Java安全套接字扩展——JSSE

最新推荐文章于 2023-06-27 14:04:00 发布
最新推荐文章于 2023-06-27 14:04:00 发布
阅读量657 收藏 1
点赞数
分类专栏: Java JAVA 安全

上节已经介绍了SSL/TLS协议的通信模式,而对于这些底层协议,如果要每个开发者都自己去实现显然会带来不必要的麻烦,正是为了解决这个问题Java为广大开发者提供了Java安全套接字扩展——JSSE,它包含了实现Internet安全通信的一系列包的集合,是SSL和TLS的纯Java实现,同时它是一个开放的标准,每个公司都可以自己实现JSSE,通过它可以透明地提供数据加密、服务器认证、信息完整性等功能,就像使用普通的套接字一样使用安全套接字,大大减轻了开发者的负担,使开发者可以很轻松将SSL协议整合到程序中,并且JSSE能将安全隐患降到了最低点。

在用JSSE实现SSL通信过程中主要会遇到以下类和接口,由于过程中涉及到加解密、密钥生成等运算的框架和实现,所以也会间接用到JCE包的一些类。如图3-1-7-2为JSSE接口的主要类图:

图3-1-7-2 JSSE API主要类图

 

①  通信核心类——SSLSocket和SSLServerSocket。对于使用过socket进行通信开发的朋友比较好理解,它们对应的就是Socket与ServerSocket,只是表示实现了SSL协议的Socket和ServerSocket,同时它们也是Socket与ServerSocket的子类。SSLSocket负责的事情包括设置加密套件、管理SSL会话、处理握手结束时间、设置客户端模式或服务器模式。

②  客户端与服务器端Socket工厂——SSLSocketFactory和SSLServerSocketFactory。在设计模式中工厂模式是专门用于生产出需要的实例,这里也是把SSLSocket、SSLServerSocket对象创建的工作交给这两个工厂类。

③  SSL会话——SSLSession。安全通信握手过程需要一个会话,为了提高通信的效率,SSL协议允许多个SSLSocket共享同一个SSL会话,在同一个会话中,只有第一个打开的SSLSocket需要进行SSL握手,负责生成密钥及交换密钥,其余SSLSocket都共享密钥信息。

④  SSL上下文——SSLContext。它是对整个SSL/TLS协议的封装,表示了安全套接字协议的实现。主要负责设置安全通信过程中的各种信息,例如跟证书相关的信息。并且负责构建SSLSocketFactory、SSLServerSocketFactory和SSLEngine等工厂类。

⑤  SSL非阻塞引擎——SSLEngine。假如你要进行NIO通信,那么将使用这个类,它让通过过程支持非阻塞的安全通信。

⑥  密钥管理器——KeyManager。此接口负责选择用于证实自己身份的安全证书,发给通信另一方。KeyManager对象由KeyManagerFactory工厂类生成。

⑦  信任管理器——TrustManager。此接口负责判断决定是否信任对方的安全证书,TrustManager对象由TrustManagerFactory工厂类生成。

⑧  密钥证书存储设施——KeyStore。这个对象用于存放安全证书,安全证书一般以文件形式存放,KeyStore负责将证书加载到内存。

通过上面这些类就可以完成SSL协议的安全通信了,在利用SSL/TLS进行安全通信时,客户端跟服务器端都必须要支持SSL/TLS协议,不然将无法进行通信。而且客户端和服务器端都可能要设置用于证实自己身份的安全证书,并且还要设置信任对方的哪些安全证书。

关于身份认证方面有个名词叫客户端模式,一般情况客户端要对服务器端的身份进行验证,但是无需向服务器证实自己的身份,这样不用向对方证实自己身份的通信端我们就说它处于客户模式,否则成它处于服务器模式。SSLSocket的setUseClientMode(Boolean mode)方法可以设置客户端模式或服务器模式。

