专栏首页CodeGuide | 程序员编码指南netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》

netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》

前言介绍

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

在实际通信过程中,如果不使用SSL那么信息就是明文传输,从而给非法分子一些可乘之机;

  • 窃听风险[eavesdropping]:第三方可以获知通信内容。
  • 篡改风险[tampering]:第三方可以修改通信内容。
  • 冒充风险[pretending]:第三方可以冒充他人身份参与通信。

SSL/TLS协议就是为了解决这三大风险而设计的;

  • 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
  • 鉴别:可选的客户端认证,和强制的服务器端认证。
  • 完整性:传送的消息包括消息完整性检查(使用MAC)。

那么本章节我们通过在netty的channHandler中添加SSL安全模块{sslContext.newHandler(channel.alloc())},来实现加密传输的效果。

测试注释掉客户端SSL安全模块:

io.netty.handler.ssl.NotSslRecordException: not an SSL/TLS record: cea2d0c5b9abd6dabac5a3ba627567737461636bb3e6b6b4d5bb207c20cda8d6aab7fecef1b6cbc1b4bdd3bda8c1a2b3c9b9a6204d6f6e205365702032332031333a35303a3535204353542032303139203132372e302e302e310d0a

测试篡改服务端时间:

javax.net.ssl.SSLHandshakeException: General SSLEngine problem

开发环境

1、jdk1.8【jdk1.7以下只能部分支持netty】 2、Netty4.1.36.Final【netty3.x 4.x 5每次的变化较大,接口类名也随着变化】 3、OpenSSL-Win64 可以按照自己的需要进行下载;http://slproweb.com/products/Win32OpenSSL.html

生成证书 | 过程较长,耐心完成

微信公众号:bustack虫洞栈 | 生成证书

1、安装OpenSSL

安装完成后D:\Program Files\OpenSSL-Win64\bin目录下,cnf文件复制到bin目录里,否则在操作工程中如果未指定路径,会报错; https://stackoverflow.com/questions/22906927/openssl-windows-error-in-req/27918971

OpenSSL Windows: error in req

2、生成服务端和客户端私钥 | 命令中需要输入密码测试可以都输入123456

openssl genrsa -des3 -out server.key 1024
openssl genrsa -des3 -out client.key 1024

3、根据key生成csr文件 | -config openssl.cnf 默认在cnf文件夹,如果未复制出来,需要指定路径“D://..cnf//openssl.cnf”

openssl req -new -key server.key -out server.csr -config openssl.cnf
openssl req -new -key client.key -out client.csr -config openssl.cnf

4、根据ca证书server.csr、client.csr生成x509证书

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

5、将key文件进行PKCS#8编码

openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt

6、最终将bin文件夹下,如下文件复制出来;

server端:ca.crt、server.crt、pkcs8_server.key
client端:ca.crt、client.crt、pkcs8_client.key

代码示例

itstack-demo-netty-2-13
└── src
    ├── main
    │   └── java
    │       └── org.itstack.demo.netty
    │           ├── client
    │           │    ├── MyChannelInitializer.java
    │           │    ├── MyClientHandler.java
    │           │    └── NettyClient.java
    │           ├── server
    │           │    ├── MyChannelInitializer.java
    │           │    ├── MyServerHandler.java    
    │           │    └── NettyServer.java
    │           └── ssl
    │               ├── client
    │               │   ├── ca.crt
    │               │   ├── client.crt  
    │               │   └── pkcs8_client.key    
    │               └── server
    │                   ├── ca.crt
    │                   ├── pkcs8_server.key
    │                   └── server.crt
    │
    └── test
         └── java
             └── org.itstack.demo.test
                 └── ApiTest.java

以下重点代码块讲解,完整代码,关注公众号:bugstack虫洞栈 | 回复Netty源码获取

客户端:

client/NettyClient.java | 引入SSL认证

public class NettyClient {

    public static void main(String[] args) throws SSLException {
        new NettyClient().connect("127.0.0.1", 7398);
    }

    private void connect(String inetHost, int inetPort) throws SSLException {

        //引入SSL安全验证
        File certChainFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\client.crt");
        File keyFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\pkcs8_client.key");
        File rootFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\ca.crt");
        SslContext sslCtx = SslContextBuilder.forClient().keyManager(certChainFile, keyFile).trustManager(rootFile).build();

