转载自： http://blog.csdn.net/chw1989/article/details/7584995

实现技术：
JSSE（Java Security Socket Extension）
是Sun为了解决在Internet上的实现安全信息传输的解决方案。它实现了SSL和 TSL（传输层安全）协议。在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。通过使用JSSE，可以在Client和 Server之间通过TCP/IP协议安全地传输数据。

为了实现消息认证。
Server需要：
1）KeyStore: 其中保存服务端的私钥
2）Trust KeyStore:其中保存客户端的授权证书
Client需要：
1）KeyStore：其中保存客户端的私钥
2）Trust KeyStore：其中保存服务端的授权证书

使用Java自带的keytool命令，去生成这样信息文件：

1）生成服务端私钥，并且导入到服务端KeyStore文件中

生成一个CA证书，在命令行下执行：
keytool -genkey -alias serverkey -keystore kserver.keystore 

第一个参数是要生成的证书的名字;第二个参数是证书的别名。rsa指明了我们使用的加密方法。
系统会要求输入证书发放者的信息，逐项输入即可。
     系统生成的文件名将会和证书名相同。证书可以提交给权威CA认证组织审核，如果通过审核，组织会提供信任担保，向客户担保你的连接是安全的。当然这不是必须的。在我们的例子中会把证书直接打包到客户端程序中，保证客户端是授权用户，避免伪造客户，所以不需要提交审核。

生成后的结果：

keytool -genkey -keystore SSLKey -keyalg rsa -alias SSL 指定了使用RSA 加解密的方式

2）根据私钥，导出服务端证书,生成server .crt 文件。keytool -export -alias serverkey -keystore kserver.keystore -file server.crt

注意： -alias 和 -keystore 要相同，

crt 文件是公钥，用来解密，用来解密的要导入对方的trust 账户中。

3）将服务端证书，导入到客户端的Trust KeyStore中

keytool -import -alias serverkey -file server.crt -keystore tclient.keystore

采用同样的方法，生成客户端的私钥，客户端的证书，并且导入到服务端的Trust KeyStore中
1）keytool -genkey -alias clientkey -keystore kclient.keystore 

2）keytool -export -alias clientkey -keystore kclient.keystore -file client.crt

--生成客户端的证书
3）keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

--导入到服务端的Trust KeyStore中

Server端代码：

    package ssl;  import java.io.BufferedInputStream;  import java.io.BufferedOutputStream;  import java.io.FileInputStream;  import java.io.InputStream;  import java.io.OutputStream;  import java.net.Socket;  import java.security.KeyStore;  import javax.net.ssl.KeyManagerFactory;  import javax.net.ssl.SSLContext;  import javax.net.ssl.SSLServerSocket;  import javax.net.ssl.TrustManagerFactory;  /** * * @author Leo */  public class Server implements Runnable{  private static final int    DEFAULT_PORT                    = 7777;  private static final String SERVER_KEY_STORE_PASSWORD       = "123456";  private static final String SERVER_TRUST_KEY_STORE_PASSWORD = "123456";  private SSLServerSocket     serverSocket;  /** * 启动程序 *  * @param args */  public static void main(String[] args) {  Server server = new Server();  server.init();  Thread thread = new Thread(server);  thread.start();  }  public synchronized void start() {  if (serverSocket == null) {  System.out.println("ERROR");  return;  }  while (true) {  try {  Socket s = serverSocket.accept();  InputStream input = s.getInputStream();  OutputStream output = s.getOutputStream();  BufferedInputStream bis = new BufferedInputStream(input);  BufferedOutputStream bos = new BufferedOutputStream(output);  byte[] buffer = new byte[20];  bis.read(buffer);  System.out.println("------receive:--------"+new String(buffer).toString());  bos.write("yes".getBytes());  bos.flush();  s.close();  } catch (Exception e) {  System.out.println(e);  }  }  }  public void init() {  try {  SSLContext ctx = SSLContext.getInstance("SSL");  KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");  TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");  KeyStore ks = KeyStore.getInstance("JKS");  KeyStore tks = KeyStore.getInstance("JKS");  //keystore 与 trust key store ks.load(new FileInputStream("src/ssl/kserver.keystore"), SERVER_KEY_STORE_PASSWORD.toCharArray());  tks.load(new FileInputStream("src/ssl/tserver.keystore"), SERVER_TRUST_KEY_STORE_PASSWORD.toCharArray());  kmf.init(ks, SERVER_KEY_STORE_PASSWORD.toCharArray());  tmf.init(tks);  ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);  serverSocket = (SSLServerSocket) ctx.getServerSocketFactory().createServerSocket(DEFAULT_PORT);  serverSocket.setNeedClientAuth(true);   } catch (Exception e) {  System.out.println(e);  }  }  public void run() {  // TODO Auto-generated method stub  start();  }  }  

