1. HTTPS概念
??? ????1)簡(jiǎn)介???
??????? HTTPS(全稱:Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標(biāo)的 HTTP 通道,簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL,因此加密的詳細(xì)內(nèi)容就需要SSL。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗(yàn)證與加密 通訊 方法,現(xiàn)在它被廣泛用于 萬(wàn)維網(wǎng) 上安全敏感的通訊,例如交易支付方面。
????? 2)HTTPS和HTTP的區(qū)別
a. https協(xié)議需要到ca申請(qǐng)證書,一般免費(fèi)證書很少,需要交費(fèi)。
b. http是 超文本傳輸協(xié)議 ,信息是明文傳輸;https 則是具有 安全性 的ssl加密傳輸協(xié)議。
c. http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
d. http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的 網(wǎng)絡(luò)協(xié)議 ,比http協(xié)議安全。
????? 3)HTTPS的作用
????? 它的主要作用可以分為兩種:一種是建立一個(gè) 信息安全 通道,來(lái)保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性。
a. 一般意義上的https,就是服務(wù)器有一個(gè)證書。主要目的是保證服務(wù)器就是他聲稱的服務(wù)器,這個(gè)跟第一點(diǎn)一樣; 服務(wù)端 和客戶端之間的所有 通訊 ,都是加密的。
b. 具體講,是客戶端產(chǎn)生一個(gè)對(duì)稱的 密鑰 ,通過(guò)服務(wù)器的證書來(lái)交換密鑰,即一般意義上的握手過(guò)程。
c. 接下來(lái)所有的信息往來(lái)就都是加密的。第三方即使截獲,也沒有任何意義,因?yàn)樗麤]有密鑰,當(dāng)然篡改也就沒有什么意義了。
d.少許對(duì)客戶端有要求的情況下,會(huì)要求客戶端也必須有一個(gè)證書。
這里客戶端證書,其實(shí)就類似表示個(gè)人信息的時(shí)候,除了用戶名/密碼,還有一個(gè)CA 認(rèn)證過(guò)的身份。因?yàn)閭€(gè)人證書一般來(lái)說(shuō)是別人無(wú)法模擬的,所有這樣能夠更深的確認(rèn)自己的身份。目前少數(shù)個(gè)人銀行的專業(yè)版是這種做法,具體證書可能是拿U盤(即U盾)作為一個(gè)備份的載體。
?
2.SSL簡(jiǎn)介
1)簡(jiǎn)介
SSL (Secure Socket Layer)為Netscape所研發(fā),用以保障在Internet上數(shù)據(jù)傳輸之安全,利用數(shù)據(jù)加密(Encryption)技術(shù),可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過(guò)程中不會(huì)被截取及監(jiān)聽。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。
2)SSL提供的服務(wù)
a.認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的 客戶機(jī) 和服務(wù)器
b.加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
c.維護(hù)數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過(guò)程中不被改變。
3) SSL協(xié)議的握手過(guò)程
SSL 協(xié)議既用到了公鑰加密技術(shù)又用到了對(duì)稱加密技術(shù),對(duì)稱加密技術(shù)雖然比公鑰加密技術(shù)的速度快,可是公鑰加密技術(shù)提供了更好的身份認(rèn)證技術(shù)。SSL 的握手協(xié)議非常有效的讓客戶和服務(wù)器之間完成相互之間的身份認(rèn)證,其主要過(guò)程如下:
①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL 協(xié)議的版本號(hào),加密算法的種類,產(chǎn)生的隨機(jī)數(shù),以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。