往下看一个用JSSE简单实现SSL通信的例子。

①  解决证书问题。

一般而言作为服务器端必须要有证书以证明这个服务器的身份,并且证书应该描述此服务器所有者的一些基本信息,例如公司名称、联系人名等。证书由所有人以密码形式签名,基本不可伪造,证书获取的途径有两个:一是从权威机构购买证书,权威机构担保它发出的证书的真实性,而且这个权威机构被大家所信任,进而你可以相信这个证书的有效性;另外一个是自己用JDK提供的工具keytool创建一个自我签名的证书,这种情况下一般是我只想要保证数据的安全性与完整性,避免数据在传送的过程中被窃听或篡改,此时身份的认证已不重要,重点已经在端与端传输的秘密性上,证书的作用只体现在加解密签名。

另外,关于证书的一些概念在这里陈述,一个证书是一个实体的数字签名,这个实体可以是一个人、一个组织、一个程序、一个公司、一个银行,同时证书还包含这个实体的公共钥匙,此公共钥匙是这个实体的数字关联,让所有想同这个实体发生信任关系的其他实体用来检验签名。而这个实体的数字签名是实体信息用实体的私钥加密后的数据,这条数据可以用这个实体的公共钥匙解密,进而鉴别实体的身份。这里用到的核心算法是非对称加密算法。

SSL协议通信涉及密钥储存的文件格式比较多,很容易搞混,例如xxx.cer、xxx.pfx、xxx.jks、xxx.keystore、xxx.truststore等格式文件。如图3-1-7-3,搞清楚他们有助于理解后面的程序,.cer格式文件俗称证书,但这个证书中没有私钥,只包含了公钥;.pfx格式文件也称为证书,它一般供浏览器使用,而且它不仅包含了公钥,还包含了私钥,当然这个私钥是加密的,不输入密码是解不了密的;.jks格式文件表示java密钥存储器(javakey store),它可以同时容纳N个公钥跟私钥,是一个密钥库;.keystore格式文件其实跟.jks基本是一样的,只是不同公司叫法不太一样,默认生成的证书存储库格式;.truststore格式文件表示信任证书存储库,它仅仅包含了通信对方的公钥,当然你可以直接把通信对方的jks作为信任库(就算如此你也只能知道通信对方的公钥,要知道密钥都是加密的,你无从获取,只要算法不被破解)。有些时候我们需要把pfx或cert转化为jks以便于用java进行ssl通信,例如一个银行只提供了pfx证书,而我们想用java进行ssl通信时就要将pfx转化为jks格式。

图3-1-7-3 密钥存储文件格式

 

按照理论上,我们一共需要准备四个文件,两个keystore文件和两个truststore文件,通信双方分别拥有一个keystore和一个truststore,keystore用于存放自己的密钥和公钥,truststore用于存放所有需要信任方的公钥。这里为了方便直接使用jks即keystore替代truststore(免去证书导来导去),因为对方的keystore包含了自己需要的信任公钥。

下面使用jdk自带的工具分别生成服务器端证书,通过如下命令并输入姓名、组织单位名称、组织名称、城市、省份、国家信息即可生成证书密码为tomcat的证书,此证书存放在密码也为tomcat的tomcat.jks证书存储库中。如果你继续创建证书将继续往tomcat.jks证书存储库中添加证书。如果你仅仅输入keytool -genkey -alias tomcat -keyalg RSA -keypass tomcat -storepasstomcat,不指定证书存储库的文件名及路径,则工具会在用户的home directory目录下生产一个“.keystore”文件作为证书存储库。


    类似的,客户端证书也用此方式进行生成。如下

②  服务端TomcatSSLServer.java

public class TomcatSSLServer {

privatestatic final String SSL_TYPE = "SSL";

privatestatic final String KS_TYPE = "JKS";

privatestatic final String X509 = "SunX509";

privatefinal static int PORT = 443;

privatestatic TomcatSSLServer sslServer;

privateSSLServerSocket svrSocket;

publicstatic TomcatSSLServer getInstance() throws Exception {

           if(sslServer == null) {

               sslServer= new TomcatSSLServer();

