https加密的实现
来源:互联网 发布:朗塞特 知乎 编辑:程序博客网 时间:2024/05/22 03:35
以下是理论部分,仅供理解参考,如果要粘代码,网上会有很多,此处不再提供
关于https加密:
https是在http的基础上多了一次协议ssl,该协议用来给传输的内容进行加密
https加密流程:
1,客户端将SSL 协议的版本号、加密算法的种类,产生的随机数A等信息传给服务器
2,服务器选择其中的一种组合作为加密方式,同时将自己的证书、公钥、另外一个随机数B一起传给客户端
3,客户端验证客户端返回的信息(包括证书,签名,域名等),验证成功,则生成对称加密密钥S,用公钥加密后返回给服务器
4,服务器用私钥将这段密钥解密。得到对称密钥S,并用此密钥加密一段握手消息返回给客户端
5,客户端收到握手消息,用对称密钥解密,验证成功,则握手成功。
单向加密和双向加密:
单向加密:服务端有一套(两份)证书:含公钥和私钥的jks文件(此文件自己保留),和只含公钥的ser文件,其中ser文件是要给客户端的
双向加密:除了具有单向加密的特性(服务端验证客户端),客户端也有一套(两份)证书来验证服务端消息,对于android来说,分为bks文件(含公钥和私钥,自己保留)、ser文件(含公钥给服务端)
关系:
1,服务端生成jks文件,并导出只含公钥的ser文件给服务端
2,客户端用ser文件生成自己的bks文件,用来验证服务端的消息
3,客户端自己生成pfx文件,并导出只含公钥的ser文件给服务端
4,服务端用客户端的ser文件进行验证来自客户端的消息
用到的概念和变量:
keytool-- 用来生成证书的,jks、bks、cer、pfx等
keystore-- 用来储存证书的,初始化时传入证书类型,keystor的初始化:
keystore.load(inputStream, passWord);或keystore.load(null),keystroe.setCertificateEntry(alias,certificate);
certificateFactory-- 证书工厂,通常通过传入参数(X509)生成,用来读取本地的证书数据流,并生成相应的证书
SSLSocketFactory--非常重要,是所有框架和网络请求从http转https的关键所在,例如:okhttp:直接执行okhttp.setSslSocketFacotry(),
volley:new RequestQueue(new DiskBasedCache(),new BasicNetwork(new HurlStack(null, sslSocketFactory)));
SSLContext--用来得到sslSocketFactory sslContext.getSocketFactory();自身生成方式:SSLContext.getInstance("TLS");
keyManager[] trustManager[] --用来初始化sslContext:sslContext.init(keyManager[], trustManger[], new SecureRandom()),其中,忽略证书验证二者皆可为null,单向认证只要trustManger[],双向认证二者都要,new SecureRandom()可以为null;
(如果alias不为空,需要通过new KeyManager())
KeyManagerFactory TrustManagerFactory-- 用来生成keyManager[]和trustManager[],自己通过KeyStore.getInstance(type) 生成,通过keystore变量初始化:keyManagerFactory.init(keystore,password);其中,type是bks等,默认getDefaultType()是jks;
附:
Windows IIS下的数字证书格式一般为。pfx
Java tomcat 下的数字证书格式一般为.jks或.store
Apache和nginx一般是.pem
证书请求文件一般是.csr
证书公钥文件一般是.cer或.crt
证书私钥文件一般是.key
服务器提供的cer证书中包含公钥,而android的keystore中需要bks格式的信任证书,转换方法如下:
转换命令说明:
keytool -importcert -v -trustcacerts -alias 位置1 \
-file 位置2 \
-keystore 位置3 -storetype BKS \
-providerclass org.bouncycastle.jce.provider.BouncyCastleProvider \
-providerpath 位置4 -storepass 位置5
位置1:是个随便取的别名
位置2:cer或crt证书的全地址
位置3:生成后bks文件的位置,建议写全地址
位置4:上面下载JCE Provider包的位置
位置5:生成后证书的密码
转换完整示例
keytool -importcert -v -trustcacerts -alias my12306 -file C:\Users\Administrator\Desktop\证书\srca.cer -keystore C:\Users\Administrator\Desktop\证书\srca.bks -storetype BKS -providerclass org.bouncycastle.jce.provider.BouncyCastleProvider -providerpath C:\Users\Administrator\Desktop\证书\bcprov-jdk15on-146.jar -storepass 123456
生成trustKeyStore后,将bks证书通过流的方式读取出来,并初始化trustKeyStore,用这个keysore初始化trustMangerFactory并生成相应的trustManager。
0 0
- https加密的实现
- Https加密的实现
- JAVA基于HTTPS的加密远程调用的实现.
- JAVA基于HTTPS的加密远程调用的实现
- JAVA基于HTTPS的加密远程调用的实现
- https 加密通信实现示例
- nginx+apache实现网站的ssl加密(https)
- 依据HTTPS中TLS/SSL加密原理衍生的数据加密实现
- HTTPS 是怎么加密的
- https的加密解密过程
- HTTPS加密套件的笔记
- Java实现HTTPS加密、解密过程
- 从https的实现看数字证书、SSL、数字签名、摘要算法、对称/非对称加密
- 如何发布加密协议https://的网站
- Java中请求HTTPS加密的源代码
- Java中请求HTTPS加密的源代码
- 关于网站https 加密的影响
- 数字签名是什么?https加密通信的理解。
- iOS 通知带参数
- Http消息头、请求头、响应头、参数、cookie和响应内容——别说话,看题就行了
- Java SPI机制
- LoaderManager.onLoaderFinish加载了两次
- Android序列化-Serializable和Parcelable
- https加密的实现
- socket编程中,阻塞与非阻塞的区别
- python操作MySQL时中文显示为?的解决方法
- SOCKADDR和SOCKADDR_IN的区别
- Android 两款不错的图片加载库使用详解
- 三墩IT人DevOps实践之持续集成
- 利用AWS免费账户搭建PPTP VPN
- 15个你不得不知道的Chrome dev tools的小技巧
- android 读取json字符串文件遇到的一个坑,记录下 W/art: Suspending all threads took: xx.xxx ms