socket认证_关于SSL证书双向认证的原理过程

最新推荐文章于 2024-07-20 16:07:33 发布
最新推荐文章于 2024-07-20 16:07:33 发布
阅读量655 收藏 1
点赞数
文章标签: socket认证 ssl双向认证

关于SSL证书双向认证的原理过程

HTTPS是工作于SSL层之上的HTTP协议,SSL(安全套接层)工作于TCP层之上,向应用层提供了两个基本安全服务:认证和保密。SSL有三个子协议:握手协议,记录协议和警报协议。其中握手协议实现服务器与客户端的认证与密钥交换,记录协议进行数据加密并保证数据的完整性,警报协议则规定了错误类型和处理机制。

SSL握手协议包含4个阶段,下面简单介绍每个阶段。

双向认证 SSL 协议的具体过程

04f04bd95d6b9fcdbbaf2337dc8065eb.png

① 浏览器发送一个连接请求给安全服务器。

② 服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。

③ 客户浏览器检查服务器送过来的证书是否是由自己信赖的 CA 中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的,询问客户是否需要继续。

④ 接着客户浏览器比较证书里的消息,例如域名和公钥,与服务器刚刚发送的相关消息是否一致,如果是一致的,客户浏览器认可这个服务器的合法身份。

⑤ 服务器要求客户发送客户自己的证书。收到后,服务器验证客户的证书,如果没有通过验证,拒绝连接;如果通过验证,服务器获得用户的公钥。

⑥ 客户浏览器告诉服务器自己所能够支持的通讯对称密码方案。

⑦ 服务器从客户发送过来的密码方案中,选择一种加密程度最高的密码方案,用客户的公钥加过密后通知浏览器。

⑧ 浏览器针对这个密码方案,选择一个通话密钥,接着用服务器的公钥加过密后发送给服务器。

⑨ 服务器接收到浏览器送过来的消息,用自己的私钥解密,获得通话密钥。

⑩ 服务器、浏览器接下来的通讯都是用对称密码方案,对称密钥是加过密的。

上面所述的是双向认证 SSL 协议的具体通讯过程,这种情况要求服务器和用户双方都有证书。

SSL双向认证的例子

首先创建服务器端私有密钥和公共密钥

1, keytool -genkey -alias clientkey -keystore kserver.ks
密码: serverpass
2, keytool -export -alias serverkey -keystore kserver.ks -file server.crt
3, keytool -import -alias serverkey -file server.crt -keystore tclient.ks
密码: clientpublicpass

下面创建客户器端私有密钥和公共密钥

1, keytool -genkey -alias clientkey -keystore kclient.ks
密码: clientpass
2, keytool -export -alias clientkey -keystore kclient.ks -file client.crt
3, keytool -import -alias clientkey -file client.crt -keystore tserver.ks
密码: serverpublicpass

把服务器端产生的公共密钥放到客户端, 同样把客户端创建的公共密钥放到服务器端.

下面是服务器端代码:

import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.InputStream;
import java.io.OutputStream;
import java.net.Socket;
import java.security.KeyStore;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.TrustManagerFactory;
public class SSLTestServer {
public static void main(String[] args) throws Exception {
SSLContext ctx = SSLContext.getInstance(“SSL”);
KeyManagerFactory kmf = KeyManagerFactory.getInstance(“SunX509”);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(“SunX509”);
KeyStore ks = KeyStore.getInstance(“JKS”);
KeyStore tks = KeyStore.getInstance(“JKS”);
ks.load(new FileInputStream(“cert/kserver.ks”), “serverpass”.toCharArray());
tks.load(new FileInputStream(“cert/tserver.ks”), “serverpublicpass”.toCharArray());
kmf.init(ks, “serverpass”.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLServerSocket serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(8443);
serverSocket.setNeedClientAuth(true);
while (true) {
try {
Socket s = serverSocket.accept();
InputStream input = s.getInputStream();
OutputStream utput = s.getOutputStream();
BufferedInputStream bis = new BufferedInputStream(input);
BufferedOutputStream bos = new BufferedOutputStream(output);
byte[] buffer = new byte[20];
int length = bis.read(buffer);
System.out.println(“Receive: ” + new String(buffer, 0, length).toString());
bos.write(“Hello”.getBytes());
bos.flush();
s.close();
} catch (Exception e) {
System.out.println(e);
}
}
}
}
下面是客户端代码:
import java.io.BufferedInputStream;
import java.io.BufferedOutputStream;
import java.io.FileInputStream;
import java.io.InputStream;
import java.io.OutputStream;
import java.security.KeyStore;
import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.TrustManagerFactory;
public class SSLTestClient {
public static void main(String[] args) throws Exception {
SSLContext ctx = SSLContext.getInstance(“SSL”);
KeyManagerFactory kmf = KeyManagerFactory.getInstance(“SunX509”);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(“SunX509”);
KeyStore ks = KeyStore.getInstance(“JKS”);
KeyStore tks = KeyStore.getInstance(“JKS”);
ks.load(new FileInputStream(“cert/kclient.ks”), “clientpass”.toCharArray());
tks.load(new FileInputStream(“cert/tclient.ks”), “clientpublicpass”.toCharArray());
kmf.init(ks, “clientpass”.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLSocket sslSocket = (SSLSocket) ctx.getSocketFactory().createSocket(“localhost”, 8443);
InputStream input = sslSocket.getInputStream();
OutputStream utput = sslSocket.getOutputStream();
BufferedInputStream bis = new BufferedInputStream(input);
BufferedOutputStream bos = new BufferedOutputStream(output);
bos.write(“Hello”.getBytes());
bos.flush();
byte[] buffer = new byte[20];
int length = bis.read(buffer);
System.out.println(new String(buffer, 0, length));
sslSocket.close();
}
}

