netty案例,netty4.1中级拓展篇十三《Netty基于SSL实现信息传输过程中双向加密验证》

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

前言介绍

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。

在实际通信过程中,如果不使用SSL那么信息就是明文传输,从而给非法分子一些可乘之机;

  • 窃听风险[eavesdropping]:第三方可以获知通信内容。
  • 篡改风险[tampering]:第三方可以修改通信内容。
  • 冒充风险[pretending]:第三方可以冒充他人身份参与通信。

SSL/TLS协议就是为了解决这三大风险而设计的;

  • 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
  • 鉴别:可选的客户端认证,和强制的服务器端认证。
  • 完整性:传送的消息包括消息完整性检查(使用MAC)。

那么本章节我们通过在netty的channHandler中添加SSL安全模块{sslContext.newHandler(channel.alloc())},来实现加密传输的效果。

测试注释掉客户端SSL安全模块:

1io.netty.handler.ssl.NotSslRecordException: not an SSL/TLS record: cea2d0c5b9abd6dabac5a3ba627567737461636bb3e6b6b4d5bb207c20cda8d6aab7fecef1b6cbc1b4bdd3bda8c1a2b3c9b9a6204d6f6e205365702032332031333a35303a3535204353542032303139203132372e302e302e310d0a

测试篡改服务端时间:

1javax.net.ssl.SSLHandshakeException: General SSLEngine problem

开发环境

1、jdk1.8【jdk1.7以下只能部分支持netty】

2、Netty4.1.36.Final【netty3.x 4.x 5每次的变化较大,接口类名也随着变化】

3、OpenSSL-Win64 可以按照自己的需要进行下载;http://slproweb.com/products/Win32OpenSSL.html

生成证书 | 过程较长,耐心完成

33.jpg

1、安装OpenSSL

安装完成后D:\Program Files\OpenSSL-Win64\bin目录下,cnf文件复制到bin目录里,否则在操作工程中如果未指定路径,会报错;

https://stackoverflow.com/questions/22906927/openssl-windows-error-in-req/27918971

34.jpg

OpenSSL Windows: error in req

2、生成服务端和客户端私钥 | 命令中需要输入密码测试可以都输入123456

1openssl genrsa -des3 -out server.key 1024
2openssl genrsa -des3 -out client.key 1024

3、根据key生成csr文件 | -config openssl.cnf 默认在cnf文件夹,如果未复制出来,需要指定路径“D://..cnf//openssl.cnf”

1openssl req -new -key server.key -out server.csr -config openssl.cnf
2openssl req -new -key client.key -out client.csr -config openssl.cnf

4、根据ca证书server.csr、client.csr生成x509证书

1openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
2openssl x509 -req -days 3650 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt

5、将key文件进行PKCS#8编码

1openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt
2openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt

6、最终将bin文件夹下,如下文件复制出来;

1server端:ca.crt、server.crt、pkcs8_server.key
2client端:ca.crt、client.crt、pkcs8_client.key

代码示例

1itstack-demo-netty-2-13
 2└── src
 3    ├── main
 4    │   └── java
 5    │       └── org.itstack.demo.netty
 6    │           ├── client
 7    │           │    ├── MyChannelInitializer.java
 8    │           │    ├── MyClientHandler.java
 9    │           │    └── NettyClient.java
10    │           ├── server
11    │           │    ├── MyChannelInitializer.java
12    │           │    ├── MyServerHandler.java    
13    │           │    └── NettyServer.java
14    │           └── ssl
15    │               ├── client
16    │               │   ├── ca.crt
17    │               │   ├── client.crt  
18    │               │   └── pkcs8_client.key    
19    │               └── server
20    │                   ├── ca.crt
21    │                   ├── pkcs8_server.key
22    │                   └── server.crt
23    │
24    └── test
25         └── java
26             └── org.itstack.demo.test
27                 └── ApiTest.java

