双向认证详解及Java实现

最新推荐文章于 2025-04-25 09:31:32 发布
最新推荐文章于 2025-04-25 09:31:32 发布
阅读量893 收藏 12
点赞数 33
文章标签: java 网络 ssl https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yk_dflkg/article/details/147128526
版权

文章目录

1. 双向认证概述

双向认证(Mutual Authentication)是一种网络通信安全机制,它要求通信的双方(通常是客户端和服务器)都需要向对方证明自己的身份。与传统的单向认证(只有服务器向客户端证明身份)不同,双向认证确保了通信双方的身份都得到验证,大大提高了系统的安全性。

双向认证通常基于数字证书和公钥基础设施(PKI)实现,主要用于需要高安全性的场景,如金融交易、企业VPN、API访问控制等。

2. 双向认证工作原理

双向认证的基本工作流程如下:

  1. 服务器认证

    • 客户端连接服务器
    • 服务器提供其数字证书
    • 客户端验证服务器证书的有效性
    • 如果验证成功,客户端确认服务器身份可信

  2. 客户端认证

    • 服务器要求客户端提供其数字证书
    • 客户端发送自己的证书
    • 服务器验证客户端证书的有效性
    • 如果验证成功,服务器确认客户端身份可信

  3. 安全通信建立

    • 双方身份都验证成功后,建立加密通信通道
    • 通信数据使用协商的加密算法和密钥进行保护

3. TLS/SSL双向认证详解

在TLS/SSL协议中,双向认证是在握手过程中完成的:

  1. 客户端发送ClientHello:包含支持的SSL版本、加密算法等信息
  2. 服务器返回ServerHello:确认SSL版本和加密算法
  3. 服务器发送证书:服务器发送自己的数字证书
  4. 服务器请求客户端证书:发送CertificateRequest消息
  5. 服务器发送ServerHelloDone:表示服务器端握手消息结束
  6. 客户端验证服务器证书
  7. 客户端发送证书:客户端发送自己的数字证书
  8. 客户端发送密钥交换信息:通常包含预主密钥(Pre-Master Secret)
  9. 客户端发送CertificateVerify:证明客户端拥有私钥
  10. 双方生成会话密钥:根据交换的信息生成对称加密密钥
  11. 双方发送Finished消息:确认握手完成
  12. 开始加密通信

4. Java实现双向认证

以下是使用Java实现TLS/SSL双向认证的详细步骤和代码示例。

4.1 证书准备

首先,我们需要准备服务器和客户端的证书。为了简化示例,这里使用Java的keytool工具生成自签名证书。在实际应用中,应该使用由认证机构(CA)签发的证书。

# 1. 创建服务器密钥库和证书
keytool -genkeypair -alias serverkey -keyalg RSA -keysize 2048 -validity 365 \
  -keystore server.keystore -storepass serverpwd \
  -dname "CN=localhost, OU=Server, O=Example, L=City, ST=State, C=Country"

# 2. 导出服务器证书
keytool -exportcert -alias serverkey -keystore server.keystore -storepass serverpwd \
  -file server.cer

# 3. 创建客户端密钥库和证书
keytool -genkeypair -alias clientkey -keyalg RSA -keysize 2048 -validity 365 \
  -keystore client.keystore -storepass clientpwd \
  -dname "CN=Client, OU=Client, O=Example, L=City, ST=State, C=Country"

# 4. 导出客户端证书
keytool -exportcert -alias clientkey -keystore client.keystore -storepass clientpwd \
  -file client.cer

# 5. 将服务器证书导入客户端信任库
keytool -importcert -alias serverkey -file server.cer -keystore client.truststore \
  -storepass clientpwd -noprompt

# 6. 将客户端证书导入服务器信任库
keytool -importcert -alias clientkey -file client.cer -keystore server.truststore \
  -storepass serverpwd -noprompt

