Java安全(JCA/JSSE):SSL/TLS

最新推荐文章于 2024-07-03 09:44:11 发布
最新推荐文章于 2024-07-03 09:44:11 发布
阅读量263 收藏
点赞数
分类专栏: Java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xxssyyyyssxx/article/details/116590388
版权

基本概念

SSL(Secure Socket Layer)是netscape公司设计的主要用于web的安全传输协议。这种协议在WEB上获得了广泛的应用。 IETF(www.ietf.org)将SSL作了标准化,即RFC2246,并将其称为TLS(Transport Layer Security),从技术上讲,TLS 1.0与SSL 3.0的差别非常微小。

基本原理

先非对称加密传递对称加密所要用的钥匙,然后双方用该钥匙对称加密和解密往来的数据。

工作过程

浏览器向服务器发出请求,询问对方支持的对称加密算法和非对称加密算法;服务器回应自己支持的算法。

浏览器选择双方都支持的加密算法,并请求服务器出示自己的证书;服务器回应自己的证书。

浏览器随机产生一个用于本次会话的对称加密的钥匙,并使用服务器证书中附带的公钥对该钥匙进行加密后传递给服务器;服务器为本次会话保持该对称加密的钥匙。

第三方不知道服务器的私钥,即使截获了数据也无法解密。非对称加密让任何浏览器都可以与服务器进行加密会话。 浏览器使用对称加密的钥匙对请求消息加密后传送给服务器,服务器使用该对称加密的钥匙进行解密;服务器使用对称加密的钥匙对响应消息加密后传送给浏览器,浏览器使用该对称加密的钥匙进行解密。第三方不知道对称加密的钥匙,即使截获了数据也无法解密。对称加密提高了加密速度。 要求 服务器端需安装数字证书,用户可能需要确认证书。 会话过程中的加密与解密过程由浏览器与服务器自动完成,对用户完全透明。

使用keytool创建证书时,刚开始设置的用户名一定要是服务器的域名,否则,浏览器进行访问时也将提示证书有问题:

1.一种情况是发证机关是否值得信赖的,好比你拿出来的驾照是不是交管局这样的国家法定机构颁发的,还是你自己盖的章。

2.还有一种就是证书机构确实是交管局颁发的,但并不是发给你的,而是发给别人的,你出示别人的驾照时,人家交警会问,这是我们发的证,但是是发给你的吗?

SSL编程——默认参数方式

Socket编程是在http协议之上的,对应TCP协议。DatagramSocket编程对应UDP协议。使用Socket编程可以自定义应用层协议,当然可以自己构建HTTP协议。

服务器端程序

调用getDefault()静态方法得到SSLServerSocketFactory实例对象 需要通过javax.net.ssl.keyStore 和javax.net.ssl.keyStorePassword系统属性指定keystore的位置与密码,否则,KeyManager管理一个空的keystore,这可以通过在jsse文档中搜索getDefault关键字获知。  

调用SSLServerSocketFactory对象的createServerSocket()方法得到ServerSocket。 循环调用ServerSocket.accept()等待外部连接,并启动新线程与每个连接的客户端进行对话。 打开浏览器进行访问测试,必须在keystore中存入与主机名相一致的keyEntry,且将该keyEntry的证书安装到浏览器中。 在这种采用默认参数的方式下,服务器端的keystore中只能存储一个keyEntry,否则,服务器程序就面临不知道选用哪个keyEntry的问题了。

客户端编程: 调用getDefault()静态方法得到SSLSocketFactory实例对象 需要通过javax.net.ssl.trustStore系统属性指定truststore的位置,由于不需要读取私钥信息,所以不用设置keystore的密码。 如果没有设置javax.net.ssl.trustStore系统属性,则查找<java-home>/lib/security/jssecacerts,没找到则接着查找<java-home>/lib/security/cacerts。 如果上面的默认的truststore没有找到,则TrustManager管理一个空的trueststore,这可以通过在jsse文档中搜索getDefault关键字获知。 调用SSLSocketFactory对象的createSocket()方法连接服务器,连接成功后与服务器进行对话。 运行客户端程序进行测试访问,如果服务器出示的证书不是由客户端已经信任的CA签名的,则必须在truststore中导入服务器端的证书(keytool -importcert -keystore ${JAVA_HOME}\jre\lib\security\cacerts -file zxx1.cer)。

