SSL介绍与Java实例
有關(guān)SSL的原理和介紹在網(wǎng)上已經(jīng)有不少,對(duì)于Java下使用keytool生成證書(shū),配置SSL通信的教程也非常多。但如果我們不能夠親自動(dòng)手做一個(gè)SSL Sever和SSL Client,可能就永遠(yuǎn)也不能深入地理解Java環(huán)境下,SSL的通信是如何實(shí)現(xiàn)的。對(duì)SSL中的各種概念的認(rèn)識(shí)也可能會(huì)僅限于可以使用的程度。本文通過(guò)構(gòu)造一個(gè)簡(jiǎn)單的SSL Server和SSL Client來(lái)講解Java環(huán)境下SSL的通信原理。
首先我們先回顧一下常規(guī)的Java Socket編程。在Java下寫(xiě)一個(gè)Socket服務(wù)器和客戶(hù)端的例子還是比較簡(jiǎn)單的。
服務(wù)端很簡(jiǎn)單:偵聽(tīng)8080端口,并把客戶(hù)端發(fā)來(lái)的字符串返回去。以下是服務(wù)端的代碼:?
package org.bluedash.tryssl;import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.net.ServerSocket; import java.net.Socket; public class Server extends Thread {private Socket socket;public Server(Socket socket) {this.socket = socket;}public void run() {try {BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));PrintWriter writer = new PrintWriter(socket.getOutputStream());String data = reader.readLine();writer.println(data);writer.close();socket.close();} catch (IOException e) {}}public static void main(String[] args) throws Exception {while (true) {new Server((new ServerSocket(8080)).accept()).start();}} }客戶(hù)端也非常簡(jiǎn)單:向服務(wù)端發(fā)起請(qǐng)求,發(fā)送一個(gè)"hello"字串,然后獲得服務(wù)端的返回。下面是客戶(hù)端的代碼:
把服務(wù)端運(yùn)行起來(lái)后,執(zhí)行客戶(hù)端,我們將得到"hello"的返回。
就是這樣一套簡(jiǎn)單的網(wǎng)絡(luò)通信的代碼,我們來(lái)把它改造成使用SSL通信。在SSL通信協(xié)議中,我們都知道首先服務(wù)端必須有一個(gè)數(shù)字證書(shū),當(dāng)客戶(hù)端連接到服務(wù)端時(shí),會(huì)得到這個(gè)證書(shū),然后客戶(hù)端會(huì)判斷這個(gè)證書(shū)是否是可信的,如果是,則交換信道加密密鑰,進(jìn)行通信。如果不信任這個(gè)證書(shū),則連接失敗。
因此,我們首先要為服務(wù)端生成一個(gè)數(shù)字證書(shū)。Java環(huán)境下,數(shù)字證書(shū)是用keytool生成的,這些證書(shū)被存儲(chǔ)在store的概念中,就是證書(shū)倉(cāng)庫(kù)。我們來(lái)調(diào)用keytool命令為服務(wù)端生成數(shù)字證書(shū)和保存它使用的證書(shū)倉(cāng)庫(kù):?
這樣,我們就將服務(wù)端證書(shū)bluedash-ssl-demo-server保存在了server_ksy這個(gè)store文件當(dāng)中。有關(guān)keytool的用法在本文中就不再多贅述。執(zhí)行上面的命令得到如下結(jié)果:?
Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 daysfor: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn [Storing ./server_ks]然后,改造我們的服務(wù)端代碼,讓服務(wù)端使用這個(gè)證書(shū),并提供SSL通信:?