4.2 服务器端实现

以下是一个简单的双向认证HTTPS服务器的Java实现:

import javax.net.ssl.*;
import java.io.*;
import java.security.*;

public class MutualAuthServer {
    private static final int PORT = 8443;
    private static final String SERVER_KEYSTORE = "server.keystore";
    private static final String SERVER_TRUSTSTORE = "server.truststore";
    private static final String KEYSTORE_PASSWORD = "serverpwd";
    private static final String TRUSTSTORE_PASSWORD = "serverpwd";

    public static void main(String[] args) {
        try {
            // 加载服务器密钥库
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream(SERVER_KEYSTORE), KEYSTORE_PASSWORD.toCharArray());
            
            // 设置密钥管理器
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            keyManagerFactory.init(keyStore, KEYSTORE_PASSWORD.toCharArray());
            KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();
            
            // 加载服务器信任库(包含客户端证书)
            KeyStore trustStore = KeyStore.getInstance("JKS");
            trustStore.load(new FileInputStream(SERVER_TRUSTSTORE), TRUSTSTORE_PASSWORD.toCharArray());
            
            // 设置信任管理器
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(trustStore);
            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
            
            // 创建SSL上下文并配置
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(keyManagers, trustManagers, new SecureRandom());
            
            // 创建SSL服务器套接字工厂
            SSLServerSocketFactory sslServerSocketFactory = sslContext.getServerSocketFactory();
            
            // 创建SSL服务器套接字
            SSLServerSocket sslServerSocket = (SSLServerSocket) sslServerSocketFactory.createServerSocket(PORT);
            
            // 启用客户端认证(这是双向认证的关键)
            sslServerSocket.setNeedClientAuth(true);
            
            System.out.println("服务器已启动,等待客户端连接...");
            
            while (true) {
                try {
                    // 接受客户端连接
                    SSLSocket sslSocket = (SSLSocket) sslServerSocket.accept();
                    System.out.println("客户端已连接: " + sslSocket.getInetAddress());
                    
                    // 处理客户端请求
                    handleClient(sslSocket);
                } catch (Exception e) {
                    System.out.println("处理客户端连接时出错: " + e.getMessage());
                    e.printStackTrace();
                }
            }
        } catch (Exception e) {
            System.out.println("服务器启动失败: " + e.getMessage());
            e.printStackTrace();
        }
    }
    
    private static void handleClient(SSLSocket sslSocket) throws IOException {
        try (
            BufferedReader in = new BufferedReader(new InputStreamReader(sslSocket.getInputStream()));
            PrintWriter out = new PrintWriter(sslSocket.getOutputStream(), true)
        ) {
            // 获取客户端证书信息
            SSLSession session = sslSocket.getSession();
            java.security.cert.Certificate[] certs = session.getPeerCertificates();
            System.out.println("客户端证书: " + ((certs.length > 0) ? certs[0].toString() : "无"));
            
            String line = in.readLine();
            System.out.println("收到客户端消息: " + line);
            
            // 回复客户端
            out.println("服务器已收到您的消息: " + line);
        } catch (Exception e) {
            System.out.println("处理客户端请求时出错: " + e.getMessage());
            e.printStackTrace();
        } finally {
            sslSocket.close();
        }
    }
}

4.3 客户端实现

以下是对应的双向认证HTTPS客户端实现:

import javax.net.ssl.*;
import java.io.*;
import java.security.*;

public class MutualAuthClient {
    private static final String HOST = "localhost";
    private static final int PORT = 8443;
    private static final String CLIENT_KEYSTORE = "client.keystore";
    private static final String CLIENT_TRUSTSTORE = "client.truststore";
    private static final String KEYSTORE_PASSWORD = "clientpwd";
    private static final String TRUSTSTORE_PASSWORD = "clientpwd";

    public static void main(String[] args) {
        try {
            // 加载客户端密钥库
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream(CLIENT_KEYSTORE), KEYSTORE_PASSWORD.toCharArray());
            
            // 设置密钥管理器
            KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
            keyManagerFactory.init(keyStore, KEYSTORE_PASSWORD.toCharArray());
            KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();
            
            // 加载客户端信任库(包含服务器证书)
            KeyStore trustStore = KeyStore.getInstance("JKS");
            trustStore.load(new FileInputStream(CLIENT_TRUSTSTORE), TRUSTSTORE_PASSWORD.toCharArray());
            
