Java读取硬件USBKey(简称UKEY)中的SSL证书信息,创建双向SSL认证上下文环境

最新推荐文章于 2024-05-09 14:52:47 发布
最新推荐文章于 2024-05-09 14:52:47 发布
阅读量4k 收藏 9
点赞数
文章标签: java 开发工具
原文链接:https://my.oschina.net/jsan/blog/647443
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

最近项目中遇到了这样的需求,故记录下来,希望可以帮到需要的人O(∩_∩)O~

以下以 Linux 环境为基础:

读取硬件 UKEY 的SSL证书信息,需要硬件厂商提供:UKEY型号名称驱动文件(类似pkcs11.so)。

直接上代码段示例:

// 厂商提供的UKEY型号名称
static final String UKEY_PROVIDER = "xxx";

// UKEY驱动lib库文件
static final String UKEY_LIB = "/usr/local/lib/xx pkcs11.so";

// UKEY的PIN码
static final Strign UKEY_PIN = "123456";

// 1. 通过上面的UKEY硬件信息创建 java.security.Provider
static void initProvider() 
{
	// 固定格式的配置信息
	// 例如:cfg = "name = OpenSC\n"
        //          	+ "library = /usr/lib/opensc-pkcs11.so\n";
	String ukeyCfg = "name = %s\nlibrary = %s\n";
	ukeyCfg = String.format(ukeyCfg, UKEY_PROVIDER, UKEY_LIB);

	// 方式1
	//java.security.Provider provider = new sun.security.pkcs11.SunPKCS11(new ByteArrayInputStream(ukeyCfg.getBytes("UTF-8")));

	// 方式2
	Class sunPkcs11 = Class.forName("sun.security.pkcs11.SunPKCS11");
	Constructor pkcs11Constr = sunPkcs11.getConstructor(InputStream.class);
	java.security.Provider provider = (Provider) pkcs11Constr.newInstance(new ByteArrayInputStream(ukeyCfg.getBytes("UTF-8")));

	// 加载 Provider
	Security.addProvider(provider);
}

// 2. 通过 PIN 码获取秘钥KeyStore
static KeyStore getKeyStore()
{
	// 可以通过上面创建的 Provider,生成来自指定提供者的KeyStore信息
	// KeyStore ks = KeyStore.getInstance("PKCS11", java.security.Provider);

	// 也可以这样省略 java.security.Provider 参数
	// 如果不指定 Provider,则从首选Provider开始遍历已经注册的安全提供者,
	// 找到第一个支持指定类型的Provider来生成 KeyStore
	KeyStore ks = KeyStore.getInstance("PKCS11");

	ks.load(null, UKEY_PIN.toCharArray());

	return ks;
}

/**
 * 3. 创建 HttpsConnection双向认证上下文环境
 *
 * @param keystore 步骤2中创建的 keystore
 * @param alias 证书别名,可以为空
 * @param pinPassword UKEY要求输入的PIN码
 */
static void loadSSLContext(KeyStore keystore, String alias, String pinPassword)
{

	// 实例化信任库,make a naive trust manager that does not check cert validity
	TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() {
		public java.security.cert.X509Certificate[] getAcceptedIssuers() {
			return null;
		}

		public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
			// ignore
		}

		public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
			// ignore
		}
	}};

	KeyManager[] managers;
	
	if(alias != null && alias.trim().length() > 0) 
	{
		managers = new KeyManager[] { new AliasKeyManager(keystore, alias, pinPassword) };
	} 
	else 
	{
		// 初始化密钥工厂 create a KeyManagerFactory from the keystore
		KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
		kmf.init(keystore, pinPassword.toCharArray());

		managers = kmf.getKeyManagers();
	}

	// 实例化SSL上下文 install the keymanager factory, and the trust manager
	SSLContext sc = SSLContext.getInstance("SSL");
	// 初始化SSL上下文
	sc.init(managers, trustAllCerts, new java.security.SecureRandom());

	HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
	// prevent checking the hostname for spoofing
	HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
		public boolean verify(String hostname, SSLSession session) {
			return true;
		}
	});

