《安全网络通信》PPT课件.ppt

《《安全网络通信》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《安全网络通信》PPT课件.ppt（69页珍藏版）》请在三一办公上搜索。

1、Java网络程序设计,安全网络通信,SSL简介JSSE简介创建基于SSL的安全服务器和安全客户,主要内容,SSL简介,SSL（Server Socket Layer）是一种保证网络上的两个节点进行安全通信的协议。IETF（Internet Engineering Task Force）对SSL作了标准化，制订RFC2246规范，并将其称为TLS（Transport Layer Security）。从技术上讲，目前的TLS1.0与SSL3.0的差别非常微小。,SSL简介,建立在SSL协议上的HTTP被称为HTTPS协议。HTTP使用默认端口为80，而HTTPS使用默认端口为443。,SSL简介,

2、用户在网上商店购物，当输入信用卡信息，进行网上支付交易时，存在以下不安全因素：(1)信用卡信息在网络上传输时有可能被他人截获。(2)用户发送的信息在网络上传输时可能被非法篡改，数据完整性被破坏。(3)用户正在访问非法Web站点，专门从事网上欺诈活动，比如骗取客户的资金。,SSL采用加密技术实现安全通信，保证通信数据的保密性和完整性，并且保证通信双方可以验证对方的身份。,加密通信,数据从一端发送到另一端时，发送者先对数据加密，然后再把它发送给接收者。这样，在网络上传输的是经过加密的数据。如果有人在网络上非法截获这批数据，由于没有解密的密钥，就无法获得真正的原始数据。接收者接收到加密的数据后，先对

3、数据解密，然后再处理。,加密通信示意图,安全证书,除了对数据加密通信，SSL还采用身份认证机制，确保通信双方都可以验证对方的真实身份。SSL通过安全证书证明客户或服务器的身份。当客户通过安全连接和服务器通信时，服务器会先向客户出示它的安全证书，这个证书声明该服务器是安全的而且的确是这个服务器。,安全证书,每一个证书在全世界范围内都是惟一的，其他非法服务器无法假冒原始服务器的身份。可以把安全证书比作电子身份证。,获取安全证书的两种方式,方式一：从权威机构购买证书。方式二：创建自我签名的证书。,从权威机构获得证书,安全证书可以有效的保证通信双方的身份的可信性。安全证书采用加密技术制作，他人几乎无法

4、伪造。安全证书由国际权威的证书机构（CA，Certificate Authority）如VeriSign（）和Thawte（）颁发，它们保证证书的可信性。申请安全证书时，必须支付一定的费用。一个安全证书只对一个IP地址有效。,公钥加密,安全证书既包含用于加密数据的密钥，又包含用于证实身份的数字签名。安全证书采用公钥加密技术。公钥加密是指使用一对非对称的密钥进行加密或解密。每一对密钥由公钥和私钥组成。公钥被广泛发布。私钥是隐密的，不公开。用公钥加密的数据只能够被私钥解密。反过来，使用私钥加密的数据只能被公钥解密。,创建自我签名证书,某些场合下，通信双方只关心数据在网络上可以安全传输，并不需要对方

5、进行身份验证。这种情况下，可以创建自我签名（self-assign）的证书，比如通过Sun公司提供的keytool工具就可以创建这样的证书。,制作证书的工具keytool,JDK1.4以上版本中包含这一工具，它的位置为：binkeytool.exe，此外，也可以到以下站点单独下载keytool：通过keytool工具创建证书的命令为:keytool-genkey-alias mystore-keyalg RSA-keystore C:test.keys,keytool命令将生成包含一对非对称密钥和自我签名的证书，命令中参数的意思：genkey:生成一对非对称密钥。alias:指定密钥对的别名，

6、该别名是公开的。keyalg:指定加密算法，本例中采用通用的RSA算法。keystore:指定安全证书的存放路径。,SSL握手,客户与服务器通信时，首先要进行SSL握手。SSL握手主要完成：(1)协商使用的加密套件。加密套件中包括一组加密参数，这些参数指定加密算法和密钥的长度等信息。(2)验证对方的身份。此操作是可选的。(3)确定使用的加密算法。,SSL简介JSSE简介创建基于SSL的安全服务器和安全客户,主要内容,JSSE(Java Secure Socket Extension),JSSE封装底层复杂的安全通信细节，使开发人员能方便的利用它开发安全的网络应用程序。,JSSE主要包括四个包：