以下重点代码块讲解,完整代码,关注公众号:bugstack虫洞栈 | 回复Netty源码获取

客户端:

client/NettyClient.java | 引入SSL认证

1/**
 2 * 虫洞栈:https://bugstack.cn
 3 * 公众号:bugstack虫洞栈  {获取学习源码}
 4 * Create by fuzhengwei on 2019
 5 */
 6public class NettyClient {
 7
 8    public static void main(String[] args) throws SSLException {
 9        new NettyClient().connect("127.0.0.1", 7398);
10    }
11
12    private void connect(String inetHost, int inetPort) throws SSLException {
13
14        //引入SSL安全验证
15        File certChainFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\client.crt");
16        File keyFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\pkcs8_client.key");
17        File rootFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\client\\ca.crt");
18        SslContext sslCtx = SslContextBuilder.forClient().keyManager(certChainFile, keyFile).trustManager(rootFile).build();
19
20        //配置客户端NIO线程组
21        EventLoopGroup workerGroup = new NioEventLoopGroup();
22        try {
23            Bootstrap b = new Bootstrap();
24            b.group(workerGroup);
25            b.channel(NioSocketChannel.class);
26            b.option(ChannelOption.AUTO_READ, true);
27            b.handler(new MyChannelInitializer(sslCtx));
28            ChannelFuture f = b.connect(inetHost, inetPort).sync();
29            System.out.println("itstack-demo-netty client start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}");
30            f.channel().closeFuture().sync();
31        } catch (InterruptedException e) {
32            e.printStackTrace();
33        } finally {
34            workerGroup.shutdownGracefully();
35        }
36    }
37
38}

client/NettyClient.java | 添加SSL认证模块,测试过程中可以尝试注释掉

1/**
 2 * 虫洞栈:https://bugstack.cn
 3 * 公众号:bugstack虫洞栈  {获取学习源码}
 4 * Create by fuzhengwei on 2019
 5 */
 6public class MyChannelInitializer extends ChannelInitializer<SocketChannel> {
 7
 8    private SslContext sslContext;
 9
10    public MyChannelInitializer(SslContext sslContext) {
11        this.sslContext = sslContext;
12    }
13
14    @Override
15    protected void initChannel(SocketChannel channel) throws Exception {
16        // 添加SSL安全验证
17        channel.pipeline().addLast(sslContext.newHandler(channel.alloc()));
18        // 基于换行符号
19        channel.pipeline().addLast(new LineBasedFrameDecoder(1024));
20        // 解码转String,注意调整自己的编码格式GBK、UTF-8
21        channel.pipeline().addLast(new StringDecoder(Charset.forName("GBK")));
22        // 解码转String,注意调整自己的编码格式GBK、UTF-8
23        channel.pipeline().addLast(new StringEncoder(Charset.forName("GBK")));
24        // 在管道中添加我们自己的接收数据实现方法
25        channel.pipeline().addLast(new MyClientHandler());
26    }
27
28}

服务端:

server/NettyServer.java | 引入SSL安全验证

1/**
 2 * 虫洞栈:https://bugstack.cn
 3 * 公众号:bugstack虫洞栈  {获取学习源码}
 4 * Create by fuzhengwei on 2019
 5 */
 6public class NettyServer {
 7
 8    public static void main(String[] args) throws SSLException {
 9        new NettyServer().bing(7398);
10    }
11
12    private void bing(int port) throws SSLException {
13
14        //引入SSL安全验证
15        File certChainFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\server.crt");
16        File keyFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\pkcs8_server.key");
17        File rootFile = new File("E:\\itstack\\GIT\\itstack.org\\itstack-demo-netty\\itstack-demo-netty-2-13\\src\\main\\java\\org\\itstack\\demo\\netty\\ssl\\server\\ca.crt");
18        SslContext sslCtx = SslContextBuilder.forServer(certChainFile, keyFile).trustManager(rootFile).clientAuth(ClientAuth.REQUIRE).build();
19
20        //配置服务端NIO线程组
21        EventLoopGroup parentGroup = new NioEventLoopGroup(1); //NioEventLoopGroup extends MultithreadEventLoopGroup Math.max(1, SystemPropertyUtil.getInt("io.netty.eventLoopThreads", NettyRuntime.availableProcessors() * 2));
22        EventLoopGroup childGroup = new NioEventLoopGroup();
23        try {
24            ServerBootstrap b = new ServerBootstrap();
25            b.group(parentGroup, childGroup)
26                    .channel(NioServerSocketChannel.class)    //非阻塞模式
27                    .option(ChannelOption.SO_BACKLOG, 128)
28                    .childHandler(new MyChannelInitializer(sslCtx));
29            ChannelFuture f = b.bind(port).sync();
30            System.out.println("itstack-demo-netty server start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}");
31            f.channel().closeFuture().sync();
32        } catch (InterruptedException e) {
33            e.printStackTrace();
34        } finally {
35            childGroup.shutdownGracefully();
36            parentGroup.shutdownGracefully();
37        }
38
39    }
40
41}