           }

           returnsslServer;

}

privateTomcatSSLServer() throws Exception{

      SSLContextsslContext = createSSLContext();

      SSLServerSocketFactoryserverFactory = sslContext.getServerSocketFactory();

      svrSocket=(SSLServerSocket) serverFactory.createServerSocket(PORT);

      svrSocket.setNeedClientAuth(true);

      String[]supported = svrSocket.getEnabledCipherSuites();

      svrSocket.setEnabledCipherSuites(supported);

}

privateSSLContext createSSLContext() throws Exception{

      KeyManagerFactorykmf = KeyManagerFactory.getInstance(X509);

      TrustManagerFactorytmf = TrustManagerFactory.getInstance(X509);

     String serverKeyStoreFile ="c:\\tomcat.jks";

      StringsvrPassphrase = "tomcat";              

      char[]svrPassword = svrPassphrase.toCharArray();

      KeyStoreserverKeyStore = KeyStore.getInstance(KS_TYPE);

      serverKeyStore.load(newFileInputStream(serverKeyStoreFile), svrPassword);

      kmf.init(serverKeyStore,svrPassword);

      StringclientKeyStoreFile = "c:\\client.jks";

      StringcntPassphrase = "client";             

      char[]cntPassword = cntPassphrase.toCharArray();

      KeyStoreclientKeyStore = KeyStore.getInstance(KS_TYPE);

      clientKeyStore.load(newFileInputStream(clientKeyStoreFile),cntPassword);

      tmf.init(clientKeyStore);

      SSLContextsslContext  =SSLContext.getInstance(SSL_TYPE);

      sslContext.init(kmf.getKeyManagers(),tmf.getTrustManagers(), null);

      returnsslContext;

}

publicvoid startService() {

      SSLSocketcntSocket = null;

      BufferedReaderioReader = null;

      PrintWriterioWriter = null;

      StringtmpMsg = null;

      while(true ) {

           try{

               cntSocket=(SSLSocket) svrSocket.accept();

               ioReader= new BufferedReader(new InputStreamReader(cntSocket.getInputStream()));

               ioWriter= new PrintWriter(cntSocket.getOutputStream());

               while( (tmpMsg = ioReader.readLine()) != null) {

                    System.out.println("客户端通过SSL协议发送信息:"+tmpMsg);

                    tmpMsg="欢迎通过SSL协议连接";

                    ioWriter.println(tmpMsg);

                    ioWriter.flush();

               }

           }catch(IOException e) {

               e.printStackTrace();

           }finally {

               try{

                    if(cntSocket!= null) cntSocket.close();

               }catch(Exception ex) {ex.printStackTrace();}

           }

      }

}

publicstatic void main(String[] args) throws Exception {

      TomcatSSLServer.getInstance().startService();

}

}

基本顺序是先得到一个SSLContext实例,再对SSLContext实例进行初始化,密钥管理器及信任管理器作为参数传入,证书管理器及信任管理器按照指定的密钥存储器路径和密码进行加载。接着设置支持的加密套件,最后让SSLServerSocket开始监听客户端发送过来的消息。

 

③  客户端TomcatSSLClient.java

public class TomcatSSLClient {

privatestatic final String SSL_TYPE = "SSL";

privatestatic final String X509 = "SunX509";

privatestatic final String KS_TYPE = "JKS";

privateSSLSocket sslSocket;

publicTomcatSSLClient(String targetHost,int port) throws Exception {

      SSLContextsslContext = createSSLContext();

      SSLSocketFactorysslcntFactory =(SSLSocketFactory) sslContext.getSocketFactory();

      sslSocket= (SSLSocket) sslcntFactory.createSocket(targetHost, port);

      String[]supported = sslSocket.getSupportedCipherSuites();

      sslSocket.setEnabledCipherSuites(supported);

}

privateSSLContext createSSLContext() throws Exception{

      KeyManagerFactorykmf = KeyManagerFactory.getInstance(X509);

