SSL socket 通信

最新推荐文章于 2022-06-27 10:33:54 发布
最新推荐文章于 2022-06-27 10:33:54 发布
阅读量205 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/trustnature/article/details/93036796
版权

本文通过构造一个简单的SSL Server和SSL Client来讲解Java环境下SSL的通信原理。

编写服务器端的代码,与普通的Socket代码不同,我们需要在程序中导入证书,并使用该证书构造SSLSocket。需要的说明的是:

   

    KeyStore ks=KeyStore.getInstance("JKS");

   

    访问Java密钥库,JKSkeytool创建的Java密钥库,保存密钥。

   

    KeyManagerFactory kmf=KeyManagerFactory.getInstance("SunX509");

   

    创建用于管理JKS密钥库的X.509密钥管理器。

   

    SSLContext sslContext=SSLContext.getInstance("SSLv3");

   

    构造SSL环境,指定SSL版本为3.0,也可以使用TLSv1,但是SSLv3更加常用。

   

    sslContext.init(kmf.getKeyManagers(),null,null);

   

    初始化SSL环境。第二个参数是告诉JSSE使用的可信任证书的来源,设置为null是从javax.net.ssl.trustStore中获得证书。 第三个参数是JSSE生成的随机数,这个参数将影响系统的安全性,设置为null是个好选择,可以保证JSSE的安全性。

import java.io.BufferedReader;   
import java.io.FileInputStream;   
import java.io.IOException;   
import java.io.InputStreamReader;   
import java.io.PrintWriter;   
import java.net.ServerSocket;   
import java.net.Socket;   
import java.security.KeyStore;   
  
import javax.net.ServerSocketFactory;   
import javax.net.ssl.KeyManagerFactory;   
import javax.net.ssl.SSLContext;   
import javax.net.ssl.SSLServerSocket;   
  
public class SSLServer extends Thread {   
    private Socket socket;   
  
    public SSLServer(Socket socket) {   
        this.socket = socket;   
    }   
  
    public void run() {   
        try {   
            BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));   
            PrintWriter writer = new PrintWriter(socket.getOutputStream());   
  
            String data = reader.readLine();   
            writer.println(data);   
            writer.close();   
            socket.close();   
        } catch (IOException e) {   
  
        }   
    }   
  
    private static String SERVER_KEY_STORE = "D:/certificate/ceshi/server/zserver.keystore";   
    private static String SERVER_KEY_STORE_PASSWORD = "123456";   
  
    public static void main(String[] args) throws Exception {   
        System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);   
        SSLContext context = SSLContext.getInstance("SSLv3");   
           
        KeyStore ks = KeyStore.getInstance("jks");   
        ks.load(new FileInputStream(SERVER_KEY_STORE), null);   
        KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");   
        kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());   
           
        context.init(kf.getKeyManagers(), null, null);   
  
        ServerSocketFactory factory = context.getServerSocketFactory();   
        ServerSocket _socket = factory.createServerSocket(8443);   
        ((SSLServerSocket) _socket).setNeedClientAuth(false);   
  
        while (true) {   
            new SSLServer(_socket.accept()).start();   
        }   
    }   
}

 服务端很简单:侦听8080端口,并把客户端发来的字符串返回去。我们需要为客户端创建一个保存所有信任证书的仓库,然后把服务端证书导进这个仓库。这样,当客户端连接服务端时,会发现服务端的证书在自己的信任列表中,就可以正常通信了。 下面是客户端的代码:

import java.io.BufferedReader;   
import java.io.InputStreamReader;   
import java.io.PrintWriter;   
import java.net.Socket;   
  
import javax.net.SocketFactory;   
import javax.net.ssl.SSLSocketFactory;   
  
public class SSLClient {   
  
    private static String CLIENT_KEY_STORE = "D:/certificate/ceshi/client/zclient.keystore";   
  
    public static void main(String[] args) throws Exception {   
        // Set the key store to use for validating the server cert.   
        System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);   
        System.setProperty("javax.net.ssl.trustStorePassword","123456"); 
  
        System.setProperty("javax.net.debug", "ssl,handshake");   
  
        SSLClient client = new SSLClient();   
        Socket s = client.clientWithoutCert();   
  
