1. 什么是SSLSocket

JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。

这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。

具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。

2. SSLSocket和相关类

SSLSocket来自jsse(JavaSecure Socket Extension)。

(1)SSLContext: 此类的实例表示安全套接字协议的实现, 它是SSLSocketFactory、SSLServerSocketFactory和SSLEngine的工厂。

(2)SSLSocket: 扩展自Socket

(3)SSLServerSocket: 扩展自ServerSocket

(4)SSLSocketFactory: 抽象类,扩展自SocketFactory, SSLSocket的工厂

(5)SSLServerSocketFactory: 抽象类,扩展自ServerSocketFactory, SSLServerSocket的工厂

(6)KeyStore: 表示密钥和证书的存储设施

(7)KeyManager: 接口,JSSE密钥管理器

(8)TrustManager: 接口,信任管理器(?翻译得很拗口)

(9)X590TrustedManager: TrustManager的子接口,管理X509证书,验证远程安全套接字

3. SSLContext的使用

  1. public static void main(String[] args) throws Exception {
  2. X509TrustManager x509m = new X509TrustManager() {
  3. @Override
  4. public X509Certificate[] getAcceptedIssuers() {
  5. return null;
  6. }
  7. @Override
  8. public void checkServerTrusted(X509Certificate[] chain,
  9. String authType) throws CertificateException {
  10. }
  11. @Override
  12. public void checkClientTrusted(X509Certificate[] chain,
  13. String authType) throws CertificateException {
  14. }
  15. };
  16. // 获取一个SSLContext实例
  17. SSLContext s = SSLContext.getInstance("SSL");
  18. // 初始化SSLContext实例
  19. s.init(null, new TrustManager[] { x509m },
  20. new java.security.SecureRandom());
  21. // 打印这个SSLContext实例使用的协议
  22. System.out.println("缺省安全套接字使用的协议: " + s.getProtocol());
  23. // 获取SSLContext实例相关的SSLEngine
  24. SSLEngine e = s.createSSLEngine();
  25. System.out
  26. .println("支持的协议: " + Arrays.asList(e.getSupportedProtocols()));
  27. System.out.println("启用的协议: " + Arrays.asList(e.getEnabledProtocols()));
  28. System.out.println("支持的加密套件: "
  29. + Arrays.asList(e.getSupportedCipherSuites()));
  30. System.out.println("启用的加密套件: "
  31. + Arrays.asList(e.getEnabledCipherSuites()));
  32. }

运行结果如下:

SSLContext.getProtocol(): 返回当前SSLContext对象的协议名称

SSLContext.init():  初始化当前SSLContext对象。 三个参数均可以为null。 详见JDK文档。

SSLEngine.getSupportedProtocols()等几个方法可以返回些 Engine上支持/已启用的协议、支持/已启用的加密套件

4. SSLSocket和SSLServerSocket的使用

这两个类的用法跟Socket/ServerSocket的用法比较类似。看下面的例子(主要为了验证SSLSocket的用法 ,I/O和多线程处理比较随意)

4.1 SSLServerSocket

(1)新建一个SSLServerSocket,并开始监听来自客户端的连接

  1. // 抛出异常
  2. // javax.net.ssl.SSLException: No available certificate or key corresponds
  3. // to the SSL cipher suites which are enabled.
  4. public static void notOk() throws IOException {
  5. SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory
  6. .getDefault();
  7. SSLServerSocket server = (SSLServerSocket) factory
  8. .createServerSocket(10000);
  9. System.out.println("ok");
  10. server.accept();
  11. }

