码家

Web Platform, Cloud and Mobile Application Development

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

本文通过模拟场景,介绍SSL双向认证的java实现 

 

默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍。 

如果有这个需要,那么通过GOOGLE,可以搜索到很多这样的文章。 

 

模拟场景: 

Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。 

 

实现技术: 

JSSE(Java Security Socket Extension) 

是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据 

 

为了实现消息认证。 

Server需要: 

1)KeyStore: 其中保存服务端的私钥 

2)Trust KeyStore:其中保存客户端的授权证书 

同样,Client需要: 

1)KeyStore:其中保存客户端的私钥 

2)Trust KeyStore:其中保存服务端的授权证书 

 

我们可以使用Java自带的keytool命令,去生成这样信息文件 

1)生成服务端私钥,并且导入到服务端KeyStore文件中 

keytool -genkey -alias serverkey -keystore kserver.keystore 

过程中,分别需要填写,根据需求自己设置就行 

keystore密码:123456 

名字和姓氏:stone 

组织单位名称:eulic 

组织名称:eulic 

城市或区域名称:HZ 

州或省份名称:ZJ 

国家代码:CN 

serverkey私钥的密码,不填写和keystore的密码一致:123456 

就可以生成kserver.keystore文件 

server.keystore是给服务端用的,其中保存着自己的私钥 

 

2)根据私钥,导出服务端证书 

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt 

server.crt就是服务端的证书 

 

3)将服务端证书,导入到客户端的Trust KeyStore中 

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore 

tclient.keystore是给客户端用的,其中保存着受信任的证书 

 

采用同样的方法,生成客户端的私钥,客户端的证书,并且导入到服务端的Trust KeyStore中 

1)keytool -genkey -alias clientkey -keystore kclient.keystore 

2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt 

3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore 

 

如此一来,生成的文件分成两组 

服务端保存:kserver.keystore tserver.keystore 

客户端保存:kclient.keystore  tclient.kyestore 

 

接下来,就采用JSSE,分别生成SSLServerSocket,SSLSocket 

 

服务端,生成SSLServerSocket代码 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT); 

 

客户端,生成SSLSocket的代码,大同小异 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT); 

 

如此,就完成了服务端和客户端之间的基于身份认证的交互。 

 

client采用kclient.keystore中的clientkey私钥进行数据加密,发送给server 

server采用tserver.keystore中的client.crt证书(包含了clientkey的公钥)对数据解密,如果解密成功,证明消息来自client,进行逻辑处理 

 

server采用kserver.keystore中的serverkey私钥进行数据叫米,发送给client 

client采用tclient.keystore中的server.crt证书(包含了serverkey的公钥)对数据解密,如果解密成功,证明消息来自server,进行逻辑处理 

 

如果过程中,解密失败,那么证明消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。 

posted on 2013-06-18 12:09  海山  阅读(2668)  评论(0编辑  收藏  举报