stone2083

SSL雙向認證java實現(xiàn)

本文通過模擬場景，介紹SSL雙向認證的java實現(xiàn)

默認的情況下，我認為讀者已經(jīng)對SSL原理有一定的了解，所以文章中對SSL的原理，不做詳細的介紹。
如果有這個需要，那么通過GOOGLE，可以搜索到很多這樣的文章。

模擬場景：
Server端和Client端通信，需要進行授權和身份的驗證，即Client只能接受Server的消息，Server只能接受Client的消息。

實現(xiàn)技術：
JSSE（Java Security Socket Extension）
是Sun為了解決在Internet上的安全通訊而推出的解決方案。它實現(xiàn)了SSL和TSL（傳輸層安全）協(xié)議。在JSSE中包含了數(shù)據(jù)加密，服務器驗證，消息完整性和客戶端驗證等技術。通過使用JSSE，開發(fā)人員可以在客戶機和服務器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)

為了實現(xiàn)消息認證。
Server需要：
1）KeyStore: 其中保存服務端的私鑰
2）Trust KeyStore:其中保存客戶端的授權證書
同樣，Client需要：
1）KeyStore：其中保存客戶端的私鑰
2）Trust KeyStore：其中保存服務端的授權證書

我們可以使用Java自帶的keytool命令，去生成這樣信息文件
1）生成服務端私鑰，并且導入到服務端KeyStore文件中
keytool -genkey -alias serverkey -keystore kserver.keystore
過程中，分別需要填寫，根據(jù)需求自己設置就行
keystore密碼：123456
名字和姓氏：stone
組織單位名稱：eulic
組織名稱：eulic
城市或區(qū)域名稱：HZ
州或省份名稱：ZJ
國家代碼：CN
serverkey私鑰的密碼，不填寫和keystore的密碼一致：123456
就可以生成kserver.keystore文件
server.keystore是給服務端用的，其中保存著自己的私鑰

2）根據(jù)私鑰，導出服務端證書
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
server.crt就是服務端的證書

3）將服務端證書，導入到客戶端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
tclient.keystore是給客戶端用的，其中保存著受信任的證書

采用同樣的方法，生成客戶端的私鑰，客戶端的證書，并且導入到服務端的Trust KeyStore中
1）keytool -genkey -alias clientkey -keystore kclient.keystore
2）keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
3）keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

如此一來，生成的文件分成兩組
服務端保存：kserver.keystore tserver.keystore
客戶端保存：kclient.keystore  tclient.kyestore

接下來，就采用JSSE，分別生成SSLServerSocket,SSLSocket

服務端，生成SSLServerSocket代碼

客戶端，生成SSLSocket的代碼，大同小異

如此，就完成了服務端和客戶端之間的基于身份認證的交互。

client采用kclient.keystore中的clientkey私鑰進行數(shù)據(jù)加密，發(fā)送給server
server采用tserver.keystore中的client.crt證書（包含了clientkey的公鑰）對數(shù)據(jù)解密，如果解密成功，證明消息來自client，進行邏輯處理

server采用kserver.keystore中的serverkey私鑰進行數(shù)據(jù)叫米，發(fā)送給client
client采用tclient.keystore中的server.crt證書（包含了serverkey的公鑰）對數(shù)據(jù)解密，如果解密成功，證明消息來自server，進行邏輯處理

如果過程中，解密失敗，那么證明消息來源錯誤。不進行邏輯處理。這樣就完成了雙向的身份認證。

下面我附上簡單的SSLServer.java SSLClient.java，供大家演示用。
啟動服務端的時候，大家不妨采用telnet 127.0.0.1 7777連接，看看能不能實現(xiàn)消息傳遞。

ssl demo
備注：
demo是采用maven構建項目的
demo文件的編碼是用utf8，為了避免中文亂碼，請把workspace設置成utf8編碼

posted on 2007-12-20 14:04 stone2083 閱讀(43491) 評論(8)  編輯  收藏 所屬分類: java