        //配置客户端NIO线程组
        EventLoopGroup workerGroup = new NioEventLoopGroup();
        try {
            Bootstrap b = new Bootstrap();
            b.group(workerGroup);
            b.channel(NioSocketChannel.class);
            b.option(ChannelOption.AUTO_READ, true);
            b.handler(new MyChannelInitializer(sslCtx));
            ChannelFuture f = b.connect(inetHost, inetPort).sync();
            System.out.println("itstack-demo-netty client start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}");
            f.channel().closeFuture().sync();
        } catch (InterruptedException e) {
            e.printStackTrace();
        } finally {
            workerGroup.shutdownGracefully();
        }
    }

}

client/NettyClient.java | 添加SSL认证模块,测试过程中可以尝试注释掉

public class MyChannelInitializer extends ChannelInitializer<SocketChannel> {

    private SslContext sslContext;

    public MyChannelInitializer(SslContext sslContext) {
        this.sslContext = sslContext;
    }

    @Override
    protected void initChannel(SocketChannel channel) throws Exception {
        // 添加SSL安全验证
        channel.pipeline().addLast(sslContext.newHandler(channel.alloc()));
        // 基于换行符号
        channel.pipeline().addLast(new LineBasedFrameDecoder(1024));
        // 解码转String,注意调整自己的编码格式GBK、UTF-8
        channel.pipeline().addLast(new StringDecoder(Charset.forName("GBK")));
        // 解码转String,注意调整自己的编码格式GBK、UTF-8
        channel.pipeline().addLast(new StringEncoder(Charset.forName("GBK")));
        // 在管道中添加我们自己的接收数据实现方法
        channel.pipeline().addLast(new MyClientHandler());
    }

}

服务端:

server/NettyServer.java | 引入SSL安全验证

public class NettyServer {

    public static void main(String[] args) throws SSLException {
        new NettyServer().bing(7398);
    }

    private void bing(int port) throws SSLException {

        //引入SSL安全验证
        File certChainFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\server.crt");
        File keyFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\pkcs8_server.key");
        File rootFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\ca.crt");
        SslContext sslCtx = SslContextBuilder.forServer(certChainFile, keyFile).trustManager(rootFile).clientAuth(ClientAuth.REQUIRE).build();

        //配置服务端NIO线程组
        EventLoopGroup parentGroup = new NioEventLoopGroup(1); //NioEventLoopGroup extends MultithreadEventLoopGroup Math.max(1, SystemPropertyUtil.getInt("io.netty.eventLoopThreads", NettyRuntime.availableProcessors() * 2));
        EventLoopGroup childGroup = new NioEventLoopGroup();
        try {
            ServerBootstrap b = new ServerBootstrap();
            b.group(parentGroup, childGroup)
                    .channel(NioServerSocketChannel.class)    //非阻塞模式
                    .option(ChannelOption.SO_BACKLOG, 128)
                    .childHandler(new MyChannelInitializer(sslCtx));
            ChannelFuture f = b.bind(port).sync();
            System.out.println("itstack-demo-netty server start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}");
            f.channel().closeFuture().sync();
        } catch (InterruptedException e) {
            e.printStackTrace();
        } finally {
            childGroup.shutdownGracefully();
            parentGroup.shutdownGracefully();
        }

    }

}

server/NettyServer.java | 添加SSL认证模块

public class MyChannelInitializer extends ChannelInitializer<SocketChannel> {

    private SslContext sslContext;

    public MyChannelInitializer(SslContext sslContext) {
        this.sslContext = sslContext;
    }