7、包：包括进行安全通信的类，如SSLServerSocket和SSLSocket类。(2)包：包括安全套接字的工厂类，如SSLServerSocketFactory和SSLSocketFactory类。包：包括处理安全证书的类，如X509Certificate类。X.509是由国际电信联盟（ITU-T）制定的安全证书的标准。包：包括SUN公司提供的JSSE的实现类。,JSSE具有以下特征,纯粹用Java语言编写。可以出口到大多数国家。提供支持SSL2.0和SSL3.0的JSSE API,，并且提供SSL 3.0 的JSSE实现。提供支持TLS1.0的JSSE API和JSSE实现。提供用于创建安

8、全连接的类，如SSLSocket、SSLServerSocket和SSLEngine。,JSSE具有以下特征,支持加密通信。支持客户端和服务器端的身份验证。支持SSL会话。支持一些常用加密算法，比如RSA（加密长度2048位）、RC4（密钥长度128位）和DH（密钥长度1024位）。,JSSE API的主要类框图,JSSE中负责安全通信的最核心类是SSLServerSocket类与SSLSocket类，它们分别是ServerSocket与Socket类的子类。SSLSocket对象由SSLSocketFactory创建;SSLServerSocket的accept()方法也会创建SSLSock

9、et。SSLServerSocket对象由SSLServerSocketFactory创建。SSLSocketFactory、SSLServerSocketFactory以及SSLEngine对象都由SSLContext对象创建。SSLEngine类用于支持非阻塞的安全通信。,下列createSocket()方法创建采用SSL协议的SSLSocket对象。public void createSocket()throws Exceptionfactory=(SSLSocketFactory)SSLSocketFactory.getDefault();socket=(SSLSocket)facto

10、ry.createSocket(host,port);Stringsupported=socket.getSupportedCipherSuites();socket.setEnabledCipherSuites(supported);,C/S安全管理,在进行安全通信时，要求客户端与服务器端都支持SSL或TCL协议。客户端与服务器端可能都需要设置用于证实自身身份的安全证书，还要设置信任对方的哪些安全证书。,KeyStore类,存放安全证书。以下程序创建一个KeyStore对象，它从test.keys文件中加载安全证书。String passphrase=654321;/JKS是SUN支持的Ke

11、yStore的类型KeyStore keyStore=KeyStore.getInstance(JKS);char password=passphrase.toCharArray();/password参数用于打开安全证书keyStore.load(new FileInputStream(test.keys),password);,KeyManager类,选择证实自身身份的安全证书，把它发送给对方。KeyManagerFactory负责创建KeyManager对象，如：KeyManagerFactory keyManagerFactory=KeyManagerFactory.getInstan

12、ce(SunX509);keyManagerFactory.init(keyStore,password);KeyManager keyManagers=keyManagerFactory.getKeyManagers();,TrustManager类,决定是否信任对方的安全证书。TruesManagerFactory负责创建TrustManager对象，如：TrustManagerFactory trustManagerFactory=TrustManagerFactory.getInstance(SunX509);trustManagerFactory.init(keyStore);Tru

13、stManager trustManagers=trustManagerFactory.getTrustManagers();,SSLContext类,设置与安全通信有关的各种信息，如使用的协议（SSL或者TLS），自身的安全证书以及对方的安全证书。SSLContext还负责构造SSLServerSocketFactory、SSLSocketFactory和SSLEngine对象。,以下程序创建并初始化一个SSLContext对象，然后由它创建一个SSLServerSocketFactory对象：SSLContext sslCtx=SSLContext.getInstance(TLS);/采用

14、TLS协议sslCtx.init(kmf.getKeyManagers(),tmf.getTrustManagers(),null);SSLServerSocketFactory ssf=sslCtx.getServerSocketFactory();,SSLServerSocketFactory类,负责创建SSLServerSocket对象：SSLServerSocket serverSocket=(SSLServerSocket)sslServerSocketFactory.createServerSocket(8000);/监听端口8000,SSLServerSocketFactory对

15、象有两种创建方法：（1）调用SSLContext类的getServerSocketFactory()方法。（2）调用SSLServerSocketFactory类的静态getDefault()方法。,SSLSocketFactory类,负责创建SSLSocket对象：SSLSocket socket=(SSLSocket)sslSocketFactory.createSocket(localhost,8000);SSLSocketFactory对象有两种创建方法：（1）调用SSLContext类的getSocketFactory()方法。（2）调用SSLSocketFactory类的静态get

