资讯详情

SSL/TLS通信及其在Java中的实践

文章目录

  • 前言
  • 一、通信加密
  • 二、了解TLS
  • 三、JDK如何对TLS提供支持?
    • 1.查询JDK支持的TLS版本
    • 2.证书设置
    • 4.SSLSocket
    • 5.NIO/AIO SSL Socket
    • 6.Netty
  • 四、名词解释
  • 五、其他
  • 六、参考附录

前言

SSL/TLS(SSL和TLS是不同时期的东西叫法,后文统一使用TLS)它已经出现很长一段时间了。虽然它已经广泛应用于当前的网络通信中,但作者对它的理解基本上来自于早期学习网络知识时的灌输记忆。他模糊地知道它是什么,但为什么很少有研究。他最近碰巧需要应用这些知识,所以他检查了很多信息,所以他有这里的文章。主要包含TLS基本原则、证书、认证JDK的支持、在Java实践等。

一、通信加密

搞懂加密及SSL

二、了解TLS

有趣的讨论和文章:教面试官, TCP那些事儿

参考资料如下: SSL/TLS、对称加密和不对称加密TLSv1.3 SSL/TLS协议详解 证书及单双向认证 证书介绍

三、JDK如何对TLS提供支持?

JDK SSL包介绍 JDK证书管理 SSL包 javadoc

① 通信核心类——SSLSocket和SSLServerSocket。对于使用过socket通信开发的朋友更容易理解,它们对应Socket与ServerSocket,只是表示实现了SSL协议的Socket和ServerSocket,同时也是Socket与ServerSocket的子类。SSLSocket负责的事情包括设置加密套件和管理SSL对话,处理握手结束时间,设置客户端模式或服务器模式。

② 客户端和服务器端Socket工厂——SSLSocketFactory和SSLServerSocketFactory。在设计模式中,工厂模式是专门用于生产所需实例的,这里也是SSLSocket、SSLServerSocket对象创建的工作交给这两个工厂类。

③ SSL会话——SSLSession。为了提高通信效率,安全通信握手过程需要会话,SSL协议允许多个SSLSocket共享同一个SSL会话,在同一个会话中,只有第一个打开SSLSocket需要进行SSL握手,负责生成密钥及交换密钥,其余SSLSocket共享密钥信息。

④ SSL上下文——SSLContext。它是对整个SSL/TLS该协议的包装表示实现了避孕套连接协议。主要负责在安全通信过程中设置各种信息,如与证书相关的信息。并负责施工SSLSocketFactory、SSLServerSocketFactory和SSLEngine等工厂类。

⑤ SSL非阻塞引擎——SSLEngine。假如你想做NIO通信,然后将使用此类,通过过程支持非阻塞安全通信。

⑥ 密钥管理器——KeyManager。该接口负责选择安全证书来证明其身份,并将其发送给通信对方。KeyManager对象由KeyManagerFactory工厂生成。

⑦ 信任管理器——TrustManager。该界面负责判断是否信任对方的安全证书,TrustManager对象由TrustManagerFactory工厂生成。

1.查询JDK支持的TLS版本

    SSLContext context = SSLContext.getInstance("TLS");     context.init(null, null, null);     SSLSocketFactory factory = (SSLSocketFactory) context.getSocketFactory();     SSLSocket socket = (SSLSocket) factory.createSocket();     String[] protocols = socket.getSupportedProtocols();     System.out.println("Supported Protocols: "   protocols.length);
    for (int i = 0; i < protocols.length; i++) { 
        
        System.out.println(protocols[i]);
    }
    protocols = socket.getEnabledProtocols();
    System.out.println("Enabled Protocols: " + protocols.length);
    for (int i = 0; i < protocols.length; i++) { 
        
        System.out.println(protocols[i]);
    }

2.证书设置

KeyManager是提供客户端证书管理,TrustManager是信任服务端证书管理

        CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
        FileInputStream caInputStream = new FileInputStream(caPath);
        List<X509Certificate> caList =  certificateFactory.generateCertificates(caInputStream).stream().map(v->
                (X509Certificate)v).collect(Collectors.toList());
        KeyStore keystore = KeyStore.getInstance("JKS");
        keystore.load(null, null);
        for(X509Certificate ca: caList)
           keystore.setCertificateEntry(ca.getSubjectDN().getName(), ca);
        TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");
        tmf.init(keystore);
 
