SSL + Socket NIO 原理 与 SSLEngine + Naga SSLSocket 的使用

最新推荐文章于 2024-09-03 09:29:24 发布
原创 最新推荐文章于 2024-09-03 09:29:24 发布 · 置顶 · 6.1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#socket #AIO #NIO #NAGA #SSLEngine

本文详细介绍了SSL协议的记录协议和握手协议,包括工作流程和原理。接着,深入讲解了SSLEngine在Java中的使用,包括握手流程、状态标志以及如何在Naga库中应用SSL,提供了自签名证书的申请和Naga SSL的使用代码示例。

什么是SSL

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。[百度百科]

SSL记录协议

SSL纪录协议(Record Protocol)为SSL连提供两种服务。

  1. 保密性:利用握手协议所定义的共享密钥对SSL净荷(Payload)加密。
  2. 完整性:利用握手协议所定义的共享的MAC密钥来生成报文的鉴别码(MAC)。

工作流程

  • 发送方

    1. 从应用层获取要发送的数据(包括各种消息和数据)
    2. 对信息进行分段,分成若干纪录
    3. 使用指定的压缩算法进行数据压缩(Optional)
    4. 使用指定的MAC算法生成MAC
    5. 使用指定的加密算法进行数据加密(RC4)
    6. 添加SSL纪录协议的头,发送数据

  • 接收方

    1. 接收数据并从SSL纪录协议的头中获取相关信息
    2. 使用指定的解密算法解密数据(RC4)
    3. 使用指定的MAC算法校验MAC
    4. 使用压缩算法对数据解压缩(如指定)
    5. 将纪录进行数据重组
    6. 将数据发送给应用层

SSL握手协议

SSL握手协议(Handshake Protocol)提供为SSL提供加密信道的建立服务。

  1. 身份认证:通过证书或者可信公钥文件进行身份认证
  2. 协商密钥:通过信息交换,相互协商一个流加密密钥

原理

SSL在信道加密之前,首先要进行握手通信,协商出流加密密钥,其握手过程如下图:
这里写图片描述

在网页浏览过程中,网站服务器为Client端,浏览器为Server端。这是因为此时网站为不可信源,所以需要对不可信源进行验证。

在Android开发过程中,APP为不可信源,所以APP为Client端,服务器为Server端。

从上图可以看出,当建立连接时,客户端主动发起请求,服务器监听后应答,并寻求身份验证,身份验证可通过证书或者服务器所发送的公钥进行识别。客户端发送服务器签发的证书或者公钥信息、随机密码,服务器验证后也会发送给客户端一个随机密码,当双方都有一对随机密码后,通过协商的算法将一对随机密码合成为最终的流加密密钥,到此握手协商完成。

SSLEngine的使用

SSLEngine的握手流程

在实际开发过程中,一般使用 SSLEngine进行SSL信道建立。SSLEngine可以和阻塞、非阻塞的Socket一起工作。

阻塞的Socket一般为SSLServerSocket和SSLSocke,虽然使用方便,但是扩展性和并发性较差。没法满足大并发的业务要求,所以暂且不在继续分析。

非阻塞的Socket一般是与SocketChannel结合使用。SSLEngine在工作时,有以下几个阶段:

  1. 创建:在此阶段,程序可以设置SSLEngine,其中包括:证书或者公钥文件的指定、通过SSLContext生成SSLEngine、设置SSLEngine在握手过程中的角色身份。
  2. 握手协商: SSLEngine根据上一节的握手过程进行握手操作。
  3. 数据传输:握手完成后,SSLEngine通过协商的流密钥进行加解密数据并传输数据。
  4. 重新握手:程序可以在数据传输的任意时间,请求重新协商握手密钥。SSLEngine会重置通信参数,但不能更改客户端/服务器角色模式,设置完成后,会在下一次通信中开始重新握手。
  5. 关闭引擎: 当关闭SSLEngine时,SSLEngine会完成剩余数据的处理工作,并关闭连接。

SSLEngine的状态标志

SSLEngine在握手协商过程中会根据握手数据交互,设置自己的不同状态:NEED_UNWRAP、NEED_WRAP、NEED_TASK、FINISHED、NOT_HANDSHAKING。

  • NEED_UNWRAP: SSLEngine在等待握手数据时,状态为NEED_UNWRAP,表明为解包数据的状态。
  • NEED_TASK:由于SSLEngine为异步处理,所以当进行解包完毕后,采用回调方式触发,这个中间过程SSLEngine状态为NEED_TASK。
  • NEED_WRAP:当解包数据处理完毕后,SSLEngine的状态为NEED_WRAP,这时候是将回告数据打包,等待下一步操作。
  • FINISHED:当握手协商结束时,SSLEngine的状态为FINISHED,SSLEngine准备做随后的一些整理操作。
  • NOT_HANDSHAKING:此时的SSLEngine已经完成握手协商,准备对应用数据进行加解密处理。

