免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

本文需要讀者對(duì)mina和SSl原理有一定的了解，所以本文中對(duì)mina和SSL的原理，不做詳細(xì)的介紹。

TSL/SSL雙向認(rèn)證連接：Server端和Client端通信，需要進(jìn)行授權(quán)和身份的驗(yàn)證，即Client只能接受Server的消息，Server只能接受Client的消息。這樣就可以在客戶機(jī)和服務(wù)器之間通過TCP/IP協(xié)議安全地傳輸數(shù)據(jù)。

在mina中實(shí)現(xiàn)TSL/SSL雙向認(rèn)證連接，本人目前所知有三種方式：
1.Server端和Client端各自擁有自簽名的私有密鑰證書，重寫的 javax.net.ssl.X509TrustManager接口中的三個(gè)方法實(shí)現(xiàn)Server端和Client端信認(rèn)證書。
2.Server端和Client端各自擁有自簽名的私有密鑰證書，并且互相交換公鑰，通過對(duì)方公鑰互相信認(rèn)對(duì)方證書。
3.Server端和Client端各自擁有可信認(rèn)的第三方認(rèn)證機(jī)構(gòu)(ＣＡ)簽名私有密鑰證書,通過ＣＡ互相信認(rèn)對(duì)方證書。
以上三種方式，實(shí)現(xiàn)復(fù)雜度從低到高，靈活度安全性也從低到高。本系列文章將將會(huì)從簡到難分別介紹三種方式的TSL/SSL雙向認(rèn)證連接。

下面我們介紹第一種實(shí)現(xiàn)方式：Server端和Client端各自擁有自簽名的私有密鑰證書，重寫的 javax.net.ssl.X509TrustManager接口中的三個(gè)方法實(shí)現(xiàn)Server端和Client端信認(rèn)證書。

首先，創(chuàng)建Server端和Client端各自的私有密鑰證書，在這里使用keytool，關(guān)于keytool的使用在這里不作詳細(xì)介紹，請(qǐng)參考它處。

1.創(chuàng)建Server端KeyStore文件serverKeys.jks，包含一個(gè)用于服務(wù)器的證書 ：


2.創(chuàng)建Client端KeyStore文件clientKeys.jks，分別包含用于虛構(gòu)的通信者 Alice 和 Bob 的證書 ：


其次重寫的 javax.net.ssl.X509TrustManager接口中的三個(gè)方法實(shí)現(xiàn)Server端和Client端信認(rèn)證書，代碼中BogusTrustManagerFactory類有關(guān)X509TrustManager實(shí)現(xiàn)的片斷，具體參考源碼

	static final X509TrustManager X509 = new X509TrustManager() {/*** 確認(rèn)和信任將其用于基于身份驗(yàn)證類型的客戶端 SSL 身份驗(yàn)證*/public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {if (x509Certificates == null || x509Certificates.length == 0)throw new IllegalArgumentException("null or zero-length certificate chain");if (s == null || s.length() == 0)throw new IllegalArgumentException("null or zero-length authentication type");boolean br = false;Principal principal = null;for (X509Certificate x509Certificate : x509Certificates) {principal = x509Certificate.getSubjectDN();if (principal != null && (StringUtils.contains(principal.getName(), "Alice") || StringUtils.contains(principal.getName(), "Bob"))) {br = true;return;}}if (!br) {throw new CertificateException("連接認(rèn)證失??！");}}/*** 確認(rèn)和信任將其用于基于身份驗(yàn)證類型的服務(wù)器 SSL 身份驗(yàn)證*/public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {if (x509Certificates == null || x509Certificates.length == 0)throw new IllegalArgumentException("null or zero-length certificate chain");if (s == null || s.length() == 0)throw new IllegalArgumentException("null or zero-length authentication type");boolean br = false;Principal principal = null;for (X509Certificate x509Certificate : x509Certificates) {principal = x509Certificate.getSubjectDN();if (principal != null && (StringUtils.contains(principal.getName(), "sundoctor.com"))) {br = true;return;}}if (!br) {throw new CertificateException("連接認(rèn)證失?。?);}}public X509Certificate[] getAcceptedIssuers() {return new X509Certificate[0];}};

在這里checkClientTrusted(X509Certificate[] x509Certificates, String s)驗(yàn)證客戶端證書，在這里只是簡單的驗(yàn)證一下客戶端證書CN是否為Alice或Bob, checkServerTrusted(X509Certificate[] x509Certificates, String s)驗(yàn)證服務(wù)端證書，這里只是簡單的驗(yàn)證一下服務(wù)端的CN是否為sundoctor.com。更復(fù)雜的驗(yàn)證，大家可以自行實(shí)現(xiàn)。

最后是創(chuàng)建服務(wù)端和客戶端SSLContext工廠類，分別初始化服務(wù)端和客戶端的SSLContext

// Initialize the SSLContext to work with our key managers.SSLContext sslContext = SSLContext.getInstance(PROTOCOL);sslContext.init(getKeyManagers(serverKeys, serverKeysPassword), BogusTrustManagerFactory.X509_MANAGERS, null);

初始化SSLContext需要KeyManagers和TrustManager，TrustManager參見BogusTrustManagerFactory，使用serverKeys.jks、clientKeys.jks分別構(gòu)建服務(wù)端和客戶端KeyManagers

	private static KeyManager[] getKeyManagers(String keysfile, String password) throws GeneralSecurityException,IOException {// First, get the default KeyManagerFactory.KeyManagerFactory kmf = KeyManagerFactory.getInstance(KEY_MANAGER_FACTORY_ALGORITHM);// Next, set up the TrustStore to use. We need to load the file into// a KeyStore instance.KeyStore ks = KeyStore.getInstance("JKS");InputStream in = BogusSslContextFactory.class.getResourceAsStream(keysfile);ks.load(in, password.toCharArray());in.close();// Now we initialise the KeyManagerFactory with this KeyStorekmf.init(ks, password.toCharArray());// And now get the TrustManagersreturn kmf.getKeyManagers();}

服務(wù)端（TLSServer）和客戶端（TLSClient）測試代碼比較簡單，具體請(qǐng)參考源碼，在這里有一點(diǎn)需要注意的就是在服務(wù)端添加加密過濾器 SslFilter時(shí)必須設(shè)置為:sslFilter.setNeedClientAuth(true)，需要驗(yàn)證客戶端證書。

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。