本文主要談一下密碼學(xué)中的加密和數(shù)字簽名����,以及其在java中如何進(jìn)行使用。對(duì)密碼學(xué)有興趣的伙伴�����,推薦看Bruce Schneier的著作:Applied Crypotography��。在jdk1.5的發(fā)行版本中安全性方面有了很大的改進(jìn)�����,也提供了對(duì)RSA算法的直接支持��,現(xiàn)在我們從實(shí)例入手解決問題(本文僅是作為簡單介紹):
一��、密碼學(xué)上常用的概念
1)消息摘要:
這是一種與消息認(rèn)證碼結(jié)合使用以確保消息完整性的技術(shù)����。主要使用單向散列函數(shù)算法,可用于檢驗(yàn)消息的完整性���,和通過散列密碼直接以文本形式保存等����,目前廣泛使用的算法有MD4�、MD5、SHA-1��,jdk1.5對(duì)上面都提供了支持���,在java中進(jìn)行消息摘要很簡單����, java.security.MessageDigest提供了一個(gè)簡易的操作方法:
/**
*MessageDigestExample.java
*Copyright 2005-2-16
*/
import java.security.MessageDigest;
/**
*單一的消息摘要算法����,不使用密碼.可以用來對(duì)明文消息(如:密碼)隱藏保存
*/
public class MessageDigestExample{
public static void main(String[] args) throws Exception{
if(args.length!=1){
System.err.println("Usage:java MessageDigestExample text");
System.exit(1);
}
byte[] plainText=args[0].getBytes("UTF8");
//使用getInstance("算法")來獲得消息摘要,這里使用SHA-1的160位算法
MessageDigest messageDigest=MessageDigest.getInstance("SHA-1");
System.out.println(" "+messageDigest.getProvider().getInfo());
//開始使用算法
messageDigest.update(plainText);
System.out.println(" Digest:");
//輸出算法運(yùn)算結(jié)果
System.out.println(new String(messageDigest.digest(),"UTF8"));
}
}
還可以通過消息認(rèn)證碼來進(jìn)行加密實(shí)現(xiàn)�����,javax.crypto.Mac提供了一個(gè)解決方案,有興趣者可以參考相關(guān)API文檔����,本文只是簡單介紹什么是摘要算法。
2)私鑰加密:
消息摘要只能檢查消息的完整性�����,但是單向的����,對(duì)明文消息并不能加密,要加密明文的消息的話����,就要使用其他的算法,要確保機(jī)密性���,我們需要使用私鑰密碼術(shù)來交換私有消息�����。
這種最好理解�,使用對(duì)稱算法�。比如:A用一個(gè)密鑰對(duì)一個(gè)文件加密����,而B讀取這個(gè)文件的話��,則需要和A一樣的密鑰����,雙方共享一個(gè)私鑰(而在web環(huán)境下,私鑰在傳遞時(shí)容易被偵聽):
使用私鑰加密的話����,首先需要一個(gè)密鑰,可用javax.crypto.KeyGenerator產(chǎn)生一個(gè)密鑰(java.security.Key),然后傳遞給一個(gè)加密工具(javax.crypto.Cipher),該工具再使用相應(yīng)的算法來進(jìn)行加密����,主要對(duì)稱算法有:DES(實(shí)際密鑰只用到56位),AES(支持三種密鑰長度:128�����、192���、256位)����,通常首先128位�����,其他的還有DESede等�,jdk1.5種也提供了對(duì)對(duì)稱算法的支持,以下例子使用AES算法來加密:
/**
*PrivateExmaple.java
*Copyright 2005-2-16
*/
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import java.security.Key;
/**
*私鈅加密��,保證消息機(jī)密性
*/
public class PrivateExample{
public static void main(String[] args) throws Exception{
if(args.length!=1){
System.err.println("Usage:java PrivateExample ");
System.exit(1);
}
byte[] plainText=args[0].getBytes("UTF8");
//通過KeyGenerator形成一個(gè)key
System.out.println(" Start generate AES key");
KeyGenerator keyGen=KeyGenerator.getInstance("AES");
keyGen.init(128);
Key key=keyGen.generateKey();
System.out.println("Finish generating DES key");
//獲得一個(gè)私鈅加密類Cipher�����,ECB是加密方式�,PKCS5Padding是填充方法
Cipher cipher=Cipher.getInstance("AES/ECB/PKCS5Padding");
System.out.println(" "+cipher.getProvider().getInfo());
//使用私鈅加密
System.out.println(" Start encryption:");