服务器端代码:
	public void init1()throws Exception{
		String user_home = System.getProperty("user.home");
		System.out.println(user_home);
		System.setProperty("javax.net.ssl.keyStore",user_home + "/.keystore");
		System.setProperty("javax.net.ssl.keyStorePassword", "123456");
		ServerSocketFactory factory = SSLServerSocketFactory.getDefault();
		
		ServerSocket ss = factory.createServerSocket(443);
		while(true){
			Socket s = ss.accept();
			new Thread(new Worker(s)).start();
		}		
	}
	
	private class Worker implements Runnable{
		Socket s = null;
		public Worker(Socket s){
			this.s = s;
		}

		public void run() {
			try {
				byte buf[] = new byte[10240];
				int len = s.getInputStream().read(buf);
				if(len >0){
				System.out.println(new String(buf,0,len));
				s.getOutputStream().write("200 ok\r\n".getBytes());
				s.getOutputStream().write("Content-length: 6\r\n\r\n".getBytes());
				s.getOutputStream().write("1234567".getBytes());	
				s.getOutputStream().close();
				s.getInputStream().close();
				}
				
			} catch (IOException e) {
				e.printStackTrace();
			}
		}
	}	

客户端代码:关键的一点就是要导入服务器端的证书到自己的trustkeystore中。
	private static void work1() throws Exception{
		SSLSocketFactory factory = (SSLSocketFactory)SSLSocketFactory.getDefault();
		Socket socket = factory.createSocket("localhost",443);
		InputStream ips = socket.getInputStream() ;
		OutputStream ops = socket.getOutputStream();
		ops.write("GET / x".getBytes());
		byte[] buf = new byte[1024];
		int len = 0;
		while((len=ips.read(buf))!=-1){
			System.out.println(new String(buf,0,len));
		}
		ips.close();		
		ops.close();		
	}

总结:创建服务器端Socket时,应该指定自己的私钥和证书在哪和是什么;创建客户端Socket时,它要验证服务器端出示的证书是否是可信赖的,所以,对于信赖的证书应该导入到jre/lib/security/cacerts文件中。服务器端的证书由keyManagerFactory类管理,客户端的证书由TrustManagerFactory管理。

在JSSE中,即使客户端程序没有直接信任服务器所使用的证书,但服务器的证书是客户所信任的其他证书签发的,客户端程序照样可以正常运行。

SSL编程——定制SSLContext

服务器端程序

调用getInstance()静态方法得到SSLContext实例对象 调用SSLContext对象的init()方法进行初始化 调用init()方法时必须传入KeyManager数组, KeyManager数组通过KeyManagerFactory对象从keystore中去读取出来。   调用SSLContext对象的getServerSocketFactory()方法得到SSLServerSocketFactory实例对象,接着按照默认参数的例子编写后续代码。

客户端编程

调用getInstance()静态方法得到SSLContext实例对象 调用SSLContext对象的init()方法进行初始化 调用init()方法时必须传入TrustManager数组, TrustManager数组通过TrustManagerFactory对象从truststore中去读取出来。   调用SSLContext对象的getSocketFactory()方法得到SSLSocketFactory实例对象,接着按照默认参数的例子编写后续代码。

扩展

让服务器端程序从keystore里的多个KeyEntry中选择一个: 编写一个实现了X509KeyManager接口的自定义KeyManager类,这个自定义KeyManager类的chooseServerAlias方法返回要使用的keyEntry的别名, 而自定义KeyManager类中的其他方法则转发给原来通过KeyManagerFactory获得的KeyMananger对象。

服务器端代码:
	public void init2() throws Exception{
		String user_home = System.getProperty("user.home");
		System.out.println(user_home);
				char[] passphrase = "123456".toCharArray();

		KeyStore ks = KeyStore.getInstance("JKS");
		ks.load(new FileInputStream(user_home + "/.keystore"), passphrase);