      TrustManagerFactorytmf = TrustManagerFactory.getInstance(X509);

      StringclientKeyStoreFile = "c:\\client.jks";

      StringcntPassphrase = "client";

      char[]cntPassword = cntPassphrase.toCharArray();

      KeyStoreclientKeyStore = KeyStore.getInstance(KS_TYPE);

      clientKeyStore.load(newFileInputStream(clientKeyStoreFile),cntPassword);

      StringserverKeyStoreFile = "c:\\tomcat.jks";

      StringsvrPassphrase = "tomcat";

      char[]svrPassword = svrPassphrase.toCharArray();

      KeyStoreserverKeyStore = KeyStore.getInstance(KS_TYPE);

      serverKeyStore.load(newFileInputStream(serverKeyStoreFile), svrPassword);

      kmf.init(clientKeyStore,cntPassword);

      tmf.init(serverKeyStore);

      SSLContextsslContext  =SSLContext.getInstance(SSL_TYPE);

      sslContext.init(kmf.getKeyManagers(),tmf.getTrustManagers(), null);

      returnsslContext;

}

publicString sayToSvr(String sayMsg) throws IOException{

      BufferedReaderioReader = new BufferedReader(new InputStreamReader(

               sslSocket.getInputStream()));

      PrintWriterioWriter = new PrintWriter(sslSocket.getOutputStream());

      ioWriter.println(sayMsg);

      ioWriter.flush();

      returnioReader.readLine();

}

publicstatic void main(String[] args) throws Exception {

      TomcatSSLClientsslSocket = new TomcatSSLClient("127.0.0.1",443);

      BufferedReaderioReader = new BufferedReader(new InputStreamReader(System.in));

      StringsayMsg = "";

      StringsvrRespMsg= "";

      while((sayMsg = ioReader.readLine())!= null ) {

           svrRespMsg= sslSocket.sayToSvr(sayMsg);

           if(svrRespMsg!= null && !svrRespMsg.trim().equals("")) {

               System.out.println("服务器通过SSL协议响应:"+svrRespMsg);

           }

      }

}

}

客户端的前面操作基本跟服务器端的一样,先创建一个SSLContext实例,再用密钥管理器及信任管理器对SSLContext进行初始化,当然这里密钥存储的路径是指向客户端的client.jks。接着设置加密套件,最后使用SSLSocket进行通信。

注意服务器端有行代码svrSocket.setNeedClientAuth(true);它是非常重要的一个设置方法,用于设置是否验证客户端的身份。假如我们把它注释掉或设置为false,此时客户端将不再需要自己的密钥管理器,即服务器不需要通过client.jks对客户端的身份进行验证,把密钥管理器直接设置为null也可以跟服务器端进行通信。

最后谈谈信任管理器,它的职责是觉得是否信任远端的证书,那么它凭借什么去判断呢?如果不显式设置信任存储器的文件路径,将遵循如下规则:①如果系统属性javax.net.ssl.truststore指定了truststore文件,那么信任管理器将去jre路径下的lib/security目录寻找这个文件作为信任存储器;②如果没设置①中的系统属性,则去寻找一个%java_home%/lib/security/jssecacerts文件作为信任存储器;③如果jssecacerts不存在而cacerts存在,则cacerts作为信任存储器。

至此,一个利用JSSE实现SSL协议通信的例子已完成。

 