            // 设置信任管理器
            TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
            trustManagerFactory.init(trustStore);
            TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
            
            // 创建SSL上下文并配置
            SSLContext sslContext = SSLContext.getInstance("TLS");
            sslContext.init(keyManagers, trustManagers, new SecureRandom());
            
            // 创建SSL套接字工厂
            SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory();
            
            // 创建SSL套接字并连接服务器
            SSLSocket sslSocket = (SSLSocket) sslSocketFactory.createSocket(HOST, PORT);
            
            System.out.println("已连接到服务器,开始握手...");
            
            // 启动握手过程
            sslSocket.startHandshake();
            
            // 获取服务器证书信息
            SSLSession session = sslSocket.getSession();
            java.security.cert.Certificate[] certs = session.getPeerCertificates();
            System.out.println("服务器证书: " + ((certs.length > 0) ? certs[0].toString() : "无"));
            
            // 与服务器通信
            try (
                PrintWriter out = new PrintWriter(sslSocket.getOutputStream(), true);
                BufferedReader in = new BufferedReader(new InputStreamReader(sslSocket.getInputStream()))
            ) {
                String message = "Hello from Client! 这是一条安全消息。";
                out.println(message);
                System.out.println("已发送消息到服务器: " + message);
                
                String response = in.readLine();
                System.out.println("收到服务器响应: " + response);
            }
            
            // 关闭连接
            sslSocket.close();
            System.out.println("已断开连接");
            
        } catch (Exception e) {
            System.out.println("客户端错误: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

4.4 更实际的HTTPS服务器示例

以下是一个基于HttpsServer类实现的更实用的双向认证HTTPS服务器:

import com.sun.net.httpserver.*;
import javax.net.ssl.*;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.OutputStream;
import java.net.InetSocketAddress;
import java.security.*;
import java.security.cert.X509Certificate;

public class MutualAuthHttpsServer {
    private static final int PORT = 8443;
    private static final String SERVER_KEYSTORE = "server.keystore";
    private static final String SERVER_TRUSTSTORE = "server.truststore";
    private static final String KEYSTORE_PASSWORD = "serverpwd";
    private static final String TRUSTSTORE_PASSWORD = "serverpwd";

    public static void main(String[] args) throws Exception {
        try {
            // 创建HTTPS服务器
            HttpsServer httpsServer = HttpsServer.create(new InetSocketAddress(PORT), 0);
            SSLContext sslContext = createSSLContext();
            
            // 配置HTTPS服务器
            HttpsConfigurator configurator = new HttpsConfigurator(sslContext) {
                @Override
                public void configure(HttpsParameters params) {
                    try {
                        // 获取SSL引擎
                        SSLContext c = SSLContext.getDefault();
                        SSLParameters sslParams = c.getDefaultSSLParameters();
                        
                        // 设置需要客户端认证
                        sslParams.setNeedClientAuth(true);
                        
                        params.setSSLParameters(sslParams);
                    } catch (NoSuchAlgorithmException e) {
                        e.printStackTrace();
                    }
                }
            };
            
            httpsServer.setHttpsConfigurator(configurator);
            
            // 创建请求处理器
            httpsServer.createContext("/secure", new HttpHandler() {
                @Override
                public void handle(HttpExchange exchange) throws IOException {
                    try {
                        // 获取客户端证书
                        SSLSession sslSession = ((HttpsExchange)exchange).getSSLSession();
                        X509Certificate[] certs = (X509Certificate[]) sslSession.getPeerCertificates();
                        String clientName = certs[0].getSubjectX500Principal().getName();
                        
                        // 记录客户端信息
                        System.out.println("客户端已连接,证书主题: " + clientName);
                        
                        // 构造响应
                        String response = "Hello " + clientName + ", 这是安全的双向认证HTTPS连接!";
                        exchange.sendResponseHeaders(200, response.getBytes().length);
                        
                        // 发送响应
                        OutputStream outputStream = exchange.getResponseBody();
                        outputStream.write(response.getBytes());
                        outputStream.close();
                    } catch (Exception e) {
                        e.printStackTrace();
                        String response = "认证失败: " + e.getMessage();
                        exchange.sendResponseHeaders(403, response.getBytes().length);
                        OutputStream outputStream = exchange.getResponseBody();
                        outputStream.write(response.getBytes());
                        outputStream.close();
                    }
                }
            });
            
