Mina SSL Filter安全加密过滤器相关知识介绍

最新推荐文章于 2024-05-26 19:38:19 发布
最新推荐文章于 2024-05-26 19:38:19 发布
阅读量5.4k 收藏 3
点赞数
分类专栏: Mina Apache Mina 文章标签: java apache mina ssl filter

原文地址:Mina SSLFilter(Apahce Mina user guide Chapter11 SSL Filter)

SslFilter过滤器负责管理数据的加密和解密通过安全连接。每当你需要建立一个安全连接,或将现有的连接使它安全,你必须添加SslFilter过滤器链。

任何会话可以修改它的信息过滤器链,它允许使用协议像startTLS打开连接。

请注意,虽然这个名字包括SSL,SslFilter支持TLS。实际上,TLS已经支持取代SSL,但是由于历史原因,SSL仍然广泛使用。

1.1.1. 基本应用

如果你想让你的应用程序支持SSL / TLS,只需添加的SslFilter:

...

DefaultIoFilterChainBuilder chain = acceptor.getFilterChain();

SslFilter sslFilter = new SslFilter(sslContext);

chain.addFirst("sslFilter", sslFilter);

...
你当然也 需要一个SslContext实例: 

SSLContext sslContext;

    try

    {

        // Initialize the SSLContext to work with our key managers.

        sslContext = SSLContext.getInstance( "TLS" );

        sslContext.init( ... ); // Provide the needed KeyManager[], TrustManager[] and SecureRandom instances

    }

    catch ( Exception e )

    {

        // Handle your exception

    }
取决于你 提供 KeyManager,TrustManagerSecureRandom实例。

确保注入SslFilter到过滤器链中的第一的位置!

稍后我们将看到如何创建一个SSLContext详细为例。

1.1.2. 理论

如果你想要更深入地理解它是如何工作的,请阅读下面的段落

1.1.2.1. 基本的SSL

我们不打算解释SSL是如何工作的,在此之外有非常好的书。我们将给一个快速介绍它是如何工作的,以及它是如何Mina实现

 

首先,你必须明白SSL / TLS协议中定义的RFCs:TLS 1.0, TLS 1.1 和TLS 1.2,这里有关于TLS 1.3的介绍。

成为TLS之前它最初是由NetscapeSSL(1.03.0)。如今,SSL 2.0 * 3.0SSL * *已经弃用并且不应该被使用

1.1.3. SSL/TLS协议

因为它是一个协议,它需要客户端和服务器之间的一些会话。这是所有的SSL / TLS是什么:关于描述该会话

足以知道任何保证交换排除是一个过程阶段叫做握手它的角色是客户端和服务器之间达成协议将加密方法来使用。一个基本的SSL / TLS会话将会看起来像下面这样:

 

正如你所看到的这张照片,这是一个2阶段协议:第一次握手,然后完成客户端和服务器将能够交换数据加密。

1.1.3.1. 握手

一般地,它是关于谈判阶段许多元素用于加密数据。在本文的上下文中细节不是很有趣的足够说许多消息是客户机和服务器之间交换,并且没有数据可以发送在这个阶段。

 

实际上,握手开始有两个条件:服务器必须等待一些握手消息到达,客户端必须发送ClientHello消息

 

我们使用Java SSLEngine类来管理整个SSL / TLS协议。Mina应该关注的现状是会话这样它将能够获取和处理客户端HelloClient消息。当你在过滤器链中注入SslFilter,有几件事发生

  • 创建SslHandler实例(我们每个会话创建一个实例)。这个SslHandler实例负责整个处理(握手和即将到来的消息的加密/解密)
  • SslHandler使用SslContext实例创建一个SSLEngine,已附加到SslFilter。
  • SslEngine被实例配置和初始化。
  • SslHandler实例存储到Session会话中。
  • 除非特殊需要,我们发起握手(有不同的含义在客户端和服务器端,客户端将发送ClientHello消息,而服务器切换到一个模式,它等待一些数据打开)。注意握手初始化以后可以做如果需要的话

 

  我们都是set。接下来的几个步骤是纯粹的SSL / TLS协议交换。如果session.write()方法被调用时,该消息将被排队等待握手完成。任何等待消息当时SslFilter添加到链会导致SSL / TLS握手失败,所以当你想注入确保你有一个干净的地方。我们也不会收到任何消息,这并不是一个SSL / TLS协议消息。

 

