本文通過模擬場(chǎng)景,介紹SSL雙向認(rèn)證的java實(shí)現(xiàn)
默認(rèn)的情況下,我認(rèn)為讀者已經(jīng)對(duì)SSL原理有一定的了解,所以文章中對(duì)SSL的原理,不做詳細(xì)的介紹。
如果有這個(gè)需要,那么通過GOOGLE,可以搜索到很多這樣的文章。
模擬場(chǎng)景:
Server端和Client端通信,需要進(jìn)行授權(quán)和身份的驗(yàn)證,即Client只能接受Server的消息,Server只能接受Client的消息。
實(shí)現(xiàn)技術(shù):
JSSE(Java Security Socket Extension
)
是Sun為了解決在Internet上的安全通訊而推出的解決方案。它實(shí)現(xiàn)了SSL和TSL(傳輸層安全)協(xié)議。在JSSE中包含了數(shù)據(jù)加密,服務(wù)器驗(yàn)證,消息完整性和客戶端驗(yàn)證等技術(shù)。通過使用JSSE,開發(fā)人員可以在客戶機(jī)和服務(wù)器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)
為了實(shí)現(xiàn)消息認(rèn)證。
Server需要:
1)KeyStore: 其中保存服務(wù)端的私鑰
2)Trust KeyStore:其中保存客戶端的授權(quán)證書
同樣,Client需要:
1)KeyStore:其中保存客戶端的私鑰
2)Trust KeyStore:其中保存服務(wù)端的授權(quán)證書
我們可以使用Java自帶的keytool命令,去生成這樣信息文件
1)生成服務(wù)端私鑰,并且導(dǎo)入到服務(wù)端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
過程中,分別需要填寫,根據(jù)需求自己設(shè)置就行
keystore密碼:123456
名字和姓氏:stone
組織單位名稱:eulic
組織名稱:eulic
城市或區(qū)域名稱:HZ
州或省份名稱:ZJ
國(guó)家代碼:CN
serverkey私鑰的密碼,不填寫和keystore的密碼一致:123456
就可以生成kserver.keystore文件
server.keystore是給服務(wù)端用的,其中保存著自己的私鑰
2)根據(jù)私鑰,導(dǎo)出服務(wù)端證書
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服務(wù)端的證書
3)將服務(wù)端證書,導(dǎo)入到客戶端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是給客戶端用的,其中保存著受信任的證書
采用同樣的方法,生成客戶端的私鑰,客戶端的證書,并且導(dǎo)入到服務(wù)端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore
如此一來,生成的文件分成兩組
服務(wù)端保存:kserver.keystore tserver.keystore
客戶端保存:kclient.keystore tclient.kyestore
接下來,就采用JSSE,分別生成SSLServerSocket,SSLSocket
服務(wù)端,生成SSLServerSocket代碼
SSLContext ctx = SSLContext.getInstance("SSL");
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());
kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);
客戶端,生成SSLSocket的代碼,大同小異
SSLContext ctx = SSLContext.getInstance("SSL");
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());
kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);
如此,就完成了服務(wù)端和客戶端之間的基于身份認(rèn)證的交互。
client采用kclient.keystore中的clientkey私鑰進(jìn)行數(shù)據(jù)加密,發(fā)送給server
server采用tserver.keystore中的client.crt證書(包含了clientkey的公鑰)對(duì)數(shù)據(jù)解密,如果解密成功,證明消息來自client,進(jìn)行邏輯處理
server采用kserver.keystore中的serverkey私鑰進(jìn)行數(shù)據(jù)叫米,發(fā)送給client
client采用tclient.keystore中的server.crt證書(包含了serverkey的公鑰)對(duì)數(shù)據(jù)解密,如果解密成功,證明消息來自server,進(jìn)行邏輯處理
如果過程中,解密失敗,那么證明消息來源錯(cuò)誤。不進(jìn)行邏輯處理。這樣就完成了雙向的身份認(rèn)證。
下面我附上簡(jiǎn)單的SSLServer.java SSLClient.java,供大家演示用。
啟動(dòng)服務(wù)端的時(shí)候,大家不妨采用telnet 127.0.0.1 7777連接,看看能不能實(shí)現(xiàn)消息傳遞。
ssl demo
備注:
demo是采用maven構(gòu)建項(xiàng)目的
demo文件的編碼是用utf8,為了避免中文亂碼,請(qǐng)把workspace設(shè)置成utf8編碼