) .flexGrow(4)
Text(":") .width(5) .flexGrow(0)
TextInput({ text: this.serverPort.toString() }) .type(InputType.Number) .onChange((value) => { this.serverPort = parseInt(value) }) .fontSize(12) .flexGrow(2) .width(50) } .width('100%') .padding(10)
Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) { Text("CA(输入或者加载)") .fontSize(14) .width(90) .flexGrow(1)
Button("选择") .onClick(() => { this.selectCA() }) .width(70) .fontSize(14) .flexGrow(0)
Button("加载") .onClick(() => { this.loadCA() }) .enabled(this.canLoad) .width(70) .fontSize(14) .flexGrow(0)
Button("连接") .onClick(() => { this.connect2Server() }) .enabled(this.canConnect) .width(70) .fontSize(14) .flexGrow(0) } .width('100%') .padding(10)
Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) { TextArea({ text: this.ca }).onChange((value) => { this.ca = value }) .flexGrow(1) .height(200) } .width('100%') .padding(10)
Flex({ justifyContent: FlexAlign.Start, alignItems: ItemAlign.Center }) { TextInput({ placeholder: "输入要发送的消息" }).onChange((value) => { this.sendMsg = value }) .width(200) .flexGrow(1)
Button("发送") .enabled(this.canSend) .width(70) .fontSize(14) .flexGrow(0) .onClick(() => { this.sendMsg2Server() }) } .width('100%') .padding(10)
Scroll(this.scroller) { Text(this.msgHistory) .textAlign(TextAlign.Start) .padding(10) .width('100%') .backgroundColor(0xeeeeee) } .align(Alignment.Top) .backgroundColor(0xeeeeee) .height(300) .flexGrow(1) .scrollable(ScrollDirection.Vertical) .scrollBar(BarState.On) .scrollBarWidth(20) } .width('100%') .justifyContent(FlexAlign.Start) .height('100%') } .height('100%') }
//发送消息到服务端 sendMsg2Server() { tlsSocket.send(this.sendMsg + "\r\n") .then(async () => { this.msgHistory += "我:" + this.sendMsg + await getCurrentTimeString() + "\r\n" }) .catch((e) => { this.msgHistory += '发送失败' + e.message + "\r\n"; }) }
//绑定本地地址 async bind2LocalAddress() { //本地地址 let localAddress = { address: "0.0.0.0", family: 1 }
await tlsSocket.bind(localAddress) .then(() => { this.msgHistory = 'bind success' + "\r\n"; }) .catch((e) => { this.msgHistory = 'bind fail ' + e.message + "\r\n"; })
//收到消息时的处理 tlsSocket.off("message")
tlsSocket.on("message", async (value) => { let msg = buf2String(value.message) let time = await getCurrentTimeString() this.msgHistory += "服务端:" + msg + time + "\r\n" this.scroller.scrollEdge(Edge.Bottom) }) }
//选择CA证书文件 selectCA() { let documentPicker = new picker.DocumentViewPicker(); documentPicker.select().then((result) => { if (result.length > 0) { caFileUri = result[0] this.msgHistory += "select file: " + caFileUri + "\r\n"; this.canLoad = true } }).catch((e) => { this.msgHistory += 'DocumentViewPicker.select failed ' + e.message + "\r\n"; }); }
//加载CA文件内容 loadCA() { try { let buf = new ArrayBuffer(1024 * 4); let file = fs.openSync(caFileUri, fs.OpenMode.READ_ONLY); let readLen = fs.readSync(file.fd, buf, { offset: 0 }); this.ca = buf2String(buf.slice(0, readLen)) this.canConnect = true fs.closeSync(file); } catch (e) { this.msgHistory += 'readText failed ' + e.message + "\r\n"; } }
//连接服务端 connect2Server() { //绑定本地地址 this.bind2LocalAddress()
//服务端地址 let serverAddress = { address: this.serverIp, port: this.serverPort, family: 1 } let opt: socket.TLSSecureOptions = { ca: [this.ca] }
tlsSocket.connect({ address: serverAddress, secureOptions: opt }) .then(() => { this.msgHistory = 'connect success ' + "\r\n"; this.canSend = true }) .catch((e) => { this.msgHistory = 'connect fail ' + e.message + "\r\n"; }) }}
//同步获取当前时间的字符串形式async function getCurrentTimeString() { let time = "" await systemDateTime.getDate().then( (date) => { time = date.getHours().toString() + ":" + date.getMinutes().toString() + ":" + date.getSeconds().toString() } ) return "[" + time + "]"}
//ArrayBuffer转utf8字符串function buf2String(buf: ArrayBuffer) { let msgArray = new Uint8Array(buf); let textDecoder = util.TextDecoder.create("utf-8"); return textDecoder.decodeWithStream(msgArray)}
复制代码


步骤 4:编译运行,可以使用模拟器或者真机。


步骤 5:配置 CA 信息,单击“选择”按钮选择 CA 证书,如图所示:



步骤 6:单击“加载”按钮加载 CA 证书,如图所示:



步骤 7:配置服务端地址,当前,前提是要运行一个 TLS 服务端,具体的服务端可以使用别的语言编写,或者使用更高版本的鸿蒙 API 编写,本例假定使用一个基于 TLS 的回声服务器,配置好后,单击“连接”按钮即可开始连接服务端。连接成功后,如果在服务端监听,可以看到如下的连接过程信息:



步骤 8:输入要发送的信息,单击“发送”按钮即可发送信息到服务端,如下图所示:



如果监听发送接收消息,可以看到 Application Data 的发送过程:



通过上面的过程可知,在经过成功的握手后,消息发送接收都是基于密文的,达到了保密的目的。


这样就完成了一个简单的 TLS 单向认证消息发送应用。


(本文作者原创,除非明确授权禁止转载)


本文源码地址:


https://gitee.com/zl3624/harmonyos_network_samples/tree/master/code/tcp/StickyDemo


本系列源码地址:


https://gitee.com/zl3624/harmonyos_network_samples


发布于: 刚刚阅读数: 5
用户头像

长弓三石

关注

还未添加个人签名 2024-10-16 加入

二十多年软件开发经验的软件架构师,华为HDE、华为云HCDE、仓颉语言CLD、CCS,著有《仓颉语言网络编程》、《仓颉语言元编程》、《仓颉语言实战》、《鲲鹏架构入门与实战》等书籍,清华大学出版社出版。

评论

发布
暂无评论
鸿蒙网络编程系列7-TLS安全数据传输单向认证示例_DevEco Studio_长弓三石_InfoQ写作社区