使用ssl/tls 看如何查看java 网络安全传输

最新推荐文章于 2022-06-04 15:46:11 发布
最新推荐文章于 2022-06-04 15:46:11 发布
阅读量688 收藏
点赞数
分类专栏: java 标准 SSL/TLS 文章标签: java 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dickzhu/article/details/84881990
版权
http://blog.csdn.net/dave_luo/article/details/5746545 



 在前文中,我们通过实例了解了使用java加密的一些技术,它们各自具有一些优缺点,由于它们的一些局限性,在网络传输中,需要综合使用这些技术来保证高强度的传输安全性。本单元将讨论SSL/TLS,并用jdk中的JSSE(Java Secure Socket Extension)包编写一些简单实例,最后会用wireshark工具来分析使用SSL/TLS进行通信的工作流程。

     SSL

      SSL由Netscape提出,在经历了3个版本之后,由IETF将其标准化,成为TLS,在rfc2246中,详细描述了该协议的目标、作用和细节。SSL/TLS在整个tcp/ip协议栈中的位置如图1所示:

                         图1 SSL/TLS在tcp/ip协议栈中的位置





      正如图1所描绘的,SSL/TLS由两层协议组成,Record Protocol将需要传输的消息分解成易于管理的小块,可选择性的压缩这些小块数据,附加上它们的MAC值,然后加密这些数据,最后传递给传输层协议去处理(如图2所示);接收数据的时候,则进行相反的操作:解密数据,用MAC值进行验证,解压,然后重新组装成完整消息传递给上层协议处理。

                                      图2 SSL封包过程





      Record Protocol也是分层协议,它会对需要传输的消息附加上消息头用于描述协议相关信息,我们也可以从图2中看到这些消息头字段,Type表示封装的record类型,在TLSv1中,有4个类型:change_cipher_spec(通告对端进入加密模式)、alert(发出报警消息)、handshake(建立安全连接)、application_data(应用层数据);Version标识了所使用的SSL版本,对于TLSv1来说,主版本号为3,小版本号为1,3.1这个版本号有一定的历史原因,因为TLSv1是在SSLv3基础上制定的,差距甚微,所以只能算3.0版本的一个修订版;Length标识了数据部分的长度,每次压缩、加密、计算数字摘要之后都要重新填入处理后的数据长度;Data表示需要传递的消息,当Type不同时,这些数据可能是应用层协议产生的消息,也可能是Handshake Protocol、Change Cipher Spec Protocol和Alert Protocol产生的消息;MAC标识了record的数字签名,它被用来检测record的完整性。

      Handshake Protocol被用来在实际的传输之前,对通讯的双方进行身份验证,协商加密算法,用Change Cipher Spec Protocol通知对端进入对称加密模式,而Alter Protocol则用来向通讯的另一方发出警告消息,比如close_notify、bad_record_mac等。

接下来我们先看一个实际的例子,对SSL协议建立一个直观的印象,然后再讨论它的工作流程。

      JSSE示例

      我们的示例使用这样的场景:SSLServer在8266端口侦听SSLClient的连接,SSLClient向SSLServer发起连接请求,并要求验证SSLServer的身份合法性,建立连接之后,向SSLServer发一条消息”Hello World”,SSLServer接收到消息后打印屏幕上。由于SSL用公钥加密的技术来建立连接,用数字证书来验证对端身份合法性,因此在编写实例之前,我们先用keytool为Server和Client创建两对密钥,并将Server的数字证书导入到Client的受信密钥库中。

      # 为Server创建证书和密钥库  

keytool -genkey -alias server -keysize 512 -keyalg RSA -dname "CN=znest.cn,OU=Security,O=Znest,L=C,ST=H,C=CN" -keypass 123456 -storepass 123456 -keystore server.ks  

# 为Client创建证书和密钥库  

keytool -genkey -alias client -keysize 512 -keyalg RSA -dname "C=CN" -keypass 123456 -storepass 123456 -keystore client.ks  

# 导出Server的证书  

keytool -export -trustcacerts -alias server -keystore server.ks -storepass 123456 -file server_cert  

# 将Server的证书导入到Client的密钥库  

keytool -import -trustcacerts -alias server -keystore client.ks -storepass 123456 -file server_cert 