最后一点很重要,如果你想实现StartTLS:因为它允许您的应用程序在任何时候切换从一个纯文本交换加密交换你要确保两侧没有等待消息。显然,在客户端——启动StartTLS——每个等待消息已被发送,在StartTLS可以发送消息之前,但它必须阻止任何其他信息,不属于以下握手,直到完成握手。在服务器端,一旦StartTLS消息已经收到,没有消息应该写入远程对等。

 

事实上链中的SslFilter应该阻止任何交换不握手协议的一部分,直到握手完成。如果你提交一个消息发送和加密前的握手已经完成消息不会被拒绝,但握手已完成时会加入列并处理。

 

在此之后每个发送的消息将会通过SslHandler实例被加密,和每条消息收到必须通过SslHandler完全解密,然后提供给下一个过滤器。

1.1.3.2. 发送数据

握手已完成。你的SslFilter准备好处理传入和传出消息。让我们聚焦那些你要写session会话

 

重要的事情是你可以写多个消息在同一session会话(如果你有一个Executor)。问题在于SSLEngine不能够处理多个消息。我们需要序列化消息被写入。更糟糕的是:你不能处理传入消息,并在同一时间传出消息。

 

而言SSL / TLS处理就像一个黑盒只接受一个输入并且无法处理任何东西直到它完成了它的任务。以下为传出消息模式代表了它的工作方式。


 

这与传入消息没什么不同,除了我们之间不会有一个ExecutorIoProcessorSslFilter让事情变得更简单除了一个重要的事情发生当我们处理传入消息的时候我们不能处理输出消息。请注意它还适用于反过来:当一个即将离任的消息被处理,我们不能处理传入消息:


注意:重要的是SslHander无法处理超过一个消息。

1.1.4. Mina2SSL/TLS

现在,我们将深入一点深入Mina代码。我们将涵盖所有过滤器操作:

  • · Management
  • o init()
  • o destroy()
  • o onPreAdd(IoFilterChain, String, NextFilter)
  • o onPostAdd(IoFilterChain, String, NextFilter)
  • o onPreRemove(IoFilterChain, String, NextFilter)
  • o onPostRemove(IoFilterChain, String, NextFilter)
  • · Session events
  • o sessionCreated(NextFilter, IoSession)
  • o sessionOpened(NextFilter, IoSession)
  • o sessionClosed(NextFilter, IoSession)
  • o sessionIdle(NextFilter, IoSession, IdleStatus)
  • o exceptionCaught(NextFilter, IoSession, Throwable)
  • o filterClose(NextFilter, IoSession)
  • o inputClosed(NextFilter, IoSession)
  • · Messages events
  • o messageReceived(NextFilter, IoSession, Object)
  • o filterWrite(NextFilter, IoSession, WriteRequest)
  • o messageSent(NextFilter, IoSession, WriteRequest)

 

1.1.4.1. Management

这里有过滤器的管理方法:

1.1.4.1.1. onPreAdd

这就是我们创建SslHandler实例,并初始化它。我们还定义了支持密码。

SslHandler实例将本身创建一SSLEngine的实例,并配置SslFilter它所有的参数设置:

  • 如果这是客户端或服务器端
  • 在服务器端,国旗,表示我们想要或需要客户端身份验证
  • 启用密码的列表
  • 协议列表

当它完成的时候,这个实例的引用存储在session会话的属性。

1.1.4.1.2. onPostAdd

如果不影响推迟这就是我们开始握手的地方。这是这个方法要做的。所有的逻辑是由SslHandler实现

1.1.4.1.3. onPreRemove

在这里,我们停止SSL会话清理会话(从会话的属性删除过滤器从会话的链和SslHandler实例)在刷新了任何尚未处理的事件之后,Sslhandler实例也要被销毁

1.1.4.2. Session events

里有事件传播,通过SslFilter过滤器链处理:

1.1.4.2.1. sessionClosed

我们只是销毁SslHandler实例。

1.1.4.2.2. exceptionCaught

我们有一个特殊的任务进行异常由于关闭session会话引起:我们必须收集所有的消息回答epending将它们添加到异常传播。

1.1.4.2.3. filterClose

在这里,如果有一个SSL会话开始,我们需要关闭它。在任何情况下,我们传播事件链到下一个过滤器。

1.1.4.3. Messages events

最后,同样重要的是,这三个事件相对于消息:

1.1.4.3.1. messageReceived

当我们从套接字读取一些数据时,收到这个事件。我们必须照顾一些角落情况:已完成握手握手已经启动但仍未完成*没有握手开始,SslHandler尚未初始化

 

