1. 什么是SSLSocket

JDK文档指出，SSLSocket扩展Socket并提供使用SSL或TLS协议的安全套接字。

这种套接字是正常的流套接字，但是它们在基础网络传输协议(如TCP)上添加了安全保护层。

具体安全方面的讨论见下一篇。本篇重点关注SSLSocket及相关几个类的使用。

2. SSLSocket和相关类

SSLSocket来自jsse(JavaSecure Socket Extension)。

(1)SSLContext: 此类的实例表示安全套接字协议的实现， 它是SSLSocketFactory、SSLServerSocketFactory和SSLEngine的工厂。

(2)SSLSocket: 扩展自Socket

(3)SSLServerSocket: 扩展自ServerSocket

(4)SSLSocketFactory: 抽象类，扩展自SocketFactory, SSLSocket的工厂

(5)SSLServerSocketFactory: 抽象类，扩展自ServerSocketFactory, SSLServerSocket的工厂

(6)KeyStore: 表示密钥和证书的存储设施

(7)KeyManager: 接口，JSSE密钥管理器

(8)TrustManager: 接口，信任管理器(?翻译得很拗口)

(9)X590TrustedManager: TrustManager的子接口，管理X509证书，验证远程安全套接字

3. SSLContext的使用

Java代码  

1. public static void main(String[] args) throws Exception {
2. X509TrustManager x509m = new X509TrustManager() {
3. @Override
4. public X509Certificate[] getAcceptedIssuers() {
5. return null;
6. }
7. @Override
8. public void checkServerTrusted(X509Certificate[] chain,
9. String authType) throws CertificateException {
10. }
11. @Override
12. public void checkClientTrusted(X509Certificate[] chain,
13. String authType) throws CertificateException {
14. }
15. };
16. // 获取一个SSLContext实例
17. SSLContext s = SSLContext.getInstance("SSL");
18. // 初始化SSLContext实例
19. s.init(null, new TrustManager[] { x509m },
20. new java.security.SecureRandom());
21. // 打印这个SSLContext实例使用的协议
22. System.out.println("缺省安全套接字使用的协议: " + s.getProtocol());
23. // 获取SSLContext实例相关的SSLEngine
24. SSLEngine e = s.createSSLEngine();
25. System.out
26. .println("支持的协议: " + Arrays.asList(e.getSupportedProtocols()));
27. System.out.println("启用的协议: " + Arrays.asList(e.getEnabledProtocols()));
28. System.out.println("支持的加密套件: "
29. + Arrays.asList(e.getSupportedCipherSuites()));
30. System.out.println("启用的加密套件: "
31. + Arrays.asList(e.getEnabledCipherSuites()));
32. }

运行结果如下:

SSLContext.getProtocol(): 返回当前SSLContext对象的协议名称

SSLContext.init():  初始化当前SSLContext对象。 三个参数均可以为null。 详见JDK文档。

SSLEngine.getSupportedProtocols()等几个方法可以返回些 Engine上支持/已启用的协议、支持/已启用的加密套件

4. SSLSocket和SSLServerSocket的使用

这两个类的用法跟Socket/ServerSocket的用法比较类似。看下面的例子(主要为了验证SSLSocket的用法 ，I/O和多线程处理比较随意)

4.1 SSLServerSocket

(1)新建一个SSLServerSocket，并开始监听来自客户端的连接

Java代码  

1. // 抛出异常
2. // javax.net.ssl.SSLException: No available certificate or key corresponds
3. // to the SSL cipher suites which are enabled.
4. public static void notOk() throws IOException {
5. SSLServerSocketFactory factory = (SSLServerSocketFactory) SSLServerSocketFactory
6. .getDefault();
7. SSLServerSocket server = (SSLServerSocket) factory
8. .createServerSocket(10000);
9. System.out.println("ok");
10. server.accept();
11. }

server.accept()处抛出异常， 提示缺少证书。与ServerSocket不同， SSLServerSocket需要证书来进行安全验证。

使用keytool工具生成一个证书。 步骤如下， 得到一个名为cmkey的证书文件

(2)重新完善上面的代码。 主要增加两个功能： 使用名为cmkey的证书初始化SSLContext, echo客户端的消息。 代码如下

Java代码  

1. // 启动一个ssl server socket
2. // 配置了证书, 所以不会抛出异常
3. public static void sslSocketServer() throws Exception {
4. // key store相关信息
5. String keyName = "cmkey";
6. char[] keyStorePwd = "123456".toCharArray();
7. char[] keyPwd = "123456".toCharArray();
8. KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
9. // 装载当前目录下的key store. 可用jdk中的keytool工具生成keystore
10. InputStream in = null;
11. keyStore.load(in = Test2.class.getClassLoader().getResourceAsStream(
12. keyName), keyPwd);
13. in.close();
14. // 初始化key manager factory
15. KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory
16. .getDefaultAlgorithm());
17. kmf.init(keyStore, keyPwd);
18. // 初始化ssl context
19. SSLContext context = SSLContext.getInstance("SSL");
20. context.init(kmf.getKeyManagers(),
21. new TrustManager[] { new MyX509TrustManager() },
22. new SecureRandom());
23. // 监听和接收客户端连接
24. SSLServerSocketFactory factory = context.getServerSocketFactory();
25. SSLServerSocket server = (SSLServerSocket) factory
26. .createServerSocket(10002);
27. System.out.println("ok");
28. Socket client = server.accept();
29. System.out.println(client.getRemoteSocketAddress());
30. // 向客户端发送接收到的字节序列
31. OutputStream output = client.getOutputStream();
32. // 当一个普通 socket 连接上来, 这里会抛出异常
33. // Exception in thread "main" javax.net.ssl.SSLException: Unrecognized
34. // SSL message, plaintext connection?
35. InputStream input = client.getInputStream();
36. byte[] buf = new byte[1024];
37. int len = input.read(buf);
38. System.out.println("received: " + new String(buf, 0, len));
39. output.write(buf, 0, len);
40. output.flush();
41. output.close();
42. input.close();
43. // 关闭socket连接
44. client.close();
45. server.close();
46. }

4.2 SSLSocket

(1)我们先使用一个普通的Socket尝试连接服务器端

Java代码  

1. // 通过socket连接服务器
2. public static void socket() throws UnknownHostException, IOException {
3. Socket s = new Socket("localhost", 10002);
4. System.out.println(s);
5. System.out.println("ok");
6. OutputStream output = s.getOutputStream();
7. InputStream input = s.getInputStream();
8. output.write("alert".getBytes());
9. System.out.println("sent: alert");
10. output.flush();
11. byte[] buf = new byte[1024];
12. int len = input.read(buf);
13. System.out.println("received:" + new String(buf, 0, len));
14. }

结果客户端和服务器端都出错。 客户端的错误是接收到乱码。

服务器则抛出异常

javax.NET.ssl.SSLException: Unrecognized SSL message, plaintext connection?

(2)改成SSLSocket， 但是不使用证书。客户端抛出sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Java代码  

1. // 不使用证书, 通过ssl socket连接服务器
2. // 抛出异常, 提示找不到证书
3. public static void sslSocket() throws UnknownHostException, IOException {
4. SSLSocketFactory factory = (SSLSocketFactory) SSLSocketFactory
5. .getDefault();
6. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
7. System.out.println("ok");
8. OutputStream output = s.getOutputStream();
9. InputStream input = s.getInputStream();
10. output.write("alert".getBytes());
11. System.out.println("sent: alert");
12. output.flush();
13. byte[] buf = new byte[1024];
14. int len = input.read(buf);
15. System.out.println("received:" + new String(buf, 0, len));
16. }

程序客户在不持有证书的情况下直接进行连接，服务器端会产生运行时异常javax.Net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown，不允许进行连接。 我们可以指定像下面这样执行客户端，服务器端可以成功echo客户端的发出的字符串"alert"

Java  -Djavax.net.ssl.trustStore=cmkey Client

这里的cmkey即前面生成的证书文件。

(3)改成SSLSocket， 对SSLContext进行如下初始化。

Java代码  

1. public static void sslSocket2() throws Exception {
2. SSLContext context = SSLContext.getInstance("SSL");
3. // 初始化
4. context.init(null,
5. new TrustManager[] { new Test2.MyX509TrustManager() },
6. new SecureRandom());
7. SSLSocketFactory factory = context.getSocketFactory();
8. SSLSocket s = (SSLSocket) factory.createSocket("localhost", 10002);
9. System.out.println("ok");
10. OutputStream output = s.getOutputStream();
11. InputStream input = s.getInputStream();
12. output.write("alert".getBytes());
13. System.out.println("sent: alert");
14. output.flush();
15. byte[] buf = new byte[1024];
16. int len = input.read(buf);
17. System.out.println("received:" + new String(buf, 0, len));
18. }

服务器端可以成功echo客户端的发出的字符串"alert"。 完整代码见附件。

参考  http://java.ccidnet.com/art/3737/20060808/789375_1.html

http://blog.csdn.net/scliu0718/article/details/7198889

http://www.iteye.com/topic/1114800

http://410063005.iteye.com/blog/1751243