Naga 库中 SSL 使用

Naga提供了对SSL的支持,并且通过封装NIOServerSocketSSL、SSLServerSocketChannelResponder、SSLSocketChannelResponder、SSLSocketObserver使SSL与channel完美结合,形成AIO Sokcet + SSL完整的通信加密方案。

自签名认证证书的申请

SSLEngine认证过程中有时需要使用自签名的认证证书及其认证文件,SSLContext可以引入自签名文件并由SSLContext.createSSLEngine()所产生SSLEngine,由于SSLContext

最低0.47元/天 解锁文章

新学期VIP享超值加赠
fy2462
关注
java nio ssl_java SSL Server
weixin_35985796的博客
02-13 501
NIO中有socketChannel但是没有sslSocketChannel,据文档中说,如果要实现sslsocketChannel会牵涉很多代码的实现,增加api的复杂程度;ssl的实现也不应该依赖于是NIO还是传统的基于stream的IO,应该给程序员自己进行组合的自由,因此就没有在Java标准中提供相关的api,而留给程序员实现。为了支持nio实现ssl通讯,从java1.5开始增加了ja...
java nio ssl_SSLEngine + NIO 实现SSL握手协议
weixin_31124869的博客
02-13 1051
Java 提供了阻塞和非阻塞I/O。非阻塞的I/O,大大提高了服务器的扩展性和伸缩性。SSLServerSocketSSLSocket是阻塞的socket调用。这连个类分别继承自ServerSocketSocket, 封装了SSL(Secure Socket Layer)和TLS(Transport Layer Security), 提供了安全套接字。ServerSocketSocket是阻...
SSLEngine + NIO 实现SSL握手协议
marlay@126.com
02-10 1034
Java 提供了阻塞和非阻塞I/O。非阻塞的I/O,大大提高了服务器的扩展性和伸缩性。SSLServerSocketSSLSocket是阻塞的socket调用。这连个类分别继承自ServerSocketSocket, 封装了SSL(Secure Socket Layer)和TLS(Transport Layer Security), 提供了安全套接字。ServerSocketSocket是阻...
Java SocketNIO
weixin_34162401的博客
05-03 170
在前面的两篇文章中,留下了一个问题,对于 TCP 或 UDP 的服务器,如何实现并发处理客户端。 最直观的想法就是为每个到来的请求,创建一个单独的线程来处理,但是这种方式未免太浪费资源了,那可以使用线程池来管理线程,这样可以节约资源。以 TCP 服务器举例。 首先需要定义一个需要提交到线程池中的任务。 public class TCPRunnable implements Runnable { ...
java SSLEngine初探,demo代码帮助理解
热门推荐
老专家的博客
05-19 1万+
Class SSLEngine java keystore 工具 SSLEngine的示例 内,所引用的原代码样例地址【已不可用】 简介:SSLEngine简单理解为,就是数据发送前wrap打包加密,数据接收时unwrap解包解密,这样一个https通过SSLEngine的过程。如下: 你的程序《———》SSLEngine《———》网络 过程:先建立http连接,然后是使用ssl的ha...
【亲测免费】 SSLEngine 示例项目教程
gitblog_00970的博客
09-03 419
SSLEngine 示例项目教程 1. 项目的目录结构及介绍 sslengine.example/ ├── src/ │ ├── main/ │ │ ├── java/ │ │ │ ├── client/ │ │ │ │ ├── SSLClient.java │ │ │ ├── server/ │ │ │ │ ├── SSLSer...
Mina+Socket通信
07-17
本篇文章将深入探讨如何使用MinaSocket实现通信,并提供客户端和服务端的实现代码概述。 Mina(全称“MINA: Minimalistic Application Networking API”)是Apache软件基金会的一个开源项目,它为开发者提供了一...
基于 MINA 的 TLS/SSL NIO Socket 实现(二)
05-25
在本篇博文中,我们将深入探讨如何利用Apache MINA库实现基于TLS/SSLNIO(非阻塞I/O)Socket通信。MINA是一个高度可扩展的网络应用框架,广泛用于构建高性能、高并发的网络应用程序,如服务器端的TCP和UDP服务。...
java版socket NIO实现,包含客户端和服务端
最新发布
12-25
java版socket NIO实现不仅展示了如何使用Java中的NIO API来构建网络服务端和客户端,而且还体现了在高并发环境下处理网络I/O的高效方式。通过理解和运用NIO的特性,开发者可以构建出更加健壮和高效的网络应用。
SSL Engine 示例项目教程
gitblog_00920的博客
09-03 453