②服務(wù)器向客戶端傳送SSL 協(xié)議的版本號(hào),加密算法的種類,隨機(jī)數(shù)以及其他相關(guān)信息,同時(shí)服務(wù)器還將向客戶端傳送自己的證書。
③客戶利用服務(wù)器傳過(guò)來(lái)的信息驗(yàn)證服務(wù)器的合法性,服務(wù)器的合法性包括:證書是否過(guò)期,發(fā)行服務(wù)器證書的CA 是否可靠,發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”,服務(wù)器證書上的域名是否和服務(wù)器的實(shí)際域名相匹配。如果合法性驗(yàn)證沒有通過(guò),通訊將斷開;如果合法性驗(yàn)證通過(guò),將繼續(xù)進(jìn)行第四步。
④用戶端隨機(jī)產(chǎn)生一個(gè)用于后面通訊的“對(duì)稱密碼”,然后用服務(wù)器的公鑰(服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得)對(duì)其加密,然后傳給服務(wù)器。
⑤服務(wù)器用私鑰解密“對(duì)稱密碼”(此處的公鑰和私鑰是相互關(guān)聯(lián)的,公鑰加密的數(shù)據(jù)只能用私鑰解密,私鑰只在服務(wù)器端保留。詳細(xì)請(qǐng)參看:? http://zh.wikipedia.org/wiki/RSA%E7%AE%97%E6%B3%95 ),然后用其作為服務(wù)器和客戶端的“通話密碼”加解密通訊。同時(shí)在SSL 通訊過(guò)程中還要完成數(shù)據(jù)通訊的完整性,防止數(shù)據(jù)通訊中的任何變化。
⑥客戶端向服務(wù)器端發(fā)出信息,指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對(duì)稱密鑰,同時(shí)通知服務(wù)器客戶端的握手過(guò)程結(jié)束。
⑦服務(wù)器向客戶端發(fā)出信息,指明后面的數(shù)據(jù)通訊將使用的步驟⑤中的主密碼為對(duì)稱密鑰,同時(shí)通知客戶端服務(wù)器端的握手過(guò)程結(jié)束。
⑧SSL 的握手部分結(jié)束,SSL 安全通道的數(shù)據(jù)通訊開始,客戶和服務(wù)器開始使用相同的對(duì)稱密鑰進(jìn)行數(shù)據(jù)通訊,同時(shí)進(jìn)行通訊完整性的檢驗(yàn)。
? ? ? ?
?
3.配置服務(wù)器端證書
為了能實(shí)施SSL,一個(gè)web服務(wù)器對(duì)每個(gè)接受安全連接的外部接口(IP 地址)必須要有相應(yīng)的證書(Certificate)。關(guān)于這個(gè)設(shè)計(jì)的理論是一個(gè)服務(wù)器必須提供某種合理的保證以證明這個(gè)服務(wù)器的主人就是你所認(rèn)為的那個(gè)人。這個(gè)證書要陳述與這個(gè)網(wǎng)站相關(guān)聯(lián)的公司,以及這個(gè)網(wǎng)站的所有者或系統(tǒng)管理員的一些基本聯(lián)系信息。
這個(gè)證書由所有人以密碼方式簽字,其他人非常難偽造。對(duì)于進(jìn)行電子商務(wù)(e-commerce)的網(wǎng)站,或其他身份認(rèn)證至關(guān)重要的任何商業(yè)交易,認(rèn)證書要向大家所熟知的認(rèn)證權(quán)威(Certificate Authority (CA))如VeriSign或Thawte來(lái)購(gòu)買。這樣的證書可用電子技術(shù)證明屬實(shí)。實(shí)際上,認(rèn)證權(quán)威單位會(huì)擔(dān)保它發(fā)出的認(rèn)證書的真實(shí)性,如果你信任發(fā)出認(rèn)證書的認(rèn)證權(quán)威單位的話,你就可以相信這個(gè)認(rèn)證書是有效的。
關(guān)于權(quán)威證書的申請(qǐng),請(qǐng)參考: http://www.cnblogs.com/mikespook/archive/2004/12/22/80591.aspx
在許多情況下,認(rèn)證并不是真正使人擔(dān)憂的事。系統(tǒng)管理員或許只想要保證被服務(wù)器傳送和接收的數(shù)據(jù)是秘密的,不會(huì)被連接線上的偷竊者偷到。慶幸的是,Java提供相對(duì)簡(jiǎn)單的被稱為keytool的命令行工具,可以簡(jiǎn)單地產(chǎn)生“自己簽名”的證書。自己簽名的證書只是用戶產(chǎn)生的證書,沒有正式在大家所熟知的認(rèn)證權(quán)威那里注冊(cè)過(guò),因此不能確保它的真實(shí)性。但卻能保證數(shù)據(jù)傳輸?shù)陌踩浴?
