Java：TCP加密，SSL和Netty

Question

好吧，我有一个点对点（一个主机上的客户端/服务器）设置（通过本地局域网），这是使用Netty，一个Java网络框架。我使用原始TCP/IP（如在，没有HTTP）进行通信和传输。

当前所有数据都以“纯文本”传输，我开始保护这些传输数据的过程。

我有类型的加密/实践等良好的读取（但可能只碰了面和已融化我的大脑）

Netty中包括SSL implemntation，继承人一些联系，希望能够更好地解释自己：

http://docs.jboss.org/netty/3.2/xref/org/jboss/netty/example/securechat/package-summary.html

内部 “SecureChatTrustManagerFactory” 有2种方法：

  public void checkClientTrusted(
        X509Certificate[] chain, String authType) throws CertificateException { 
       // Always trust - it is an example. 
       // You should do something in the real world. 
       // You will reach here only if you enabled client certificate auth, 
       // as described in SecureChatSslContextFactory. 
       System.err.println(
         "UNKNOWN CLIENT CERTIFICATE: " + chain[0].getSubjectDN()); 
      } 

      public void checkServerTrusted(
       X509Certificate[] chain, String authType) throws CertificateException { 
      // Always trust - it is an example. 
       // You should do something in the real world. 
       System.err.println(
         "UNKNOWN SERVER CERTIFICATE: " + chain[0].getSubjectDN()); 
      } 

“SecureChatKeyStore”包含我可以看到的硬编码证书。

所以我的问题是：

• 我需要生成一个证书？
• 如果是这样，每次运行应用程序？
• 如果是这样，每个客户？
• 如果是这样，客户端和服务器之间是否通过此认证？
• 如果是这样，它如何安全地完成？

我不完全确定从哪里开始。 从我所看到的Netty实现中可以看出：“这是创建安全连接的基础，但我们忽略了实际上使它们安全/认证的部分”。

我应该知道的其他指针/提示？

预先感谢您。

Answer 1

正如其他人指出的那样，应用程序安全性和传输链路安全性之间存在差异。我认为你主要是提到加密，最后一个是你的目标。加密提供窃听者的保密性。另外，由于SSL也包含了消息认证码，它还会在运输过程中为第三方提供数据包保护。一旦收到消息，它不提供任何保护。

正如你可能已经注意到在互联网上的HTTPS连接，你至少需要一个服务器证书。该证书可以保持静态，尽管它应该包含一个到期日期，以便在该时间内更换证书。服务器证书应该被客户信任（例如通过将其嵌入为资源）。您也可以使用SSL进行客户端身份验证，但这意味着您需要有足够的安全措施来保护客户端上的私钥安全。

这可能是以“自签名”服务器证书开始的最佳方式。这就是你需要信任checkServerTrusted方法的人。基本上，这个链条就是一个证书。