根据频率列出这三个用例的顺序。让我们看看会发生什么对这些用例。

1.1.4.3.2. The handshake has been completed

!这意味着每一个传入消息封装在一个SSL / TLS信封,而且应该解密。现在,我们讨论的是关于消息的,但我们实际上收到字节可能需要进行聚合以形成完整的信息(至少在TCP)。如果消息是支离破碎的我们会收到许多缓冲区,当我们将收到最后一块我们将能够完全解密它。记住我们阻塞了所有的处理,它可以对这次session会话SslHandler实例很长一段时间……

 

在任何情况下,每个数据块都是由SslHandler处理,它代表SslEngine解密接收的字节。

 

这是我们已经实现的基本算法messageReceived():

get the session's sslHandler

syncrhonized on sshHandler {

    if handshake completed

        then

            get the sslHandler decrypting the data

            if the application buffer is completed, push it into the message to forward to the IoHandler

        else

            enqueue the incoming data}

flush the messages if any

 

这里的重要部分是SslHandler将累积数据,直到有一个完整的消息进入链。这可能需要一段时间,并且有许多套接字读取。原因是SSLEngine无法处理消息除非它有所有字节符合完全解码的信息。

 

提示:增加传输缓冲区大小限制往返需要的数量来发送一个大消息。

 

1.1.4.3.3. The handshake has not been completed

意味着收到消息是握手协议的一部分。没有将传播到IoHandler,消息将被SslHandler消费

直到完成完整的握手,每个传入的数据将被视为一个握手规范消息。

同时,消息IoHandler将加入队列,等待握手完成

这是一个模式代表完整的过程,当数据在两个传送接收:

 

1.1.4.3.4. filterwWrite

这个事件处理时IoSession.write()方法被调用。

如果SSL session会话没有开始,我们只是积累写的消息。它将在稍后发送。

 

在这里有一个棘手的参数,对于一些非常具体的需要。通常,当实现startTLS协议,服务器切换从一个非安全连接到一个安全连接的意思是一个应用程序消息(和潜在的响应),我们需要响应发送回客户机之前SslFilter安装(否则,响应将被阻塞,etablishement安全连接会失败)。这是DISABLE_ENCRYPTION_ONCE属性。它包含什么都无所谓(它可以是一个布尔值),这是足够的为这个参数在会话第一消息bypasse SslFilter

 

我们控制在会话的属性存在DISABLE_ENCRYPTION_ONCE标识,并且如果存在,我们将它从session会话中移除,并且送消息进入消息队列被发送。

此外,如果握手还没有完成,我们保持消息队列中,如果完成,我们加密和调度写。

如果已经安排写一些消息我们就释放

1.1.4.3.5. messageSent

在这里,它只是一种回到未加密的IoHandler消息传播

1.1.5. SSLContext初始化

我们看到,为了建立SSL会话,我们需要创建一个SSLContext。这是代码:

SSLContext sslContext;

try{

    // Initialize the SSLContext to work with our key managers.

    sslContext = SSLContext.getInstance( "TLS" );

    sslContext.init( ... );

   // Provide the needed KeyManager[], TrustManager[] and SecureRandom instances
}catch ( Exception e ){

    // Handle your exception
}

我们没有暴露的是构造函数和init()方法。

SSLContext可以影响——通过其构造函数创建,或者我们让静态工厂返回一个实例(这是我们所做的在前面的代码。第二种方法非常简单,适合大多数时候。这足以通过使用协议的名称,这是:

  • · SSL
  • · SSLv2
  • · SSLv3
  • · TLS
  • · TLSv1
  • · TLSv1.1
  • · TLSv1.2 (not supported in Java 6)

强烈建议选择更高的算法(TLSv1.2)如果你的客户支持它。

init()方法接受3个参数:

  • · a KeyManager (can be null)
  • · a TrustManager (can be null)
  • · a random generator (can be null)