16、Default()方法。,SSLSocket类,SSLSocket类是Socket类的子类，因此两者用法有许多相似之处。SSLSocket类具有与安全通信有关的方法:(1)设置加密套件(2)处理握手结束事件(3)管理SSL会话(4)客户端模式,设置加密套件,SSLSocket类的getSupportedCipherSuites()方法返回一个字符串数组，包含当前SSLSocket对象所支持的加密套件组。SSLSocket类的setEnabledCipherSuites(String suites)方法设置当前SSLSocket对象的可使用加密套件组。可使用的加密套件组应该是所支持的加密套件组的

17、子集。,以下代码启用具有高加密强度的加密套件，可以提高该通信端的安全性，禁止那些不支持强加密的通信端连接当前通信端：String strongSuites=SSL_DES_DSS_WITH_3DES_EDE_CBC_SHA,SSL_RSA_WITH_RC4_128_MD5,SSL_RSA_WITH_RC4_128_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA;sslSocket.setEnabledCipherSuites(strongSuites);,处理握手结束事件,SSL握手需要花费很长时间，当SSL握手完成，会发出一个HandshakeCompletedEvent

18、事件，该事件由HandshakeCompletedListener负责监听。SSLSocket类的addHandshakeCompletedListener()方法负责注册HandshakeCompletedListener监听器。,HandshakeCompletedEvent类提供获取与握手事件相关的信息的方法：(1)public SSLSession getSession()/获得会话(2)public String getCipherSuite()/获得实际使用的加密套件(3)public SSLSocket getSocket()/获得发出该事件的套接字HandshakeComple

19、tedListener接口的以下方法负责处理握手结束事件:public void handshakeCompleted(HandshakeCompletedEvent event),SSLSocket类用于管理SSL会话:为了提高安全通信的效率，SSL协议允许多个SSLSocket共享同一个SSL会话。在同一个会话中，只有第一个打开的SSLSocket需要进行SSL握手，负责生成密钥以及交换密钥，其余的SSLSocket都共享密钥信息。,byte getId()/获得会话ID。每个会话都有惟一的IDString getCipherSuite()/获得实际使用的加密套件long getCreat

20、ionTime()/获得创建会话的时间long getLastAccessedTime()/获得最近一次访问会话的时间。访问会话是指程序创建一个使用该会话的SSLSocket。String getPeerHost()/获得通信对方的主机int getPeerPort()/获得通信对方的端口void invalidate()/使会话失效boolean isValid()/判断会话是否有效,SSLSession接口表示SSL会话,SSLSocket的getSession()返回SSLSocket所属会话。SSLSocket的setEnableSessionCreation(boolean flag

21、)决定SSLSocket是否允许创建新会话。flag参数默认值为true。(1)如果flag为true，对于新创建的SSLSocket，如果当前已经有可用会话，就直接加入该会话，如果没有可用会话，就创建一个新会话。(2)如果flag为false，对于新创建的SSLSocket，如果当前已经有可用会话，就直接加入该会话，如果没有可用会话，那么该SSLSocket无法与对方进行安全通信。,SSLSocket的startHandshake()显式执行一次SSL握手。该方法用途：(1)使得会话使用新的密钥。(2)使得会话使用新的加密套件。(3)重新开始一个会话。为了保证不重用原先的会话，应该先将原先的

22、会话失效：socket.getSession().invalidate();socket.startHandshake();,客户端模式,多数情况下客户端无需向服务器证实自己的身份。当一个通信端无需向对方证实自己身份，就称它处于客户模式，否则称它处于服务器模式。SSLSocket的setUseClientMode(boolean mode)设置客户模式或者服务器模式。如果mode参数为true，表示客户模式，即无需向对方证实自己的身份；如果mode参数为false，表示服务器模式，即需要向对方证实自己的身份。,当SSLSocket处于服务器模式，通过以下方法决定是否要求对方提供身份认证：(1)

23、setWantClientAuth(boolean want)：当want参数为true，表示希望对方提供身份认证。如果对方未出示安全证书，连接不会中断，通信继续进行。(2)setNeedClientAuth(boolean need)：当need参数为true，表示要求对方必须提供身份认证。如果对方未出示安全证书，连接中断，通信无法继续。,SSLServerSocket类是ServerSocket类的子类，因此两者的用法有许多相似之处。SSLServerSocket类还具有与安全通信有关的方法。这些方法与SSLSocket类中的同名方法具有相同的作用。,String getSupported