		KeyManagerFactory kmf =
		    KeyManagerFactory.getInstance("SunX509");
      //如果keystore中只有一个keyEntry,则此处表示keyEntry的密码可以与keystore的密码不同。
		kmf.init(ks, passphrase);

		SSLContext sslContext = SSLContext.getInstance("TLS");
		sslContext.init(kmf.getKeyManagers(), null, null);

		ServerSocketFactory factory = sslContext.getServerSocketFactory();
		ServerSocket ss = factory.createServerSocket(443);
		while(true){
			Socket s = ss.accept();
			new Thread(new Worker(s)).start();
		}		
	}

这种定制方式可以让服务器端从多个keyEntry中选择一个keyEntry,
KeyManagerFactory.getInstance()方法接受的参数值可以在JSSE文档中搜索KeyManagerFactory看到,如何定制KeyManager的例子也可以在jsse文档中搜索,找到一个TrustManager定制的案例代码,可以推出如何定制KeyManager。

扩展后的服务器端代码:
	public void init3() throws Exception{
		String user_home = System.getProperty("user.home");
		System.out.println(user_home);
				char[] passphrase = "123456".toCharArray();

		KeyStore ks = KeyStore.getInstance("JKS");
		ks.load(new FileInputStream(user_home + "/.keystore"), passphrase);

		KeyManagerFactory kmf =
		    KeyManagerFactory.getInstance("SunX509");
		kmf.init(ks, passphrase);

		KeyManager[] kms = kmf.getKeyManagers();
		for(int i=0;i<kms.length;i++){
			kms[i] = new ItcastKeyManager((X509KeyManager)kms[i],"mykey");
		}
		
		SSLContext sslContext = SSLContext.getInstance("TLS");
		sslContext.init(
		    kms, null, null);

		ServerSocketFactory factory = sslContext.getServerSocketFactory();
		ServerSocket ss = factory.createServerSocket(443);
		while(true){
			Socket s = ss.accept();
			new Thread(new Worker(s)).start();
		}		
	}	
	
	private class ItcastKeyManager implements X509KeyManager {

	    private X509KeyManager delegate;
	    private String serverKeyAlias;
	    
		public ItcastKeyManager(X509KeyManager delegate, String serverKeyAlias) {
			super();
			this.delegate = delegate;
			this.serverKeyAlias = serverKeyAlias;
		}
		public String chooseClientAlias(String[] keyType, Principal[] issuers,
				Socket socket) {			
			return delegate.chooseClientAlias(keyType, issuers, socket);
		}
		@Override
		public String chooseServerAlias(String keyType, Principal[] issuers,
				Socket socket) {
			return serverKeyAlias;
		}
		@Override
		public X509Certificate[] getCertificateChain(String alias) {
			return delegate.getCertificateChain(alias);
		}
		@Override
		public String[] getClientAliases(String keyType, Principal[] issuers) {
			return delegate.getClientAliases(keyType, issuers);
		}
		@Override
		public PrivateKey getPrivateKey(String alias) {
			return delegate.getPrivateKey(alias);
		}
		@Override
		public String[] getServerAliases(String keyType, Principal[] issuers) {
			return delegate.getServerAliases(keyType, issuers);
		}
	}

参考tomcat源码:找到了SSLImplementation的信息,然后根据这些SSLImplementation类找到相应的包,再找到下面的JSSEKeyManager.java文件
org\apache\coyote\http11\Http11Protocol.java
org\apache\tomcat\util\net\jsse\JSSEKeyManager.java
下面的程序演示了如何应用JSSEKeyManager:
org\apache\tomcat\util\net\jsse\JSSE14SocketFactory.java

客户端代码:运行SSL客户端程序时可以增加-Djavax.net.debug=all,在jsse文档搜索debug可以看到更详细的信息。
	private static void work2() throws Exception{
		char[] passphrase = "changeit".toCharArray();
		
		KeyStore ks = KeyStore.getInstance("JKS");
		ks.load(new FileInputStream("${JAVA_HOME}\\jre\\lib\\security\\cacerts"), passphrase);
		
