在runClient()方法中,程序处理了输入参数后,获得SSLSockFactory对象,调用connect()方法连接到服务器程序。在connect()方法中,程序首先创建一个SSLSocket对象,然后调用SSLSocket对象的startHandshang()方法启动和服务器端的握手过程。当握手过程完成后,会触发一个HandshakeCompletedEvent事件。在服务器端的HandshakeCompletedListener对象会处理这个事件。事实上,JSSE可以自动启动握手过程,但是必须是在第一次有数据通过Socket传输的情况下。由于在例子程序中,直到用户在键盘上输入信息后才会有数据通过Socket传输,而我们希望服务器端及时报告连接情况,因此我们用startShake()方法来手工激活握手过程。
SimpleSSLClient类中的transmit()方法也很简单。首先程序将输入流包装到一个Reader对象中,然后将输出流包装到一个Writer对象中;最后将数据流输出到Socket:
还记得我们是如何运行客户端的吗?我们需要在命令行中指定keyStore, keyStorePasword, trustStore和trustStorePassword参数,以至于整个命令显得过于冗长。事实上你可以在程序中指定KeyStore和TrustStore,后面的例子中将告诉你如何实现这一点。同时在例子中还会演示如何配置多个SSLSocketFactory对象,其中每个SSLSocketFactory对象对应不同的KeyStore和TrustStore设置。如果没有这种技术,在同一个虚拟机上的所有安全连接都只能使用同一个KeyStore和TrustStore。对于比较小的应用程序,这也许不会产生问题;但是对于那些比较大的应用程序来说,这绝对是一个严重的缺陷。 在下面的例子中,我们将使用CustomTrustStoreClient来动态定义KeyStore和TrustStore。首先让我们先运行一下CustomTrustStoreClient:
为什么运行CustomTrustStoreClient时不需要指定KeyStore和TrustStore参数呢?这是应为在CustomTrustStoreClient的代码中指定了KeyStore(ClientKeys)和TrustStore(ClientTruts)以及它们的密钥(password)。如果你想使用其他的KeyStore、 TrustStore或密钥,可以使用-ks、-kspass、-ts和-tspass参数来指定。下面让我们来看一下CustomTrustStoreClient的getSSLSocketFactory()方法。该方法通过调用getTrustManager()方法获得一个TurstManager对象数组,通过调用getKeyManagers()方法获得一个KeyManager对象数组。然后利用得到的TurstManager和KeyManager对象数组构造一个SSLContext对象,最后通过SSLContext对象的getSocketFactory()方法来配置JSSE。需要注意的是在调用SSLContext类的init()方法时使用的参数。第一个参数是KeyManager对象数组。第二个参数和第一个参数类似,是TrustManager数组。如果前两个参数被设定为null,程序将使用缺省的KeyManager和TrustStore(缺省的KeyStore来源于系统属性中的javax.net.ssl.keyStore和javax.net.ssl.keyStorePassword属性;缺省的TrustStore来源于系统属性中的javax.net.ssl.trustStore和javax.net.ssl.trustStorePassword属性)。通过设定第三个参数可以指定JSSE中的随机数产生器(Random Number Generate, RNG)。由于在SSL中随机数的产生是一个很敏感的问题,错误使用这个参数会导致安全连接变得不安全,因此我在例子中使用了null。这样程序将使用缺省的并且是安全的SecureRandom对象。
下面让我们看一看CustomKeyStoreClient类中的getKeyMangers()方法是如何初始化KeyManagers对象数组的:
