Java网络编程精解讲义15.ppt
《Java网络编程精解讲义15.ppt》由会员分享,可在线阅读,更多相关《Java网络编程精解讲义15.ppt(54页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Java网络编程精解作者:孙卫琴作者:孙卫琴作者:孙卫琴作者:孙卫琴参考书籍:参考书籍:参考书籍:参考书籍:技术支持网址:技术支持网址:技术支持网址:技术支持网址:www.javathinker.orgwww.javathinker.org第15章 安全网络通信 参考Java网络编程精解的第15章n15.1 SSL简介n15.1.1 加密通信n15.1.2 安全证书n15.1.3 SSL握手n15.1.4 创建自我签名的安全证书n15.2 JSSE简介n15.3 创建基于SSL的安全服务器和安全客户 15.1 SSL简介nSSL(Server Socket Layer)是一种保证网络上的两个节
2、点进行安全通信的协议。nIETF(Internet Engineering Task Force)对SSL作了标准化,制订了RFC2246规范,并将其称为TLS(Transport Layer Security)。n从技术上讲,目前的TLS1.0与SSL3.0的差别非常微小。15.1 SSL简介建立在SSL协议上的HTTP被称为HTTPS协议。HTTP使用的默认端口为80,而HTTPS使用的默认端口为443。15.1 SSL简介n用户在网上商店购物,当他输入信用卡信息,进行网上支付交易时,存在以下不安全因素:n用户的信用卡信息在网络上传输时有可能被他人截获。n用户发送的信息在网络上传输时可能被
3、非法篡改,数据完整性被破坏。n用户正在访问的Web站点是个非法站点,专门从事网上欺诈活动,比如骗取客户的资金。nSSL采用加密技术来实现安全通信,保证通信数据的保密性和完整性,并且保证通信双方可以验证对方的身份。15.1.1 加密通信n加密技术的基本原理是:n数据从一端发送到另一端时,发送者先对数据加密,然后再把它发送给接收者。这样,在网络上传输的是经过加密的数据。n如果有人在网络上非法截获了这批数据,由于没有解密的密钥,就无法获得真正的原始数据。n接收者接收到加密的数据后,先对数据解密,然后再处理。15.1.1 加密通信15.1.2 安全证书n除了对数据加密通信,SSL还采用了身份认证机制,
4、确保通信双方都可以验证对方的真实身份。nSSL通过安全证书来证明客户或服务器的身份。当客户通过安全的连接和服务器通信时,服务器会先向客户出示它的安全证书,这个证书声明该服务器是安全的而且的确是这个服务器。n每一个证书在全世界范围内都是惟一的,其他非法服务器无法假冒原始服务器的身份。n可以把安全证书比作电子身份证。15.1.2 安全证书n获取安全证书有两种方式:n一种方式是从权威机构购买证书。n还有一种方式是创建自我签名的证书。15.1.2 安全证书1从权威机构获得证书n安全证书可以有效的保证通信双方的身份的可信性。安全证书采用加密技术制作而成,他人几乎无法伪造。安全证书由国际权威的证书机构(C
5、A,Certificate Authority)如VeriSign()和Thawte()颁发,它们保证了证书的可信性。n申请安全证书时,必须支付一定的费用。一个安全证书只对一个IP地址有效。15.1.2 安全证书n2创建自我签名证书n在某些场合,通信双方只关心数据在网络上可以安全传输,并不需要对方进行身份验证,在这种情况下,可以创建自我签名(self-assign)的证书,比如通过Sun公司提供的keytool工具就可以创建这样的证书。15.1.3 SSL握手n安全证书既包含了用于加密数据的密钥,又包含了用于证实身份的数字签名。n安全证书采用公钥加密技术。n公钥加密是指使用一对非对称的密钥进行
6、加密或解密。每一对密钥由公钥和私钥组成。公钥被广泛发布。私钥是隐密的,不公开。用公钥加密的数据只能够被私钥解密。反过来,使用私钥加密的数据只能被公钥解密。15.1.3 SSL握手n客户与服务器通信时,首先要进行SSL握手,SSL握手主要完成以下任务:n协商使用的加密套件。加密套件中包括一组加密参数,这些参数指定了加密算法和密钥的长度等信息。n验证对方的身份。此操作是可选的。n确定使用的加密算法。15.1.4 创建自我签名的安全证书nSun公司提供了制作证书的工具keytool。在JDK1.4以上版本中包含了这一工具,它的位置为:binkeytool.exe,此外,也可以到以下站点单独下载key
7、tool:http:/ mystore-keyalg RSA-keystore C:test.keys15.1.4 创建自我签名的安全证书nkeytool命令将生成包含一对非对称密钥和自我签名的证书,这个命令中的参数的意思为:ngenkey:生成一对非对称密钥。nalias:指定密钥对的别名,该别名是公开的。nkeyalg:指定加密算法,本例中采用通用的RSA算法。nkeystore:指定安全证书的存放路径。15.2 JSSE简介nJSSE封装了底层复杂的安全通信细节,使得开发人员能方便的利用它来开发安全的网络应用程序。nJSSE主要包括四个包:.ssl包:包括进行安全通信的类,比如SSLSe
8、rverSocket和SSLSocket类。包:包括安全套接字的工厂类,比如SSLServerSocketFactory和SSLSocketFactory类。njava.security.cert包:包括处理安全证书的类,如X509Certificate类。X.509是由国际电信联盟(ITU-T)制定的安全证书的标准。.ssl包:包括SUN公司提供的JSSE的实现类。15.2 JSSE简介nJSSE具有以下重要特征:n纯粹用Java语言编写。n可以出口到大多数国家。n提供了支持SSL2.0和SSL3.0的JSSE API,,并且提供了SSL 3.0 的JSSE实现。n提供了支持TLS1.0的J
9、SSE API和JSSE实现。n提供了用于创建安全连接的类,如SSLSocket、SSLServerSocket和SSLEngine。n支持加密通信。n支持客户端和服务器端的身份验证。n支持SSL会话。n支持一些常用的加密算法,比如RSA(加密长度2048位)、RC4(密钥长度128位)和DH(密钥长度1024位)。15.2 JSSE简介图15-3 JSSE API的主要类框图15.2 JSSE简介nJSSE中负责安全通信的最核心的类是SSLServerSocket类与SSLSocket类,它们分别是ServerSocket与Socket类的子类。nSSLSocket对象由SSLSocketF