      接下来编写SSLServer.java:


import java.io.BufferedReader;  
import java.io.FileInputStream;  
import java.io.IOException;  
import java.io.InputStreamReader; 
import java.io.UnsupportedEncodingException;  
import java.security.KeyStore;  
import java.security.SecureRandom;  
import javax.net.ssl.KeyManager;  
import javax.net.ssl.KeyManagerFactory;  
import javax.net.ssl.SSLContext;  
import javax.net.ssl.SSLServerSocket;  
import javax.net.ssl.SSLServerSocketFactory;  
import javax.net.ssl.SSLSocket;  
import javax.net.ssl.TrustManager;  
import javax.net.ssl.TrustManagerFactory;  

public class SSLServer {  
    private static final int port = 8266;  
    private static final String keyStore = "server.ks";  
    private static final String trustStore = "server.ks";  
    private static final String keyStoreType = "jks";  
    private static final String trustStoreType = "jks";  
    private static final String keyStorePassword = "123456";  
    private static final String trustStorePassword = "123456";  
    private static final String secureRandomAlgorithm = "SHA1PRNG";  
    private static final String protocol = "TLSv1";  

    private static KeyManager[] createKeyManagersAsArray() throws Exception {  
        KeyStore ks = KeyStore.getInstance(keyStoreType);  
        ks.load(new FileInputStream(keyStore), keyStorePassword.toCharArray());  
        KeyManagerFactory tmf = KeyManagerFactory.getInstance(KeyManagerFactory  
            .getDefaultAlgorithm());  
        tmf.init(ks, keyStorePassword.toCharArray());  
        return tmf.getKeyManagers();  
    }  

    private static TrustManager[] createTrustManagersAsArray() throws Exception {  
        KeyStore ks = KeyStore.getInstance(trustStoreType);  
        ks.load(new FileInputStream(trustStore), trustStorePassword  
            .toCharArray()); 
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());  
        tmf.init(ks);  
        return tmf.getTrustManagers();  
    }  

    private static SSLServerSocket getServerSocket(int thePort) {  
        SSLServerSocket socket = null;  
        try {  
            SSLContext sslContext = SSLContext.getInstance(protocol);  
            sslContext.init(createKeyManagersAsArray(),  
                createTrustManagersAsArray(), SecureRandom  
                    .getInstance(secureRandomAlgorithm));     
            SSLServerSocketFactory factory = sslContext  
                .getServerSocketFactory();  
            socket = (SSLServerSocket) factory.createServerSocket(thePort);  
            //socket.setNeedClientAuth(true);  
        } catch (Exception e) {  
            System.out.println(e);  
        }  
        return (socket);  
    } 

    public static void main(String args[]) throws IOException {  
        SSLServerSocket server = getServerSocket(port);  
        System.out.println("在" + port + "端口等待连接...");  
        while (true) {  
            final SSLSocket socket = (SSLSocket) server.accept();  
             new Thread(new Runnable() {  
                public void run() {  
                    BufferedReader in;  
                    try {  
                        in = new BufferedReader(new InputStreamReader(socket  
                            .getInputStream(), "gb2312"));  
                        String msg = in.readLine();  
                        System.out.println(msg);  
                        socket.close();  
                    } catch (UnsupportedEncodingException e) {  
                        e.printStackTrace();  
                    } catch (IOException e) {  
                        e.printStackTrace();  
                    }  
                }  
            }).start();  
        }  
    }  
} 




以及SSLClient.java:

import java.io.PrintWriter;  
import java.net.Socket; 
import javax.net.ssl.SSLSocketFactory;

public class SSLClient {  
    private static String addr = "192.168.80.86";   

    public static void main(String args[]) {
        try {  
            System.setProperty("javax.net.ssl.keyStore", "client.ks"); 
            System.setProperty("javax.net.ssl.keyStorePassword", "123456");
            System.setProperty("javax.net.ssl.keyStoreType", "jks");  
            System.setProperty("javax.net.ssl.trustStore", "client.ks");  
            System.setProperty("javax.net.ssl.trustStorePassword", "123456");  
            System.setProperty("javax.net.ssl.trustStoreType", "jks");  
            SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory  
                .getDefault();  
            Socket socket = factory.createSocket(addr, 8266);  
            PrintWriter out = new PrintWriter(socket.getOutputStream(), true);  
            out.println("hello world!");  
            out.close();  
            socket.close();  
        } catch (Exception e) {  
            System.out.println(e);  
        }  
    }  
} 




      SSLContext扮演着创建SSL套接字工厂和一些其他SSL部件的角色,上面这两段代码展示了两种初始化SSLContext的方法,初始化SSLContext之后,生成SSLSocketFactory,之后的编程就和普通的socket编程没有什么区别了。为了保证运行,需要将编译后生成的SSLServer.class和server.ks放在同一目录下,将编译后生成的SSLClient.class和client.ks放在同一目录下,以便SSLContext能够从密钥库读取密钥和证书。