            // 启动服务器
            httpsServer.setExecutor(null); // 使用默认执行器
            httpsServer.start();
            
            System.out.println("HTTPS服务器已启动在端口 " + PORT);
        } catch (Exception e) {
            System.out.println("服务器启动失败: " + e.getMessage());
            e.printStackTrace();
        }
    }
    
    private static SSLContext createSSLContext() throws Exception {
        // 加载服务器密钥库
        KeyStore keyStore = KeyStore.getInstance("JKS");
        keyStore.load(new FileInputStream(SERVER_KEYSTORE), KEYSTORE_PASSWORD.toCharArray());
        
        // 设置密钥管理器
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, KEYSTORE_PASSWORD.toCharArray());
        KeyManager[] keyManagers = keyManagerFactory.getKeyManagers();
        
        // 加载服务器信任库(包含客户端证书)
        KeyStore trustStore = KeyStore.getInstance("JKS");
        trustStore.load(new FileInputStream(SERVER_TRUSTSTORE), TRUSTSTORE_PASSWORD.toCharArray());
        
        // 设置信任管理器
        TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        trustManagerFactory.init(trustStore);
        TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
        
        // 创建SSL上下文并配置
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(keyManagers, trustManagers, new SecureRandom());
        
        return sslContext;
    }
}

4.5 对应的HttpClient客户端

下面是使用Apache HttpClient库实现的双向认证HTTPS客户端:

import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContexts;
import org.apache.http.util.EntityUtils;

import javax.net.ssl.SSLContext;
import java.io.File;
import java.io.FileInputStream;
import java.security.KeyStore;

public class MutualAuthHttpClient {
    private static final String HOST = "https://localhost:8443/secure";
    private static final String CLIENT_KEYSTORE = "client.keystore";
    private static final String CLIENT_TRUSTSTORE = "client.truststore";
    private static final String KEYSTORE_PASSWORD = "clientpwd";
    private static final String TRUSTSTORE_PASSWORD = "clientpwd";

    public static void main(String[] args) {
        try {
            // 加载客户端密钥库
            KeyStore keyStore = KeyStore.getInstance("JKS");
            keyStore.load(new FileInputStream(CLIENT_KEYSTORE), KEYSTORE_PASSWORD.toCharArray());
            
            // 加载客户端信任库(包含服务器证书)
            KeyStore trustStore = KeyStore.getInstance("JKS");
            trustStore.load(new FileInputStream(CLIENT_TRUSTSTORE), TRUSTSTORE_PASSWORD.toCharArray());
            
            // 创建SSL上下文
            SSLContext sslContext = SSLContexts.custom()
                .loadKeyMaterial(keyStore, KEYSTORE_PASSWORD.toCharArray())
                .loadTrustMaterial(trustStore, null)
                .build();
            
            // 创建SSL套接字工厂
            SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(
                sslContext,
                new String[]{"TLSv1.2"}, // 启用的协议
                null,                     // 启用的加密套件
                SSLConnectionSocketFactory.getDefaultHostnameVerifier()
            );
            
            // 创建HttpClient
            CloseableHttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(sslSocketFactory)
                .build();
            
            // 创建HTTP请求
            HttpGet httpGet = new HttpGet(HOST);
            
            System.out.println("发送请求到服务器: " + HOST);
            
            // 执行请求
            CloseableHttpResponse response = httpClient.execute(httpGet);
            
            try {
                // 处理响应
                HttpEntity entity = response.getEntity();
                if (entity != null) {
                    String result = EntityUtils.toString(entity);
                    System.out.println("服务器响应状态: " + response.getStatusLine());
                    System.out.println("服务器响应内容: " + result);
                }
            } finally {
                response.close();
                httpClient.close();
            }
            
        } catch (Exception e) {
            System.out.println("客户端错误: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

5. 双向认证的应用场景

双向认证特别适用于以下场景:

  1. 金融和支付系统:确保交易双方的身份安全
  2. 企业内部系统:限制只有认证设备才能访问敏感系统
  3. IoT设备通信:确保只有授权设备能够连接到后端服务
  4. API安全:限制只有特定的客户端应用能够访问API
  5. 医疗系统:确保敏感的医疗数据只能被授权系统访问
  6. 政府和军事应用:需要严格身份验证的高安全性系统

6. 双向认证的优势

双向认证提供了多重安全优势:

  1. 强身份验证:双方身份都经过密码学验证
  2. 防止中间人攻击:攻击者无法伪造有效证书
  3. 细粒度访问控制:可以基于客户端证书实施细粒度权限
  4. 避免密码相关风险:不依赖于易被窃取或猜测的密码
  5. 完整性保护:通信内容受到加密保护,防止篡改

7. 实施双向认证的最佳实践

在实际应用中,实施双向认证时应注意以下事项:

  1. 使用强密钥和算法:使用至少2048位RSA密钥或相应强度的ECC密钥
  2. 定期轮换证书:设置合理的证书有效期,定期更新
  3. 使用受信任的CA:在生产环境中使用商业CA或内部PKI签发的证书
  4. 实施证书撤销检查:使用CRL或OCSP验证证书是否被撤销
  5. 保护私钥安全:私钥应妥善保管,最好存储在硬件安全模块(HSM)中
  6. 建立证书管理流程:包括证书申请、颁发、吊销和更新的完整流程
  7. 监控和审计:记录认证失败事件并设置警报
  8. 备份和恢复机制:确保证书和密钥的安全备份

8. 常见问题及解决方案

以下是实施双向认证时常见的一些问题及解决方案:

  1. 证书路径验证失败

    • 确保所有中间CA证书都已导入信任库
    • 检查证书链的完整性

  2. 证书过期

    • 实施证书过期监控
    • 建立自动化的证书更新流程

  3. 密钥库访问问题

    • 确保应用程序有正确的密钥库访问权限
    • 验证密钥库密码是否正确

  4. 性能问题

    • 优化TLS握手缓存
    • 考虑使用会话恢复机制减少重复握手

  5. 证书管理复杂性

    • 使用证书管理系统
    • 实施自动化工具简化证书操作

9. 总结

双向认证是一种强大的安全机制,通过要求通信双方互相验证身份,显著提高了系统的安全性。在Java中实现双向认证相对直接,主要涉及配置SSL上下文、密钥库和信任库。

上述示例展示了如何在Java中实现基本的双向认证服务器和客户端。在实际应用中,您可能需要根据特定需求进行适当调整,例如使用更复杂的证书链、实施证书撤销检查或集成身份管理系统。

*:确保证书和密钥的安全备份

8. 常见问题及解决方案

以下是实施双向认证时常见的一些问题及解决方案:

  1. 证书路径验证失败

    • 确保所有中间CA证书都已导入信任库
    • 检查证书链的完整性

  2. 证书过期

    • 实施证书过期监控
    • 建立自动化的证书更新流程

  3. 密钥库访问问题

    • 确保应用程序有正确的密钥库访问权限
    • 验证密钥库密码是否正确

  4. 性能问题

    • 优化TLS握手缓存
    • 考虑使用会话恢复机制减少重复握手

  5. 证书管理复杂性

    • 使用证书管理系统
    • 实施自动化工具简化证书操作

9. 总结

双向认证是一种强大的安全机制,通过要求通信双方互相验证身份,显著提高了系统的安全性。在Java中实现双向认证相对直接,主要涉及配置SSL上下文、密钥库和信任库。

上述示例展示了如何在Java中实现基本的双向认证服务器和客户端。在实际应用中,您可能需要根据特定需求进行适当调整,例如使用更复杂的证书链、实施证书撤销检查或集成身份管理系统。