用Tomcat來(lái)配置SSL主要有下面這么兩大步驟:
1)生成證書
a. 在命令行下執(zhí)行:
%Java_home%\bin\keytool -genkey -alias tomcat -keyalg RSA
在此命令中,keytool是JDK自帶的產(chǎn)生證書的工具。把RSA運(yùn)算法則作為主要安全運(yùn)算法則,這保證了與其它服務(wù)器和組件的兼容性。
這個(gè)命令會(huì)在用戶的home directory產(chǎn)生一個(gè)叫做" .keystore " 的新文件。在執(zhí)行后,你首先被要求出示keystore密碼。Tomcat使用的默認(rèn)密碼是" changeit "(全都是小寫字母),如果你愿意,你可以指定你自己的密碼。你還需要在server.xml配置文件里指定自己的密碼,這在以后會(huì)有描述。
b .你會(huì)被要求出示關(guān)于這個(gè)認(rèn)證書的一般性信息,如公司,聯(lián)系人名稱,等等。這些信息會(huì)顯示給那些試圖訪問你程序里安全網(wǎng)頁(yè)的用戶,以確保這里提供的信息與他們期望的相對(duì)應(yīng)。
c.你會(huì)被要求出示密鑰(key)密碼,也就是這個(gè)認(rèn)證書所特有的密碼(與其它的儲(chǔ)存在同一個(gè)keystore文件里的認(rèn)證書不同)。你必須在這里使用與keystore密碼相同的密碼。(目前,keytool會(huì)提示你按ENTER鍵會(huì)自動(dòng)幫你做這些)。
如果一切順利,你現(xiàn)在就擁有了一個(gè)可以被你的服務(wù)器使用的有認(rèn)證書的keystore文件。
2) 配置tomcat
第二個(gè)大步驟是把secure socket配置在$CATALINA_HOME/conf/server.xml文件里。$CATALINA_HOME代表安裝Tomcat的目錄。一個(gè)例子是SSL連接器的元素被包括在和Tomcat一起安裝的缺省server.xml文件里。它看起來(lái)象是這樣:
$CATALINA_HOME/conf/server.xml
<
--
Define a SSL Coyote HTTP/1.1 Connector on port 8443 --
>
<
!--
< Connector
port
="8443"
minProcessors
="5"
maxProcessors
="75"
enableLookups
="true"
disableUploadTimeout
="true"
acceptCount
="100"
debug
="0"
scheme
="https"
secure
="true"
;
clientAuth
="false"
sslProtocol
="TLS"
/>
-->
Connector元素本身,其默認(rèn)形式是被注釋掉的(commented out),所以需要把它周圍的注釋標(biāo)志刪除掉。然后,可以根據(jù)需要客戶化(自己設(shè)置)特定的屬性。一般需要增加一下keystoreFile和keystorePass兩個(gè)屬性,指定你存放證書的路徑(如:keystoreFile="C:/.keystore")和剛才設(shè)置的密碼(如:keystorePass="123456")。關(guān)于其它各種選項(xiàng)的詳細(xì)信息,可查閱Server Configuration Reference。
在完成這些配置更改后,必須象重新啟動(dòng)Tomcat,然后你就可以通過(guò)SSL訪問Tomcat支持的任何web應(yīng)用程序。只不過(guò)指令需要像下面這樣:https://localhost:8443
?
4.客戶端代碼實(shí)現(xiàn)
在Java中要訪問Https鏈接時(shí),會(huì)用到一個(gè)關(guān)鍵類 HttpsURLConnection ;參見如下實(shí)現(xiàn)代碼:
//
創(chuàng)建URL對(duì)象
URL myURL =
new
URL("https://www.sun.com");
//
創(chuàng)建HttpsURLConnection對(duì)象,并設(shè)置其SSLSocketFactory對(duì)象
HttpsURLConnection httpsConn = (HttpsURLConnection) myURL.openConnection();
//
取得該連接的輸入流,以讀取響應(yīng)內(nèi)容
InputStreamReader insr =
new
InputStreamReader(httpsConn.getInputStream());
//
讀取服務(wù)器的響應(yīng)內(nèi)容并顯示
int
respInt = insr.read();
while
(respInt != -1) {
System.out.print((
char
) respInt);
respInt = insr.read();
}
在取得connection的時(shí)候和正常瀏覽器訪問一樣,仍然會(huì) 驗(yàn)證服務(wù)端的證書是否被信任 (權(quán)威機(jī)構(gòu)發(fā)行或者被權(quán)威機(jī)構(gòu)簽名);如果服務(wù)端證書不被信任,則默認(rèn)的實(shí)現(xiàn)就會(huì)有問題,一般來(lái)說(shuō),用 SunJSSE 會(huì)拋如下異常信息:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building?