      SSL协议分析

      我们在192.168.80.86机器上打开wireshark监听流经该网卡的所有数据包,同时将SSLServer.class和server.ks放在这台机器上,然后执行下面的命令运行服务端程序准备接受客户端的连接请求。

java -cp . SSLServer 



将SSLClient.class和client.ks放在192.168.80.160机器上,执行下面的命令连接服务端。



java -cp . SSLClient 

      当客户端发出的”Hello World!”在服务端的屏幕上显示之后,wireshark将记录SSL的整个连接和停止过程。为了让wireshark能够解码ssl消息头,还需要在菜单“Analyze->Decode as…”设置解码类型,如图3所示。设置完毕后,wireshark将解析出tlsv1的数据包,如图4所示。

                                 图3 设置wireshark解码类型





                            图4 wireshark主界面





1-3行 三次握手建立tcp连接。

4行 客户端向服务端发送Client Hello,这个信息中包括它所支持的加密算法和用于生成密钥的随机数。

5行 服务端向客户端发送三条消息:(1)Server Hello包含了服务端所选择的算法(2)Certificate包含了用于验证服务器身份的证书或者证书链(3)Server Hello Done表示服务端完成了最初的加密算法协商步骤。

6行 由于服务端不需要验证客户端,因此客户端验证完服务端的身份之后,抽取服务器证书中的公钥,用这把公钥将它产生的用于之后数据交换时加密的密钥用非对称加密技术加密,并发送给服务端。

8行 客户端向服务端发送了两条消息:(1)Change cipher spec通知服务端进入对称加密模式(2)Finished通知服务端已经准备好加密传输数据了。

9行 服务端向客户端发送Change cipher spec通知客户端进入对称加密模式

11行 服务端向客户端发送Finished通知客户端已经准备好加密传输数据。

12行 客户端和服务端用对称加密算法和客户端生成的密钥加密传输应用层的数据。

13-15行 通告关闭连接

16行 客户端发送RST包关闭连接

这个过程正好和JSSE参考文档中的图一致:


     小结

      本文讨论了SSL/TLS,并用JSSE编写了一个示例。SSL/TLS使用数字证书来验证通信双方的合法性,使用非对称加密技术来协商数据传输的密钥,使用数字摘要来验证握手过程中消息的完整性,使用对称加密技术来传输数据,因此要完全掌握这个协议,需要对加密技术有深入了解。当然,对于大多数程序员来说,只需要简单的了解一下这些东西,熟悉JSSE,就能编写出具备一定安全强度的通信软件。