        PrintWriter writer = new PrintWriter(s.getOutputStream());   
        BufferedReader reader = new BufferedReader(new InputStreamReader(s   
                .getInputStream()));   
        writer.println("hello");   
        writer.flush();   
        System.out.println(reader.readLine());   
        s.close();   
    }   
  
    private Socket clientWithoutCert() throws Exception {   
        SocketFactory sf = SSLSocketFactory.getDefault();   
        Socket s = sf.createSocket("localhost", 8443);   
        return s;   
    }   
}

 以上便是Java环境下SSL单向握手的全过程。因为我们在客户端设置了日志输出级别为DEBUG:

因此我们可以看到SSL通信的全过程,这些日志可以帮助我们更具体地了解通过SSL协议建立网络连接时的全过程。

结合日志,我们来看一下SSL双向认证的全过程:



第一步: 客户端发送ClientHello消息,发起SSL连接请求,告诉服务器自己支持的SSL选项(加密方式等)。

  1. *** ClientHello, TLSv1  



第二步: 服务器响应请求,回复ServerHello消息,和客户端确认SSL加密方式:

  1. *** ServerHello, TLSv1  



第三步: 服务端向客户端发布自己的公钥。

第四步: 客户端与服务端的协通沟通完毕,服务端发送ServerHelloDone消息:

  1. *** ServerHelloDone  



第五步: 客户端使用服务端给予的公钥,创建会话用密钥(SSL证书认证完成后,为了提高性能,所有的信息交互就可能会使用对称加密算法),并通过ClientKeyExchange消息发给服务器:

  1. *** ClientKeyExchange, RSA PreMasterSecret, TLSv1  



第六步: 客户端通知服务器改变加密算法,通过ChangeCipherSpec消息发给服务端:

  1. main, WRITE: TLSv1 Change Cipher Spec, length = 1  



第七步: 客户端发送Finished消息,告知服务器请检查加密算法的变更请求:

  1. *** Finished  



第八步:服务端确认算法变更,返回ChangeCipherSpec消息

  1. main, READ: TLSv1 Change Cipher Spec, length = 1  



第九步:服务端发送Finished消息,加密算法生效:

  1. *** Finished  



那么如何让服务端也认证客户端的身份,即双向握手呢?其实很简单,在服务端代码中,把这一行:

  1. ((SSLServerSocket) _socket).setNeedClientAuth(false);  

改成:

((SSLServerSocket) _socket).setNeedClientAuth(true); 

就可以了。但是,同样的道理,现在服务端并没有信任客户端的证书,因为客户端的证书也是自己生成的。所以,对于服务端,需要做同样的工作:把客户端的证书导出来,并导入到服务端的证书仓库:完成了证书的导入,还要在客户端需要加入一段代码,用于在连接时,客户端向服务端出示自己的证书:

import java.io.BufferedReader;   
import java.io.FileInputStream;   
import java.io.InputStreamReader;   
import java.io.PrintWriter;   
import java.net.Socket;   
import java.security.KeyStore;   
import javax.net.SocketFactory;   
import javax.net.ssl.KeyManagerFactory;   
import javax.net.ssl.SSLContext;   
import javax.net.ssl.SSLSocketFactory;   
  
public class SSLClient {   
    private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";   
    private static String CLIENT_KEY_STORE_PASSWORD = "456456";   
       
    public static void main(String[] args) throws Exception {   
        // Set the key store to use for validating the server cert.   
        System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);   
        System.setProperty("javax.net.debug", "ssl,handshake");   
        SSLClient client = new SSLClient();   
        Socket s = client.clientWithCert();   
           
        PrintWriter writer = new PrintWriter(s.getOutputStream());   
        BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));   
        writer.println("hello");   
        writer.flush();   
        System.out.println(reader.readLine());   
        s.close();   
    }   
  
    private Socket clientWithoutCert() throws Exception {   
        SocketFactory sf = SSLSocketFactory.getDefault();   
        Socket s = sf.createSocket("localhost", 8443);   
        return s;   
    }   
  
    private Socket clientWithCert() throws Exception {   
        SSLContext context = SSLContext.getInstance("TLS");   
        KeyStore ks = KeyStore.getInstance("jceks");   
           
        ks.load(new FileInputStream(CLIENT_KEY_STORE), null);   
        KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");   
        kf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());   
        context.init(kf.getKeyManagers(), null, null);   
           
