java - 在 Java 中使用特定的安全提供程序

Question

我目前正在编写一个小型 Android 库，它应该能够与远程 JavaEE 服务器进行安全通信。它将使用 HttpsURLConnection并将在服务器端调用特定的 servlet(因为我只提供我不知道服务器端实现的 android 库)。这种通信应该尽可能安全(没有什么是 100% 安全的)。因此我不想完全依赖服务器和客户端之间的协议(protocol)协商——只是希望他们会选择当前的 TLS 版本。如果服务器不支持安全协议(protocol)，则连接应该是不可能的(例如，我不想支持 SSL3.0 或更低版本)。

我知道我可以通过编写自己的 SSLSocketFactory 来定义密码套件.但也很高兴知道应用程序将选择哪个安全提供者(了解我的应用程序的通信是否受到特定于提供者的安全问题的影响)。绝对可以添加新的提供商。

但是否还有一种方法可以强制 java 仅使用我选择的提供程序 xy(充气城堡或 sun 除外)？也许是自己实现的 OpenSSL 提供程序？

更新:我在oracles provider documentation 中发现了以下语句:

“程序可以简单地请求实现特定服务(例如 DSA 签名算法)的特定类型的对象(例如 Signature 对象)，并从已安装的提供程序之一获取实现。如果需要，程序可能会改为请求特定提供商的实现。”

和下面的例子:

 md = MessageDigest.getInstance("MD5", "ProviderC");

因此可以定义 MessageDigest 应该使用哪个提供者。但是 HttpsURLConnection 功能是否有相同的选项？

编辑:经过更多研究，我发现在 Security 中可以在特定位置添加提供者。

public static int insertProviderAt(myProvider, position)

将我自己的提供商添加到第一个位置是否足以满足我的目的？

Answer 1

经过数小时的研究，我终于知道如何设置首选提供商。在 Oracle 的提供者文档中，关于 Installing Providers 的部分提到了它:

security.provider.n=masterClassName

This declares a provider, and specifies its preference order n. The preference order is the order in which providers are searched for requested algorithms (when no specific provider is requested). The order is 1-based: 1 is the most preferred, followed by 2, and so on."

无论如何，我决定不实现和注册我自己的提供商。真的，这是一个很大的开销。我想我会通过使用 OpenSSL 或其他东西在 C++ 中手动保护套接字。

您可能还会觉得有帮助的链接:

• JuiCE Apache OpenSSL JCE 提供商(2007 年停用)。你绝对不应该使用他们的实现，它已经过时了。但是查看代码将清楚实现自己的提供程序需要多少工作。无论如何，您还需要一个 JSSE 提供程序。

• Sun Provider源代码，可能会让您了解 SUN 如何集成加密功能(JCE 和 JSSE 提供程序)

• OWASP Tutorial for using JSSE - Java 安全套接字扩展。其中显示了如何使用提供程序。

• JSSE Reference Guide提供更有用的信息

编辑:如果您在您的应用程序中实现了您需要的所有请求服务(或引擎)，您只能确保使用您的提供者。如果您调用服务提供商未提供的功能，java 将选择下一个提供该服务的可用服务提供商(根据隐式优先顺序)(您可能不会注意到它)。