常见的HTTPS传输, 不需要进行客户端认证, 也就是单向认证. 这时也就不需要创建客户端的私钥和公钥. 服务器端也只要配置一下服务器端的私钥即可, 当客户端浏览器访问时会生成一个证书文件,类似于上面创建的crt文件. 如果需要程序访问,可以通过这个crt文件生成一个keystore. 然后是用这个keystore作为trust keystore即可.

937ebe5b1d41d5879380a1da97b754c8.png
全球可信CA机构
weixin_39583029
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python socket中实现SSL/TLS认证
weixin_68789096的博客
09-13 1804
官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。
浅谈SSL认证原理
songqinxiaoming的博客
06-28 356
瞧一瞧什么是SSL 平时用浏览器(IE,chrome)访问百度、淘宝,我们会发现URL地址栏上有一个小锁,这个小锁是干嘛的呢,是不是所有的网站都有这个锁呢?百问不如一见,我们先点开小锁看一下,显示的是什么。如下图所示: Chrome下的小锁内容 IE下的小锁内容 我们看到一个共同的内容都有“证书”。只有有小锁的网站才有证书,一些没有小锁的网站是没有证书的。 只有以HTTPS开头的网站才有小锁标识,HTTP网站是没有小锁的,也就是这个小锁代表了此网站采用SSL协议传输。这个小锁的作用就是为了用户在访问网站
SSL socket 通讯详解
lucasma的博客
05-04 2万+
转载请注明出处 http://blog.csdn.net/pony_maggie/article/details/51315824 作者:小马 最近刚弄完一个ssl socket通讯,整理个笔记。 SSL原理 比如 A要和B互相通讯,为了安全他们希望双方发送的数据都是经过加密的。这就要求双方有一个共同的加解密密钥(一般加密都是基于对称加密算法)。如何才能让双方都拥有同一个密钥呢?有人...
【转】HTTPS双向认证指南
最新发布
tpriwwq的专栏
07-20 555
HTTPS双向认证方式通信在一些安全级别较高的场景非常有用,拥有合法证书的客户端才能正常访问业务。
SSL工作原理
纵然身处果壳之中,也仍自以为无限宇宙之王
02-25 911
文章目录1.SSL(secure socket layer)概述1.1 产生背景2.协议安全机制2.1 数据传输的机密性2.2 身份验证机制2.3 消息完整性验证2.4 非对称密钥算法保证密钥安全2.5 利用PKI保证公钥的真实性3.协议工作过程3.1 SSL的分层结构3.2 SSL握手过程3.2.1 只验证服务器的握手过程3.2.2 验证服务器和客户端的SSL握手过程3.2.3 恢复原有会话的S...
SSLSocket双向认证通信示例(含证书库及证书).zip
06-06
SSLSocket双向认证通信示例(含证书库及证书),自己编写的可使用的代码按钮,此代码中含将服务端证书及CA证书自动下载并导入到客户端证书库的功能。
Java ssl socket 双向认证
04-18
5. **握手过程**:当Socket建立连接后,SSL/TLS会进行握手过程,互相交换证书并验证对方身份。 在`TestJava`这个示例中,可能包含了实现上述步骤的Java代码。代码可能涉及了`KeyStore`、`KeyManagerFactory`、`...
java ssl 双向认证_java实现 SSL双向认证
weixin_31437361的博客
02-12 1421
实现技术:JSSE(Java Security Socket Extension)是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,可以在Client和Server之间通过TCP/IP协议安全地传输数据。为了实现消息认证。Server需要:1)KeySt...
SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
热门推荐
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.csdn.net/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
易语言源码易语言SSL双向认证源码.rar
02-17
在本压缩包“易语言源码易语言SSL双向认证源码.rar”中,包含了使用易语言实现SSL(Secure Socket Layer)双向认证的源代码。SSL是网络安全传输协议,广泛应用于网络通信,如HTTPS,确保数据在网络中传输时的加密和...
服务器双向认证 原理,https认证方式以及HTTPS双向认证过程