cipher.init(Cipher.ENCRYPT_MODE,key);
byte[] cipherText=cipher.doFinal(plainText);
System.out.println("Finish encryption:");
System.out.println(new String(cipherText,"UTF8"));
System.out.println(" Start decryption:");
cipher.init(Cipher.DECRYPT_MODE,key);
byte[] newPlainText=cipher.doFinal(cipherText);
System.out.println("Finish decryption:");
System.out.println(new String(newPlainText,"UTF8"));
}
}
3)公鑰加密:
上面提到,私鑰加密需要一個(gè)共享的密鑰�����,那么如何傳遞密鑰呢�?web環(huán)境下,直接傳遞的話很容易被偵聽到�,幸好有了公鑰加密的出現(xiàn)。公鑰加密也叫不對(duì)稱加密���,不對(duì)稱算法使用一對(duì)密鑰對(duì)�����,一個(gè)公鑰���,一個(gè)私鑰����,使用公鑰加密的數(shù)據(jù)����,只有私鑰能解開(可用于加密);同時(shí)����,使用私鑰加密的數(shù)據(jù),只有公鑰能解開(簽名)�����。但是速度很慢(比私鑰加密慢100到1000倍)���,公鑰的主要算法有RSA�����,還包括Blowfish,Diffie-Helman等�����,jdk1.5種提供了對(duì)RSA的支持����,是一個(gè)改進(jìn)的地方:
/**
*PublicExample.java
*Copyright 2005-2-16
*/
import java.security.Key;
import javax.crypto.Cipher;
import java.security.KeyPairGenerator;
import java.security.KeyPair;
/**
*一個(gè)簡單的公鈅加密例子,Cipher類使用KeyPairGenerator生成的公鈅和私鈅
*/
public class PublicExample{
public static void main(String[] args) throws Exception{
if(args.length!=1){
System.err.println("Usage:java PublicExample ");
System.exit(1);
}
byte[] plainText=args[0].getBytes("UTF8");
//構(gòu)成一個(gè)RSA密鑰
System.out.println(" Start generating RSA key");
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");
keyGen.initialize(1024);
KeyPair key=keyGen.generateKeyPair();
System.out.println("Finish generating RSA key");
//獲得一個(gè)RSA的Cipher類�����,使用公鈅加密
Cipher cipher=Cipher.getInstance("RSA/ECB/PKCS1Padding");
System.out.println(" "+cipher.getProvider().getInfo());
System.out.println(" Start encryption");
cipher.init(Cipher.ENCRYPT_MODE,key.getPublic());
byte[] cipherText=cipher.doFinal(plainText);
System.out.println("Finish encryption:");
System.out.println(new String(cipherText,"UTF8"));
//使用私鈅解密
System.out.println(" Start decryption");
cipher.init(Cipher.DECRYPT_MODE,key.getPrivate());
byte[] newPlainText=cipher.doFinal(cipherText);
System.out.println("Finish decryption:");
System.out.println(new String(newPlainText,"UTF8"));
}
}
4)數(shù)字簽名:
數(shù)字簽名�����,它是確定交換消息的通信方身份的第一個(gè)級(jí)別�����。上面A通過使用公鑰加密數(shù)據(jù)后發(fā)給B���,B利用私鑰解密就得到了需要的數(shù)據(jù)����,問題來了,由于都是使用公鑰加密��,那么如何檢驗(yàn)是A發(fā)過來的消息呢�����?上面也提到了一點(diǎn)���,私鑰是唯一的����,那么A就可以利用A自己的私鑰進(jìn)行加密���,然后B再利用A的公鑰來解密�����,就可以了�;數(shù)字簽名的原理就基于此���,而通常為了證明發(fā)送數(shù)據(jù)的真實(shí)性���,通過利用消息摘要獲得簡短的消息內(nèi)容�,然后再利用私鑰進(jìn)行加密散列數(shù)據(jù)和消息一起發(fā)送�����。java中為數(shù)字簽名提供了良好的支持���,java.security.Signature類提供了消息簽名:
/**
*DigitalSignature2Example.java
*Copyright 2005-2-16
*/
import java.security.Signature;
import java.security.KeyPairGenerator;
import java.security.KeyPair;