Client

    package ssl;  import java.io.BufferedInputStream;  import java.io.BufferedOutputStream;  import java.io.FileInputStream;  import java.io.IOException;  import java.io.InputStream;  import java.io.OutputStream;  import java.security.KeyStore;  import javax.net.ssl.KeyManagerFactory;  import javax.net.ssl.SSLContext;  import javax.net.ssl.SSLSocket;  import javax.net.ssl.TrustManagerFactory;  /** * SSL Client *  * @author Leo */  public class Client {  private static final String DEFAULT_HOST                    = "127.0.0.1";  private static final int    DEFAULT_PORT                    = 7777;  private static final String CLIENT_KEY_STORE_PASSWORD       = "123456";  private static final String CLIENT_TRUST_KEY_STORE_PASSWORD = "123456";  private SSLSocket           sslSocket;  /** * 启动客户端程序 *  * @param args */  public static void main(String[] args) {  Client client = new Client();  client.init();  client.process();  }  public void process() {  if (sslSocket == null) {  System.out.println("ERROR");  return;  }  try {  InputStream input = sslSocket.getInputStream();  OutputStream output = sslSocket.getOutputStream();  BufferedInputStream bis = new BufferedInputStream(input);  BufferedOutputStream bos = new BufferedOutputStream(output);  bos.write("1234567890".getBytes());  bos.flush();  byte[] buffer = new byte[20];  bis.read(buffer);  System.out.println(new String(buffer));  sslSocket.close();  } catch (IOException e) {  System.out.println(e);  }  }  public void init() {  try {  SSLContext ctx = SSLContext.getInstance("SSL");  KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509");  TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");  KeyStore ks = KeyStore.getInstance("JKS");  KeyStore tks = KeyStore.getInstance("JKS");  //key store 与 trust key store ks.load(new FileInputStream("src/ssl/kclient.keystore"), CLIENT_KEY_STORE_PASSWORD.toCharArray());  tks.load(new FileInputStream("src/ssl/tclient.keystore"), CLIENT_TRUST_KEY_STORE_PASSWORD.toCharArray());  kmf.init(ks, CLIENT_KEY_STORE_PASSWORD.toCharArray());  tmf.init(tks);  ctx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);  sslSocket = (SSLSocket) ctx.getSocketFactory().createSocket(DEFAULT_HOST, DEFAULT_PORT);  } catch (Exception e) {  System.out.println(e);  }  }  }  

如此，就完成了服务端和客户端之间的基于身份认证的交互。
client采用kclient.keystore中的clientkey私钥进行数据加密，发送给server。
server采用tserver.keystore中的client.crt证书（包含了clientkey的公钥）对数据解密，如果解密成功，证明消息来自client，进行逻辑处理。

server采用kserver.keystore中的serverkey私钥进行数据加密，发送给client。
client采用tclient.keystore中的server.crt证书（包含了serverkey的公钥）对数据解密，如果解密成功，证明消息来自server，进行逻辑处理。
如果过程中，解密失败，那么证明消息来源错误。不进行逻辑处理。这样就完成了双向的身份认证。