用 Java 2 标准版本 (J2SE) 1.4 进行 Internet 安全编程

用 Java 2 标准版本 (J2SE) 1.4 进行 Internet 安全编程(1)

用 Java 2 标准版本 (J2SE) 1.4 进行 Internet 安全编程

第 I 部分：服务器端

Qusay H. Mahmoud 著
2002 年 11 月
边城狂人 译
2002 年 11 月

任何在计算机网络或者 Internet 中传输的消息都可能被拦截，其中不乏一些比较敏感的内容，如信用卡号或者其它一些私人数据。为了更好的在企业环境和电子商务中使用 Internet，应用软件必须使用加密、验证和安全的通信协议来保护用户的数据安全。安全超文本传输协议 (secure Hypertext Transfer Protocol, HTTPS) 是建立于安全套接层 (Secure Sockets Layer, SSL) 上的 HTTP，它已经成功的应用于电子商务。

Java 安全套接扩展 (Java Secure Socket Extension, JSSE) 使 Internet 安全通信成为现实。它是 100% 纯 Java 实现的 SSL 框架。这个包让 Java 开发人员能够开发安全的网络应用；为基于 TCP/IP 的何应用协议，如 HTTP、FTP、Telnet、或者 NTTP，在客户端和服务器端之间建立安全的数据通道。

JSSE 已经整合在 Java 2 SDK 标准版本 1.4 (J2SE 1.4) 中了，这真是一个好消息。这意味着只要你安装了 J2SE 1.4，不需要再下载其它的包，就可以创建基于 SSL 的 Internet 应用程序了。这个系列的文章共有 2 篇，它是一本关于为今后的市场开发安全 Interent 应用的手册。这篇文章主要是讲的服务器端，而下一篇是讲客户端的。这篇文章从概览 SSL 开始，然后告诉你如何进行下列内容：

• 使用 JSSE 的 API
• 在你的 C/S 应用程序中结合 JSSE
• 开发一个简单的 HTTP 服务器
• 让 HTTP 服务器能够处理 HTTPS 请求
• 使用包含在 J2SE 中的 keytool 产生自己的证书
• 开发、配置和运行一个安全的 HTTP 服务器

概览 SSL

SSL 协议是 Netscape 在 1994 年开发出来的，以允许服务端 (典型的如浏览器) 和 HTTP 服务器之间能通过安全的连接来通信。它加密、来源验证、数据完整性等支持，以保护在不安全的公众网络上交换的数据。SSL 有这样一些版本：SSL 2.0 有安全隐患，现在已经几本上不用了；SSL 3.0 应用则比较广泛；最后，由 SSL 3.0 改进而来的传输层加密 (Transport Layer Security, TLS) 已经成为 Internet 标准并应用于几乎所有新近的软件中。

在数据传播之前，加密技术通过将数据转变成看起来毫无意义的内容来保护数据不被非法使用。其过程是：数据在一端 (客户端或者服务器端) 被加密，传输，再在另一端解密。

来源认证是验证数据发送者身份的一种办法。浏览器或者其它客户端第一次尝试与网页服务器进行安全连接之上的通信时，服务器会将一套信任信息以证书的形式呈现出来。

证书由权威认证机构 (CA)——值得信赖的授权者发行和验证。一个证书描述一个人的公钥。一个签名的文档会作出如下保证：我证明文档中的这个公钥属于在该文档中命名的实体。签名(权威认证机构)。目前知名的权威认证机构有 Verisign，Entrust 和 Thawte 等。注意现在使用的 SSL/TLS 证书是 X.509 证书。

数据完整性就是要确保数据在传输过程中没有被改变。