|
failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
|
上面提到SunJSSE,JSSE(Java Secure Socket Extension)是實(shí)現(xiàn)Internet安全通信的一系列包的集合。它是一個(gè)SSL和TLS的純Java實(shí)現(xiàn),可以透明地提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、信息完整性等功能,可以使我們像使用普通的套接字一樣使用JSSE建立的安全套接字。JSSE是一個(gè)開放的標(biāo)準(zhǔn),不只是Sun公司才能實(shí)現(xiàn)一個(gè)SunJSSE,事實(shí)上其他公司有自己實(shí)現(xiàn)的JSSE,然后通過(guò)JCA就可以在JVM中使用。
關(guān)于JSSE的詳細(xì)信息參考官網(wǎng)Reference:
http://java.sun.com/j2se/1.5.0/docs/guide/security/jsse/JSSERefGuide.html
;
以及Java Security Guide:
http://java.sun.com/j2se/1.5.0/docs/guide/security/
;
在深入了解JSSE之前,需要了解一個(gè)有關(guān)Java安全的概念:客戶端的TrustStore文件。客戶端的TrustStore文件中保存著被客戶端所信任的服務(wù)器的證書信息。客戶端在進(jìn)行SSL連接時(shí),JSSE將根據(jù)這個(gè)文件中的證書決定是否信任服務(wù)器端的證書。在SunJSSE中,有一個(gè)信任管理器類負(fù)責(zé)決定是否信任遠(yuǎn)端的證書,這個(gè)類有如下的處理規(guī)則:
1)若系統(tǒng)屬性
javax.net.sll.trustStore
指定了TrustStore文件,那么信任管理器就去jre安裝路徑下的lib/security/目錄中尋找并使用這個(gè)文件來(lái)檢查證書。
2)若該系統(tǒng)屬性沒有指定TrustStore文件,它就會(huì)去jre安裝路徑下尋找默認(rèn)的TrustStore文件,這個(gè)文件的相對(duì)路徑為:lib/security/
jssecacerts
。
3)若jssecacerts不存在,但是cacerts存在(它隨J2SDK一起發(fā)行,含有數(shù)量有限的可信任的基本證書),那么這個(gè)默認(rèn)的TrustStore文件就是lib/security/
cacerts
。
那遇到這種情況,怎么處理呢?有以下兩種方案:
1)按照以上信任管理器的規(guī)則,
將服務(wù)端的公鑰導(dǎo)入到j(luò)ssecacerts
,或者是在系統(tǒng)屬性中設(shè)置要加載的trustStore文件的路徑;證書導(dǎo)入可以用如下命令:keytool -import -file src_cer_file –keystore dest_cer_store;至于證書可以通過(guò)瀏覽器導(dǎo)出獲得;
2)、實(shí)現(xiàn)自己的證書信任管理器類,比如
MyX509TrustManager
,該類必須實(shí)現(xiàn)X509TrustManager接口中的三個(gè)method;然后在HttpsURLConnection中加載自定義的類,可以參見如下兩個(gè)代碼片段,其一為自定義證書信任管理器,其二為connect時(shí)的代碼:
package
test;
import
java.io.FileInputStream;
import
java.security.KeyStore;
import
java.security.cert.CertificateException;
import
java.security.cert.X509Certificate;
import
javax.net.ssl.TrustManager;
import
javax.net.ssl.TrustManagerFactory;
import
javax.net.ssl.X509TrustManager;
public
class
MyX509TrustManager
implements
X509TrustManager {
/*
* The default X509TrustManager returned by SunX509. We'll delegate
* decisions to it, and fall back to the logic in this class if the
* default X509TrustManager doesn't trust it.