对于需要高安全性的应用,双向认证是一种值得考虑的认证机制,尤其适合企业内部系统、金融应用和其他敏感数据交换场景。

SSL/TLS 双向认证(一) -- SSL/TLS 工作原理
ustccw
08-04 11万+
本文部分参考: https://www.wosign.com/faq/faq2016-0309-03.htm https://www.wosign.com/faq/faq2016-0309-04.htm http://blog.youkuaiyun.com/hherima/article/details/52469674 一: SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套...
Java-JSSE-SSL/TLS编程代码实例-双向认证
热门推荐
NowOrNever
11-11 2万+
使用JSSE实现一个双向认证SSL/TLS编程代码实例。
JAVA实现SSL/TLS双向认证源代码
02-02
压缩包里有客户端源码和服务器端源码,支持TCP的双向认证,也支持WEBSOCKET的双向认证,内附测试 wss的测试例子, 需要生成PKCS12的证书,导入浏览器才可以测试。
谈谈Java 如何做 HTTPS 双向认证
青空coding
12-28 1335
大家好,我是青空。 想必大家对 HTTPS 都有一定的了解吧。今天青空将给大家聊聊 HTTPS 是如何做安全认证的。 HTTPS 是 HTTP 的一个扩展,允许计算机网络中的两个实体之间进行安全通信。HTTPS 使用TLS(传输层安全)协议来实现安全连接。 TLS 可以通过单向或双向的证书验证来实现。在单向中,服务器分享其公共证书,以便客户可以验证它是一个受信任的服务器。另一个选择是双向验证。客户端和服务器都分享他们的公共证书以验证对方的身份。 青空将重点介绍双向证书验证,服务器也将检查客户的证书。 Ja
Https之单向认证VS双向认证是什么 应用场景 手法以及防御
浩策盾悟
02-24 7149
HTTPS中的双向认证(也叫双向TLS认证或客户端认证)是指在建立安全通信通道时,服务器和客户端都需要互相验证对方的身份。之后,客户端和服务器可以进行加密的通信,所有传输的数据都会使用共享的对称密钥进行加密,以保证数据的机密性和完整性。:由于双方都进行证书验证,即使攻击者伪造了服务器证书,也无法伪装成合法客户端,或者伪造客户端证书进行访问。客户端收到服务器的证书后,会进行验证,确保该证书是由可信的证书颁发机构(CA)签发的,且没有被篡改。该证书包含服务器的公钥和由受信任的CA签发的信息。
配置SpringBoot实现使用httpclient配合restTemplate验证服务器与服务器之间调用接口的TLS/SSL证书双向认证(精辟!亲测可用!附真实项目代码)
HD243608836的博客
07-07 3199
单向认证 我们在通常访问一个网站,例如https://www.baidu.com,这是一个单向的TLS认证,具体的过程为:服务器发送证书给客户端,客户端校验证书。验证证书有效之后,客户端和服务器协商出一个对称加密密钥由服务端的私钥加密,客户端收到之后再用公钥解密这个对称密钥,然后就开始了传输层加密之旅。这种时候,服务端并不校验客户端的合法性,来者不拒,绝大部分的网站都是这种类型。 例如查看百度: [root@iZbp1g905y8l5pclnbxvfxZ ~]# curl https://www.b
CA双向认证
weixin_40292830的博客
07-15 3063
一、双向认证 CA认证有单向认证双向认证,在我们日常网页浏览中,我们接触到的大多数是单向认证,而在一些银行系统等对安全性要求比较高的系统,会采用双向认证。 单向认证只是客户端(浏览器)认证服务端(例如tomcat等), 双向认证指的是服务端和客户端之间相互都要认证(在浏览器体现为需要安装进证书)。 https双向认证大概过程(摘自http://blog.chinaunix.net/uid...
TLS/SSL双向认证详解
最新发布
2401_89313399的博客
04-25 208
客户端给服务器端发送消息,先在握手阶段交换SSL证书核验,证书验证有效之后,客户端通过私钥签名,服务器端用客户端公钥验证签名,如果是对称加密之后传输就可以用证书里的对称秘钥通信。如果是非对称加密传输报文,客户端用CA证书核验服务器证书有效后,之后采用服务器端传过来的证书,用证书里面的公钥加密发送报文,服务器端认证客户端证书有效之后,如果有效采用私钥解密,服务器返回消息采用客户端证书的公钥加密,客户端用私钥解密。服务器证书链包含:服务器证书:由CA签名的公钥证书,包含服务器公钥和身份信息(如域名)。
SSL双向认证java实现
chenkai619的专栏
04-17 3424
本文转摘自:http://blog.youkuaiyun.com/wangxiaomei2008/article/details/6561323 我们常见的SSL验证较多的只是验证我们的服务器是否是真实正确的,当然如果你访问的URL压根就错了,那谁也没有办法。这个就是所谓的SSL单向认证。   但是实际中,我们有可能还会验证客户端是否符合要求,也就是给我们每个用户颁发一个证书,比且每个数字证书都是唯一的
java ssl 双向认证
ssl vpn ------adito (ssl explorer) (openvpn als)&&网络安全
05-27 1291
 实现技术:JSSE(Java Security Socket Extension)Server需要:1)KeyStore: 其中保存服务端的私钥2)Trust KeyStore:其中保存客户端的授权证书Client需要:1)KeyStore:其中保存客户端的私钥2)Trust KeyStore:其中保存服务端的授权证书 使用Java自带的keytool命令,去生成这样信息文件:
java中关于SSL/TSL的介绍和如何实现SSL Socket双向认证
weixin_34200628的博客
06-01 402
一、        SSL概述 SSL协议采用数字证书及数字签名进行双端实体认证,用非对称加密算法进行密钥协商,用对称加密算法将数据加密后进行传输以保证数据的保密性,并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造,从而为敏感数据的传输提供了一种安全保障手段。 SSL协议提供的服务主要有: 1)认证用户和服务器,确保数据发送到正确的客户机和服务器 认证用户和服务器的合法性,使它们...
Java ssl socket 双向认证
04-18
NULL 博文链接:https://1002878825-qq-com.iteye.com/blog/1838805
https双向认证证书配置详解
11-02
### HTTPS双向认证证书配置详解 #### 一、前置知识与概念理解 在开始具体操作之前,我们先来明确几个核心概念及其相互之间的关系。 - **DER/CER**: 这些文件通常是二进制格式,仅包含证书而不包含私钥。 - **CRT*...
Java实现SSL双向认证详解
"本文档详细介绍了如何在Java实现SSL(Secure Socket Layer)双向认证,主要涉及JSSE(Java Secure Socket Extension)框架的使用。在SSL双向认证中,客户端和服务器都需要验证彼此的身份,以确保通信的安全性。" ...
Java实现https双向认证方法详解
5. **配置HttpClient以实现双向认证** - **导入证书**:首先需要将服务器的公钥证书导入到Java的信任证书库中(通常是cacerts文件),同时还需要将客户端的私钥和公钥证书对导入到Java的密钥库中(通常是keystore...
关于https双向认证详解tomcat+java实现交叉验证
Ender__的专栏
06-18 3208
关于https双向认证详解 原doc文档导出pdf https://github.com/enderwsp/share4u/raw/master/%E5%85%B3%E4%BA%8Ehttps%E7%9A%84%E5%8F%8C%E5%90%91%E8%AE%A4%E8%AF%81%E8%AF%A6%E8%A7%A3tomcat%2Bjava%E5%AE%9E%E7%8E%B0%E4%BA%...
Java实现SSL双向认证SSL包使用详解
### Java实现SSL双向认证 双向认证,也称为可选的客户端认证,是指在建立安全连接时,服务器和客户端都提供自身的证书,用于彼此之间的身份验证。这样可以确保通信双方的身份真实可靠,避免中间人攻击。 Java通过...
SSL双向认证与单向认证
m0_51514815的博客
05-29 7546
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书。单向认证 SSL 协议不需要客户拥有CA证书。
双向认证
warrah 南极狼
03-02 1979
1 kerberos kerberos是有MIT开发的一套在非安全网络中,对个人通信以安全的手段进行身份认证。本文参考了三个链接,如下: 谈谈基于Kerberos的Windows Network Authentication[上篇] [原创]谈谈基于Kerberos的Windows Network Authentication - Part II 谈谈基于Kerberos的Windows Network Authentication[下篇] 1.1 加密key的存活期 Long-term Key存在安全问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全栈凯哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值