首先的任务是获得一个KeyManagerFactory对象,但是你必须知道应该使用哪种算法。JSSE中提供了一个缺省的KeyManagerFactory算法(程序员也可以通过指定ssl.KeyManagerFacotory.algorithm属性指定缺省算法)。获得KeyManagerFactory对象后就可以加载KeyStore文件了,程序中通过一个InputStream对象将信息从文件送入KeyStore对象中。在这个过程之前,KeyStore对象需要知道输入流的格式(例子中我使用的是jks)和密钥。当我们完成了KeyStore的加载后,我们就可以用它来初始化KeyManagerFactory对象了。通常在JSSE中,在KeyStore中的所有证书使用和KeyStore相同的密码,但是通过创建KeyManagerFactory对象你可以突破这个限制。在初始化了KeyManagerFactory对象后,通常使用getKeyManager()方法来获得KeyManager对象数组。程序员通过使用和getKeyMangers()方法类似的流程来初始化TrustManager数组,这里我就不再重复了。
到目前为止,我们已经知道如何在程序中动态生成KeyStore和TrustStore了。最后一个例子将告诉你如何实现一个KeyManager类。 当运行前几个例子的时候,不知道大家是否注意到服务器端显示的授权的标识名称。在前面我们授权给了两个人:Alice和Bob,在运行程序时JSSE会从中任选一个。在我的计算机上JSSE选择的总是Bob,或许在你的计算机上情况会有所不同。下面让我们来看一看最后一个例子程序:SelectAliasClient。这个例子使你能够在运行客户端时使用指定的授权。例如你需要指定使用Alice的授权,由于Alice的别名是alice,你需要在命令窗口中键入下面的命令:
当客户端和服务器端成功连接后,客户器端会出现下面的信息:
为了使程序使用指定的授权,我们需要实现X509KeyManager接口(X509KeyManager是JSSE中最常用的KeyManager)。X509KeyManager接口在SSL握手阶段使用了几个方法来获得授权。下面是X509KeyManager接口获得授权的过程: 1.JSSE调用chooseClientAlias()方法获得指定的授权。 2.chooseClientAlias()方法调用X509KeyManager接口的getClientAlaises()方法获得SSLSocket对象使用的所有授权的别名,然后检查指定的授权别名是否有效。 3.JSSE将别名作为参数调用X509KeyManager接口的getCertificateChain()和getPrivateKey()方法,这样就获得了指定授权的相关信息。 在例子程序中,X509KeyManager接口的实现类是AliasForcingKeyManager。在该类中最重要的方法就是就是chooseClientAlias()方法。下面是该方法的源代码:
我们可以看到在程序中,chooserClientAlias()方法实际上多次调用了getClientAliases()方法,每次都针对不同的授权类型。AliasForingKeyManager还实现了X509KeyManager接口的其他五个方法,在这里就不再一一赘述了。 然后我们就可以在程序中用AliasForingKeyManager对象来替代KeyManager对象了。在getSSLSocketFactory()方法中,我们只需要将通过调用getKeyManagers()方法获得KeyManager对象数组,然后将其强制转化为AliasForcingKeyManager对象就可以了。下面是新的getSSLSocketFactory()方法的代码:
我们可以使用同样的方法来替换TrustManager对象,这样我们就可以控制JSSE验证授权的机制。具体的实现就留给读者朋友去解决了。
在这篇文章中,我们讲述了使用JSSE的一些小技巧。读完这篇文章后,我相信大家因该知道如何通过编程实现下面的任务: · 使用HandshagCompletedListerner对象来获得关于连接的信息。 · 从SSLContext对象中获得一个SLLSocketFactory对象。 · 使用动态的TrustStroe或KeyStore。 · 突破在JSSE中KeySotre的密钥的每个授权的密钥必须相同的限制。 · 通过实现自己的KeyManager类来指定JSSE使用的授权。 如果大家有兴趣的话,还可以进一步将这些技术进行扩展。例如你可以在JSSE的其他类中使用X509KeyManager接口,也可以在TrustStore和KeyStore的实现类中从数据库中读取授权信息。但是在使用自己编写的TrustStore,KeyStore,TrustManager和KeyManager的时候,需要非常小心,因为任何一个细微的错误都可能导致SSL连接不再是安全的了。 作者简介:冯睿毕业于美国北伊利诺大学计算机和电气工程系,获工程硕士学位。曾就职于NewMonics公司,进行Java虚拟机部分包的设计和开发和Java底层的性能优化工作。目前负责一些政府和企业级GIS系统的设计和实现。 (Sunny) |