本文通過模擬場景,介紹SSL雙向認證的java實現 默認的情況下,我認爲讀者已經對SSL原理有一定的瞭解,
所以文章中對SSL的原理,不做詳細的介紹。如果有這個需要,那麼通過GOOGLE,可以搜索到很多這樣的文
章。 模擬場景: Server端和Client端通信,需要進行授權和身份的驗證,即Client只能接受Server的消息,
Server只能接受Client的消息。 實現技術: JSSE(Java Security Socket Extension)是Sun爲了解決在
Internet上的安全通訊而推出的解決方案。它實現了SSL和TSL(傳輸層安全)協議。在JSSE中包含了數據
加密,服務器驗證,消息完整性和客戶端驗證等技術。通過使用JSSE,開發人員可以在客戶機和服務器
之間通過TCP/IP協議安全地傳輸數據 爲了實現消息認證。
Server需要:
1)KeyStore: 其中保存服務端的私鑰
2)Trust KeyStore:其中保存客戶端的授權證書同樣,
Client需要:
1)KeyStore:其中保存客戶端的私鑰
2)Trust KeyStore:其中保存服務端的授權證書 我們可以使用Java自帶的keytool命令,去生成這樣信息文件 1)生成服務端私鑰,並且導入到服務端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
過程中,分別需要填寫,根據需求自己設置就行
keystore密碼:123456
名字和姓氏:stone
組織單位名稱:eulic
組織名稱:eulic
城市或區域名稱:HZ
州或省份名稱:ZJ
國家代碼:CN
serverkey私鑰的密碼,不填寫和keystore的密碼一致:123456 就可以生成kserver.keystore文件
server.keystore是給服務端用的,其中保存着自己的私鑰
2)根據私鑰,導出服務端證書 keytool -export -alias serverkey -keystore kserver.keystore -file server.crt server.crt就是服務端的證書
3)將服務端證書,導入到客戶端的
Trust KeyStore中 keytool -import -alias serverkey -file server.crt -keystore tclient.keystore tclient.keystore
是給客戶端用的,其中保存着受信任的證書 採用同樣的方法,
生成客戶端的私鑰,客戶端的證書,並且導入到服務端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore
如此一來,生成的文件分成兩組服務端保存:kserver.keystore tserver.keystore 客戶端保存:kclient.keystore tclient.kyestore 接下來,就採用JSSE,分別生成SSLServerSocket,SSLSocket 服務端,生成SSLServerSocket代碼
SSLContext ctx = SSLContext.getInstance("SSL");
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());
kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLServerSockt serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);
serverSocket.setNeedClientAuth(true); //表明需要驗證客戶端的身份。
return serverSocket;
客戶端,生成SSLSocket的代碼,大同小異
SSLContext ctx = SSLContext.getInstance("SSL");
KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
KeyStore ks = KeyStore.getInstance("JKS");
KeyStore tks = KeyStore.getInstance("JKS");
ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());
tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());
kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);
ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);
如此,就完成了服務端和客戶端之間的基於身份認證的交互。 client採用kclient.keystore中的clientkey
私鑰進行數據加密,發送給server server採用tserver.keystore中的client.crt證書(包含了clientkey的公鑰)
對數據解密,如果解密成功,證明消息來自client,進行邏輯處理 server採用kserver.keystore中的serverkey
私鑰進行數據叫米,發送給client client採用tclient.keystore中的server.crt證書(包含了serverkey的公鑰)
對數據解密,如果解密成功,證明消息來自server,進行邏輯處理 如果過程中,解密失敗,那麼證明消息
來源錯誤。不進行邏輯處理。這樣就完成了雙向的身份認證。 下面我附上簡單的SSLServer.java SSLClient.java,供大家演示用。啓動服務端的時候,大家不妨採用telnet 127.0.0.1 7777連接,看看能不能實現消息傳遞。
備註: demo是採用maven構建項目的 demo文件的編碼是用utf8,爲了避免中文亂碼,請把workspace設置成utf8編碼本文引用自:http://www.blogjava.net/stone2083/archive/2007/12/20/169015.html