SSL雙向認證java實現(轉)

本文經過模擬場景，介紹SSL雙向認證的java實現 

 

默認的狀況下，我認爲讀者已經對SSL原理有必定的瞭解，因此文章中對SSL的原理，不作詳細的介紹。 

若是有這個須要，那麼經過GOOGLE，能夠搜索到不少這樣的文章。 

 

模擬場景： 

Server端和Client端通訊，須要進行受權和身份的驗證，即Client只能接受Server的消息，Server只能接受Client的消息。 

 

實現技術： 

JSSE（Java Security Socket Extension） 

是Sun爲了解決在Internet上的安全通信而推出的解決方案。它實現了SSL和TSL（傳輸層安全）協議。在JSSE中包含了數據加密，服務器驗證，消息完整性和客戶端驗證等技術。經過使用JSSE，開發人員能夠在客戶機和服務器之間經過TCP/IP協議安全地傳輸數據 

 

爲了實現消息認證。 

Server須要： 

1）KeyStore: 其中保存服務端的私鑰 

2）Trust KeyStore:其中保存客戶端的受權證書 

一樣，Client須要： 

1）KeyStore：其中保存客戶端的私鑰 

2）Trust KeyStore：其中保存服務端的受權證書 

 

咱們可使用Java自帶的keytool命令，去生成這樣信息文件 

1）生成服務端私鑰，而且導入到服務端KeyStore文件中 

keytool -genkey -alias serverkey -keystore kserver.keystore 

過程當中，分別須要填寫，根據需求本身設置就行 

keystore密碼：123456 

名字和姓氏：stone 

組織單位名稱：eulic 

組織名稱：eulic 

城市或區域名稱：HZ 

州或省份名稱：ZJ 

國家代碼：CN 

serverkey私鑰的密碼，不填寫和keystore的密碼一致：123456 

就能夠生成kserver.keystore文件 

server.keystore是給服務端用的，其中保存着本身的私鑰 

 

2）根據私鑰，導出服務端證書 

keytool -export -alias serverkey -keystore kserver.keystore -file server.crt 

server.crt就是服務端的證書 

 

3）將服務端證書，導入到客戶端的Trust KeyStore中 

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore 

tclient.keystore是給客戶端用的，其中保存着受信任的證書 

 

採用一樣的方法，生成客戶端的私鑰，客戶端的證書，而且導入到服務端的Trust KeyStore中 

1）keytool -genkey -alias clientkey -keystore kclient.keystore 

2）keytool -export -alias clientkey -keystore kclient.keystore -file client.crt 

3）keytool -import -alias clientkey -file client.crt -keystore tserver.keystore 

 

如此一來，生成的文件分紅兩組 

服務端保存：kserver.keystore tserver.keystore 

客戶端保存：kclient.keystore  tclient.kyestore 

 

接下來，就採用JSSE，分別生成SSLServerSocket,SSLSocket 

 

服務端，生成SSLServerSocket代碼 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT); 

 

客戶端，生成SSLSocket的代碼，大同小異 

SSLContext ctx = SSLContext.getInstance("SSL"); 

 

KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 

TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); 

 

KeyStore ks = KeyStore.getInstance("JKS"); 

KeyStore tks = KeyStore.getInstance("JKS"); 

 

ks.load(new FileInputStream("data/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tks.load(new FileInputStream("data/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray()); 

 

kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray()); 

tmf.init(tks); 

 

ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); 

 

return (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT); 

 

如此，就完成了服務端和客戶端之間的基於身份認證的交互。 

 

client採用kclient.keystore中的clientkey私鑰進行數據加密，發送給server 

server採用tserver.keystore中的client.crt證書（包含了clientkey的公鑰）對數據解密，若是解密成功，證實消息來自client，進行邏輯處理 

 

server採用kserver.keystore中的serverkey私鑰進行數據叫米，發送給client 

client採用tclient.keystore中的server.crt證書（包含了serverkey的公鑰）對數據解密，若是解密成功，證實消息來自server，進行邏輯處理 

 

若是過程當中，解密失敗，那麼證實消息來源錯誤。不進行邏輯處理。這樣就完成了雙向的身份認證。