小编说：本文作者孙卫琴，知名IT作家和Java专家。本文将通过一个范例向大家介绍JSSE是如何实现安全的网络通信的。

在网络上，信息在由源主机到目标主机的传输过程中会经过其他计算机。一般情况下，中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易时，网络上的信息有可能被非法分子监听，从而导致个人隐私的泄露。

由于Internet和Intranet体系结构存在一些安全漏洞，总有某些人能够截获并替换用户发出的原始信息。

随着电子商务的不断发展，人们对信息安全的要求越来越高，于是Netscape公司提出了SSL协议，目的为了能在开放网络上安全保密地传输信息。

Java安全套接字扩展(JSSE，Java Secure Socket Extension)为基于SSL和TLS协议的Java网络应用程序提供了Java API以及参考实现。

JSSE支持数据加密、服务器端身份验证、数据完整性以及可选的客户端身份验证。使用JSSE，能保证采用各种应用层协议(比如HTTP、Telnet和FTP等)的客户程序与服务器程序安全地交换数据。

JSSE封装了底层复杂的安全通信细节，使得开发人员能方便地利用它来开发安全的网络应用程序。

下文参考了《Java网络编程核心技术详解》一书的第15章，将结合具体范例来向大家介绍JSSE的用法。

JSSE API 简介

JSSE封装了底层复杂的安全通信细节，使得开发人员能方便地用它来开发安全的网络应用程序。JSSE主要包括四个包：

• javax.net.ssl包：包括进行安全通信的类，比如SSLServerSocket和SSLSocket类。
• javax.net包：包括安全套接字的工厂类，比如SSLServerSocketFactory和SSLSocketFactory类。
• java.security.cert包：包括处理安全证书的类，如X509Certificate类。X.509是由国际电信联盟(ITU-T)制定的安全证书的标准。
• com.sun.net.ssl包：包括Oracle公司提供的JSSE的实现类。

JSSE具有以下重要特征：

• 纯粹用Java语言编写。
• 可以出口到大多数国家。
• 提供了支持SSL的JSSE API和JSSE实现。
• 提供了支持TLS的JSSE API和JSSE实现。
• 提供了用于创建安全连接的类，如SSLSocket、 SSLServerSocket 和 SSLEngine。
• 支持加密通信。
• 支持客户端和服务器端的身份验证。
• 支持SSL会话。
• JSSE的具体实现会支持一些常用的加密算法，比如RSA(加密长度2048位)、RC4(密钥长度128位)和DH(密钥长度1024位)。

下面展示了JSSE API的主要类框图。

JSSE中负责安全通信的最核心的类是 SSLServerSocket 类与SSLSocket 类，它们分别是 ServerSocket 与 Socket 类的子类。SSLSocket 对象由 SSLSocketFactory 创建，此外， SSLServerSocket 的 accept() 方法也会创建 SSLSocket。SSLServerSocket 对象由 SSLServerSocketFactory 创建。SSLSocketFactory 、 SSLServerSocketFactory 以及 SSLEngine 对象都由 SSLContext 对象创建。SSLEngine 类用于支持非阻塞的安全通信。

