如何使用Rust进行TLS开发？

TLS基础知识

TLS是一种安全协议，有助于在双方之间建立安全连接。TLS通过握手来验证双方彼此的身份，并就如何加密数据达成一致。如图：

• 身份验证：TLS使用数字证书对参与通信的各方进行身份验证，数字证书由受信任的第三方颁发，例如证书颁发机构(CA)。
• 加密：TLS使用加密来保护交换的数据，使用的加密算法取决于协商的参数。
• 完整性：TLS使用散列函数来确保交换的数据未被篡改。
• 协商：TLS允许通信双方协商使用的加密参数，这可以确保双方使用相同的参数，并以一致的方式加密数据。
• 握手：TLS使用握手过程来建立安全连接，握手过程允许双方相互验证并协商要使用的加密参数。

TLS多年来已经更新了几次。TLS的当前版本是TLS 1.3。TLS 1.3是对TLS的重大更新，带来了许多安全性和性能改进。如图：

我们已经介绍了TLS的基础知识，下面让我们开始看看Rustls库。

Rustls库

Rustls是一个用Rust编写的现代TLS库。它的设计是安全、高效和易于使用。

• 安全性：Rustls在设计时就考虑到了安全性，它使用现代加密技术，并不断被审计是否有安全漏洞。
• 性能：Rustls非常高效，因为它是用Rust编写的。
• 易用性：Rustls易于使用，它提供了一个简单的API，可以很容易地在应用程序中实现TLS。

下面是创建TLS客户端和服务器的代码

在Cargo.toml中加入Rustls库：

[dependencies]
rustls = "0.21.7"
webpki-roots = "0.25"

use std::sync::Arc;

use std::io::{stdout, Read, Write};
use std::net::TcpStream;

fn main() {
    // 加载根证书，用于验证服务器。使用webpki_roots库，它包含Mozilla的根证书集。
    let mut root_store = rustls::RootCertStore::empty();
    root_store.add_trust_anchors(webpki_roots::TLS_SERVER_ROOTS.iter().map(|ta| {
        rustls::OwnedTrustAnchor::from_subject_spki_name_constraints(
            ta.subject,
            ta.spki,
            ta.name_constraints,
        )
    }));

    // 创建ClientConfig
    let config = rustls::ClientConfig::builder()
        .with_safe_defaults()
        .with_root_certificates(root_store)
        .with_no_client_auth();

    let rc_config = Arc::new(config);
    let example_com = "www.rust-lang.org".try_into().unwrap();

    // 建立到服务器端443端口的连接
    let mut conn = rustls::ClientConnection::new(rc_config, example_com).unwrap();
    let mut sock = TcpStream::connect("www.rust-lang.org:443").unwrap();

    // 建立TLS连接
    let mut tls = rustls::Stream::new(&mut conn, &mut sock);

    // 发送请求数据
    tls.write_all(
        concat!(
            "GET / HTTP/1.1\r\n",
            "Host: www.rust-lang.org\r\n",
            "Connection: close\r\n",
            "Accept-Encoding: identity\r\n",
            "\r\n"
        ).as_bytes(),
    ).unwrap();

    let ciphersuite = tls.conn.negotiated_cipher_suite().unwrap();

    writeln!(
        &mut std::io::stderr(),
        "Current ciphersuite: {:?}",
        ciphersuite.suite()
    ).unwrap();

    let mut plaintext = Vec::new();

    // 接收服务器端返回的数据
    tls.read_to_end(&mut plaintext).unwrap();
    stdout().write_all(&plaintext).unwrap();
}

这段代码创建了一个连接到“www.rust-lang.org”服务器443端口的TLS客户端。然后打印服务器返回的信息。

一旦建立了安全连接，我们就可以开始交换数据。为此，我们使用tls.write_all方法通过连接发送数据，并使用tls.read_to_end方法接收数据。