SSL+socket 详解-概念

Posted 2023-04-11

参考技术A SSL协议采用数字证书及数字签名进行双端实体认证，用非对称加密算法进行密钥协商，用对称加密算法将数据加密后进行传输以保证数据的保密性，并且通过计算数字摘要来验证数据在传输过程中是否被篡改和伪造，从而为敏感数据的传输提供了一种安全保障手段。

SSL协议提供的服务主要有：
1）认证用户和服务器，确保数据发送到正确的客户机和服务器
认证用户和服务器的合法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号，这些识别号由公开密钥进行编号，为验证用户是否合法，SSL协议要求在握手交换数据时进行数字认证，以此确保用户的合法性。
2）加密数据以防止数据中途被窃取
SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机和服务器进行数据交换前，交换SSL初始握手信息，在SSL握手信息中采用了各种加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。
3）维护数据的完整性，确保数据在传输过程中不被改变
SSL协议采用Hash函数和机密共享的方法提供信息的完整性服务，建立客户机和服务器之间的安全通道，使所有经过SSL协议处理的业务在传输过程中能全部完整准确无误的到达目的地。

SSL体系结构：
SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击抓取,并且始终对服务器进行认证,还可以选择对客户进行认证。SSL体系结构如图1所示。

SSL协议位于TCP/IP协议模型的网络层和应用层之间,使用TCP来提供一种可靠的端到端的安全服务,它是客户/服务器应用之间的通信不被攻击抓取,并且始终对服务器进行认证,还可以选择对客户进行认证。
在SSL通讯中，首先采用非对称加密交换信息，使得服务器获得浏览器端提供的对称加密的密钥，然后利用该密钥进行通讯过程中信息的加密和解密。为了保证消息在传递过程中没有被篡改，可以加密HASH编码来确保信息的完整性。SSL通讯过程，如图2所示。
一般情况下，当客户端是保密信息的传递者时，客户端不需要数字证书验证自己身份的真实性，如电子银行的应用，客户需要将自己的账号和密码发送给银行，因此银行的服务器需要安装数字证书来表明自己身份的有效性。在某些应用中，服务器端也需要对客户端的身份进行验证，这时客户端也需要安装数字证书以保证通讯时服务器可以辨别出客户端的身份，验证过程类似于服务器身份的验证过程。

SSL Socket通信是对Socket通信的拓展。在Socket通信的基础上添加了一层安全性保护，提供了更高的安全性，包括身份验证、数据加密以及完整性验证。
SSL Socket双向认证实现技术： JSSE（Java Security Socket Extension ），它实现了SSL和TSL（传输层安全）协议。在JSSE中包含了数据加密，服务器验证，消息完整性和客户端验证等技术。通过使用JSSE，可以在客户机和服务器之间通过TCP/IP协议安全地传输数据。为了实现消息认证：

密钥和授权证书的生成方法：
使用Java自带的keytool命令，在命令行生成。
1、生成服务器端私钥kserver.keystore文件
keytool -genkey -alias serverkey -validity 1 -keystore kserver.keystore
2、根据私钥，导出服务器端安全证书
keytool -export -alias serverkey -keystore kserver.keystore -file server.crt
3、将服务器端证书，导入到客户端的Trust KeyStore中
keytool -import -alias serverkey -file server.crt -keystore tclient.keystore
4、生成客户端私钥kclient.keystore文件
keytool -genkey -alias clientkey -validity 1 -keystore kclient.keystore
5、根据私钥，导出客户端安全证书
keytool -export -alias clientkey -keystore kclient.keystore -file client.crt
6、将客户端证书，导入到服务器端的Trust KeyStore中
keytool -import -alias clientkey -file client.crt -keystore tserver.keystore

生成的文件分成两组，服务器端保存：kserver.keystore tserver.keystore 客户端保存：kclient.keystore tclient.kyestore。

客户端采用kclient.keystore中的私钥进行数据加密，发送给服务端，服务器端采用tserver.keystore中的client.crt证书对数据解密，如果解密成功，证明消息来自可信的客户端，进行逻辑处理； 服务器端采用kserver.keystore中的私钥进行数据加密，发送给客户端，客户端采用tclient.keystore中的server.crt证书对数据解密，如果解密成功，证明消息来自可信的服务器端，进行逻辑处理。如果解密失败，那么证明消息来源错误。不进行逻辑处理。

SSL Socket双向认证的安全性：
（1）可以确保数据传送到正确的服务器端和客户端。
（2）可以防止消息传递过程中被窃取。
（3）防止消息在传递过程中被修改.。

在系统运行中可能出现以下情况：
（1） 服务器端、客户端都持有正确的密钥和安全证书，此时服务器端和客户端可以进行正常通信。
（2） 客户端的密钥和安全证书不正确，此时服务器端和客户端不可以进行正常通信。
（3） 客户端未持有密钥和安全证书，此时服务器端和客户端也不可以进行正常通信。