    @Override
    protected void initChannel(SocketChannel channel) {
        // 添加SSL安装验证
        channel.pipeline().addLast(sslContext.newHandler(channel.alloc()));
        // 基于换行符号
        channel.pipeline().addLast(new LineBasedFrameDecoder(1024));
        // 解码转String,注意调整自己的编码格式GBK、UTF-8
        channel.pipeline().addLast(new StringDecoder(Charset.forName("GBK")));
        // 解码转String,注意调整自己的编码格式GBK、UTF-8
        channel.pipeline().addLast(new StringEncoder(Charset.forName("GBK")));
        // 在管道中添加我们自己的接收数据实现方法
        channel.pipeline().addLast(new MyServerHandler());
    }

}

测试结果

启动服务端NettyServer

itstack-demo-netty server start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}
链接报告开始
链接报告信息:有一客户端链接到本服务端
链接报告IP:127.0.0.1
链接报告Port:7399
链接报告完毕
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | 通知服务端链接建立成功 Mon Sep 23 15:11:50 CST 2019 127.0.0.1
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
2019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?

异常信息:
远程主机强迫关闭了一个现有的连接。
客户端断开链接/127.0.0.1:7399

Process finished with exit code -1

启动客户端NettyClient

链接报告开始
链接报告信息:本客户端链接到服务端。channelId:3ad375e9
链接报告IP:127.0.0.1
链接报告Port:51656
链接报告完毕
itstack-demo-netty client start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | 通知客户端链接建立成功 Mon Sep 23 15:11:50 CST 2019 127.0.0.1
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
2019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。

Process finished with exit code -1

本文分享自微信公众号 - bugstack虫洞栈(bugstack),作者:付政委

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-09-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Spring Cloud(零)《总有一偏概述告诉你SpringCloud是什么》

    为了更好的实现领域驱动设计的落地,不仅要在设计思路上做到领域职责清晰、系统边界明确,还需要使用到Spring Boot、Spring Cloud框架服务体系来更...

    小傅哥
  • websocket与下位机通过netty方式通信传输行为信息

    在物联网开发中,常常需要通过网页端来控制设备,包括;获取信息、执行操作、启动停止等,就像我们在手机上会控制家里的小米盒子、路由器、电饭煲或者在线养狗等一些设备一...

    小傅哥
  • netty案例,netty4.1基础入门篇七《嗨!NettyClient》

    在前六章的案例中使用socket模拟器链接我们的NettyServer,进行通信测试。本章节我们写一个helloworld版的NettyClient客户端,与我...

    小傅哥
  • 用 Python 写一个 NoSQL 数据库

    本文译自 What is a NoSQL Database? Learn By Writing One In Python. 完整的示例代码已经放到了 Git...

    小小科
  • 用 Python 写一个 NoSQL 数据库

    本文译自 What is a NoSQL Database? Learn By Writing One In Python.

    用户1558438
  • 京东大型API网关实践之路

    京东作为电商平台,近几年用户、业务持续增长,访问量持续上升,随着这些业务的发展,API网关应运而生。

    架构师修炼
  • 无锁编程(五) - RCU(Read-Copy-Update)

    RCU(Read-Copy Update) RCU就是指读-拷贝修改,它是基于其原理命名的。对于被RCU保护的共享数据结构,读操作不需要获得任何锁就可以访问,但...

    三丰SanFeng
  • Java并发之锁优化

    “ 高效并发是从JDK 1.5到JDK 1.6的一个重要改进,HotSpot虚拟机开发团队在这个版本上花费了大量的精力去实现各种锁优化技术,如适应性自旋(Ada...

    每天学Java
  • SpringBoot2.x系列教程(二十七)Springboot集成freemarker 404常见问题汇总

    在实战中,经常会遇到按照教程集成完freemarker,访问时却出现404的问题。本篇文章给大家汇总一下常见的问题及解决方案。

    用户1161110
  • 阿卡姆科普报告——Flink

    Flink 是一个针对流数据和批数据的分布式处理引擎。说起Flink那么必定会和Spark比一比,从slogan来看也能看出来一些区别(详细内容,可以参考下面链...

    麒思妙想

扫码关注云+社区

领取腾讯云代金券