openssl源代碼主要由eay庫、ssl庫、工具源碼、範例源碼以及測試源碼組成。

eay庫是基礎的庫函數，提供了很多功能。源代碼放在crypto目錄下。包括如下內容：

1） asn.1 DER編碼解碼(crypto/asn1目錄)，它包含了基本asn1對象的編解碼以及數字證書請求、數字證書、CRL撤銷列表以及PKCS8等最基本的編解碼函數。這些函數主要通過宏來實現。

2） 抽象IO(BIO,crypto/bio目錄)，本目錄下的函數對各種輸入輸出進行抽象，包括文件、內存、標準輸入輸出、socket和SSL協議等。

3） 大數運算(crypto/bn目錄)，本目錄下的文件實現了各種大數運算。這些大數運算主要用於非對稱算法中密鑰生成以及各種加解密操作。另外還為用戶提供了大量輔助函數，比如內存與大數之間的相互轉換。

4） 字符緩存操作(crypto/buffer目錄)。

5） 配置文件讀取(crypto/conf目錄)，openssl主要的配置文件為openssl.cnf。本目錄下的函數實現了對這種格式配置文件的讀取操作。

6） DSO(動態共享對象,crypto/dso目錄)，本目錄下的文件主要抽象了各種平臺的動態庫加載函數，為用戶提供統一接口。

7） 硬件引擎(crypto/engine目錄)，硬件引擎接口。用戶如果要寫自己的硬件引擎，必須實現它所規定的接口。

8） 錯誤處理(crypto/err目錄)，當程序出現錯誤時，openssl能以堆棧的形式顯示各個錯誤。本目錄下只有基本的錯誤處理接口，具體的的錯誤信息由各個模塊提供。各個模塊專門用於錯誤處理的文件一般為*_err..c文件。

9） 對稱算法、非對稱算法及摘要算法封裝(crypto/evp目錄)。

10） HMAC(crypto/hmac目錄)，實現了基於對稱算法的MAC。

11） hash表(crypto/lhash目錄)，實現了散列表數據結構。openssl中很多數據結構都是以散列表來存放的。比如配置信息、ssl session和asn.1對象信息等。

12） 數字證書在線認證(crypto/ocsp目錄)，實現了ocsp協議的編解碼以及證書有效性計算等功能。

13） PEM文件格式處理(crypto/pem)，用於生成和讀取各種PEM格式文件，包括各種密鑰、數字證書請求、數字證書、PKCS7消息和PKCS8消息等。

14） pkcs7消息語法(crypto/pkcs7目錄)，主要實現了構造和解析PKCS7消息；

15） pkcs12個人證書格式(crypto/pckcs12目錄)，主要實現了pkcs12證書的構造和解析。

16） 隊列(crypto/pqueue目錄)，實現了隊列數據結構，主要用於DTLS。

17） 隨機數(crypto/rand目錄)，實現了偽隨機數生成，支持用戶自定義隨機數生成。

18） 堆棧(crypto/stack目錄)，實現了堆棧數據結構。

19） 線程支持(crypto/threads)，openssl支持多線程，但是用戶必須實現相關接口。

20） 文本數據庫(crypto/txt_db目錄)。

21） x509數字證書(crypto/x509目錄和crypto/x509v3)，包括數字證書申請、數字證書和CRL的構造、解析和簽名驗證等功能了；

22） 對稱算法(crypto/aes、crypto/bf、crypto/cast、ccrypto/omp和crypto/des等目錄)。

23） 非對稱算法(crypto/dh、crypto/dsa、crypto/ec和crypto/ecdh)。

24） 摘要算法(crypto/md2、crypto/md4、crypto/md5和crypto/sha)以及密鑰交換/認證算法(crypto/dh 和crypto/krb5)。

ssl庫所有源代碼在ssl目錄下，包括了sslv2、sslv3、tlsv1和DTLS的源代碼。各個版本基本上都有客戶端源碼(*_clnt.c)、服務源碼(*_srvr.c)、通用源碼(*_both.c)、底層包源碼（*_pkt.c）、方法源碼(*_meth.c)以及協議相關的各種密鑰計算源碼(*_enc.c)等，都很有規律。

工具源碼主要在crypto/apps目錄下，默認編譯時只編譯成openssl(windows下為openssl.exe)可執行文件。該命令包含了各種命令工具。此目錄下的各個源碼可以單獨進行編譯。

