安全SOCKET

导语

要使用安全Socket需要对密码学有一定的了解。在阅读本文之前最好能阅读一下下面几个网站的内容

http://kb.cnblogs.com/page/194742/

http://kb.cnblogs.com/page/162080/

http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html

http://geek.csdn.net/news/detail/188003

创建安全客户端Socket

创建一个安全Socket很简单，首先从javax.net.ssl.SSLSocketFactory获取一个默认的工厂对象。然后通过该工厂的createSocket()方法得到一个具体的Socket对象。下面是一个简单的例子

SocketFactory factory = SSLSocketFactory.getDefault();
Socket socket = factory.createSocket("www.xdysite.cn", 7000);

代码中返回的Socket实际上是javax.net.ssl.SSLSocket，这是java.net.Socket的一个子类。不过，我们不需要了解这些细节。我们就把他当成普通的socket来使用即可，即通过其getInputStream(),getOutputStream()和其它方法加以使用。

一个简单的小案例

假设有一个接受订单的服务器在www.xdysite.cn的7000端口监听连接。每个订单使用一个TCP连接以ASCII字符串的形式发送。服务器接受订单并关闭这个连接(这里我们省略大量细节)。客户端发送的订单形式如下：

Name: liming

Product: 67x-89

Address: 1280 XiDian University

Card number: 4000-1234-5678-901

Expires: 2016/12/29

这个消息中包含了大量的信息，足以让某个监听数据包的人恶意地使用liming的信用卡号码。因此，在发送这个订单之前，应当对它加密。下面的代码将通过安全Socket发送订单：

SocketFactory factory = SSLSocketFactory.getDefault();
		try {
			Socket socket = factory.createSocket("www.xdysite.cn", 7000);
			Writer out = new OutputStreamWriter(socket.getOutputStream(), "ASCII");
			out.write("Name: liming\r\n");
			out.write("Product: 67x-89\r\n");
			out.write("Address: 1280 XiDian University\r\n");
			out.write("Card number: 4000-1234-5678-901\r\n");
			out.write("Expires: 2016/12/29\r\n");
			out.flush();
		} catch (IOException e) {
			e.printStackTrace();
		}

下面是一个HTTPS客户端的示例代码

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.OutputStreamWriter;
import java.io.Writer;

import javax.net.SocketFactory;
import javax.net.ssl.SSLSocket;
import javax.net.ssl.SSLSocketFactory;

public class HTTPSClient {

	public static void main(String[] args) {
		if (args.length == 0) {
			System.out.println("Usage: java HTTPSClient host");
			return;
		}
		int port = 443;
		String host = args[0];
		SocketFactory factory =  SSLSocketFactory.getDefault();
		SSLSocket socket = null;
		try {
			socket = (SSLSocket) factory.createSocket(host, port);

			//启用所有密码组
			String[] supported = socket.getSupportedCipherSuites();
			socket.setEnabledCipherSuites(supported);

			Writer out = new OutputStreamWriter(socket.getOutputStream(), "UTF-8");

			//https在GET行中需要完全URL
			out.write("GET / HTTP/1.1\r\n");
			out.write("Host: " + host + "\r\n\r\n");
			out.flush();

			//读取响应
			BufferedReader in = new BufferedReader(new InputStreamReader(socket.getInputStream()));

			//读取首部
			String s;
			while (!(s = in.readLine()).equals("")) {
				System.out.println(s);
			}

			System.out.println();

			//读取长度
			String contentLength = in.readLine();
			int length = Integer.MAX_VALUE;
			try {
				length = Integer.parseInt(contentLength.trim(), 16);
			} catch (NumberFormatException e) {
				//这个服务器在响应体的第一行
				//没有发送content-length
			}
			System.out.println(contentLength);

			int c;
			int i = 0;
			while ((c = in.read()) != -1 && i++ < length) {
				System.out.write(c);;
			}
			System.out.println();
		} catch (IOException e) {
			e.printStackTrace();
		} finally {
			try {
				socket.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
		}
	}
}

通过上面的程序，我们可以访问类似https://www.baidu.com网站的内容。

HTTPS服务的实现

HTTPS服务器实现起来比较复杂，要创建一个安全服务器Socket，必须要完成下面的步骤：

• 使用keytool工具生成公钥和证书
• 花钱请可信的第三方(权威CA)认证证书
• 为使用的加密算法创建SSLContext
• 为使用的证书源创建一个TrustManagerFactory
• 为使用的密钥类型创建一个KeyManagerFactory
• 为密钥和证书数据库创建一个KeyStor对象
• 用密钥和证书填充KeyStore对象
• 用KeysStore及其口令短语初始化KeyManagerFactory
• 用KeyManagerFactory中的密钥管理器(必要)，TrustManagerFactory中的信任管理器和一个随机源来初始化上下文

前两步我们要么自己去做，要么找一个CA机构帮我们直接生成。为了完成测试，我们去https://www.pianyissl.com/网站获取一个免费的SSL证书。获取的是一个压缩包，解压后可以从Tomcat目录下找到keystore.jks文件通过JDK中的keytool工具可以查看证书的信息。

keytool -list -v -keystore /root/javaTest/Tomcat/keystore.jks

图片中显示的是证书的部分信息,那么接下来如何将该证书加载到服务器呢?

import java.io.FileInputStream;
import java.io.IOException;
import java.io.OutputStreamWriter;
import java.io.Writer;
import java.net.Socket;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.UnrecoverableKeyException;
import java.security.cert.CertificateException;
import java.util.Arrays;

import javax.net.ssl.KeyManagerFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLServerSocket;
import javax.net.ssl.SSLServerSocketFactory;

public class SSLServer {
	public final static int PORT = 7000;
	public final static String algorithm ="SSL";

	public static void main(String[] args) {
		try {
			SSLContext context = SSLContext.getInstance("SSL");

			//设置只支持X.509标准的密钥
			KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");

			//Oracle的默认密钥库类型
			KeyStore ks = KeyStore.getInstance("JKS");

			//加载证书,在读取jks类型的证书时需要输入密码(这里是123456)
			char[] password = "123456".toCharArray();
			ks.load(new FileInputStream("keystore.jks"), password);
			kmf.init(ks, password);
			context.init(kmf.getKeyManagers(), null, null);

			//删除密码
			Arrays.fill(password, '0');

			SSLServerSocketFactory factory = context.getServerSocketFactory();
			SSLServerSocket server = (SSLServerSocket) factory.createServerSocket(PORT);
			while(true) {
				try(
					Socket client = server.accept();
					Writer writer = new OutputStreamWriter(client.getOutputStream());
				){
					writer.write("HTTP/1.1 200 OK\r\n");
					writer.write("Server: SSlServer\r\n");
					writer.write("Content-lenght: 10\r\n\r\n");
					writer.write("hello ssl!");
				}catch(IOException e){}
			}

		} catch (NoSuchAlgorithmException | IOException
				| UnrecoverableKeyException | KeyManagementException
				| CertificateException| KeyStoreException e) {

		}
	}
}

访问http://www.xdysite.cn:7000端口就可以使用SSL安全链接的HTTP了