Socket详解

参考技术A 1、 Socket（套接字）概念

网络上两个程序通过一个双向的通信连接实现数据的交换，这个连接的一段称为一个 socket ，socket是通信的基石，是支持TCP/IP协议的网络通信的基本操作单元。它是网络通信过程中端点的抽象表示，包含进行网络通信必须的五种信息：连接使用的协议，本地主机的IP地址，本地进程的协议端口，远地主机的IP地址，远地进程的协议端口。

Socket是对TCP/IP协议的封装，它把复杂的TCP/IP协议族隐藏在Socket接口后面，提供一个易用的接口，所以Socket本身并不是协议，而是一个调用接口（API）。

在一定程度可以认为Socket位于应用层和传输层之间。创建Socket连接时，可以指定使用的传输层协议，Socket可以支持不同的传输层协议（TCP或UDP），当使用TCP协议进行连接时，该Socket连接就是一个TCP连接。

2、 建立Socket连接

建立Socket连接至少需要一对套接字，其中一个运行于客户端，称为ClientSocket，另一个运行于服务器端，称为ServerSocket。

套接字之间的连接过程分为 三个步骤 ：

（1）服务器监听：服务器端套接字并不定位具体的客户端套接字，而是处于等待连接的状态，实时监控网络状态，等待客户端的连接请求。

（2）客户端请求：指客户端的套接字提出连接请求，要连接的目标是服务器端的套接字。为此，客户端的套接字必须首先描述它要连接的服务器的套接字，指出服务器端套接字的地址和端口号，然后就向服务器端套接字提出连接请求。

（3）连接确认：当服务器端套接字监听到或者说接收到客户端套接字的连接请求时，就响应客户端套接字的请求，建立一个新的线程，把服务器端套接字的描述发给客户 端，一旦客户端确认了此描述，双方就正式建立连接。而服务器端套接字继续处于监听状态，继续接收其他客户端套接字的连接请求。

3、 Socket连接与HTTP连接

由于通常情况下Socket连接就是TCP连接，因此Socket连接一旦建立，通信双方即可开始相互发送数据内容，直到双方连接断开。但在实际网络应用 中，客户端到服务器之间的通信往往需要穿越多个中间节点，例如路由器、网关、防火墙等，大部分防火墙默认会关闭长时间处于非活跃状态的连接而导致 Socket 连接断连，因此需要通过轮询告诉网络，该连接处于活跃状态。

而HTTP连接使用的是“请求—响应”的方式，不仅在请求时需要先建立连接，而且需要客户端向服务器发出请求后，服务器端才能回复数据。

4、 关于Socket长连接的心跳包

心跳包就是为了避免一个连接长时间不活跃被关闭而定时发送的一个”骚扰”数据包。

Socket本身就是长连接的，那么为什么还要心跳包呢？

理论上说，这个连接是一直保持连接的，但是实际情况中，如果中间节点出现什么故障是难以知道的。更要命的是，有的节点（防火墙）会自动把一定时间之内没有数据交互的连接给断掉。在这个时候，就需要我们的心跳包了，用于维持长连接，保活。在获知了断线之后，服务器逻辑可能需要做一些事情，比如断线后的数据清理，重新连接……当然，这个自然是要由逻辑层根据需求去做了。总的来说，心跳包主要也就是用于长连接的保活和断线处理。一般的应用下，判定时间在30-40秒比较不错。如果实在要求高，那就在6-9秒。

如果不主动关闭socket的话，系统不会自动关闭的，除非当前进程挂掉了，操作系统把占用的socket回收了才会关闭。为什么需要心跳连接？主要是为了判断当前连接是否是有效的、可被使用的。在实际应用中假设一段时间没有数据传输时候理论上说应该连接是没有问题的，但是网络复杂，中途出现问题也是常见的，网线被掐断了、对方进程挂掉了、频繁丢包等，这时候TCP连接是不可使用的，但是对于应用层并不知道，如果需知道网络情况则要很复杂的超时进行了解，TCP从底层就实现了这样的功能。心跳机制是TCP在一段时间间隔后发送确认连接端是否还存在，如果存在的话就会回传一个包确定网络有效，如果心跳包有问题，则通知上层应用当前网络有问题了。

这取决于你的server端的超时配置， 每个socket连接都是长连接，它是一个相当占用系统资源的通信管道， 如果这个长连接什么事也没干硬是要占着资源，则server端可以选择关闭这个连接，以省下资源让更多的用户连接进来。

所以，即便客户端的是采用死循环while(true)方式连到服务端，对于特定的客户端和服务端类型来说也需要一定时间间隔的心跳（告诉服务端，我还活着，虽然我没干活也没说话，但别把我关了）