}

/**
 * 密钥管理器【KeyManager】中证书别名的处理
 */
static class AliasKeyManager implements X509KeyManager 
{
	private KeyStore _ks;
	private String _alias;
	private String _password;

	public AliasKeyManager(KeyStore ks, String alias, String password) {
		this._ks = ks;
		this._alias = alias;
		this._password = password;
	}

	public String chooseClientAlias(String[] str, Principal[] principal, Socket socket) {
		return this._alias;
	}

	public String chooseServerAlias(String str, Principal[] principal, Socket socket) {
		return this._alias;
	}

	public X509Certificate[] getCertificateChain(String alias) {
		try {
			return (X509Certificate[]) _ks.getCertificateChain(alias);
		} catch (Exception e) {
			e.printStackTrace();
			return null;
		}
	}

	public String[] getClientAliases(String str, Principal[] principal) {
		return new String[] { this._alias };
	}

	public PrivateKey getPrivateKey(String alias) {
		try {
			return (PrivateKey) this._ks.getKey(alias, this._password == null ? null : this._password.toCharArray());
		} catch (Exception e) {
			e.printStackTrace();
			return null;
		}
	}

	public String[] getServerAliases(String str, Principal[] principal) {
		return new String[] { this._alias };
	}
}


// 4. demo
static void test()
{
	HttpsURLConnection urlCon = (HttpsURLConnection) (new URL("https://your url")).openConnection();
	BufferedReader in = new BufferedReader(new InputStreamReader(urlCon.getInputStream()));
	String line = null;
	while ((line = in.readLine()) != null) 
	{
		System.out.println(line);
	}
	in.close();
}

// 可选:打印 KeyStore中的信息
private void printKeyStoreInfo(KeyStore keystore) 
{
	System.out.println("Provider : " + keystore.getProvider().getName());
	System.out.println("Type : " + keystore.getType());
	System.out.println("Size : " + keystore.size());

	Enumeration en = keystore.aliases();
	while (en.hasMoreElements()) {
		String alias = (String) en.nextElement();
		System.out.println("Alias: " + alias);

		X509Certificate cert = (X509Certificate) keystore.getCertificate(alias);
		System.out.println("Certificate: " + cert);

		PrivateKey privateKey = (PrivateKey) keystore.getKey(alias, null);
		System.out.println("Private key: " + privateKey);
	}
}

