stone2083

SSL双向认证java实现

本文通过模拟场景,介绍SSL双向认证的java实现

默认的情况下,我认为读者已经对SSL原理有一定的了解,所以文章中对SSL的原理,不做详细的介绍。
如果有这个需要,那么通过GOOGLE,可以搜索到很多这样的文章。

模拟场景:
Server端和Client端通信,需要进行授权和身份的验证,即Client只能接受Server的消息,Server只能接受Client的消息。

实现技术:
JSSE(Java Security Socket Extension
是Sun为了解决在Internet上的安全通讯而推出的解决方案。它实现了SSL和TSL(传输层安全)协议。在JSSE中包含了数据加密,服务器验证,消息完整性和客户端验证等技术。通过使用JSSE,开发人员可以在客户机和服务器之间通过TCP/IP协议安全地传输数据

为了实现消息认证。
Server需要:
1)KeyStore: 其中保存服务端的私钥
2)Trust KeyStore:其中保存客户端的授权证书
同样,Client需要:
1)KeyStore:其中保存客户端的私钥
2)Trust KeyStore:其中保存服务端的授权证书

我们可以使用Java自带的keytool命令,去生成这样信息文件
1)生成服务端私钥,并且导入到服务端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
过程中,分别需要填写,根据需求自己设置就行
keystore密码:123456
名字和姓氏:stone
组织单位名称:eulic
组织名称:eulic
城市或区域名称:HZ
州或省份名称:ZJ
国家代码:CN
serverkey私钥的密码,不填写和keystore的密码一致:123456
就可以生成kserver.keystore文件
server.keystore是给服务端用的,其中保存着自己的私钥

2)根据私钥,导出服务端证书
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服务端的证书

3)将服务端证书,导入到客户端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是给客户端用的,其中保存着受信任的证书

采用同样的方法,生成客户端的私钥,客户端的证书,并且导入到服务端的Trust KeyStore中
1)keytool -genkey -alias clientkey -keystore kclient.keystore
2)keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3)keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

如此一来,生成的文件分成两组
服务端保存:kserver.keystore tserver.keystore
客户端保存:kclient.keystore  tclient.kyestore

接下来,就采用JSSE,分别生成SSLServerSocket,SSLSocket

服务端,生成SSLServerSocket代码
SSLContext ctx = SSLContext.getInstance("SSL");

KeyManagerFactory kmf 
= KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf 
= TrustManagerFactory.getInstance("SunX509");

KeyStore ks 
= KeyStore.getInstance("JKS");
KeyStore tks 
= KeyStore.getInstance("JKS");

ks.load(
new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());
tks.load(
new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());

kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), 
null);

return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);

客户端,生成SSLSocket的代码,大同小异
SSLContext ctx = SSLContext.getInstance("SSL");

KeyManagerFactory kmf 
= KeyManagerFactory.getInstance("SunX509");
TrustManagerFactory tmf 
= TrustManagerFactory.getInstance("SunX509");

KeyStore ks 
= KeyStore.getInstance("JKS");
KeyStore tks 
= KeyStore.getInstance("JKS");

ks.load(
new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());
tks.load(
new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());

kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());
tmf.init(tks);

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), 
null);

return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);

如此,就完成了服务端和客户端之间的基于身份认证的交互。

client采用kclient.keystore中的clientkey私钥进行数据加密,发送给server
server采用tserver.keystore中的client.crt证书(包含了clientkey的公钥)对数据解密,如果解密成功,证明消息来自client,进行逻辑处理

server采用kserver.keystore中的serverkey私钥进行数据叫米,发送给client
client采用tclient.keystore中的server.crt证书(包含了serverkey的公钥)对数据解密,如果解密成功,证明消息来自server,进行逻辑处理