		TrustManagerFactory managerFactory = TrustManagerFactory.getInstance("PKIX");
		managerFactory.init(ks);
		SSLContext context = SSLContext.getInstance("TLS");
		context.init(null,managerFactory.getTrustManagers() , null);
		
		SSLSocketFactory factory = context.getSocketFactory();
		Socket socket = factory.createSocket("localhost",443);
		InputStream ips = socket.getInputStream() ;
		OutputStream ops = socket.getOutputStream();
		ops.write("GET / x".getBytes());
		byte[] buf = new byte[1024];
		int len = 0;
		while((len=ips.read(buf))!=-1){
			System.out.println(new String(buf,0,len));
		}
		ips.close();		
		ops.close();		
	}

HTTPs协议编程

与TLS的区别

传输的数据内容应遵守Http协议格式 服务器出示的证书所有者的名称必须是URL地址中指定的主机名

基本步骤: 创建表示https协议路径的URL实例对象,并获得URLConnection对象。 调用URLConnection对象的setDoOutput()方法支持发送实体内容。 获得输出和输入流与服务器进行交互。

扩展步骤:在程序中定制truststore的位置 全局设置:使用javax.net.ssl.trustStore系统属性指定truststore的位置。 针对单个链接的设置:使用SSLContext对象的init()方法加载TrustManagerFactory对象从truststore中读取出来的TrustManager对象,然后调用SSLContext对象的getSocketFactory()方法得到SSLSocketFactory实例对象,最后再调用HttpsURLConnection 对象的setSSLSocketFactory方法。

代码1:
	private static void https1() throws Exception{
				URL url = new URL("https://localhost/abcd");
				URLConnection connection = url.openConnection();
				connection.setDoOutput(true);
				OutputStream ops = connection.getOutputStream();		
				ops.write("GET / xsss".getBytes());
				InputStream ips = connection.getInputStream() ;		
				byte[] buf = new byte[1024];
				int len = 0;
				while((len=ips.read(buf))!=-1){
					System.out.println(new String(buf,0,len));
				}
				ips.close();		
				ops.close();		
			}	      
代码2:
 	private static void https2() throws Exception{
		char[] passphrase = "changeit".toCharArray();
		
		KeyStore ks = KeyStore.getInstance("JKS");
		ks.load(new FileInputStream("${JAVA_HOME}\\jre\\lib\\security\\cacerts"), passphrase);
		
		TrustManagerFactory managerFactory = TrustManagerFactory.getInstance("PKIX");
		managerFactory.init(ks);
		SSLContext context = SSLContext.getInstance("TLS");
		context.init(null,managerFactory.getTrustManagers() , null);
		
		SSLSocketFactory factory = context.getSocketFactory();
		
		URL url = new URL("https://localhost/abcd");
		URLConnection connection = url.openConnection();
		((HttpsURLConnection)connection).setSSLSocketFactory(factory);
		connection.setDoOutput(true);
		OutputStream ops = connection.getOutputStream();		
		ops.write("GET / x".getBytes());
		InputStream ips = connection.getInputStream() ;		
		byte[] buf = new byte[1024];
		int len = 0;
		while((len=ips.read(buf))!=-1){
			System.out.println(new String(buf,0,len));
		}
		ips.close();		
		ops.close();		
	}

参见:https://gitee.com/xxssyyyyssxx/unihttp/blob/master/unihttp-core/src/main/java/top/jfunc/http/ssl/SSLSocketFactoryBuilder.java