注:上面的只是核心代码段,实际使用需要进行调整。


转载于:https://my.oschina.net/jsan/blog/647443

weixin_34061482
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
USBKEY全解析---证书导入(java)
洋仔专栏
05-13 3823
网上找了一些例子,基本没有找到javaUSBKEY(俗称:U盾)导入证书和私钥的例子,方便集成和调用,例子如下: package org.liuy.pkcs11; import java.io.ByteArrayInputStream; import java.io.IOException; import java.math.BigInteger; import java.security.InvalidKeyException; import java.security.KeyPair; impor
如何将U盘改成“U-KEY”使用
04-21 6404
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
简单的U盘仿一个USB_KEy
04-05
简单的U盘仿一个USB_KEy,有数据库的访问,当用户插上u盘之后系统会自己动的登录
使用USB Key Utility工具制作bootable USB Key
Eppley的博客
10-10 8021
制作U盘工具:操作方法参考以下操作步骤(1~8) http://h20566.www2.hpe.com/hpsc/swd/public/detail?swItemId=MTX_357c87ee9b054ad7a631d9eaba#tab-history 1、 下载并安装HP USB Key Utility 在HP官网下载HP USB Key Utility,双击安装 2、安装好后打开H...
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结_20220111_七侠镇莫尛貝
七侠镇莫小贝的同福客栈
12-03 4236
JAVA:JNA方式调用USBKey SKF接口实现SM2证书的PKCS1格式签名和验证 实验总结
https双向认证訪问管理后台,採用USBKEY进行系统訪问的身份鉴别,KEY证书长度大于128位,使用USBKEY登录...
weixin_33698043的博客
07-24 596
近期项目需求,须要实现用USBKEY识别用户登录,採用https双向认证訪问管理后台管理界面,期间碰到过一些小问题,写出来给大家參考下。 1:前期准备工作 USBKEY 硬件:我买的是飞天诚信 epass1000ND 若干个(一个USBKEY绑定一个用户。等同于我们的银行U盾识别一样) USBKEY开发资料:CDROM_CN\PKI,找到该开发文件夹...
基于springboot的Netty的SSL加密PKI认证通信
04-01
采用springboot的基于Netty的SSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证双向认证,信任证书链并对RA颁发的证书来进行验签,实现了双向和单向加密通信,保障了数据的...
https双向认证ukey管理软件
10-14
该软件的主要功能是管理UKeyUSB Key),这是一种硬件设备,通常用于存储用户的数字证书和私钥,以进行身份验证和加密通信。以下是对这个主题的详细解释: 1. **HTTPS双向认证**:HTTPS是一种安全的HTTP协议,通过...
明华usbkey数字证书驱动 v2.1.0.8 官方最新版
07-13
明华ukey驱动是一款非常实用的驱动程序,主要保障数字证书的安全性和隐秘性,用户可以非常便捷的进行网上的交易和认证了,欢迎有需要的朋友下载使用!官方介绍Uamp;Key是深圳明华澳汉科技股份有限公司推出的集Flash...
网上银行利用USBKey加密、认证的装置
11-23
本实用新型揭露的一种网上银行利用USBKey加密、认证的装置,包括:一个USBKey,具有唯一的序列号,用于存放识别客户身份的数字证书和私人密钥的数字证书,所述USBKey的序列号与客户信息相对应;一个联网计算机,具有...
UKey WEBAC基础方案和开发教程
08-11
Ukey WEBAC WebAC Web访问控制 Web Access Control ebAC=Web Access Control 不需要 ActiveX控件 一个UKey 支持多个系统的登录!
KEY_硬件原理图
04-25
KEY_硬件原理图,很详细的硬件图,各个接口清晰,部件标注到位。
深圳CA USBKey数字证书驱动程序 官方版
07-14
深圳CA USBKey数字证书驱动程序是一款驱动类软件,它可以有效保障您的信息安全和信息真实有效性,让您在使用时更方便更放心,欢迎有需要的朋友下载体验!官方介绍深圳CA USBKey数字证书驱动程序是一款深圳市地方税务...
网上交易安全之九阳神功-使用JAVA调用U盾进行客户认证的total solution
lifetragedy的专栏
09-09 7243
一、通过用户名和密码来进行认证的弊病        我们有一个网站,为了保证用户在线交易传输数据的安全性,我们会启用一个HTTPS/SSL: 但是,对于一些网上银行或者是网购来说,黑客特别喜欢攻击这样的网站, 有一种攻击手法叫MIMAT(间者攻击), 伪造SSL证书
CA、ukeyjava对接登录
最新发布
weixin_50481145的博客
05-09 841
7、提示用户需要输入pin码(pin码为ukey的密码,相当于用户身份的密码,只有ukey和Pin嘛同时在手里才能确定身份,大大提高了安全性,即使Pin码泄露,没有拿到ukey也无法登录,或者即使丢了ukey不知道Pin码同样不能登录)8、客户端使用Pin码对服务器返回的随机数进行签名,签名过程会验证Pin码的正确性,Pin码错误将无法进行签名,也就无法登录,Pin码正确后将会使用加密锁内部的私钥对随机数进行签名。9、Pin码验证正确并成功签名后,将用户信息和签名后的数据传到服务器。
SKF工具包 UKEY加解密 JAVA接口调用UKEY DLL/SO驱动
qq_35477525的博客
11-01 1299