24、CipherSuites()：返回一个字符串数组，它包含当前SSLServerSocket对象所支持的加密套件组。void setEnabledCipherSuites(String suites)：设置当前SSLServerSocket对象可使用的加密套件组。String getEnabledCipherSuites()：返回一个字符串数组，它包含当前SSLServerSocket对象可使用的加密套件组。,设置加密套件的方法,管理SSL会话,void setEnableSessionCreation(boolean flag)：决定由当前SSLServerSocket对象创建的SSLSock

25、et对象是否允许创建新的会话。boolean getEnableSessionCreation()：判断由当前SSLServerSocket对象创建的SSLSocket对象是否允许创建新的会话。,设置客户端模式,void setUseClientMode(boolean mode)：当mode参数为true，表示客户端模式。void setWantClientAuth(boolean want)：当want参数为true，表示希望对方提供身份认证。void setNeedClientAuth(boolean need)：当need参数为true，表示要求对方必须提供身份认证。,SSLEngin

26、e类,SSLEngine类与SocketChannel类联合使用，实现非阻塞的安全通信。SSLEngine类封装与安全通信有关的细节，把应用程序发送的应用数据打包为网络数据。（打包是对应用数据进行加密，加入SSL握手数据，把它变为网络数据。SSLEngine类能把接收到的网络数据展开为应用数据。（展开是指对网络数据解密）SSLEngine类的wrap()方法负责打包应用数据，unwrap()方法负责展开网络数据。,在图3中，SocketChannel类负责发送和接收网络数据，SSLEngine类负责网络数据与应用数据之间的转换。,图3,SSLEngine类的wrap()以及unwrap()方法

27、都返回一个SSLEngineResult对象，它描述执行wrap()或unwrap()方法的结果。,SSLEngineResult类的getHandshakeStatus()返回SSL握手状态，如果取值为HandshakeStatus.NEED_TASK，表明握手没有完成，应该继续完成握手任务：if(result.getHandshakeStatus()=HandshakeStatus.NEED_TASK)Runnable runnable;while(runnable=engine.getDelegatedTask()!=null)runnable.run();,SSL简介JSSE简介创建基

28、于SSL的安全服务器和安全客户,主要内容,创建基于SSL的安全服务器和安全客户,SSL编程使用客户机/服务器模式，二者之间的通信使用SSL协议进行加密。本节先通过最简单的程序介绍服务器和客户程序之间如何通过SSL进行加密通信。,示例1：简单的SSL服务器程序,接受客户程序建立连接，并以加密方式向客户程序发送一串字符。(MySSLServer.java)SSL服务器程序运行时需要指定密钥库，以便向客户程序证明自己的身份。本实例演示通过编程指定密钥库和通过java命令选项指定密钥库的两种运行方式。,编程思路,基于Socket编程：（1）创建ServerSocket对象，传入端口号，（2）执行Ser

29、verSocket对象的accept()获取Socket类型的对象，并侦听端口以等待客户程序的请求连接。（3）通过Socket类型的对象获得输入和输出流，通过输入和输出流和客户程序进行通信。,SSL编程与基于Socket编程不同：（1）其ServerSocket对象通过一个特殊对象SSLServerSocketFactory类型对象创建；（2）输入和输出流将自动按照SSL协议指定的方法交换密钥并对数据进行加密。（3）需要指定包含证书的密钥库，以便客户程序确定SSL服务器是否可靠。,Step1:设置密钥库及口令,System.setProperty(,mykeystore);System.set

30、Property(,wshr.ut);,分析：通过System类的setProperty()可以设置系统参数。第一个参数是系统参数名称，第二个参数是为系统参数设置的值。作为SSL服务器程序，主要需要设置两个系统参数：指定密钥库的名称，指定密钥库的密码。,Step2:创建SSLServerSocketFactory类型的对象,SSLServerSocketFactory ssf=(SSLServerSocketFactory)SSLServerSocketFactory.getDefault();,分析：执行包中SSLServerSocketFactory类静态方法getDefault()，经过

31、强制转换获得SSLServerSocketFactory类型对象，将用它获取ServerSocket对象。,Step3:创建ServerSocket类型的对象,ServerSocket s=ssf.createServerSocket(5432);,分析：上一步得到SSLServerSocketFactory对象的createServerSocket()获得ServerSocket类型对象，方法参数中指定一个整数作为端口号，其值一般在1 65535之间，其中临时使用的端口号可取1024 65535之间的整数。,Step4:等待客户程序连接,Socket s=ss.accept();,分析：执行