package org.bluedash.tryssl;import java.io.BufferedReader; import java.io.FileInputStream; import java.io.IOException; import java.io.InputStreamReader; import java.io.PrintWriter; import java.net.ServerSocket; import java.net.Socket; import java.security.KeyStore;import javax.net.ServerSocketFactory; import javax.net.ssl.KeyManagerFactory; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLServerSocket;public class SSLServer extends Thread {private Socket socket;public SSLServer(Socket socket) {this.socket = socket;}public void run() {try {BufferedReader reader = new BufferedReader(new InputStreamReader(socket.getInputStream()));PrintWriter writer = new PrintWriter(socket.getOutputStream());String data = reader.readLine();writer.println(data);writer.close();socket.close();} catch (IOException e) {}}private static String SERVER_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/server_ks";private static String SERVER_KEY_STORE_PASSWORD = "123123";public static void main(String[] args) throws Exception {System.setProperty("javax.net.ssl.trustStore", SERVER_KEY_STORE);SSLContext context = SSLContext.getInstance("TLS");KeyStore ks = KeyStore.getInstance("jceks");ks.load(new FileInputStream(SERVER_KEY_STORE), null);KeyManagerFactory kf = KeyManagerFactory.getInstance("SunX509");kf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());context.init(kf.getKeyManagers(), null, null);ServerSocketFactory factory = context.getServerSocketFactory();ServerSocket _socket = factory.createServerSocket(8443);((SSLServerSocket) _socket).setNeedClientAuth(false);while (true) {new SSLServer(_socket.accept()).start();}} }可以看到,服務(wù)端的Socket準(zhǔn)備設(shè)置工作大大增加了,增加的代碼的作用主要是將證書(shū)導(dǎo)入并進(jìn)行使用。此外,所使用的Socket變成了SSLServerSocket,另外端口改到了8443(這個(gè)不是強(qiáng)制的,僅僅是為了遵守習(xí)慣)。另外,最重要的一點(diǎn),服務(wù)端證書(shū)里面的CN一定和服務(wù)端的域名統(tǒng)一,我們的證書(shū)服務(wù)的域名是localhost,那么我們的客戶(hù)端在連接服務(wù)端時(shí)一定也要用localhost來(lái)連接,否則根據(jù)SSL協(xié)議標(biāo)準(zhǔn),域名與證書(shū)的CN不匹配,說(shuō)明這個(gè)證書(shū)是不安全的,通信將無(wú)法正常運(yùn)行。
有了服務(wù)端,我們?cè)瓉?lái)的客戶(hù)端就不能使用了,必須要走SSL協(xié)議。由于服務(wù)端的證書(shū)是我們自己生成的,沒(méi)有任何受信任機(jī)構(gòu)的簽名,所以客戶(hù)端是無(wú)法驗(yàn)證服務(wù)端證書(shū)的有效性的,通信必然會(huì)失敗。所以我們需要為客戶(hù)端創(chuàng)建一個(gè)保存所有信任證書(shū)的倉(cāng)庫(kù),然后把服務(wù)端證書(shū)導(dǎo)進(jìn)這個(gè)倉(cāng)庫(kù)。這樣,當(dāng)客戶(hù)端連接服務(wù)端時(shí),會(huì)發(fā)現(xiàn)服務(wù)端的證書(shū)在自己的信任列表中,就可以正常通信了。
因此現(xiàn)在我們要做的是生成一個(gè)客戶(hù)端的證書(shū)倉(cāng)庫(kù),因?yàn)閗eytool不能僅生成一個(gè)空白倉(cāng)庫(kù),所以和服務(wù)端一樣,我們還是生成一個(gè)證書(shū)加一個(gè)倉(cāng)庫(kù)(客戶(hù)端證書(shū)加倉(cāng)庫(kù)):?
結(jié)果如下:
Generating 1,024 bit RSA key pair and self-signed certificate (SHA1withRSA) with a validity of 90 daysfor: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn [Storing ./client_ks]接下來(lái),我們要把服務(wù)端的證書(shū)導(dǎo)出來(lái),并導(dǎo)入到客戶(hù)端的倉(cāng)庫(kù)。第一步是導(dǎo)出服務(wù)端的證書(shū):?
keytool -export -alias bluedash-ssl-demo-server -keystore ./server_ks -file server_key.cer執(zhí)行結(jié)果如下:?
Enter keystore password: server Certificate stored in file <server_key.cer>然后是把導(dǎo)出的證書(shū)導(dǎo)入到客戶(hù)端證書(shū)倉(cāng)庫(kù):?
keytool -import -trustcacerts -alias bluedash-ssl-demo-server -file ./server_key.cer -keystore ./client_ks結(jié)果如下:?
Enter keystore password: client Owner: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn Issuer: CN=localhost, OU=cn, O=cn, L=cn, ST=cn, C=cn Serial number: 4c57c7de Valid from: Tue Aug 03 15:40:14 CST 2010 until: Mon Nov 01 15:40:14 CST 2010 Certificate fingerprints:MD5: FC:D4:8B:36:3F:1B:30:EA:6D:63:55:4F:C7:68:3B:0CSHA1: E1:54:2F:7C:1A:50:F5:74:AA:63:1E:F9:CC:B1:1C:73:AA:34:8A:C4Signature algorithm name: SHA1withRSAVersion: 3 Trust this certificate? [no]: yes Certificate was added to keystore好,準(zhǔn)備工作做完了,我們來(lái)撰寫(xiě)客戶(hù)端的代碼:?