        SocketFactory factory = context.getSocketFactory();   
        Socket s = factory.createSocket("localhost", 8443);   
        return s;   
    }   
}

通过比对单向认证的日志输出,我们可以发现双向认证时,多出了服务端认证客户端证书的步骤:

    1. *** CertificateRequest   
    2. Cert Types: RSA, DSS   
    3. Cert Authorities:   
    4. <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>   
    5. <CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn>   
    6. *** ServerHelloDone 
  1. *** CertificateVerify   
  2. main, WRITE: TLSv1 Handshake, length = 134  
  3. main, WRITE: TLSv1 Change Cipher Spec, length = 1

@*** ServerHelloDone@ 之前,服务端向客户端发起了需要证书的请求 @*** CertificateRequest@ 。

在客户端向服务端发出 @Change Cipher Spec@ 请求之前,多了一步客户端证书认证的过程 @*** CertificateVerify@ 。

客户端与服务端互相认证证书的情景,可参考下图:

trustnature
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SSLSocket双向认证通信示例(含证书库及证书).zip
06-06
SSLSocket双向认证通信示例(含证书库及证书),自己编写的可使用的代码按钮,此代码中含将服务端证书及CA证书自动下载并导入到客户端证书库的功能。
sslsocket通信
chengyakun11的专栏
11-29 1669
SSLSocket通信是对SOCKET通信的的拓展。   在socket通信的基础上添加了一层安全性保护,提供了更高的安全性,包括身份验证、数据加密以及完整性验证。   其中身份验证用于数字证书的发放和应用。   数据加密可以防止消息传递过程中被别人监听而造成的损失,即使第三方监听到传递的消息,但是由于没有正确的密钥,其仍然无法得到正确的消息   完整性验证以防
SSLSocket 客户端、服务端通信
opi
04-22 9399
1.SSL安全套接层 SSL:(Secure Socket Layer) 安全套接层,于 1994 年由网景公司设计,并于 1995 年发布了 3.0 版本 TLS:(Transport Layer Security)传输层安全性协议,是 IETF 在 SSL3.0 的基础上设计的协议 这两种协议总体差别不大,实现的功能类似,以下都以SSL统称。 ssl处于网络层次中的会话层,位于传输层TC...
ssl socket加密传输
04-20
得用openssl生成私钥和证书文件。在socket编程时,加入ssl相关功能,达到工业级安全强度。
SSLSocket加密通讯
细雨纷飞~~~
11-08 2572
以使用C#实现 SSL Socket通讯是对socket的扩展,增加Socket通讯的数据安全性,SSL认证分为单向和双向认证。单向认证只认证服务器端的合法性而不认证客户端的合法性。双向认证是同时认证服务端和客户端。下面我分别说说使用C#实现单向认证和双向认证的过程,并用代码实现。 一、 单向认证 第1步:准备一个数字证书,可以使用如下脚本生成 先进入到vs2005的命令行状态,即: 开...
SSLSocket通信Demo android版
09-03
本教程主要针对初学者,详细讲解如何在Android应用中实现SSLSocket通信,并通过Eclipse IDE进行DEMO演示。 首先,理解SSLSocket的基本原理。SSLSocket是在Socket基础上增加了一层加密机制,它通过握手协议、密钥...
SSLDemo安全Socket通信Demo
10-08
**SSLDemo安全Socket通信Demo**是一个用于演示如何在C#编程环境中实现基于Socket的安全通信的应用程序。这个Demo深入展示了网络安全的重要概念,如数字签名、SSL(Secure Socket Layer)协议、非对称加密和对称加密...
利用C#实现SSLSocket加密通讯的方法详解
08-18
「C#实现SSLSocket加密通讯方法详解」 在网络通讯中,安全性是一个非常重要的方面,而SSL/TLS协议则是最常用的加密通讯协议之一。C#作为一个强大的编程语言,可以轻松地实现SSL/TLS协议的加密通讯。下面将详细介绍...
易语言SSL_Socket通信模块源码
05-27