32、上一步得到的ServerSocket对象的accept()，程序将在此处挂起，等待客户程序建立连接。该方法返回的Socket类型的对象可用于和客户程序之间的通信。,的,Step5:建立输出流,PrintStream out=new PrintStream(s.getOutputStream();out.println(“hello,Im 007!);,分析：上一步得到的Socket对象getOutputStream()得到输出流，通过该输出流发送的信息将加密传递给客户程序。这里使用输出流创建PrintStream类型对象。如果服务器程序同时处理客户程序发来字符串，可以通过Socket对象get

33、InputStream()得到输入流，从输入流读取客户发来的信息。,的,示例2：简单的客户端程序,它和运行服务器程序的建立连接，接受其发来的字符串并自动对其进行解密。（MySSLClient.java）,编程思路,基于Socket的客户端编程：（1）得到Socket类型的对象；（2）通过Socket类型的对象获得输入和输出流，通过输入和输出流和服务器程序进行通信。,SSL客户端编程与Socket客户端编程不同：（1）其Socket对象通过一个特殊对象SSLServerSocketFactory类型对象创建；,Step1:设置客户程序信任的密钥库,System.setProperty(.ssl.

34、trustStore,clienttrust);,分析：客户端欲和SSL服务器通信，则必须信任SSL服务器程序所使用的数字证书。因此客户程序应该将所信任的证书放在一个密钥库中（本实例“运行程序”部分给出了如何创建这样的密钥库）。这里假定客户程序信任的证书放在文件名为clienttrust的密钥库中。,Step2:创建SSLSocketFactory类型的对象,SSLSocketFactory ssf=(SSLSocketFactory)SSLSocketFactory.getDefault();,分析：执行包中SSLSocketFactory类的静态方法getDefault()，经过强制转换获

35、得SSLSocketFactory类型的对象，后面将用它获取Socket对象。,Step3:创建Socket类型对象，连接服务器程序,Socket s=ssf.createSocket(127.0.0.1,5432);,分析：上一步得到SSLSocketFactory对象的createSocket()和服务器指定端口建立连接。第一个参数是服务器IP地址或域名，如果只有一台计算机，使用“127.0.0.1”作为服务器的IP地址，或“Localhost”作为服务器的域名。第二个参数即服务器程序指定的端口号。,Step4:建立输出流,BufferedReader in=new BufferedRea

36、der(new InputStreamReader(s.getInputStream();,分析：执行Socket对象getInputStream()得到输入流，通过该输入流读取服务器程序发送来的信息并自动解密。这里使用输入流创建BufferedReader类型对象，以便通过readLine()语句读取字符串。如果服务器程序同时处理客户程序发来字符串，可以通过Socket对象getOutputStream()得到输出流，从输出流向服务器客户发送信息。,的,练习题1,问题：JSSE支持哪些协议？选项:a)FTPb)SSLc)TLSd)HTTP答案:b,c,练习题2,问题：SSL协议位于哪个层？选

37、项:a)网络层b)应用层c)传输层d)安全套节字层答案:d,练习题3,问题：以下哪些属于SSL协议的内容？选项:a)验证通信对方的身份b)保证数据的可靠传输，数据不会丢失c)对网络上传输的数据加密d)保证不会接收到乱序的数据包答案:a,c,练习题4,问题：以下哪些类的对象可以直接由SSLContext创建？选项:a)SSLServerSocketFactoryb)SSLSocketFactoryc)SSLEngined)SSLSockete)KeyStore答案:a,b,c,练习题5,问题：在SSL协议中，什么叫客户模式?选项:a)当一个通信端作为客户程序运行，就称它处于客户模式。b)当一个通信端无需向对方证实自己身份，就称它处于客户模式。c)当一个通信端要求对方必须提供身份验证，就称它处于客户模式。d)如果一个通信端处于服务器模式，那么另一端就处于客户模式。答案:b,练习题6,问题：关于TrustManager，以下哪些说法正确？选项:a)TrustManager用来证实自己的身份。b)TrustManager用来验证对方的身份。c)如果通信方A要求验证通信方B的身份时，通信方A的程序中必须创建TrustManager。d)如果通信方A要求验证通信方B的身份时，通信方B的程序中必须创建TrustManager。答案:b,c,