package org.bluedash.tryssl;import java.io.BufferedReader; import java.io.InputStreamReader; import java.io.PrintWriter; import java.net.Socket;import javax.net.SocketFactory; import javax.net.ssl.SSLSocketFactory;public class SSLClient {private static String CLIENT_KEY_STORE = "/Users/liweinan/projs/ssl/src/main/resources/META-INF/client_ks";public static void main(String[] args) throws Exception {// Set the key store to use for validating the server cert.System.setProperty("javax.net.ssl.trustStore", CLIENT_KEY_STORE);System.setProperty("javax.net.debug", "ssl,handshake");SSLClient client = new SSLClient();Socket s = client.clientWithoutCert();PrintWriter writer = new PrintWriter(s.getOutputStream());BufferedReader reader = new BufferedReader(new InputStreamReader(s.getInputStream()));writer.println("hello");writer.flush();System.out.println(reader.readLine());s.close();}private Socket clientWithoutCert() throws Exception {SocketFactory sf = SSLSocketFactory.getDefault();Socket s = sf.createSocket("localhost", 8443);return s;} }可以看到,除了把一些類(lèi)變成SSL通信類(lèi)以外,客戶(hù)端也多出了使用信任證書(shū)倉(cāng)庫(kù)的代碼。以上,我們便完成了SSL單向握手通信。即:客戶(hù)端驗(yàn)證服務(wù)端的證書(shū),服務(wù)端不認(rèn)證客戶(hù)端的證書(shū)。
以上便是Java環(huán)境下SSL單向握手的全過(guò)程。因?yàn)槲覀冊(cè)诳蛻?hù)端設(shè)置了日志輸出級(jí)別為DEBUG:?
因此我們可以看到SSL通信的全過(guò)程,這些日志可以幫助我們更具體地了解通過(guò)SSL協(xié)議建立網(wǎng)絡(luò)連接時(shí)的全過(guò)程。
結(jié)合日志,我們來(lái)看一下SSL雙向認(rèn)證的全過(guò)程:
第一步: 客戶(hù)端發(fā)送ClientHello消息,發(fā)起SSL連接請(qǐng)求,告訴服務(wù)器自己支持的SSL選項(xiàng)(加密方式等)。?
第二步: 服務(wù)器響應(yīng)請(qǐng)求,回復(fù)ServerHello消息,和客戶(hù)端確認(rèn)SSL加密方式:?
*** ServerHello, TLSv1第三步: 服務(wù)端向客戶(hù)端發(fā)布自己的公鑰。
第四步: 客戶(hù)端與服務(wù)端的協(xié)通溝通完畢,服務(wù)端發(fā)送ServerHelloDone消息:?
第五步: 客戶(hù)端使用服務(wù)端給予的公鑰,創(chuàng)建會(huì)話用密鑰(SSL證書(shū)認(rèn)證完成后,為了提高性能,所有的信息交互就可能會(huì)使用對(duì)稱(chēng)加密算法),并通過(guò)ClientKeyExchange消息發(fā)給服務(wù)器:
第六步: 客戶(hù)端通知服務(wù)器改變加密算法,通過(guò)ChangeCipherSpec消息發(fā)給服務(wù)端:
第七步: 客戶(hù)端發(fā)送Finished消息,告知服務(wù)器請(qǐng)檢查加密算法的變更請(qǐng)求:
第八步:服務(wù)端確認(rèn)算法變更,返回ChangeCipherSpec消息
第九步:服務(wù)端發(fā)送Finished消息,加密算法生效:
那么如何讓服務(wù)端也認(rèn)證客戶(hù)端的身份,即雙向握手呢?其實(shí)很簡(jiǎn)單,在服務(wù)端代碼中,把這一行:
改成:
就可以了。但是,同樣的道理,現(xiàn)在服務(wù)端并沒(méi)有信任客戶(hù)端的證書(shū),因?yàn)榭蛻?hù)端的證書(shū)也是自己生成的。所以,對(duì)于服務(wù)端,需要做同樣的工作:把客戶(hù)端的證書(shū)導(dǎo)出來(lái),并導(dǎo)入到服務(wù)端的證書(shū)倉(cāng)庫(kù):
完成了證書(shū)的導(dǎo)入,還要在客戶(hù)端需要加入一段代碼,用于在連接時(shí),客戶(hù)端向服務(wù)端出示自己的證書(shū):
通過(guò)比對(duì)單向認(rèn)證的日志輸出,我們可以發(fā)現(xiàn)雙向認(rèn)證時(shí),多出了服務(wù)端認(rèn)證客戶(hù)端證書(shū)的步驟:
在 @*** ServerHelloDone@ 之前,服務(wù)端向客戶(hù)端發(fā)起了需要證書(shū)的請(qǐng)求 @*** CertificateRequest@ 。
在客戶(hù)端向服務(wù)端發(fā)出 @Change Cipher Spec@ 請(qǐng)求之前,多了一步客戶(hù)端證書(shū)認(rèn)證的過(guò)程 @*** CertificateVerify@ 。
客戶(hù)端與服務(wù)端互相認(rèn)證證書(shū)的情景,可參考下圖:
?
參考資料
1. Change Cipher Spec Protocol?
2. SSL & TLS Essentials: Securing the Web
轉(zhuǎn)載于:https://www.cnblogs.com/crazyacking/p/5648520.html
總結(jié)
以上是生活随笔為你收集整理的SSL介绍与Java实例的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: [Leetcode]50. Pow(x,
- 下一篇: Java设计模式—责任链模式