10、actory创建,此外,SSLServerSocket的accept()方法也会创建SSLSocket。nSSLServerSocket对象由SSLServerSocketFactory创建。nSSLSocketFactory、SSLServerSocketFactory以及SSLEngine对象都由SSLContext对象创建。nSSLEngine类用于支持非阻塞的安全通信。15.2 JSSE简介n例程15-1的HTTPSClient类的createSocket()方法创建了采用SSL协议的SSLSocket对象。public void createSocket()throws Except
11、ion factory=(SSLSocketFactory)SSLSocketFactory.getDefault();socket=(SSLSocket)factory.createSocket(host,port);String supported=socket.getSupportedCipherSuites();socket.setEnabledCipherSuites(supported);15.2.1 KeyStore、KeyManager与TrustManager类n在进行安全通信时,要求客户端与服务器端都支持SSL或TCL协议。n客户端与服务器端可能都需要设置用于证实自身身份的
12、安全证书,还要设置信任对方的哪些安全证书。15.2.1 KeyStore、KeyManager与TrustManager类nKeyStore类用于存放安全证书。以下程序代码创建了一个KeyStore对象,它从test.keys文件中加载安全证书。String passphrase=654321;/JKS是SUN支持的KeyStore的类型KeyStore keyStore=KeyStore.getInstance(JKS);char password=passphrase.toCharArray();/password参数用于打开安全证书keyStore.load(new FileInputS
13、tream(test.keys),password);15.2.1 KeyStore、KeyManager与TrustManager类nKeyManager接口的任务是选择用于证实自身身份的安全证书,把它发送给对方。KeyManagerFactory负责创建KeyManager对象,例如:KeyManagerFactory keyManagerFactory=KeyManagerFactory.getInstance(SunX509);keyManagerFactory.init(keyStore,password);KeyManager keyManagers=keyManagerFacto
14、ry.getKeyManagers();15.2.1 KeyStore、KeyManager与TrustManager类nTrustManager接口的任务是决定是否信任对方的安全证书。nTruesManagerFactory负责创建TrustManager对象,例如:TrustManagerFactory trustManagerFactory=TrustManagerFactory.getInstance(SunX509);trustManagerFactory.init(keyStore);TrustManager trustManagers=trustManagerFactory.ge
15、tTrustManagers();15.2.2 SSLContext类nSSLContext类负责设置与安全通信有关的各种信息,比如使用的协议(SSL或者TLS),自身的安全证书以及对方的安全证书。SSLContext还负责构造SSLServerSocketFactory、SSLSocketFactory和SSLEngine对象。n以下程序代码创建并初始化了一个SSLContext对象,然后由它创建了一个SSLServerSocketFactory对象:SSLContext sslCtx=SSLContext.getInstance(TLS);/采用TLS协议sslCtx.init(kmf.g
16、etKeyManagers(),tmf.getTrustManagers(),null);SSLServerSocketFactory ssf=sslCtx.getServerSocketFactory();15.2.3 SSLServerSocketFactory类nSSLServerSocketFactory类负责创建SSLServerSocket对象:SSLServerSocket serverSocket=(SSLServerSocket)sslServerSocketFactory.createServerSocket(8000);/监听端口8000nSSLServerSocketF
17、actory对象有两种创建方法:n(1)调用SSLContext类的getServerSocketFactory()方法。n(2)调用SSLServerSocketFactory类的静态getDefault()方法。15.2.4 SSLSocketFactory类nSSLSocketFactory类负责创建SSLSocket对象:SSLSocket socket=(SSLSocket)sslSocketFactory.createSocket(localhost,8000);nSSLSocketFactory对象有两种创建方法:n(1)调用SSLContext类的getSocketFactor
18、y()方法。n(2)调用SSLSocketFactory类的静态getDefault()方法。15.2.5 SSLSocket类nSSLSocket类是Socket类的子类,因此两者的用法有许多相似之处。nSSLSocket类还具有与安全通信有关的方法:n1设置加密套件n2.处理握手结束事件n3.管理SSL会话n4客户端模式15.2.5 SSLSocket类1设置加密套件nSSLSocket类的getSupportedCipherSuites()方法返回一个字符串数组,它包含当前SSLSocket对象所支持的加密套件组。nSSLSocket类的setEnabledCipherSuites(St
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Java 网络 编程 讲义 15
限制150内