import java.security.SignatureException;
/**
*數(shù)字簽名,使用RSA私鑰對(duì)對(duì)消息摘要簽名�����,然后使用公鈅驗(yàn)證 測(cè)試
*/
public class DigitalSignature2Example{
public static void main(String[] args) throws Exception{
if(args.length!=1){
System.err.println("Usage:java DigitalSignature2Example ");
System.exit(1);
}
byte[] plainText=args[0].getBytes("UTF8");
//形成RSA公鑰對(duì)
System.out.println(" Start generating RSA key");
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");
keyGen.initialize(1024);
KeyPair key=keyGen.generateKeyPair();
System.out.println("Finish generating RSA key");
//使用私鈅簽名
Signature sig=Signature.getInstance("SHA1WithRSA");
sig.initSign(key.getPrivate());
sig.update(plainText);
byte[] signature=sig.sign();
System.out.println(sig.getProvider().getInfo());
System.out.println(" Signature:");
System.out.println(new String(signature,"UTF8"));
//使用公鈅驗(yàn)證
System.out.println(" Start signature verification");
sig.initVerify(key.getPublic());
sig.update(plainText);
try{
if(sig.verify(signature)){
System.out.println("Signature verified");
}else System.out.println("Signature failed");
}catch(SignatureException e){
System.out.println("Signature failed");
}
}
}
5)數(shù)字證書�。
還有個(gè)問題,就是公鑰問題��,A用私鑰加密了�����,那么B接受到消息后����,用A提供的公鑰解密���;那么現(xiàn)在有個(gè)討厭的C,他把消息攔截了�,然后用自己的私鑰加密,同時(shí)把自己的公鑰發(fā)給B����,并告訴B,那是A的公鑰��,結(jié)果....���,這時(shí)候就需要一個(gè)中間機(jī)構(gòu)出來說話了(相信權(quán)威�,我是正確的)�����,就出現(xiàn)了Certificate Authority(也即CA)�����,有名的CA機(jī)構(gòu)有Verisign等��,目前數(shù)字認(rèn)證的工業(yè)標(biāo)準(zhǔn)是:CCITT的X.509:
數(shù)字證書:它將一個(gè)身份標(biāo)識(shí)連同公鑰一起進(jìn)行封裝����,并由稱為認(rèn)證中心或 CA 的第三方進(jìn)行數(shù)字簽名�����。
密鑰庫:java平臺(tái)為你提供了密鑰庫����,用作密鑰和證書的資源庫��。從物理上講��,密鑰庫是缺省名稱為 .keystore 的文件(有一個(gè)選項(xiàng)使它成為加密文件)�����。密鑰和證書可以擁有名稱(稱為別名)�����,每個(gè)別名都由唯一的密碼保護(hù)����。密鑰庫本身也受密碼保護(hù)�����;您可以選擇讓每個(gè)別名密碼與主密鑰庫密碼匹配。
使用工具keytool����,我們來做一件自我認(rèn)證的事情吧(相信我的認(rèn)證):
1、創(chuàng)建密鑰庫keytool -genkey -v -alias feiUserKey -keyalg RSA 默認(rèn)在自己的home目錄下(windows系統(tǒng)是c:documents and settings你的用戶名> 目錄下的.keystore文件)�,創(chuàng)建我們用 RSA 算法生成別名為 feiUserKey 的自簽名的證書,如果使用了-keystore mm 就在當(dāng)前目錄下創(chuàng)建一個(gè)密鑰庫mm文件來保存密鑰和證書。
2�、查看證書:keytool -list 列舉了密鑰庫的所有的證書
也可以在dos下輸入keytool -help查看幫助。
4)數(shù)字簽名:
數(shù)字簽名�,它是確定交換消息的通信方身份的第一個(gè)級(jí)別。上面A通過使用公鑰加密數(shù)據(jù)后發(fā)給B���,B利用私鑰解密就得到了需要的數(shù)據(jù)�����,問題來了��,由于都是使用公鑰加密���,那么如何檢驗(yàn)是A發(fā)過來的消息呢?上面也提到了一點(diǎn),私鑰是唯一的�,那么A就可以利用A自己的私鑰進(jìn)行加密�,然后B再利用A的公鑰來解密,就可以了��;數(shù)字簽名的原理就基于此�����,而通常為了證明發(fā)送數(shù)據(jù)的真實(shí)性����,通過利用消息摘要獲得簡短的消息內(nèi)容,然后再利用私鑰進(jìn)行加密散列數(shù)據(jù)和消息一起發(fā)送���。java中為數(shù)字簽名提供了良好的支持����,java.security.Signature類提供了消息簽名:
/**
*DigitalSignature2Example.java
*Copyright 2005-2-16
*/