server/NettyServer.java | 添加SSL认证模块

1**
 2 * 虫洞栈:https://bugstack.cn
 3 * 公众号:bugstack虫洞栈  {获取学习源码}
 4 * Create by fuzhengwei on 2019
 5 */
 6public class MyChannelInitializer extends ChannelInitializer<SocketChannel> {
 7
 8    private SslContext sslContext;
 9
10    public MyChannelInitializer(SslContext sslContext) {
11        this.sslContext = sslContext;
12    }
13
14    @Override
15    protected void initChannel(SocketChannel channel) {
16        // 添加SSL安装验证
17        channel.pipeline().addLast(sslContext.newHandler(channel.alloc()));
18        // 基于换行符号
19        channel.pipeline().addLast(new LineBasedFrameDecoder(1024));
20        // 解码转String,注意调整自己的编码格式GBK、UTF-8
21        channel.pipeline().addLast(new StringDecoder(Charset.forName("GBK")));
22        // 解码转String,注意调整自己的编码格式GBK、UTF-8
23        channel.pipeline().addLast(new StringEncoder(Charset.forName("GBK")));
24        // 在管道中添加我们自己的接收数据实现方法
25        channel.pipeline().addLast(new MyServerHandler());
26    }
27
28}

测试结果

启动服务端NettyServer

1itstack-demo-netty server start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}
 2链接报告开始
 3链接报告信息:有一客户端链接到本服务端
 4链接报告IP:127.0.0.1
 5链接报告Port:7399
 6链接报告完毕
 72019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | 通知服务端链接建立成功 Mon Sep 23 15:11:50 CST 2019 127.0.0.1
 82019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
 92019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
102019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
112019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
122019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
132019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
142019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
152019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
162019-09-21 15:11:51 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]客户端发送,服务端你在吗?
17
18异常信息:
19远程主机强迫关闭了一个现有的连接。
20客户端断开链接/127.0.0.1:7399
21
22Process finished with exit code -1