weixin_32644565的博客
07-31 2522
https认证方式以及HTTPS双向认证过程分类:建站推广编辑:浏览量:1002021-07-15 14:29:14很多网站都配置了HTTPS而不是HTTP,因为安全性得到了极大的提高,如果要使用HTTPS证书,是否需要通过HTTPS对其进行身份验证?那么,接下来就让新网小编给朋友们讲一下关于https认证方式吧。HTTPSHTTPS (全称:Hyper Text Transfer Protoco...
SSL Socket双向认证的实现.doc
08-09
SSL Socket双向认证的实现.doc
Https单向认证双向认证
阿东的博客
03-12 250
一、HttpHyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。使用TCP端口为:80二、HttpsHyper Text Transfer Protocol over Secure Socket Layer,安全的超文本传输...
Socket证书SSL配置
weixin_41380972的博客
04-03 3005
描述:设置SSL隧道加密说明:设置值为一个文件名字符串,指定cert证书和key的路径。配置如下: $this->serv->set(array( 'daemonize' => true, 'ssl_cert_file' => '/config/ssl.crt', ...
浅谈SSL/TLS工作原理
顺其自然~专栏
02-25 334
为了保证网络通信的安全性,需要对网络上传递的数据进行加密。现在主流的加密方法就是SSL (Secure Socket Layer),TLS (Transport Layer Security)。后者比前者要新一些,不过在很多场合还是用SSL指代SSL和TLS。 先来回顾一下网络通信加密的发展过程,假设A和B之间要网络通信。 远古时代 远古时代自然是民风淳朴,路不拾遗,夜不闭户。A要发数据给B,根本不用担心窃听和篡改,直接发就好了。 上古时代 随着时代的发展,渐渐的有了一类人---C。C不仅
Java SSLSocket客户端认证配置
优秀的程序员不应该是CRUD
06-08 1861
SSL证书的格式有很多,有.p12证书,.crt+.key证书,还有.jks证书,网上大多数案例都是基于.jks证书去实现认证,如果你的证书类型是.p12证书或者是crt证书,你可以手动把p12证书转换成jks证书,如果你是crt证书,下面会提供一个crt证书转换成jks证书的方法。 SSLSocket相关类介绍 SSLContext:SSLContext类可以创建SSLSocket实例,在这个类中配置自己的证书和自己所信任的证书。KeyManagerFactory:加载自己的证书文件,并且生成KeyMan
java ssl server_设置Java SSL ServerSocket使用的证书
weixin_30882521的博客
03-02 695
我想在Java服务器应用程序中打开一个安全的侦听套接字.我知道建议的方法就是这样做:SSLServerSocketFactory ssf = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();ServerSocket ss = ssf.createServerSocket(443);但这需要在启动java时将服务器证书传递给...
数字证书连接服务器异常,连接时Socket.io + SSL +自签名CA证书出现错误
weixin_31545685的博客
07-29 1678
我正在运行使用使用自签名CA证书创建的证书的https服务器。现在,我想将Socket.io客户端连接到连接到https服务器Socket.io服务器。不幸的是,我得到一个错误,告诉我:Error: UNABLE_TO_VERIFY_LEAF_SIGNATUREat SecurePair. (tls.js:1271:32)at SecurePair.EventEmitter.emit (even...
SSLSocket实现服务端和客户端双向认证总结
pangyinglong的博客
12-02 1258
暂时先参考这个文章来理解:https://www.cnblogs.com/franson-2016/p/5557259.html A、服务器端:公钥+私钥 制作方法: 1, keytool -genkey -alias serverkey -keystore kserver.ks 密码: serverpass 2, keytool -export -alias serverkey -keystore kserver.ks -file server.crt 3, keytool -import
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值