创建安全服务器

以下EchoServer类创建了一个基于SSL的安全服务器，它处于服务器模式。

  1/* EchoServer.java*/  2import java.net.*;  3import java.io.*;  4import javax.net.ssl.*;  5import java.security.*;  6  7public class EchoServer {  8  private int port=8000;  9  private SSLServerSocket serverSocket; 10 11  public EchoServer() throws Exception { 12    //输出跟踪日志 13    //System.setProperty("javax.net.debug", "all"); 14    SSLContext context=createSSLContext(); 15    SSLServerSocketFactory factory=context.getServerSocketFactory(); 16    serverSocket =(SSLServerSocket)factory.createServerSocket(port); 17    System.out.println("服务器启动"); 18    System.out.println( 19               serverSocket.getUseClientMode()? "客户模式":"服务器模式"); 20    System.out.println(serverSocket.getNeedClientAuth()? 21             "需要验证对方身份":"不需要验证对方身份"); 22 23    String[] supported=serverSocket.getSupportedCipherSuites(); 24    serverSocket.setEnabledCipherSuites(supported); 25  } 26 27  public SSLContext createSSLContext() throws Exception { 28    //服务器用于证实自己身份的安全证书所在的密钥库 29    String keyStoreFile = "test.keystore"; 30    String passphrase = "123456"; 31    KeyStore ks = KeyStore.getInstance("JKS"); 32    char[] password = passphrase.toCharArray(); 33    ks.load(new FileInputStream(keyStoreFile), password); 34    KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); 35    kmf.init(ks, password); 36 37    SSLContext sslContext = SSLContext.getInstance("SSL"); 38    sslContext.init(kmf.getKeyManagers(), null, null); 39 40    //当要求客户端提供安全证书时，服务器端可创建TrustManagerFactory， 41    //并由它创建TrustManager，TrustManger根据与之关联的KeyStore中的信息， 42    //来决定是否相信客户提供的安全证书。 43 44    //客户端用于证实自己身份的安全证书所在的密钥库 45    //String trustStoreFile = "test.keystore";   46    //KeyStore ts = KeyStore.getInstance("JKS"); 47    //ts.load(new FileInputStream(trustStoreFile), password); 48    //TrustManagerFactory tmf = 49    //    TrustManagerFactory.getInstance("SunX509"); 50    //tmf.init(ts); 51    //sslContext.init(kmf.getKeyManagers(), 52    //                 tmf.getTrustManagers(), null); 53 54    return sslContext; 55  } 56 57  public String echo(String msg) { 58    return "echo:" + msg; 59  } 60 61  private PrintWriter getWriter(Socket socket)throws IOException{ 62    OutputStream socketOut = socket.getOutputStream(); 63    return new PrintWriter(socketOut,true); 64  } 65  private BufferedReader getReader(Socket socket)throws IOException{ 66    InputStream socketIn = socket.getInputStream(); 67    return new BufferedReader(new InputStreamReader(socketIn)); 68  } 69 70  public void service() { 71    while (true) { 72      Socket socket=null; 73      try { 74        socket = serverSocket.accept();  //等待客户连接 75        System.out.println("New connection accepted " 76                        +socket.getInetAddress() 77                       + ":" +socket.getPort()); 78        BufferedReader br =getReader(socket); 79        PrintWriter pw = getWriter(socket); 80 81        String msg = null; 82        while ((msg = br.readLine()) != null) { 83          System.out.println(msg); 84          pw.println(echo(msg)); 85          if (msg.equals("bye")) //如果客户发送的消息为“bye”，就结束通信 86            break; 87        } 88      }catch (IOException e) { 89         e.printStackTrace(); 90      }finally { 91         try{ 92           if(socket!=null)socket.close();  //断开连接 93         }catch (IOException e) {e.printStackTrace();} 94      } 95    } 96  } 97 98  public static void main(String args[])throws Exception { 99    new EchoServer().service();100  }101}

以上EchoServer类先创建了SSLContext对象，然后由它创建SSLServerSocketFactory对象，再由该工厂对象创建SSLServerSocket对象。对于以下程序代码：

1System.out.println(serverSocket.getUseClientMode()?2               "客户模式":"服务器模式");3System.out.println(serverSocket.getNeedClientAuth()?4               "需要验证对方身份":"不需要需要验证对方身份");

打印结果为：

1服务器模式2不需要验证对方身份

由此可见，默认情况下，SSLServerSocket处于服务器模式，必须向对方证实自身的身份，但不需要验证对方的身份，即不要求对方出示安全证书。

如果希望程序运行时输出底层JSSE实现的日志信息，可以把“javax.net.debug”系统属性设为“all”：

1System.setProperty("javax.net.debug", "all");