《易语言SSL_Socket通信模块源码解析与应用》 在信息技术日新月异的今天,网络通信的安全性越来越受到重视。SSL(Secure Sockets Layer)协议作为网络安全传输的重要手段,广泛应用于各种网络服务中。易语言,作为...
qt sslsocket 加密通信
最新发布
03-13
Qt库提供了一种强大的解决方案,即使用QSslSocket进行SSL/TLS加密通信SSL(Secure Sockets Layer)和其后继者TLS(Transport Layer Security)是互联网上广泛使用的协议,用于在客户端和服务器之间建立安全的连接...
SSL socket 通讯详解
lucasma的博客
05-04 2万+
转载请注明出处 http://blog.csdn.net/pony_maggie/article/details/51315824 作者:小马 最近刚弄完一个ssl socket通讯,整理个笔记。 SSL原理 比如 A要和B互相通讯,为了安全他们希望双方发送的数据都是经过加密的。这就要求双方有一个共同的加解密密钥(一般加密都是基于对称加密算法)。如何才能让双方都拥有同一个密钥呢?有人...
https双向认证Socket版本---实践篇
weixin_44435894的博客
04-09 5612
Python-Https-Client-Socket版本.py import socket import ssl class client_ssl: def send_hello(self, ): CA_FILE = "E:/python-TLS/TLStest证书/CA/ca.pem" KEY_FILE = "E:/python-TLS/TLStest证书/client/client.key" CERT_FILE = "E:/python-TLS/
Python SSL操作手册
一个的博客
06-27 6078
此模块提供对 Client 端和服务器端网络套接字的传输层安全性(通常称为“安全套接字层”)加密和对等身份验证Function的访问。该模块使用 OpenSSL 库。只要在该平台上安装了 OpenSSL,它就可以在所有现代 Unix 系统,Windows,Mac OS X 以及可能的其他平台上使用。由于对 os 套接字 API 进行了调用,因此某些行为可能取决于平台。安装的 OpenSSL 版本也可能导致行为变化。例如,TLSv1.1 和 TLSv1.2 随附 openssl 版本 1.0.1.请勿在未阅读
如何解决SSL/TLS握手过程中失败的错误?
热门推荐
流风回雪的博客
02-17 3万+
How to fix the SSL/TLS Handshake Failed error Fixes for the SSL/TLS Handshake Failed error for both internet users and site owners It’s time for another technical article, today we’re going to di...
Cannot establish TLS with client: TlsException("SSL handshake error")
学海无涯
12-13 1万+
mitmproxy &amp; python - ignore all hosts with https/ssl PC端安装mitmproxy,生成证书,并在手机端安装android证书,然后设置手机ip代理,仍然报错,错误如下图 找了两天终于在stackoverflow找到了解决办法。转载自&gt; https://stackoverflow.com/questions/53309111/mi...
HTTPS相关总结(内有SSL四次握手连接的详细过程)
zzd的博客
04-12 1187
https的两个作用:1、加密HTTP传输的数据,确保安全性。2、确保访问网站的真实性(CA证书)。 HTTPS = HTTP+ 加密 + 认证 + 完整性保护 HTTPS 并非是应用层的一种新协议。 只是 HTTP 通信接口部分用SSL(Secure Socket Layer) 和 TLS(Transport Layer Security) 协议代替而已; 通常, HTTP 直接和 TCP 通信。 当使用 SSL时, 则演变成先和 SSL通信, 再由 SSL和 TCP 通信了。 简言之, 所谓HTT
SSL/TLS连接建立过程
weixin_38343070的博客
11-27 7504
分析SSL/TLS连接建立过程 1、基本概念    SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。    TLS:(...
网络编程三:SSLSocket通信
oyy的博客
12-21 2679
SSLSocket通信
python ssl socket聊天程序
12-31
Python SSL Socket聊天程序是基于Python中的ssl模块和socket模块实现的一种安全的网络通信方式。 首先,需要导入socketssl模块,并创建一个ssl socket对象。通过ssl socket的connect方法,可以连接到指定的服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值