        SSLContext context = SSLContext.getInstance("TLS");
        context.init(null, tmf.getTrustManagers(), new SecureRandom());

   private void sslContext() { 
        
       // 初始化密钥库
        KeyManagerFactory keyManagerFactory = KeyManagerFactory
                .getInstance("SunX509");
        KeyStore keyStore = getKeyStore("client.jks", "123456", "PKCS12");
        keyManagerFactory.init(keyStore, "123456".toCharArray());
        // 初始化信任库
        TrustManagerFactory trustManagerFactory = TrustManagerFactory
                .getInstance("SunX509");
        KeyStore trustkeyStore = getKeyStore("server.jks", "123456", "JKS");
        trustManagerFactory.init(trustkeyStore);
        // 初始化SSL上下文
        SSLContext ctx = SSLContext.getInstance("SSL");
        ctx.init(keyManagerFactory.getKeyManagers(), trustManagerFactory
                .getTrustManagers(), null);
 
    }
 
    private  KeyStore getKeyStore(String keyStorePath, String password, String type)
            throws Exception { 
        
 
        FileInputStream is = new FileInputStream(keyStorePath);
        KeyStore ks = KeyStore.getInstance(type);
        ks.load(is, password.toCharArray());
        is.close();
        return ks;
    }

4.SSLSocket

SSLServerSocket/SSLSocket

5.NIO/AIO SSL Socket

NIO SSL Socket Server AIO原理类似,实现上可以参考smart-socket的SSLPlugin

6.Netty

Netty实现TLS/SSL双向加密认证

启动时通过-Djavax.net.debug=ssl,handshake开启debug

四、名词解释

  1. PKI:PKI是 Public Key Infrastructure的简称,意思是公钥基础设施。公钥基础设施是提供公钥加密和数字签名服务的系统或平台,目的是为了管理密钥和证书。通过证书和秘钥来确认通讯双方是否可信任。
  2. CA:CA是Certificate Authority的简称,即证书的签发机构,它是PKI的核心。正常情况来说,CA是具有权威性的机构,通过CA获取证书需要给钱。但是有的时候可能不想用CA机构的证书,又想要使用https站点,那么可能就需要自己生成证书,但是这种证书浏览器是认为不安全的。
  3. OpenSSL:一种ssl规范的实现,可以帮助我们生成解析各类证书
  4. X.509:证书标准,比如证书应该包含哪些信息
  5. PEM:Privacy Enhanced Mail,一种编码格式,常用于Apache和UNIX服务器,查看证书信息:openssl x509 -in certificate.pem -text -noout
  6. DER:Distinguished Encoding Rules,一种编码格式,常用于Java和Windows服务器,查看证书的信息:openssl x509 -in certificate.der -inform der -text -noout
  7. CRT:certificate,证书文件,常见于UNIX系统,大多应是PEM编码
  8. CER:certificate,证书文件,常见于Windows系统,大多应是DER编码.
  9. KEY:通常用来存放一个公钥或者私钥,查看不同编码格式文件内容
  10. CSR:Certificate Signing Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,查看方法:openssl req -noout -text -in my.csr (DER格式同上后面加上-inform der)
  11. PFX/P12:predecessor of PKCS#12,对Unix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,因此这个文件包含了证书及私钥。
  12. JKS:Java Key Storage,跟OpenSSL关系不大,Java的keytool工具可以将PFX转为JKS,也能直接生成JKS

五、其他

  1. C/S架构长连接使用双向认证+二次加密安全性更高,成本也一样高,实践下,可考虑使用单向认证,自签证书可在在客户端修改校验逻辑,以达到去掉校验只使用加密能力的目的,CA整数定期维护也可。
 trustManagers = new TrustManager[]{ 
        new X509TrustManager() { 
        
     @Override
     public void checkClientTrusted(X509Certificate[] x509Certificates, String s) { 
        
     }

     @Override
     public void checkServerTrusted(X509Certificate[] x509Certificates, String s) { 
        
     }

     @Override
     public X509Certificate[] getAcceptedIssuers() { 
        
         return new X509Certificate[0];
     }
 }};
  1. 在对性能敏感的场景慎重验证SSL对应用性能影响,通信是双方的事,而性能主要取决于双方协商出来的算法套件,对性能关注的话需要关注这个过程,防止客户端服务端协商出来的算法是不合适的,如果出现这种情况可升级版本或手动控制来解决。找到的一篇关于SSL性能调优文章

六、参考附录

SSL/TLS的Java实现

标签: sunx电涡流位移传感器

锐单商城拥有海量元器件数据手册IC替代型号,打造 电子元器件IC百科大全!

锐单商城 - 一站式电子元器件采购平台