zlllxl2002
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
conscrypt:Conscrypt是一个Java安全提供程序,它实现了Java密码术扩展Java安全套接字扩展的一部分
04-28
Conscrypt-Java安全提供程序Conscrypt是一个Java安全提供程序(JSP),它实现了Java密码学扩展(JCE)和Java安全套接字扩展(JSSE)的一部分。 它使用BoringSSL为Android和OpenJDK上的Java应用程序提供加密原语和...
Java安全(JCA/JSSE):非对称加密
熊诗言的博客
05-10 164
非对称加密也称为公钥加密。速度慢、加密和解密的钥匙不相同,某一个人持有私钥,任何人都可以知道公钥。 基本步骤: 得到keyPairGenerator的实例对象,并调用其generateKeyPair()方法创建KeyPair对象。 调用KeyPair对象的getPrivate和getPublic方法,分别得到PrivateKey对象和PublicKey对象。 得到Cipher的实例对象,并调用其init()方法指定PrivateKey对象或PublicKey对象,并指定要进行加密、还是进行解密操作。 调用
TLS版本及CipherSuites确认及设置
EDI电子数据交换 | 知行软件
12-02 7083
这些报错,有时是因为数据传输双方设置的TLS版本不一致导致,所以如果出现上述报错我们可在确认网络正常的情况下,排除是否是TLS的问题,一般交易伙伴双方确认下彼此使用的TLS版本和Cipher Suites,然后不支持的一方进行设置即可。如果确认是TLS版本和Cipher Suites不支持的问题,我们该如何查看知行之桥支持的TLS版本及TLS Cipher Suites,并进行修改或者设置呢?在这里可以删除不安全的SSL Cipher Suite,添加安全的SSL Cipher Suite,进行应用。
openssl之BIO系列之17---连接(connect)类型BIO
fryingpan的专栏
10-22 1294
该类型的BIO封装了socket的Connect方法,它使得编程的时候可以使用统一的BIO规则进行socket的connect连接的操作和数据的发送接受,而不用关心具体平台的Socket的connect方法的区别。其相关定义的一些函数如下(openssl/bio.h):      BIO_METHOD * BIO_s_connect(void);      #define BIO_set_co
java套件,Java密码套件
weixin_39940182的博客
02-20 198
I'm trying to work out the order that cipher suites are returned using SSLSocketFactory.getSupportedCipherSuites() - it seems to differ between Java 1.6 & Java 1.7.I thought this would be easy to ...
gm-jsse:开源国密通信纯 Java JSSE 实现
05-10
通用JSSE 要求 JDK 1.7或更高版本。 安装 < groupId>com.aliyun</ groupId> < artifactId>gmsse < version>{{see the version on the badge}} 用法 import javax.net.ssl.HttpsURLConnection ; import javax...
curso_crypto_20150413:Java密码学课程
06-12
Java 安全套接字扩展 (JSSE) 密钥库 信托商店 基于 SSL 的 RMI 链接(编辑) 介绍 Java SE 安全性 密码学 Java:trade_mark: 加密体系结构 (JCA) 参考指南 Java:trade_mark: 密码体系结构标准算法名称文档 Java ...
Java安全中文版
07-05
这里还详细介绍了如何应用Java安全套接字扩展包(JSSE)实现SSL加密,以及如何利用Java鉴别与授权服务(JAAS)处理鉴别和权限的有关问题。  本书作为一本基础参考书,主要面向为Internet编写应用软件的开发人员。如果...
jsse-2.0.5.jar.zip
06-25
java.security.NoSuchAlgorithmException: SHA1PRNG SecureRandom not available at sun.security.jca.GetInstance.getInstance(GetInstance.java:142) at java.security.SecureRandom.getInstance(SecureRandom....
使用SSL构建安全的Socket
Sometimes Java
06-22 7421
使用SSL构建安全的Socket  bromon原创 版权所有  SSL(安全套接层)是Netscape公司在1994年开发的,最初用于WEB浏览器,为浏览器与服务器间的数据传递提供安全保障,提供了加密、来源认证和数据完整性的功能。现在SSL3.0得到了普遍的使用,它的改进版TLS(传输层安全)已经成为互联网标准。SSL本身和TCP套接字连接是很相似的,在协议栈中,SSL可以被简单的看作是安全