最近公司需要开发基于UKEY方式的国密加解密,在网上找了一圈只找到唯一的龙脉科技的UEKY接口,也只有寥寥几个。经过一段时间的摸索终于写完测试通过。(使用了海泰方圆厂商提供的ukey,不管是哪个厂商,都是按照gj密码局要求的接口规范开发的,完全可以借鉴)实现了SM4加解密和SM2加解密以及疏通了UKEY提供的所有JAVA接口。源码有需要的请v lalawangzi1986, 有偿指导。
USBKEY全解析---证书生产(java)
洋仔专栏
05-16 1836
package org.liuy.bouncycastle; import java.io.ByteArrayOutputStream; import java.io.File; import java.io.FileOutputStream; import java.io.IOException; import java.math.BigInteger; import java.security.KeyPair; import java.security.KeyStore; import java...
Ukey双因素身份认证步骤 安当加密
www.andang.cn
06-22 3840
使用ukey进行身份认证域安全登录主要包括以下步骤:1、初始化ukey当用户使用ukey登录时,管理员需要对ukey进行初始化操作。根据国密标准,添加应用和容器用于存储密钥,导入RSA加密密钥对,然后将ukey发放给用户。密钥存储在ukey容器内,不能向外读出,以保证私密性,但是可以使用该私钥加密和签名。用户获取自己的ukey后就可以登录指定的平台。2、插件安装当用户第一次使用ukey进行登录时,需要通过间件调用ukey,因此需要安装特定的插件。3、用户注册用户安装插件之后进行登录时,需要向身份认证服务器
阿翔编程学-Ukey--USB 加密认证设备
曹翔
06-13 3986
Ukey的介绍Ukey--USB 加密认证设备 UKey 特点及安全特性 UKey 是一种通过 USB (通用串行总线接口)直接与计算机相连 具有密码验证功能 可靠高速的小型存 储设备 UKey 的设计小巧精致 携带方便 UKey 自身所具备的存贮器可以用来存储一些个人信息证书 UKey 的内部密码算法可以为数据传输提供安全的管道 UKey 是适用于单机或网络应用的安全防护产品 优越性 UK
C#读取ukey取得证书与图片的实例
05-09
以下是一个基本的 C# 示例,演示如何读取 USB 密钥并获取证书和图像: ```csharp using System; using System.Security.Cryptography.X509Certificates; using System.Drawing; using System.Drawing.Imaging; using System.Runtime.InteropServices; namespace UkeyTest { class Program { [DllImport("gclib.dll")] public static extern int GC_GetDllVersion(byte[] pVer); [DllImport("gclib.dll")] public static extern int GC_Init(int iType, int iPort, int iBaud); [DllImport("gclib.dll")] public static extern int GC_UnInit(); [DllImport("gclib.dll")] public static extern int GC_GetCardInfo(byte[] pCardInfo, int iInfoLen); static void Main(string[] args) { // 初始化 USB 密钥 int ret = GC_Init(0, 100, 115200); if (ret != 0) { Console.WriteLine("初始化 USB 密钥失败!Error Code: {0}", ret); return; } // 获取 USB 密钥证书 byte[] certBuf = new byte[4096]; ret = GC_GetCardInfo(certBuf, certBuf.Length); if (ret <= 0) { Console.WriteLine("获取 USB 密钥证书失败!Error Code: {0}", ret); GC_UnInit(); return; } X509Certificate2 cert = new X509Certificate2(certBuf); Console.WriteLine("证书主题:{0}", cert.Subject); Console.WriteLine("证书颁发者:{0}", cert.Issuer); Console.WriteLine("证书有效期:{0} - {1}", cert.NotBefore, cert.NotAfter); // 获取 USB 密钥图像 byte[] imgBuf = new byte[1024 * 1024]; ret = GC_GetCardInfo(imgBuf, imgBuf.Length); if (ret <= 0) { Console.WriteLine("获取 USB 密钥图像失败!Error Code: {0}", ret); GC_UnInit(); return; } Image img = Image.FromStream(new MemoryStream(imgBuf)); Console.WriteLine("图像大小:{0} x {1}", img.Width, img.Height); // 保存 USB 密钥图像到文件 img.Save("ukey_image.jpg", ImageFormat.Jpeg); // 关闭 USB 密钥 GC_UnInit(); } } } ``` 请注意,此示例代码使用的方法和函数来自于 `gclib.dll`,这是一个与 USB 密钥相关的第三方库。因此,在使用此代码之前,请确保您已正确安装了 `gclib.dll` 并将其添加到您的项目引用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值