*/
X509TrustManager sunJSSEX509TrustManager;
MyX509TrustManager()
throws
Exception {
//
create a "default" JSSE X509TrustManager.
KeyStore ks = KeyStore.getInstance("JKS");
ks.load(
new
FileInputStream("trustedCerts"),
"passphrase".toCharArray());
TrustManagerFactory tmf =
TrustManagerFactory.getInstance("SunX509", "SunJSSE");
tmf.init(ks);
TrustManager tms [] = tmf.getTrustManagers();
/*
* Iterate over the returned trustmanagers, look
* for an instance of X509TrustManager. If found,
* use that as our "default" trust manager.
*/
for
(
int
i = 0; i < tms.length; i++) {
if
(tms[i]
instanceof
X509TrustManager) {
sunJSSEX509TrustManager = (X509TrustManager) tms[i];
return
;
}
}
/*
* Find some other way to initialize, or else we have to fail the
* constructor.
*/
throw
new
Exception("Couldn't initialize");
}
/*
* Delegate to the default trust manager.
*/
public
void
checkClientTrusted(X509Certificate[] chain, String authType)
throws
CertificateException {
try
{
sunJSSEX509TrustManager.checkClientTrusted(chain, authType);
}
catch
(CertificateException excep) {
//
do any special handling here, or rethrow exception.
}
}
/*
* Delegate to the default trust manager.
*/
public
void
checkServerTrusted(X509Certificate[] chain, String authType)
throws
CertificateException {
try
{
sunJSSEX509TrustManager.checkServerTrusted(chain, authType);
}
catch
(CertificateException excep) {
/*
* Possibly pop up a dialog box asking whether to trust the
* cert chain.
*/
}
}
/*
* Merely pass this through.
*/
public
X509Certificate[] getAcceptedIssuers() {
return
sunJSSEX509TrustManager.getAcceptedIssuers();
}
}
//
創(chuàng)建SSLContext對(duì)象,并使用我們指定的信任管理器初始化
TrustManager[] tm = {
new
MyX509TrustManager() };
SSLContext sslContext = SSLContext.getInstance("SSL", "SunJSSE");
sslContext.init(
null
, tm,
new
java.security.SecureRandom());
//
從上述SSLContext對(duì)象中得到SSLSocketFactory對(duì)象
SSLSocketFactory ssf = sslContext.getSocketFactory();
//
創(chuàng)建URL對(duì)象
URL myURL =
new
URL("https://ebanks.gdb.com.cn/sperbank/perbankLogin.jsp");
//
創(chuàng)建HttpsURLConnection對(duì)象,并設(shè)置其SSLSocketFactory對(duì)象
HttpsURLConnection httpsConn = (HttpsURLConnection) myURL.openConnection();
httpsConn.setSSLSocketFactory(ssf);
//
取得該連接的輸入流,以讀取響應(yīng)內(nèi)容
InputStreamReader insr =
new
InputStreamReader(httpsConn.getInputStream());
//
讀取服務(wù)器的響應(yīng)內(nèi)容并顯示
int
respInt = insr.read();
while
(respInt != -1) {
System.out.print((
char
) respInt);
respInt = insr.read();
}
對(duì)于以上兩種實(shí)現(xiàn)方式,各有各的優(yōu)點(diǎn),第一種方式 不會(huì)破壞JSSE的安全性 ,但是要手工導(dǎo)入證書,如果服務(wù)器很多,那每臺(tái)服務(wù)器的JRE都必須做相同的操作;第二種方式 靈活性更高 ,但是要小心實(shí)現(xiàn),否則可能會(huì)留下安全隱患;
更多文章、技術(shù)交流、商務(wù)合作、聯(lián)系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號(hào)聯(lián)系: 360901061
您的支持是博主寫作最大的動(dòng)力,如果您喜歡我的文章,感覺我的文章對(duì)您有幫助,請(qǐng)用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點(diǎn)擊下面給點(diǎn)支持吧,站長(zhǎng)非常感激您!手機(jī)微信長(zhǎng)按不能支付解決辦法:請(qǐng)將微信支付二維碼保存到相冊(cè),切換到微信,然后點(diǎn)擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對(duì)您有幫助就好】元