创建安全客户程序

以下EchoClient类创建了一个基于SSL的安全客户，它处于客户模式

 1/* EchoClient.java */ 2import java.net.*; 3import java.io.*; 4import javax.net.ssl.*; 5import java.security.*; 6 7public class EchoClient { 8  private String host="localhost"; 9  private int port=8000;10  private SSLSocket socket;1112  public EchoClient()throws IOException{13    SSLContext context=createSSLContext();14    SSLSocketFactory factory=context.getSocketFactory();15    socket=(SSLSocket)factory.createSocket(host,port);16    String[] supported=socket.getSupportedCipherSuites();17    socket.setEnabledCipherSuites(supported);18    System.out.println(socket.getUseClientMode()?19                           "客户模式":"服务器模式");20  }2122  public SSLContext createSSLContext() throws Exception {23    String passphrase = "123456";24    char[] password = passphrase.toCharArray();2526    //设置客户端所信任的安全证书所在的密钥库27    String trustStoreFile = "test.keystore";    28    KeyStore ts = KeyStore.getInstance("JKS");29    ts.load(new FileInputStream(trustStoreFile), password);30    TrustManagerFactory tmf =31                 TrustManagerFactory.getInstance("SunX509");32    tmf.init(ts);3334    SSLContext sslContext = SSLContext.getInstance("SSL");35    sslContext.init(null,tmf.getTrustManagers(), null);36    return sslContext;37  }38  public static void main(String args[])throws IOException{39    new EchoClient().talk();40  }41  private PrintWriter getWriter(Socket socket)throws IOException{42    OutputStream socketOut = socket.getOutputStream();43    return new PrintWriter(socketOut,true);44  }45  private BufferedReader getReader(Socket socket)throws IOException{46    InputStream socketIn = socket.getInputStream();47    return new BufferedReader(new InputStreamReader(socketIn));48  }49  public void talk()throws IOException {50    try{51      BufferedReader br=getReader(socket);52      PrintWriter pw=getWriter(socket);53      BufferedReader localReader=54          new BufferedReader(new InputStreamReader(System.in));55      String msg=null;56      while((msg=localReader.readLine())!=null){57        pw.println(msg);58        System.out.println(br.readLine());5960        if(msg.equals("bye"))61          break;62      }63    }catch(IOException e){64       e.printStackTrace();65    }finally{66       try{socket.close();}catch(IOException e){e.printStackTrace();}67    }68  }69}

以上EchoClient类先创建了一个SSLSocketFactory对象，然后由它创建了SSLSocket对象。对于以下程序代码：

1System.out.println(socket.getUseClientMode()?"客户模式":"服务器模式");

打印结果为：

1客户模式

由此可见，默认情况下，由SSLSocketFactory创建的SSLSocket对象处于客户模式，不必向对方证实自身的身份。

EchoClient类依靠TrustManager来决定是否信任EchoServer出示的安全证书。EchoClient类的SSLSocketFactory对象是由SSLContext对象来创建的。这个SSLContext对象通过TrustManager来管理所信任的安全证书。在本例中，TrustManager所信任的安全证书位于test.keystore密钥库文件中。

在本例中，服务器端向客户端出示的安全证书位于test.keystore密钥库文件中。在实际应用中，服务器端的密钥库文件中包含密钥对，从安全角度出发，客户端所信任的密钥库文件中应该仅仅包含公钥，所以服务器和客户端应该使用不同的密钥库文件。

在 IT 行业，大多数 Java 程序员都看过孙卫琴老师的书。

孙老师的书，清晰严谨，把复杂的技术架构层层剖析，结合典型的实例细致讲解，读者只要静下心来好好品读，就能深入 Java 技术的殿堂！

如今，Java 在网络应用开发领域得到了非常广泛的运用，孙卫琴老师新书上市之际，博文视点学院联合孙老师共同打造技术视频课《Java网络编程核心技术详解》(含同名新书一本)！

通过课程+图书的学习，不仅可以帮助你掌握网络编程的实用技术，还可以进一步提高按照面向对象的思想来设计和开发Java软件的能力！

热文推荐

• 声纹技术：让智能语音助手真正“认得”自己
• 为什么人人都需要懂一点高阶(中台)产品思维
• 苏杰：如果可以重来，你还会做工作狂么？
• 超详细丨完整的推荐系统架构设计