server.accept()处抛出异常, 提示缺少证书。与ServerSocket不同, SSLServerSocket需要证书来进行安全验证。

使用keytool工具生成一个证书。 步骤如下, 得到一个名为cmkey的证书文件

(2)重新完善上面的代码。 主要增加两个功能: 使用名为cmkey的证书初始化SSLContext, echo客户端的消息。 代码如下

  1. // 启动一个ssl server socket
  2. // 配置了证书, 所以不会抛出异常
  3. public static void sslSocketServer() throws Exception {
  4. // key store相关信息
  5. String keyName = "cmkey";
  6. char[] keyStorePwd = "123456".toCharArray();
  7. char[] keyPwd = "123456".toCharArray();
  8. KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
  9. // 装载当前目录下的key store. 可用jdk中的keytool工具生成keystore
  10. InputStream in = null;
  11. keyStore.load(in = Test2.class.getClassLoader().getResourceAsStream(
  12. keyName), keyPwd);
  13. in.close();
  14. // 初始化key manager factory
  15. KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory
  16. .getDefaultAlgorithm());
  17. kmf.init(keyStore, keyPwd);
  18. // 初始化ssl context
  19. SSLContext context = SSLContext.getInstance("SSL");
  20. context.init(kmf.getKeyManagers(),
  21. new TrustManager[] { new MyX509TrustManager() },
  22. new SecureRandom());
  23. // 监听和接收客户端连接
  24. SSLServerSocketFactory factory = context.getServerSocketFactory();
  25. SSLServerSocket server = (SSLServerSocket) factory
  26. .createServerSocket(10002);
  27. System.out.println("ok");
  28. Socket client = server.accept();
  29. System.out.println(client.getRemoteSocketAddress());
  30. // 向客户端发送接收到的字节序列
  31. OutputStream output = client.getOutputStream();
  32. // 当一个普通 socket 连接上来, 这里会抛出异常
  33. // Exception in thread "main" javax.net.ssl.SSLException: Unrecognized
  34. // SSL message, plaintext connection?
  35. InputStream input = client.getInputStream();
  36. byte[] buf = new byte[1024];
  37. int len = input.read(buf);
  38. System.out.println("received: " + new String(buf, 0, len));
  39. output.write(buf, 0, len);
  40. output.flush();
  41. output.close();
  42. input.close();
  43. // 关闭socket连接
  44. client.close();
  45. server.close();
  46. }

4.2 SSLSocket

(1)我们先使用一个普通的Socket尝试连接服务器端

  1. // 通过socket连接服务器
  2. public static void socket() throws UnknownHostException, IOException {
  3. Socket s = new Socket("localhost", 10002);
  4. System.out.println(s);
  5. System.out.println("ok");
  6. OutputStream output = s.getOutputStream();
  7. InputStream input = s.getInputStream();
  8. output.write("alert".getBytes());
  9. System.out.println("sent: alert");
  10. output.flush();
  11. byte[] buf = new byte[1024];
  12. int len = input.read(buf);
  13. System.out.println("received:" + new String(buf, 0, len));
  14. }

结果客户端和服务器端都出错。 客户端的错误是接收到乱码。

服务器则抛出异常

javax.NET.ssl.SSLException: Unrecognized SSL message, plaintext connection?

(2)改成SSLSocket, 但是不使用证书。客户端抛出sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

  1. // 不使用证书, 通过ssl socket连接服务器
  2. // 抛出异常, 提示找不到证书
  3. public static void sslSocket() throws UnknownHostException, IOException {
  4. SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory
  5. .getDefault();
  6. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
  7. System.out.println("ok");
  8. OutputStream output = s.getOutputStream();
  9. InputStream input = s.getInputStream();
  10. output.write("alert".getBytes());
  11. System.out.println("sent: alert");
  12. output.flush();
  13. byte[] buf = new byte[1024];
  14. int len = input.read(buf);
  15. System.out.println("received:" + new String(buf, 0, len));
  16. }

程序客户在不持有证书的情况下直接进行连接,服务器端会产生运行时异常javax.Net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown,不允许进行连接。 我们可以指定像下面这样执行客户端,服务器端可以成功echo客户端的发出的字符串"alert"

Java  -Djavax.net.ssl.trustStore=cmkey Client

这里的cmkey即前面生成的证书文件。

(3)改成SSLSocket, 对SSLContext进行如下初始化。

  1. public static void sslSocket2() throws Exception {
  2. SSLContext context = SSLContext.getInstance("SSL");
  3. // 初始化
  4. context.init(null,
  5. new TrustManager[] { new Test2.MyX509TrustManager() },
  6. new SecureRandom());
  7. SSLSocketFactory factory = context.getSocketFactory();
  8. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
  9. System.out.println("ok");
  10. OutputStream output = s.getOutputStream();
  11. InputStream input = s.getInputStream();
  12. output.write("alert".getBytes());
  13. System.out.println("sent: alert");
  14. output.flush();
  15. byte[] buf = new byte[1024];
  16. int len = input.read(buf);
  17. System.out.println("received:" + new String(buf, 0, len));
  18. }

服务器端可以成功echo客户端的发出的字符串"alert"。 完整代码见附件。

参考  http://java.ccidnet.com/art/3737/20060808/789375_1.html

http://blog.csdn.net/scliu0718/article/details/7198889

http://www.iteye.com/topic/1114800

http://410063005.iteye.com/blog/1751243

java SSLContext的更多相关文章

  1. Spark案例分析

    一.需求:计算网页访问量前三名 import org.apache.spark.rdd.RDD import org.apache.spark.{SparkConf, SparkContext} /* ...