恒奇恒毅
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java SSL 自签名证书生成
FlySpace随笔
03-18 1万+
什么是HTTPS?当使用 基于SSL/TLS(通常使用 https:// URL)向站点进行HTTP请求时,从服务器向客户机发送一个证书。客户机使用已安装的公共证书通过这个证书验证服务器的身份,然后检查 IP 名称(机器名)与客户机连接的机器是否匹配。客户机生成一些可以用来生成对话的私钥(称为会话密钥)的随机信息,然后用服务器的公钥对它加密并将它发送到 服务器。服务器用自己的私钥解密消息,然后用该
SSL双向认证java实现
旅行人生
09-23 3295
本文通过模拟场景,介绍SSL双向认证的java实现默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍。如果有这个需要,那么通过GOOGLE,可以搜索到很多这样的文章。模拟场景:Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。实现技术:JSSEJava Sec
安全协议:SSL/TLSJava实现
最新发布
weixin_53840353的博客
07-03 556
SSL/TLS是一种安全协议,旨在为网络通信提供隐私和数据完整性。TLSSSL的升级版本,目前广泛使用的是TLS 1.2和TLS 1.3。加密:使用加密算法对数据进行加密,防止数据在传输过程中被窃取。身份验证:通过证书验证服务器的身份,防止中间人攻击。完整性:使用消息认证码(MAC)确保数据在传输过程中未被篡改。本文详细介绍了SSL/TLS协议的工作原理,并通过Java代码示例展示了如何在Java应用中实现SSL/TLS。希望这些内容对你有所帮助。
java实现HTTPS单向认证&TLS指定加密套件(文章很详细,好文章!)
HD243608836的博客
07-13 6473
1、HTTPS介绍 由于HTTP是明文传输,会造成安全隐患,所以在一些特定场景中,必须使用HTTPS协议,简单来说HTTPS=HTTP+SSL/TLS。服务端和客户端的信息传输都是通过TLS进行加密。这样就能在一定程度上避免敏感信息被截取。 在通信过程中,请求方称为客户端,响应方称为服务端。HTTPS请求流程如图: 1、客户端向服务端发送加密版本、加密算法种类、随机数信息等。 2、服务端返回客户端发送的信息并带上服务端证书(公钥证书)。 3、客户端效验服务端证书的合法性。 4、...
Java进阶(三)Java安全通信:HTTPS与SSL
IT全栈 华强工作室
04-18 5万+
通过一个系统,接触到了Java安全机制,故作一小节,供朋友们参考学习。
java 工程ssl配置_详解spring boot配置 ssl
weixin_39966602的博客
03-07 503
ssl协议位于tcp/ip协议与各种应用协议之间,为数据通信提供安全支持。ssl协议分为两层:ssl记录协议,它建立在可靠传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能支持。ssl握手协议,它建立在ssl记录协议之上,用于实际数据传输开始前,通信双方进行身份认证、协商加密算法、交换加密密钥等基于B/S的web应用,是通过https来实现ssl的。https是http的安全版,即在htt...
Java-Java加密与安全教程
11-14
2. **Java Secure Channel (JSSE)**:JSSEJavaSSL/TLS实现,用于建立安全的网络连接,保证数据传输的机密性、完整性和身份验证。 3. **Java Cryptography Architecture (JCA)**:JCAJava加密体系结构,为...
基于JAVA安全电子商务.zip
03-26
3. **HTTPS与SSL/TLS协议**:在Java中,通过Java Secure Socket Extension (JSSE) 支持HTTPS协议,该协议结合了HTTP协议与SSL/TLS协议,用于加密通信,确保数据在传输过程中的安全性。 4. **数字证书与公钥基础设施...
个人学习Java安全的笔记.zip
11-02
6. **Java Secure Socket Extension (JSSE)**:JSSE提供了实现安全网络通信的API,包括SSL/TLS协议,用于创建安全的HTTPS连接,保护数据的隐私。 7. **Java Cryptography Architecture (JCA)**:JCAJava的加密...
Java2-Network-Security.zip_java security_network security_网络安全
09-19
Java2中,网络安全主要通过一系列的机制和技术来实现,包括加密通信、身份验证、授权、安全套接层(SSL)、Java安全模型以及安全管理器等。 首先,加密通信是网络安全的基础,Java提供了强大的加密库,如Java ...
基于JAVA安全电子商务().rar
07-02
该系统采用JAVA语言进行开发,充分利用了JAVA平台的跨平台特性和强大的安全机制,如Java加密API、数字签名以及SSL/TLS协议等,来确保用户数据的安全传输和存储。此项目可能包含了系统的设计理念、架构、主要功能模块...