如果过程中,解密失败,那么证明消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。

下面我附上简单的SSLServer.java SSLClient.java,供大家演示用。
启动服务端的时候,大家不妨采用telnet 127.0.0.1 7777连接,看看能不能实现消息传递。

ssl demo
备注:
demo是采用maven构建项目的
demo文件的编码是用utf8,为了避免中文乱码,请把workspace设置成utf8编码

posted on 2007-12-20 14:04 stone2083 阅读(43425) 评论(8)  编辑  收藏 所属分类: java

Feedback

# re: SSL双向认证java实现 2008-01-05 22:37 jzp

不错,正需要.以后多些文章分享,辛苦了.  回复  更多评论   

# re: SSL双向认证java实现 2008-04-18 11:41 wangpeng

我用你的方法试了,的确可以实现ssl加密传输,但是我重新生成客户端证书后,并没有加载到服务器端的信任库tserver.keystore中,但是仍然可以通讯,这样就是我随便生成个客户端证书只要有服务器的证书就可以通讯了,没有真正意义上达到双向认证,如何解决这个问题,请指教  回复  更多评论   

# re: SSL双向认证java实现 2008-04-18 11:43 wangpeng

我的msn是steve_king211@msn.com,希望加上我,请教一些问题  回复  更多评论   

# re: SSL双向认证java实现 2008-04-20 17:18 stone2083

谢谢wangpeng朋友,找到上原先demo中的一个问题。
因为在Server端程序中,初始化的SSLServreSocket
serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);
少写了条语句:serverSocket.setNeedClientAuth(true); //表明需要验证客户端的身份。

由于原demo程序,不需要客户端身份验证,所以即使服务端没有客户端证书,也能完成通讯。

受限于自己对jsse理解非常的浅,上面的文章仅仅是覆盖了jsse很表层的内容。
推荐ibm网站上的一篇文章,对jsse和ssl写得很深入浅出。
为高级 JSSE 开发人员定制 :http://www.ibm.com/developerworks/cn/java/j-customssl/

如有问题,欢迎再交流 :)
  回复  更多评论   

# re: SSL双向认证java实现 2008-07-10 20:56 JessonWoo

请问单向认证,即客户端对服务器端的认证,需要为客户端配置证书吗,
具体用java如何实现查看服务器端证书的功能,
盼高手赐教!  回复  更多评论   

# re: SSL双向认证java实现 2008-07-14 13:21 stone2083

@JessonWoo
hi,首先申明下,我自己对ssl的认识还是很肤浅的,仅仅上次和cnnic合作的时候,为了了解安全性问题,才被迫稍微看了相应的一些知识.

所谓认证,是要对某台(当然可以是集群)服务器身份做认证.
认证方式有两种:
自签名认证:服务端生成key,然后根据key导出证书.公布于站点.
通过第三方认证机构认证:有服务端生成key,然后导出认证信息,交由天威诚信等第三方认证机构认证,最后生成证书,公布于站点.

客户端,将证书下载,确认为可信任公司认证信息,并且导入到受信任区(trustscore),建立连接与服务端进行正常交互.至此,就完成了对服务端的认证.
所以客户端必须将证书导入信任区.

java中,可以查看证书:
写个简单的方法:
FileInputStream fis = new FileInputStream("cert.cer");
CertificateFactory cf=CertificateFactory.getInstance("X509");
X509Certificate c=(X509Certificate) cf.generateCertificate(fis);
System.out.println(c.getSubjectDN());
//可以查看下X509Certificate的一些get方法.

其实keytool仅仅是jdk中的工具.
openssl是更常用的一个工具
可见:http://www.openssl.org/  回复  更多评论   

# re: SSL双向认证java实现 2008-11-17 14:00 le

强身份认证演示:https://www.wosign.com/logindemo/  回复  更多评论   

# re: SSL双向认证java实现 2012-12-20 21:29 郭建军

双向要加setNeedClientAuth(true)吧,你这是单向的  回复  更多评论   


只有注册用户登录后才能发表评论。


网站导航: