概念

• 安全套接层SSL(Secure Sockets Layer )或传输层安全TLS(Transport Layer Security)是为网络通信提供安全及数据完整性的一种安全协议，用于在传输层对此次网络连接采用对称算法或非对称算法进行加密，保证信息安全。
• TLS 是SSL 的标准化后的产物，有1.0 ，1.1 ，1.2 三个版本，默认使用1.0。TLS1.0 和SSL3.0 几乎没有区别，事实上我们现在用的都是TLS，但因为历史上习惯了SSL 这个称呼。
• SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持，SSL协议可分为两层：
  • SSL记录协议（SSL Record Protocol）——它建立在可靠的传输协议（比如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
  • SSL握手协议（SSL Handshake Protocol）——它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

作用

• 认证用户和服务器，确保数据发送到正确的客户机和服务器
• 加密数据以防止数据中途被窃取
• 维护数据的完整性，确保数据在传输过程中不被改变。

工作原理

1. 通过CA体系交换public key
2. 通过非对称加密算法，交换用于对称加密的密钥
3. 通过对称加密算法，加密正常的网络通信

非对称加密

非对称加密算法是一种密钥的保密方法。
非对称加密算法需要两个密钥：公开密钥（public key:简称公钥）和私有密钥（private key:简称私钥）。公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。
非对称加密算法实现机密信息交换的基本过程是：甲方生成一对密钥并将公钥公开，需要向甲方发送信息的其他角色(乙方)使用该密钥(甲方的公钥)对机密信息进行加密后再发送给甲方；甲方再用自己私钥对加密后的信息进行解密。甲方想要回复乙方时正好相反，使用乙方的公钥对数据进行加密，同理，乙方使用自己的私钥来进行解密。另一方面，甲方可以使用自己的私钥对机密信息进行签名后再发送给乙方；乙方再用甲方的公钥对甲方发送回来的数据进行验签。

CA

CA(Certificate Authority）即颁发数字证书的机构。是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。
为了保证CA证书不被劫持，CA证书一般都是预存在操作系统或者浏览器中的。

工作流程

image.png

步骤 1. ClientHello – 客户端发送所支持的 SSL/TLS 最高协议版本号和所支持的加密算法集合及压缩方法集合等信息给服务器端。
步骤 2. ServerHello – 服务器端收到客户端信息后，选定双方都能够支持的 SSL/TLS 协议版本和加密方法及压缩方法，返回给客户端。
（可选）步骤 3. SendCertificate – 服务器端发送服务端证书给客户端。
（可选）步骤 4. RequestCertificate – 如果选择双向验证，服务器端向客户端请求客户端证书。
步骤 5. ServerHelloDone – 服务器端通知客户端初始协商结束。
（可选）步骤 6. ResponseCertificate – 如果选择双向验证，客户端向服务器端发送客户端证书。
步骤 7. ClientKeyExchange – 客户端使用服务器端的公钥，对客户端公钥和密钥种子进行加密，再发送给服务器端。
（可选）步骤 8. CertificateVerify – 如果选择双向验证，客户端用本地私钥生成数字签名，并发送给服务器端，让其通过收到的客户端公钥进行身份验证。
步骤 9. CreateSecretKey – 通讯双方基于密钥种子等信息生成通讯密钥。
步骤 10. ChangeCipherSpec – 客户端通知服务器端已将通讯方式切换到加密模式。
步骤 11. Finished – 客户端做好加密通讯的准备。
步骤 12. ChangeCipherSpec – 服务器端通知客户端已将通讯方式切换到加密模式。
步骤 13. Finished – 服务器做好加密通讯的准备。
步骤 14. Encrypted/DecryptedData – 双方使用客户端密钥，通过对称加密算法对通讯内容进行加密。
步骤 15. ClosedConnection – 通讯结束后，任何一方发出断开 SSL 连接的消息。

示例

public class GreetingSSL {

    private static final int SEV_PORT = 2090;
    // 服务器端授权的用户名和密码
    private static final String USER_NAME = "Lily";
    private static final String PASSWORD = "Lily";


    public static void main(String[] args) {
        // 需要分别配置客户端和服务端的证书，才可以运行
        try {
            // 开启服务端
            SSLServer server = new SSLServer();
            server.start();
            // 开启客户端1
            SSLClient client1 = new SSLClient();
            client1.connect();
        } catch (IOException e) {
            e.printStackTrace();
        }

    }

    private static class SSLServer extends Thread {


        // 服务器端保密内容
        private static final String SECRET_CONTENT = "This content is secret!";


        private SSLServerSocket serverSocket = null;

        SSLServer() throws IOException {
            // 通过套接字工厂，获取一个服务器端套接字
            SSLServerSocketFactory socketFactory = (SSLServerSocketFactory) SSLServerSocketFactory.getDefault();
            serverSocket = (SSLServerSocket) socketFactory.createServerSocket(SEV_PORT);
        }

        public void run() {
            while (!interrupted()) {
                try {
                    System.out.println("Waiting for connection...");
                    // 服务器端套接字进入阻塞状态，等待来自客户端的连接请求
                    SSLSocket socket = (SSLSocket) serverSocket.accept();

                    // 获取服务器端套接字输入流
                    BufferedReader input = new BufferedReader(new InputStreamReader(socket.getInputStream()));
                    // 从输入流中读取客户端用户名和密码
                    String userName = input.readLine();
                    String password = input.readLine();

                    // 获取服务器端套接字输出流
                    PrintWriter output = new PrintWriter(
                            new OutputStreamWriter(socket.getOutputStream()));

                    // 对请求进行认证，如果通过则将保密内容发送给客户端
                    if (userName.equals(USER_NAME) && password.equals(PASSWORD)) {
                        output.println("Welcome, " + userName);
                        output.println(SECRET_CONTENT);
                    } else {
                        output.println("Authentication failed, you have no access to the content...");
                    }

                    // 关闭流资源和套接字资源
                    output.close();
                    input.close();
                    socket.close();

                } catch (IOException ioException) {
                    ioException.printStackTrace();
                }
            }
        }
    }

    private static class SSLClient {

        private SSLSocket socket = null;

        SSLClient() throws IOException {
            // 通过套接字工厂，获取一个客户端套接字
            SSLSocketFactory socketFactory = (SSLSocketFactory) SSLSocketFactory.getDefault();
            socket = (SSLSocket) socketFactory.createSocket("localhost", SEV_PORT);
        }

        void connect() {
            try {
                // 获取客户端套接字输出流
                PrintWriter output = new PrintWriter(new OutputStreamWriter(socket.getOutputStream()));
                // 将用户名和密码通过输出流发送到服务器端
                output.println(USER_NAME);
                output.println(PASSWORD);
                output.flush();

                // 获取客户端套接字输入流
                BufferedReader input = new BufferedReader(new InputStreamReader(socket.getInputStream()));
                // 从输入流中读取服务器端传送的数据内容，并打印出来
                String response = input.readLine();
                response += "\n " + input.readLine();
                System.out.println(response);

                // 关闭流资源和套接字资源
                output.close();
                input.close();
                socket.close();
            } catch (IOException ioException) {
                ioException.printStackTrace();
            }
        }

    }


}

参考

https://www.ibm.com/developerworks/cn/java/j-lo-ssltls/index.html
https://zhuanlan.zhihu.com/p/66029254
https://blog.csdn.net/CrazyMo_/article/details/89137739
https://www.jianshu.com/p/66dcc049ff32
https://www.jianshu.com/p/81efc02b2f29