杭州丹尼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java tls1.2_如何在Java中设置TLS1.2版本
weixin_33836042的博客
02-15 5969
环境细节:java version "1.7.0_40"Java(TM) SE Runtime Environment (build 1.7.0_40-b43)Java HotSpot(TM) 64-Bit Server VM (build 24.0-b56, mixed mode).我们正在使用jboss-4.2.3.GA和使用ejb的胖客户端.我们尝试通过以下方式设置TLS1.2版本:>...
SSL/TLS - 什么是SSL
u011225581的专栏
09-14 478
What is SSL? | SSL definition 什么是 SSL? | SSL 定义 Secure Sockets Layer (SSL) is a security protocol that provides privacy, authentication, and integrity to Internet communications. SSL eventually evolved into Transport Layer Security (TLS). 安全套接字层 (Secure
查询JDK默认支持的SSL/TSL版本
02-16 7698
public static void main(String[] args) throws Exception {           SSLContext context = SSLContext.getInstance("TLS");           context.init(null, null, null);              SSLSocketFactory fac...
Java 获取 JVM 支持的 TLS 版本
慈凯的技术博客
05-06 1078
JavaTLS 的支持 从 Java 7 开始支持 TLS 1.2。 获取 JVM 支持的 TLS 版本 /** * 获取 JVM 支持的 TLS 版本 * * @author cikai <cikai@foxmail.com> * @date 11/05/2020 */ public class TlsVersion { public static voi...
HTTPS安全通讯 5. Java 使用JSSE实现SSL/TLS安全协议
编程圈子-谢厂节的博客
07-31 768
一、简介 JSSE包含了实现Internet安全通信的一系列包的集合,是SSLTLS的纯Java实现。用JSSE可以像使用普通的套接字一样使用安全套接字。 1. 一些概念 1.1.1 证书产生方式 证书会描述所有者的一些基本信息,如公司名称、联系人等。证书由所有人以密码形式签名。获取方式一般两个: 权威机构购买证书 自己用JDK的keytool创建自我签名的证书。这种情况下一般为了防止数据被篡改,身份认证不是主要目的。 1.1.2 密钥存储格式转换说明 1.1.3 keytool导入 pkcs#12
Java SSL/TLS 安全通讯协议介绍
wangshfa的专栏
06-14 2万+
原文:http://www.ibm.com/developerworks/cn/java/j-lo-ssltls/ Java安全通讯 刘 进, 高级软件工程师 , IBM 简介: 本文主要介绍了网络安全通讯协议 SSL/TLSJava 中关于安全通讯的实现部分。并通过一个简单的样例程序实现,来展示如何在 Java 平台上正确建立安全通讯。
JAVA实现的SSL/TLS双向认证源代码
02-02
总的来说,实现JavaSSL/TLS双向认证需要对网络安全JavaSSL/TLS API有深入的理解。通过`keytool`和`openssl`管理证书,以及在`TeslaSSLServer`和`TeslaSSLClient`中配置SSLContext,我们可以创建安全的双向认证...
Netty和SSL/TLS应用例子
12-22
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全传输层的重要协议,它们为网络通信提供了加密处理,确保了数据在网络中的安全传输。 本示例代码着重展示了如何在Netty中集成SSL/TLS,以...
基于SSL/TLS协议的FTP客户端和服务器端
06-15
SSL/TLS协议是网络安全领域的基石,主要用于保障网络数据传输安全性。它通过加密技术,使得数据在网络传输时以密文形式存在,防止中间人攻击。同时,它还提供了身份验证机制,确保通信双方的身份可信。 **Java...
Java安全SSL/TLS
云原生之家
06-14 3721
在前面所讲到的一些安全技术手段如:消息摘要、加解密算法、数字签名和数据证书等,一般都不会由开发者直接地去使用,而是经过了一定的封装,甚至形成了某些安全协议,再暴露出一定的接口来供开发者使用。因为直接使用这些安全手段,对开发者的学习成本太高,需要深入了解底层实现才行,而直接使用封装后暴露出来的接口就容易多了。 在这些封装与协议的背后,很多都使用到了SSL/TSL协议,其中最常见的HTTP
TLS 版本查询
天泽岁月
06-04 1万+
TLS查询
java ssl调试打开ssl debug日志
kevin的博客
11-27 1万+
添加jvm 参数 -Djavax.net.debug=ssl 或者 -Djavax.net.debug=all all turn on all debugging ssl turn on ssl debugging The following can be used with ssl: record enable per-...
使用JDK 13查看TLS配置
最佳 Java 编程
06-12 846
JDK 13 Early Access Build 16现在可用,它带来的有趣的功能之一是能够使keytool命令行工具显示当前系统的TLS配置信息 。 这比尝试在单独的文档中查找受支持的TLS信息并使该信息与某个人的JDK供应商和版本容易得多。 要查看JDK 13 Early Access Build 16的TLS配置详细信息,只需在命令行中输入keytool -showinfo -t...
java 查看ssl log
weixin_30262255的博客
06-17 438
java -Djavax.net.debug=help MyApp Here are the current options: all turn on all debugging ssl turn on ssl debugging The following can be used with ssl: ...
关于ssl或者tls的问题,还有验证当前是否支持tls某个版本
业精于勤荒于嬉;行成于思,毁于随。
06-06 1万+
jdk1.6暂不支持tlsv1.2 jdk1.7才支持tlsv1.2 jdk1.7 搜索关键字tlsv 发现有1.2 http://docs.oracle.com/javase/7/docs/technotes/guides/security/StandardNames.html#SSLContext jdk1.6搜索关键字tlsv 发现没有1.2也即不支持。 http://docs.o
ssl双向认证_一篇文章讲述清楚SSL握手协议详细流程
weixin_39595085的博客
11-30 506
概述SSL(Secure Socket Layer)安全套接字协议是运行在应用层和TCP层之间的安全机制。保证上层应用数据传输的保密性、完整性以及传输双发身份的合法性。传输加密性:握手协议定义会话密钥后,所有传输的报文被会话密钥加密。消息的完整性:传输的报文中增加MAC(消息认证码),用于检测完整性。身份验证:客户端认证(可选),服务端认证(强制)SSL协议包括:握手协议(Handshake pr...
如何查看openssl版本号
热门推荐
坚持初心,方得始终
07-12 12万+
注意,以下为centos6.8下 使用如下命令: openssl version 或者 openssl version -a
保障Web安全:详解并部署SSL/TLS与PKI的最佳实践
这本书深入探讨了SSL/TLS(Secure Sockets Layer/Transport Layer Security)及其公共密钥基础设施(Public Key Infrastructure, PKI)在确保网络安全中的关键作用。作者提供了详尽的教程,从基础知识开始,涵盖了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值