  2. 用java开发微信公众号:公众号接入和access_token管理(二)

    本文为原创,原始地址为http://www.cnblogs.com/fengzheng/p/5027630.html 上一篇说了微信开发的准备工作,准备工作完成之后,就要开始步入正题了.其实微信公众号 ...

  3. java https单向认证(忽略认证)并支持http基本认证

    https单向认证(忽略认证)并支持http基本认证, 温馨提示 1,jar包要导入对 2,有匿名类编译要注意 3,欢迎提问,拿走不谢!背景知识 Https访问的相关知识中,主要分为单向验证和双向验证 ...

  4. java获取https网站证书,附带调用https:webservice接口

    一.java 获取https网站证书: 1.创建一个java工程,新建InstallCert类,将以下代码复制进去 package com; import java.io.BufferedReader ...

  5. Cocos2d-JS/Ajax用Protobuf与NodeJS/Java通信

    原文地址:http://www.iclojure.com/blog/articles/2016/04/29/cocos2d-js-ajax-protobuf-nodejs-java Google的Pr ...

  6. 使用poco 的NetSSL_OpenSSL 搭建https 服务端,使用C++客户端,java 客户端访问,python访问(python还没找到带证书访问的代码.)

    V20161028 由于项目原因,需要用到https去做一些事情. 这儿做了一些相应的研究. 这个https 用起来也是折腾人,还是研究了一周多+之前的一些积累. 目录 1,java client 通 ...

  7. Tomcat创建HTTPS访问,java访问https

    一 https和ssL HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的 ...

  8. SSL介绍与Java实例

    有关SSL的原理和介绍在网上已经有不少,对于Java下使用keytool生成证书,配置SSL通信的教程也非常多.但如果我们不能够亲自动手做一个SSL Sever和SSL Client,可能就永远也不能 ...

  9. JAVA错误汇总

    1.Slf4J-API版本兼容 问题描述 Exception in thread "main" java.lang.NoSuchMethodError: org.slf4j.hel ...

随机推荐

  1. 英语单词delimiter

    delimiter 来源——命令参数 [root@centos7 ~]# cat /good/passwd root:x:::root:/root:/bin/bash bin:x:::bin:/bin ...

  2. 处理警告:编码 GBK 的不可映射字符

    怎么处理警告:编码 GBK 的不可映射字符:javac -encoding UTF-8 XX.java使用-encoding参数指明编码方式: 或者 用记事本打开文件,然后另存为,选择ANSI编码,覆 ...

  3. Distribution money

    Distribution money Accepts: 713 Submissions: 1881 Time Limit: 2000/1000 MS (Java/Others) Memory Limi ...

  4. python的迭代器(转自廖雪峰老师python基础)

    我们已经知道,可以直接作用于for循环的数据类型有以下几种:一类是集合数据类型,如list.tuple.dict.set.str等:一类是generator,包括生成器和带yield的generato ...

  5. web测试点

    一.输入框 1.字符型输入框: (1)字符型输入框:英文全角.英文半角.数字.空或者空格.特殊字符“~!@#¥%……&*?[]{}”特别要注意单引号和&符号. 禁止直接输入特殊字符时, ...

  6. 百度分布式配置管理平台-Disconf

    Disconf介绍 全称:Distributed Configuration Management Platform,即分布式配置管理平台. Disconf专注于各种分布式系统配置管理的通用组件和通用 ...

  7. spring cloud 使用Eureka作为服务注册中心

    什么是Eureka?  Eureka是在AWS上定位服务的REST服务. Eureka简单示例,仅作为学习参考 在pom文件引入相关的starter(起步依赖) /*定义使用的spring cloud ...

  8. Java面试宝典(7)混合2

    数据库 & XML & 流行的框架与新技术 & 软件工程与设计模式 & J2EE & EBJ & webservice & 其他 pageSiz ...

  9. Python之字节到大整数的打包与解包

    需求:处理一个拥有128位长的16个元素的字节字符串 将bytes解析为整数,使用 int.from_bytes() 方法,并像下面这样指定字节顺序: # 为了将bytes解析为整数,使用 int.f ...

  10. 六、hibernate表与表之间的关系(多对多关系)

    多对多关系 创建实体类和对应映射文件 Student.java package com.qf.entity; import java.util.HashSet; import java.util.Se ...