import java.security.Signature;
import java.security.KeyPairGenerator;
import java.security.KeyPair;
import java.security.SignatureException;
/**
*數(shù)字簽名��,使用RSA私鑰對(duì)對(duì)消息摘要簽名,然后使用公鈅驗(yàn)證 測(cè)試
*/
public class DigitalSignature2Example{
public static void main(String[] args) throws Exception{
if(args.length!=1){
System.err.println("Usage:java DigitalSignature2Example ");
System.exit(1);
}
byte[] plainText=args[0].getBytes("UTF8");
//形成RSA公鑰對(duì)
System.out.println(" Start generating RSA key");
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");
keyGen.initialize(1024);
KeyPair key=keyGen.generateKeyPair();
System.out.println("Finish generating RSA key");
//使用私鈅簽名
Signature sig=Signature.getInstance("SHA1WithRSA");
sig.initSign(key.getPrivate());
sig.update(plainText);
byte[] signature=sig.sign();
System.out.println(sig.getProvider().getInfo());
System.out.println(" Signature:");
System.out.println(new String(signature,"UTF8"));
//使用公鈅驗(yàn)證
System.out.println(" Start signature verification");
sig.initVerify(key.getPublic());
sig.update(plainText);
try{
if(sig.verify(signature)){
System.out.println("Signature verified");
}else System.out.println("Signature failed");
}catch(SignatureException e){
System.out.println("Signature failed");
}
}
}
5)數(shù)字證書���。
還有個(gè)問題��,就是公鑰問題�,A用私鑰加密了���,那么B接受到消息后�����,用A提供的公鑰解密����;那么現(xiàn)在有個(gè)討厭的C�,他把消息攔截了,然后用自己的私鑰加密�����,同時(shí)把自己的公鑰發(fā)給B�����,并告訴B����,那是A的公鑰,結(jié)果....�����,這時(shí)候就需要一個(gè)中間機(jī)構(gòu)出來說話了(相信權(quán)威�,我是正確的),就出現(xiàn)了Certificate Authority(也即CA)��,有名的CA機(jī)構(gòu)有Verisign等���,目前數(shù)字認(rèn)證的工業(yè)標(biāo)準(zhǔn)是:CCITT的X.509:
數(shù)字證書:它將一個(gè)身份標(biāo)識(shí)連同公鑰一起進(jìn)行封裝����,并由稱為認(rèn)證中心或 CA 的第三方進(jìn)行數(shù)字簽名�。
密鑰庫:java平臺(tái)為你提供了密鑰庫,用作密鑰和證書的資源庫�。從物理上講,密鑰庫是缺省名稱為 .keystore 的文件(有一個(gè)選項(xiàng)使它成為加密文件)�����。密鑰和證書可以擁有名稱(稱為別名)���,每個(gè)別名都由唯一的密碼保護(hù)����。密鑰庫本身也受密碼保護(hù)��;您可以選擇讓每個(gè)別名密碼與主密鑰庫密碼匹配�。
使用工具keytool,我們來做一件自我認(rèn)證的事情吧(相信我的認(rèn)證):
1��、創(chuàng)建密鑰庫keytool -genkey -v -alias feiUserKey -keyalg RSA 默認(rèn)在自己的home目錄下(windows系統(tǒng)是c:documents and settings你的用戶名> 目錄下的.keystore文件)���,創(chuàng)建我們用 RSA 算法生成別名為 feiUserKey 的自簽名的證書,如果使用了-keystore mm 就在當(dāng)前目錄下創(chuàng)建一個(gè)密鑰庫mm文件來保存密鑰和證書�。
2�、查看證書:keytool -list 列舉了密鑰庫的所有的證書
也可以在dos下輸入keytool -help查看幫助。
您可能感興趣的文章:- JAVA加密算法數(shù)字簽名實(shí)現(xiàn)原理詳解
- Java PDF 添加數(shù)字簽名的實(shí)現(xiàn)方法
- Java實(shí)現(xiàn)的數(shù)字簽名算法RSA完整示例
- 詳解Java數(shù)字簽名提供XML安全
- 淺析java消息摘要與數(shù)字簽名
- Java數(shù)字簽名算法DSA實(shí)例詳解
- Java加密解密和數(shù)字簽名完整代碼示例
- 使用數(shù)字簽名實(shí)現(xiàn)數(shù)據(jù)庫記錄防篡改(Java實(shí)現(xiàn))
- 常用數(shù)字簽名算法RSA與DSA的Java程序內(nèi)實(shí)現(xiàn)示例
- Java2下Applet數(shù)字簽名
- Java 添加數(shù)字簽名到excel及檢測(cè),刪除簽名
