Каналы Java.nio и TLS

Question

Как мне защитить Java SocketChannel, ServerSocketChannel или, возможно, даже DatagramChannel с TLS?

Я знаю, что есть некоторые фреймворки ( # 1 # 2 ), которые рекламируют, чтобы иметь возможность, но я хочу знать, возможно ли достичь этого с помощью чистой Java одна стандартная библиотека.

Answer 1

Вам необходимо использовать SSLEngine, как описано в Неблокирующий ввод / вывод с SSLEngine . Упомянутые вами библиотеки используют его или используют библиотеки, которые его используют.

(Обратите внимание, что этим общеизвестно сложно пользоваться.)

Вам могут понравиться эти ссылки:

• Этот ответ (который также содержит ссылку на главу книги).
• Заметки Жана-Франсуа Аркана , который реализовал это в Grizzly .
• пример типа проблем, которые вы можете получить с асинхронным SSL / TLS.
• Знакомство с проблемами, упомянутыми в этих , этот вопрос также должен быть актуален (в частности, как решать их в асинхронном режиме).
• Simple Framework также поддерживает асинхронный SSL / TLS.

---

Для дейтаграмм вы должны использовать DTLS вместо TLS. Я не уверен в его статусе реализации в Java, но вы можете просмотреть архивы списка рассылки java.openjdk.security.devel.

Answer 2

Вам необходимо использовать SSLEngine и выполнить рукопожатие вручную, используя этот конечный автомат.SSL / TLS реализован поверх TCP, поэтому вы не можете использовать его непосредственно над DatagramChannel.

. Статья SSL с Java NIO может быть полезной.

Answer 3

Как правильно отмечает Бруно, стандартный способ сделать это - использовать SSLEngine.Но этот класс серьезно сложен в использовании.

Я столкнулся с той же проблемой некоторое время назад и закончил писать свою собственную библиотеку.Есть несколько примеров, и, конечно, также есть код внутри проектов, таких как Netty и т. Д. Но ни один из этих вариантов не является надежным или легко используемым.

Канал TLS оборачивает SSLEngine в ByteBufferи позволяет использовать его как обычные SocketChannels.