启动客户端NettyClient

1链接报告开始
 2链接报告信息:本客户端链接到服务端。channelId:3ad375e9
 3链接报告IP:127.0.0.1
 4链接报告Port:51656
 5链接报告完毕
 6itstack-demo-netty client start done. {关注公众号:bugstack虫洞栈 | 获取专题源码}
 72019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | 通知客户端链接建立成功 Mon Sep 23 15:11:50 CST 2019 127.0.0.1
 82019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
 92019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
102019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
112019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
122019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
132019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
142019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
152019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
162019-09-21 15:11:50 接收到消息:微信公众号:bugstack虫洞栈 | [SSL]服务端发送,客户端我在。
17
18Process finished with exit code -1
目录
相关文章
|
2月前
|
安全 算法 网络安全
网络安全与信息安全:构建数字世界的坚固防线在数字化浪潮席卷全球的今天,网络安全与信息安全已成为维系社会秩序、保障个人隐私和企业机密的关键防线。本文旨在深入探讨网络安全漏洞的本质、加密技术的前沿进展以及提升公众安全意识的重要性,通过一系列生动的案例和实用的建议,为读者揭示如何在日益复杂的网络环境中保护自己的数字资产。
本文聚焦于网络安全与信息安全领域的核心议题,包括网络安全漏洞的识别与防御、加密技术的应用与发展,以及公众安全意识的培养策略。通过分析近年来典型的网络安全事件,文章揭示了漏洞产生的深层原因,阐述了加密技术如何作为守护数据安全的利器,并强调了提高全社会网络安全素养的紧迫性。旨在为读者提供一套全面而实用的网络安全知识体系,助力构建更加安全的数字生活环境。
|
14天前
|
SQL 安全 算法
网络安全的隐形盾牌:漏洞防御与信息加密的艺术
【10月更文挑战第36天】在数字世界的海洋中,网络安全犹如一艘船的保护罩,守护着我们的隐私和数据安全。本文将揭开网络安全的神秘面纱,从常见的网络漏洞到先进的加密技术,再到培养必要的安全意识,我们将一步步构建起防御的堡垒。文章不仅分享技术细节,还强调了在个人和组织层面采取积极措施的重要性。
|
6月前
|
XML Java 关系型数据库
如何给application.yml文件的敏感信息加密?
本文介绍了如何在SpringBoot应用中使用jasypt进行配置信息的加密解密。首先,需要添加jasypt-spring-boot-starter的依赖,版本至少为3.0.5。接着,在配置文件中设置`jasypt.encryptor.password`等参数。jasypt提供`StringEncryptor`接口用于加密解密,通过该接口可以在测试类中对敏感信息(如数据库用户名和密码)进行加解密。加密后的信息需带有`ENC()`前后缀。推荐将加密密码作为系统属性、命令行参数或环境变量传递,而不是直接写入配置文件。
343 3
|
1月前
|
SQL 安全 算法
网络安全与信息安全:构建数字世界的防线在数字化浪潮席卷全球的今天,网络安全与信息安全已成为维系社会秩序、保障个人隐私与企业机密的重要基石。本文旨在深入探讨网络安全漏洞的本质、加密技术的前沿进展以及提升安全意识的有效策略,为读者揭示数字时代下信息保护的核心要义。
本文聚焦网络安全与信息安全领域,详细剖析了网络安全漏洞的形成机理、常见类型及其潜在危害,强调了及时检测与修复的重要性。同时,文章系统介绍了对称加密、非对称加密及哈希算法等主流加密技术的原理、应用场景及优缺点,展现了加密技术在保障数据安全中的核心地位。此外,针对社会普遍存在的安全意识薄弱问题,提出了一系列切实可行的提升措施,如定期安全培训、强化密码管理、警惕钓鱼攻击等,旨在引导公众树立全面的网络安全观,共同构筑数字世界的安全防线。
|
1月前
|
安全 算法 Java
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
本文提供了在数据库中对密码等敏感信息进行加盐加密的详细教程,包括手写MD5加密算法和使用Spring Security的BCryptPasswordEncoder进行加密,并强调了使用BCryptPasswordEncoder时需要注意的Spring Security配置问题。
145 0
数据库信息/密码加盐加密 —— Java代码手写+集成两种方式,手把手教学!保证能用!
|
2月前
|
SQL 安全 网络安全
网络安全的盾牌:漏洞防御与信息加密技术
【9月更文挑战第27天】在数字时代,网络安全和信息安全成为维护数据完整性、保密性和可用性的关键因素。本文将探讨网络安全漏洞的概念、成因及预防措施,同时深入讨论加密技术在保护信息安全中的作用。通过分析安全意识的重要性和提升方法,旨在为读者提供一套全面的网络安全知识框架,以增强个人和组织对抗网络威胁的能力。
41 5
|
3月前
|
存储 算法 Java
在Java中使用MD5对用户输入密码进行加密存储、同时登录验证。
这篇文章详细介绍了在Java项目中如何使用MD5算法对用户密码进行加密存储和登录验证,包括加入依赖、编写MD5工具类、注册时的密码加密和登录时的密码验证等步骤,并通过示例代码和数据库存储信息展示了测试效果。
在Java中使用MD5对用户输入密码进行加密存储、同时登录验证。
|
2月前
|
安全 网络安全 数据安全/隐私保护
网络安全漏洞与加密技术:保护信息的艺术
【8月更文挑战第31天】在数字时代,网络安全和信息安全的重要性日益凸显。本文将探讨网络安全漏洞、加密技术以及提升安全意识等方面的内容。我们将通过实际代码示例和案例分析,深入了解网络攻击者如何利用安全漏洞进行攻击,以及如何运用加密技术来保护数据安全。同时,我们还将讨论如何提高个人和组织的安全意识,以应对不断变化的网络安全威胁。让我们一起探索这个充满挑战和机遇的领域吧!
|
3月前
|
存储 SQL 安全
网络防线:揭秘网络安全漏洞与信息加密的奥秘
在数字时代,网络安全与信息保护如同一场没有硝烟的战争。本文将带您深入了解网络安全的薄弱环节,探索加密技术如何成为守护信息安全的利剑,并强调提升个人和组织安全意识的重要性。从常见漏洞到防护策略,再到加密技术的演变,我们将一步步揭开网络安全的神秘面纱,让您在这个充满未知的数字世界中更加从容不迫。
39 2
|
3月前
|
SQL 安全 算法
网络安全漏洞与加密技术:保护信息的关键
【8月更文挑战第31天】在数字化时代,信息安全成为我们每个人都必须面对的问题。本文将探讨网络安全的漏洞、加密技术以及如何提高安全意识来保护我们的信息。我们将通过一些代码示例,更深入地理解这些概念。无论你是网络专家还是普通用户,这篇文章都将为你提供有价值的信息。让我们一起探索这个充满挑战和机遇的网络世界吧!
下一篇
无影云桌面