範例源碼在demo目錄下，另外engines目錄給出了openssl支持的幾種硬件的engines源碼，也可以作為engine編寫參考。

測試源碼主要在test目錄下。

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

SSL是Secure Socket Layer（安全套接層協議）的縮寫,目標是保證兩個應用間通信的保密性和可靠性,可在服務器端和用戶端同時實現支持。改協議能使用戶/服務器應用之間的通信不被攻擊者竊聽，並且始終對服務器進行認證，還可選擇對用戶進行認證。
OpenSSL整個軟件包大概可以分成三個主要的功能部分：密碼算法庫、SSL協議庫以及應用程序。OpenSSL的目錄結構自然也是圍繞這三個功能部分進行規劃的。
加密算法：對稱加密 非對稱加密 信息摘要算法 密鑰和協議管理 SSL和TSL協議
對稱算法使用一個密鑰。給定一個明文和一個密鑰，加密產生密文，其長度和明文大致相同。解密時，使用密鑰與加密密鑰相同。

對稱算法主要有四種加密模式：

(1) 電子密碼本模式 Electronic Code Book(ECB)

這種模式是最早采用和最簡單的模式，它將加密的數據分成若幹組，每組的大小跟加密密鑰長度相同，然後每組都用相同的密鑰進行加密。

其缺點是：電子編碼薄模式用一個密鑰加密消息的所有塊，如果原消息中重復明文塊，則加密消息中的相應密文塊也會重復，因此，電子編碼薄模式適於加密小消息。

（2）加密塊鏈模式 Cipher Block Chaining(CBC)

CBC模式的加密首先也是將明文分成固定長度的塊，然後將前面一個加密塊輸出的密文與下一個要加密的明文塊進行異或操作，將計算結果再用密鑰進行加密得到密文。第一明文塊加密的時候，因為前面沒有加密的密文，所以需要一個初始化向量。跟ECB方式不一樣，通過連接關系，使得密文跟明文不再是一一對應的關系，破解起來更困難，而且克服了只要簡單調換密文塊可能達到目的的攻擊。

（3）加密反饋模式 Cipher Feedback Mode(CFB)

面向字符的應用程序的加密要使用流加密法，可以使用加密反饋模式。在此模式下，數據用更小的單元加密，如可以是8位，這個長度小於定義的塊長（通常是64位）。其加密步驟是：

a） 使用64位的初始化向量。初始化向量放在移位寄存器中，在第一步加密，產生相應的64位初始化密文； b) 始化向量最左邊的8位與明文前8位進行異或運算，產生密文第一部分（假設為c），然後將c傳輸到接收方；

c) 向量的位（即初始化向量所在的移位寄存器內容）左移8位，使移位寄存器最右邊的8位為不可預測的數據，在其中填入c的內容； d) 第1-3步，直到加密所有的明文單元。

解密過程相反

4）輸出反饋模式 Output Feedback Mode(OFB)

輸出反饋模式與CFB相似，惟一差別是，CFB中密文填入加密過程下一階段，而在OFB中，初始化向量加密過程的輸入填入加密過程下一階段。

摘要算法是一種能產生特殊輸出格式的算法，這種算法的特點是：無論用戶輸入什麽長度的原始數據，經過計算後輸出的密文都是固定長度的，這種算法的原理是根據一定的運算規則對原數據進行某種形式的提取，這種提取就是摘要，被摘要的數據內容與原數據有密切聯系，只要原數據稍有改變，輸出的“摘要”便完全不同，因此，基於這種原理的算法便能對數據完整性提供較為健全的保障。但是，由於輸出的密文是提取原數據經過處理的定長值，所以它已經不能還原為原數據，即消息摘要算法是不可逆的，理論上無法通過反向運算取得原數據內容，因此它通常只能被用來做數據完整性驗證。

如今常用的“消息摘要”算法經歷了多年驗證發展而保留下來的算法已經不多，這其中包括MD2、MD4、MD5、SHA、SHA-1/256/383/512等。

常用的摘要算法主要有MD5和SHA1。D5的輸出結果為16字節，sha1的輸出結果為20字節。

在公鑰密碼系統中，加密和解密使用的是不同的密鑰，這兩個密鑰之間存在著相互依存關系：即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。這使得通信雙方無需事先交換密鑰就可進行保密通信。其中加密密鑰和算法是對外公開的，人人都可以通過這個密鑰加密文件然後發給收信者，這個加密密鑰又稱為公鑰；而收信者收到加密文件後,它可以使用他的解密密鑰解密，這個密鑰是由他自己私人掌管的，並不需要分發，因此又成稱為私鑰

應用程序：主要包括密鑰生成、證書管理、格式轉換、數據加密和簽名、SSL測試以及其它輔助配置功能。
Engine機制目的是為了使OpenSSL能夠透明地使用第三方提供的軟件加密庫或者硬件加密設備進行加密。
BIO機制是OpenSSL提供的一種高層IO接口，該接口封裝了幾乎所有類型的IO接口，如內存訪問、文件訪問以及Socket等。這使得代碼的重用性大幅度提高，
OpenSSL對於隨機數的生成和管理也提供了一整套的解決方法和支持API函數。隨機數的好壞是決定一個密鑰是否安全的重要前提

openssl源碼目錄結構