在蓝牙通道上通过BIO实现TLS 1.2
凡人的专栏
06-10 233
TLS简介 TLS 通常应用在Socket通道上,保证数据传输的秘密性,完整性,认证性。 对程序来说,openssl将整个握手过程用一对函数体现,即客户端的SSL_connect和服务端的SSL_accept.而后的应用层数据交换则用SSL_read和 SSL_write来完成. 将Socket传入接口后,整个握手过程都由openssl完成。 参考:OpenSSL编写SSL,TLS程序*** 而我接触的项目需要在BLE通道上实现TLS 1.2, 没有针对BLE通道的接口,故采取BIO的模式来实现: 证书完整
java jsse,收藏 - Java 安全套接字扩展 (JSSE) 参考指南
weixin_39722375的博客
03-13 230
本指南涵盖以下主题:介绍特点和好处JSSE 标准 APISunJSSE 提供商相关文档JRE 安装目录术语和定义安全套接字层 (SSL) 协议概述为什么使用 SSL?SSL 的工作原理JSSE 类和接口核心类和接口SocketFactory 和 ServerSocketFactory 类SSLSocketFactory 和 SSLServerSocketFactory 类SSLSocket 和 S...
java nio ssl_java SSL Server
weixin_35985796的博客
02-13 378
NIO中有socketChannel但是没有sslSocketChannel,据文档中说,如果要实现ssl的socketChannel会牵涉很多代码的实现,增加api的复杂程度;ssl的实现也不应该依赖于是NIO还是传统的基于stream的IO,应该给程序员自己进行组合的自由,因此就没有在Java标准中提供相关的api,而留给程序员实现。为了支持nio实现ssl通讯,从java1.5开始增加了ja...
【Netty权威指南】20-安全
通往神秘的道路的专栏
05-15 954
1、Netty SSL安全特性 JDK的安全类库提供了 javax.net.ssl.SSLSocket和javax.net.ssl.SSLServerSocket类库用于支持SSL/TLS安全传输,对于NIO非阻塞 Socket通信,JDK并没有提供现成可用的类库简化用户开发。 Netty通过JDK的 SSLEngine,以 SslHandler的方式提供对SSL/TLS安全传输的支持,极大的简...
SSL密钥套件
stay hungry,stay foolish !
02-15 6227
SSL密钥套件
Java安全(JCA/JSSE):数字证书
熊诗言的博客
05-10 482
数字证书包含了公钥,签发信息等。存储数字证书的地方叫KeyStore,有三种类型(私钥证书PrivateKeyEntry、密钥证书SecretKeyEntry、受信证书TrustedCertificateEntry)。可以使用keytool查看、创建、导入导出等。 KeyStore 存储多个私钥和其附带的数字证书 存储信任的第三方数字证书 KeyStore中的每一个私钥和信任的第三方数字证书用一个alias进行标识 Keytool 产生私钥与导入第三方证书 导出证书与生成CSR(Certific
安全套接字Java 网络编程之安全网络通信
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
06-27 326
SSL(Secure Socket Layer,安全套接字层)是一种保证网络上的两个节点进行安全通信的协议。IETF(Interet Engineering Task Force)国际组织对 SSL 作了标准化,制定了 RFC2246 规范,并将其称为传输层安全(Transport Layer Security,TLS) SSL 和 TLS 都建立在 TCP/IP 的基础上,一些应用层协议,如 HTTP 和 IMAP,都可以采用 SSL 来保证安全通信。建立在 SSL 协议上的 HTTP 被称为 HTTP
NIO SSL Socket Server
chyroger的专栏
01-29 9944
学习NIO和SSL的结合 参考文档:http://docs.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#KeyClasses NIO中有socketChannel但是没有sslSocketChannel,据文档中说,如果要实现ssl的socketChannel会牵涉很多代码的实现,增加api的复杂程度;s
java: 未命名的模块同时从 rt 和 jsse 读取程序包 sun.security.rsa
最新发布
07-09
这个问题涉及到 Java 的模块系统和程序包的访问权限。在 Java 9 及以上版本中,Java 引入了模块系统来提供更好的代码隔离和模块化。在默认情况下,未命名的模块(也称为无模块化的类路径代码)具有访问 JDK 内部 API...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值