java ssl通信
热门推荐
神棍之路
09-06 7万+
生成ssl证书请参考如下: http://blog.csdn.net/u014410763/article/details/50555902 参考文章: https://yq.aliyun.com/articles/40408 客户端私钥与证书到处(java需要特定格式) openssl pkcs12 -export -clcerts -name foobar -
Java Security 介绍
q977734161的专栏
10-17 2124
1.介绍 Java平台设计的重点是安全性。在其核心,java语言本身是类型安全的并且提供了垃圾自动回收,这使其增加了应用程序代码的健壮性。安全的类加载以及验证机制确保了只有合法的代码才能够执行。初期的java平台为不信任的代码创建了一个安全的独立运行的安全环境,例如从公网下载的java applets。随着平台的增长以及部署范围的扩张,Java安全体系结构也相应地演变为支持日益增长的服务集。时至今...
Java知识大全 - 十一、Java安全
LegendaryChen的博客
02-17 921
Java具有许多旨在提高应用程序安全性的功能和技术。以下是与 Java安全性相关的一些知识点:身份验证和授权:Java 提供了许多 API 和框架来在应用程序中实现身份验证和授权,包括 Java 身份验证和授权服务 (JAAS)、Java Security Manager 和 Spring Security。安全编码实践:编写安全代码对于确保应用程序不易受到攻击至关重要。Java 开发人员需要遵循安全编码实践,以避免常见的安全问题,例如 SQL 注入、跨站点脚本 (XSS) 和缓冲区溢出。
Java 安全模型介绍
shan_yuge的专栏
01-09 598
作为一种诞生于互联网兴起时代的语言,Java 从一开始就带有安全上的考虑,如何保证通过互联网下载到本地的 Java 程序是安全的,如何对 Java 程序访问本地资源权限进行有限授权,这些安全角度的考虑一开始就影响到 Java 语言的设计与实现。可以说 Java 在这些方面的探索与经验,对后来的一些语言与产品都带来了积极影响。 本篇文章中将介绍 Java安全模型,以及如何利用安全访问控制机
java security 详解_java.security包详解
weixin_39528289的博客
02-13 4315
一、Provider提供DSA、RSA、MD5等算法密钥的生成、转换、管理二、Secruity主要是管理Providerpublic static int addProvider(Provider provider)public static synchronized void removeProvider(String name)public static Provider[] getProvi...
Java Security 总纲
Sabrina & Joshua Java Ivory Tower
02-16 1060
导读: 这是一篇介绍Java Security能做什么的文章。很遗憾,它不会告诉你怎么去做。 本文相关的JDK版本是JDK7,当然,仍适用于JDK6。   Java平台(Java运行时环境,即JVM + Java API) 在多个层面上提供了security机制。   Java Language Security and Bytecode Verification Java语...
Java与网络安全与加密
吃不胖.
07-28 279
下面将从Java平台的安全性质,Java安全提供程序,Java安全API三个方面来介绍Java与网络安全的相关内容。下面将从Java加密的基础知识,Java安全API支持的加密算法和Java加密程序开发三个方面来介绍Java与加密的相关内容。Java提供的安全提供程序包括Java安全套接字(Java Secure Socket Extension, JSSE)、Java密钥库(Java Key Store, JKS)和Java安全性池等。Java提供了一系列加密API,用于实现对数据的加密和解密。
java security用法_Java加密体系(一)java.security包
weixin_42300211的博客
03-04 4390
一、JCA/ JCEJCA(Java Cryptography Architecture) 是Java体系结构,提供了基本Java加密框架,比如证书、数字签名、消息摘要、秘钥对生成器等,在java.security包中实现。JCE(Java Cryptography Extension)是JCA的扩展,主要负责提供DES、AES、RSA、DSA这样的加密算法,因为加密算法是会不断进步的,会有新的算...
Java加密技术详解:JCA、JCE与JSSE
3. **Java Secure Sockets Extension (JSSE)**:JSSE处理基于SSL/TLS安全网络通信。它确保数据在网络传输过程中受到保护,防止被中间人攻击或窃听。 4. **Java Authentication and Authorization Service (JAAS)*...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值