如果参数被设置为null,安装安全提供者会选择优先级最高的实现。

boonya
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
六-Mina学习之IOFilter接口
学而不思则罔,思而不学则怠
03-07 316
1.IOFilter    对应用程序和网络的传输,就是二进制数据和对象之间的转换,有相应的解码和编码器。这也是过滤器的一种,还可以做日志、消息确认等功能。2.IOFilter类图    是在应用层和业务层之间的过滤层3.完成自定义的过滤器    就是在往Handler处理之前,需要调用相应的过滤器进行过滤。    Client:业务Handler之前会调用过滤器。    server:同样在接收...
使用mina当服务器进行纯文本消息或多媒体消息加密会话
FlowLeaf
04-21 1950
首先,对于mina的基本使用这里就不多说了,之前已经转载了一篇很详细的说明。这次想分享的是使用mina框架自定义编解码器,实现发送纯文本和非纯文本消息,带PBE加密。        首先定义要发送的信息包,之前一直想用mina进行图片语音,短视频的传送,把多媒体信息封装成一个类,纯文本文件封装成一个类。然后使用多路分离解码器,虽然这种方法可行,但是发送和接收都直接跳过了handler这层。到最后
基于 MINA 的 TLS/SSL NIO Socket 实现(二)
shuangyidehudie的专栏
01-07 2928
转自:http://blog.sina.com.cn/s/blog_9f2dd2f3010165cq.html MinaSocketApache.netSecurity  功能:1) 客户端首先必须以普通连接方式连接连接服务器      2) 服务器接收到连接后,通知客户端启用TLS/SSL方式连接      3) 双方都启用成功后,通过数据加密方式完成信息的通信 备注: TLS/SSL
minaActivatorA12+物主锁完美解信号,可登iCloud,有消息通知,支持iOS17.5.1+
最新发布
IOSFULIBULUO的博客
05-26 2326
Mina Activator A12+是一款绕过物主锁界面的解锁工具,可以激活所有iPhone恢复信号,并且支持插卡接打电话、收发短信、4G流量上网,支持iCloud登录,有消息通知,支持iPhoneXR~13ProMax的所有型号,支持iOS15-iOS17.5.1+,支持Mac苹果系统。2.提交完成后需要等待1-2天,注册成功后设备连上WiFi并且连接电脑,软件点击Activate your Device开始激活设备,等待软件提示激活成功即可。QQ群:1群 65044698。原创 IOS福利部落。
mina中实现TSL/SSL双向认证连接(1)
曾文锋开发日志
01-25 752
本文需要读者对minaSSl原理有一定的了解,所以本文中对minaSSL的原理,不做详细的介绍。 TSL/SSL双向认证连接:Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。这样就可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。 在mina中实现TSL/SSL双向认证连接,本...
Apache Mina(一)
dengliru4372的博客
03-06 185
Apache Mina是一个能够帮助用户开发高性能和高伸缩性网络应用程序的框架。它通过Java nio技术基于TCP/IP和UDP/IP协议提供了抽象的、事件驱动的、异步的API。 Mina包的简介: org.apache.mina.core.buffer 用于缓冲区的IoBuffer org.apache.mina.core.serviceorg.apach...
mina sslfilter大用法
09-18
在处理安全套接层(SSL)通信时,Mina提供了一个名为`SslFilter`的组件,它是实现加密和身份验证的关键部分。在本教程中,我们将深入探讨如何使用Mina的`SslFilter`来构建安全的网络应用。 **1. SSL/TLS协议概述** ...
mina服务器--实现纯文本和非纯文本的加密通讯
04-21
在实现加密通信时,我们需要创建一个包含SSLFilter过滤器链,这个过滤器负责处理SSL/TLS相关的任务,如握手、加密和解密数据。 4. **证书管理**:为了启用SSL/TLS,服务器和客户端都需要各自的数字证书。服务器端...
apache-mina-2.0.4.rar_apache mina_mina
09-20
- **mina-filter**模块:包含了各种预定义的过滤器,例如日志记录、压缩、SSL加密等。 - **mina-integration-spring**模块:如果你的项目使用Spring框架,这个模块可以帮助你更好地集成Mina。 通过分析源码,你可以...
mina技术知识
09-29
Mina中,应用开发者不需要直接处理底层的Socket编程,而是通过定义过滤器Filter)链来处理网络通信中的各种任务,如数据编码解码、安全认证等。过滤器链的设计模式使得代码结构清晰,职责明确,易于扩展和维护。...
利用mina框架进行ssl双向认证链接
oneTreeTallTall
03-08 2190
再上一篇中我已将创建好了证书,现在开始进行测试创建的证书有没有用,先创建一个maven项目目录结构如下 我们这里是进行的双向测试,如果想进行单项测试,也就是服务器端不验证客户端的身份(关于ssl的原理可以自行百度了解)等会再说,改一个配置就行. 先引入pom文件: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xs...
Apache MINA 2.0 用户指南》第十一章:SSL 过滤器
Defonds 的专栏
01-13 4167
本章对 SSL 过滤器进行探讨。但具体内容有待官方完善中。
MINA2.0用户手册中文版--第五章 MINA中的过滤器
12-23 7923
过滤器IoFilterMINA核心结构之一,它扮演着一个很重要的角色。它可以过滤所有在MINA服务和对应处理程序之间的I/O事件和请求。如果你有编写Java网络应用程序的经验,你可以放心的把他当做Servlet过滤器的一个远亲。MINA提供了很多现成的过滤器,它们通过简化典型的横切关注点,来加快网络应用程序的开发步伐,例如: 日志过滤器LoggingFilter记录所有事件和请求协
java workerdone_MINA的第一个例子终于能运行了__2