SSL Engine 示例项目教程 项目介绍 SSL Engine 示例项目是一个用于演示如何构建和配置 SSL/TLS 服务的开源项目。该项目旨在帮助开发者理解和实现安全的网络通信,通过提供一个简单的示例,展示如何在不同的应用场景中使用 SSL/TLS 技术。 项目快速启动 环境准备 确保你已经安装了 git 和 docker。 克隆项目 git clone https://github.c...
niossl:SSLSocketChannel和SSLServerSocketChannel实现
05-19
NIO SSL 阻塞IO不同,JVM不提供扩展基本套接字通道类的标准SSLSocketChannel和SSLServerSocketChannel类。 相反,必须使用手动编排SSL交换。 该项目提供了和,可以像和一样使用。 入门 直接下载 您可以直接下载并将其放置在您的项目中。 使用Maven 将以下依赖项添加到您的Maven项目中: < dependency> < groupId>org.baswell</ groupId> < artifactId>niossl</ artifactId> < version>0.2</ version> </ dependency> 复制来源 该项目只是几个源文件,没有外部依赖性。 您可以直接在项目中直接。 使用SSLSocketChannel 由普通的SocketChannel和必要的SSL相关信息
java SocketChannel通信实例
09-18
这是一个非阻塞通信学习的基础模板,让你轻松掌握非阻塞通信。里面还包含了可运行的jar包,可以抢先体验效果哦~_~
tls-channel:一个Java库,可通过SSLEngine实现ByteChannel接口,从而为Java应用程序启用易于使用的(类似于套接字的)TLS
02-03
TLS频道 TLS通道是一个通过 (传输层安全性)连接实现接口的库。 它将所有加密操作委托给标准Java TLS实现: ; 有效地将其隐藏在易于使用的流API后面,从而可以以最小的复杂性来证券化JVM应用程序。 换句话说,一个简单的库允许程序员使用用于纯文本的标准套接字API相同的标准套接字API来实现TLS,就像OpenSSL对于C,仅用于Java一样,填补了标准库中一个特别痛苦的缺失功能。 主要特点 实现 , 和 ,这是由实现的相同接口,有效地使加密成为实现细节。 除了初始设置外,无需直接调用SSLEngine。 适用于客户端和服务器端TLS。 服务器端SNI :根据传入连接发送的接收到的,支持选择不同的 (SSLEngine完全不支持此功能,但Web浏览器和服务器普遍使用此功能)。 使用相同的API支持阻塞和非阻塞模式,就像SocketChannel对未加密的连接一样。 支持全双工使用,读写操作之间没有任何交叉锁定。 可插拔缓冲区策略(这对于节省GC的缓冲区池或使用直接缓冲区来加快I / O很有用)。 在数据停止运行之后,内部缓冲区中包含的所有纯文本完全自动清零
安全网络通信(SSL&JSSE)
风继续吹
06-01 2690
在网络上,信息由源主机发送到目标主机的传输过程中会经过一些其他计算机。 当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络 中正在传播的信息截获或者捕获到,从而进行攻击 ...
HTTPS笔记:使用 SSLEngineaioserver 服务器提供 SSL 访问支持
weixin_30470857的博客
05-22 192
现在 HTTPS 的普及率是越来越高,闲来无事,花了二三天时间,为五年前写的 aioserver 服务器提供了 SSL 访问支持。 查看网上资料,为了提高服务器的高并发,建议使用SSLEngine 网上搜索了一些关于SSLEngine使用资料,看了后就照葫芦画瓢,开工。 其间一个问题困扰了我好几个小时,在进行SSL握手的时候: doUnwrap() 解包后, 有 2 种情况: 1....
HTTPS通信的C++实现
weixin_34319817的博客
10-29 2948
为什么80%的码农都做不了架构师?>>> ...
Java SSLSocket使用
chen_410063005的专栏
12-20 2281
1. 什么是SSLSocket JDK文档指出,SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。 这种套接字是正常的流套接字,但是它们在基础网络传输协议(如TCP)上添加了安全保护层。 具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。   2. SSLSocket和相关类 SSLSocket来自jsse(Java Secure ...
SSLSocket
weixin_33807284的博客
07-01 303
SSLSocket定义 SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。它也是基于正常的流套接字,但是在网络传输协议(如TCP)上添加了安全保护层。 SSLSocket相关类 类 功能描述 SSLContext 该类的实例表示安全套接字协议的实现,是SSLSocketFactory、SSLServer...
Netty+NIO实现高效Socket聊天系统教程
在本知识点中,我们将详细探讨如何使用Netty框架来实现一个NIO(非阻塞IO)Socket聊天系统。这个示例不仅会涉及网络编程的核心概念,还会展示如何利用Netty强大的特性来构建一个高性能的聊天应用。 ### 知识点一:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值