weixin_36237054的博客
02-16 115
MINA的第一个例子终于能运行了__1二、将mina包换成1.0,并引入mina-filter-ssl-1.0.0.jar后再执行,报错java.lang.NoClassDefFoundError: edu/emory/mathcs/backport/java/util/concurrent/Executor原来是mina1.0硬引入了别的类文件import edu.emory.mathcs.ba...
Shiro常用的Filter过滤器
a1498665771的博客
02-22 653
Shiro常用的Filter过滤器
Apache MinaSSL连接API
cuiyuan199101的专栏
03-16 2345
在网上找了N久也没找到有关Mina建立SSL安全连接的细节部分,连官方网站用户手册都说.......即将到来.......实在是不耐烦了,就自己去看了一下源代码,翻译了一下,翻译的比较渣。。。不过能看懂就行了!希望能够造福社会。 Mina安全连接:org.apache.mina.filter.ssl包API:    这是一个提供SSL功能的 IoFilter类实现。
mina中实现TSL/SSL双向认证连接(2)
曾文锋开发日志
01-25 337
上回书说到...书接上回,现在介绍第二种实现方式:Server端和Client端各自拥有自签名的私有密钥证书,并且互相交换公钥,通过对方公钥互相信认对方证书。 1.创建Server端KeyStore文件serverKeys.jks,包含一个用于服务器的证书 : [quote]keytool -genkey -alias server -keysize 1024 -validity 3650...
Apache中使用SSL
零全零美
11-26 114
分享一下播布课的视频教程,在Apache中使用SSL 小布作品:作品:在Apache中使用SSL - 01 小布作品:作品:在Apache中使用SSL - 02 小布作品:作品:在Apache中使用SSL - 03 小布作品:作品:在Apache中使用SSL - 04 小布作品:作品:在Apache中使用SSL - 05 小布作品:作品:在Apache中使用SS...
mina-filter
12-30
根据提供的引用内容,mina-filter是一个用于Apache MINA(Multipurpose Infrastructure for Network Applications)框架的过滤器MINA是一个基于Java的网络应用程序框架,用于开发高性能和可扩展的网络应用程序。 MINA框架使用过滤器链来处理输入和输出数据。过滤器链由多个过滤器组成,每个过滤器负责处理特定的任务,例如数据压缩、数据加密、协议解析等。过滤器链可以根据应用程序的需求进行配置和定制。 以下是一个使用mina-filter的示例: ```java import org.apache.mina.core.filterchain.DefaultIoFilterChainBuilder; import org.apache.mina.core.filterchain.IoFilterAdapter; import org.apache.mina.core.session.IoSession; import org.apache.mina.filter.codec.ProtocolCodecFilter; import org.apache.mina.filter.logging.LoggingFilter; public class MinaFilterExample { public static void main(String[] args) { // 创建过滤器链 DefaultIoFilterChainBuilder filterChain = new DefaultIoFilterChainBuilder(); // 添加日志过滤器 filterChain.addLast("logger", new LoggingFilter()); // 添加协议编解码过滤器 filterChain.addLast("codec", new ProtocolCodecFilter(new MyProtocolCodecFactory())); // 添加自定义过滤器 filterChain.addLast("myFilter", new MyFilter()); // 创建MINA服务器 NioSocketAcceptor acceptor = new NioSocketAcceptor(); acceptor.setFilterChainBuilder(filterChain); // 启动服务器 try { acceptor.bind(new InetSocketAddress(8888)); System.out.println("Server started on port 8888"); } catch (IOException e) { e.printStackTrace(); } } // 自定义协议编解码工厂 private static class MyProtocolCodecFactory implements ProtocolCodecFactory { // 实现编解码逻辑 // ... } // 自定义过滤器 private static class MyFilter extends IoFilterAdapter { @Override public void messageReceived(NextFilter nextFilter, IoSession session, Object message) throws Exception { // 处理接收到的消息 // ... } @Override public void messageSent(NextFilter nextFilter, IoSession session, WriteRequest writeRequest) throws Exception { // 处理发送的消息 // ... } } } ``` 上述示例中,我们创建了一个MINA服务器,并配置了一个过滤器链。过滤器链包括日志过滤器、协议编解码过滤器和自定义过滤器。日志过滤器用于记录日志信息,协议编解码过滤器用于处理数据的编码和解码,自定义过滤器用于处理接收和发送的消息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值