欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解Java?加密解密和數(shù)字簽名問(wèn)題

 更新時(shí)間:2021年12月22日 10:12:59   作者:攻城獅·正  
在做項(xiàng)目中,只要涉及敏感信息,或者對(duì)安全有一定要求的場(chǎng)景,都需要對(duì)數(shù)據(jù)進(jìn)行加密。接下來(lái)通過(guò)本文給大家分享Java?加密解密和數(shù)字簽名問(wèn)題,感興趣的朋友跟隨小編一起看看吧

在做項(xiàng)目中,只要涉及敏感信息,或者對(duì)安全有一定要求的場(chǎng)景,都需要對(duì)數(shù)據(jù)進(jìn)行加密。在Java中原生API即可實(shí)現(xiàn)對(duì)稱加密與非對(duì)稱加密,并支持常用的加密算法。

對(duì)稱加密

對(duì)稱加密使用單鑰完成加解密,加密和解密采用相同的密鑰。對(duì)稱加密的速度快,常用于大量數(shù)據(jù)進(jìn)行加密。主流的算法有:AES,3DES。

生成3DES密鑰

<em>/**
 * 對(duì)稱加密-3DES算法,取代舊的DES
 */</em>
SecretKey desKey = KeyGenerator.getInstance("DESede").generateKey();

生成AES密鑰

<em>/**
* 生成AES算法的密鑰
*/</em>
SecretKey aesKey = KeyGenerator.getInstance("AES").generateKey();

保存密鑰

對(duì)稱密鑰一般使用二進(jìn)制保存

SecretKey desKey = KeyGenerator.getInstance("DESede").generateKey();
<em>// 二進(jìn)制密鑰</em>
byte[] bkey = desKey.getEncoded();
<em>// 轉(zhuǎn)成十六進(jìn)制</em>
String keyStr = Hex.byteCoverToString(bkey);

讀取密鑰

可以自己生成隨機(jī)字符串轉(zhuǎn)成byte數(shù)組生成密鑰,注意byte長(zhǎng)度不能小于24位。

<em>// bkey是byte數(shù)組</em>
DESedeKeySpec keySpec = new DESedeKeySpec(bkey);
<em>// 讀取AES密鑰</em>
SecretKey srtKey = SecretKeyFactory.getInstance("AES").generateSecret(keySpec);

Hex是我自己寫(xiě)的工具類。byte數(shù)組和十六進(jìn)制互轉(zhuǎn)的方法有很多,篇幅有限就不貼出來(lái)了??梢砸?Apache Commons Codec 工具類,提供Hex,Base64等常用方法。

非對(duì)稱加密

非對(duì)稱加密使用密鑰對(duì)進(jìn)行加密。一般使用私密加密,公鑰解密,也可以反過(guò)來(lái)用。但自己加密的數(shù)據(jù)自己不能解,只能依靠對(duì)方解密,可以很好的防止單方面密鑰泄露。常用的加密算法有:RSA,DSA。

生成密鑰對(duì)

<em>/**
 * 可以傳RSA或DSA算法
 */</em>
KeyPair keyPair = KeyPairGenerator.getInstance("RSA").generateKeyPair();
<em>// 私鑰</em>
PrivateKey prvKey = keyPair.getPrivate();
<em>// 公鑰</em>
PublicKey pubKey = keyPair.getPublic();

保存密鑰

非對(duì)稱密鑰一般使用Base64編碼保存。

<em>// 私鑰串</em>
String prvKeyStr = Base64.getEncoder().encodeToString(prvKey.getEncoded());
<em>// 公鑰串</em>
String pubKeyStr = Base64.getEncoder().encodeToString(pubKey.getEncoded());

非對(duì)稱加密對(duì)加密內(nèi)容長(zhǎng)度有限制,不能超過(guò)192位。雖然可以使用加密數(shù)據(jù)數(shù)流來(lái)突破限制,但由于非對(duì)稱加密效率不如對(duì)稱加密,非對(duì)稱加密一般用來(lái)加密對(duì)稱密鑰。

讀取密鑰

<em>// 從二進(jìn)制中讀取私鑰</em>
byte[] bPrvKey = Base64.getDecoder().decode(prvKeyStr);
PKCS8EncodedKeySpec rsaKeySpec = new PKCS8EncodedKeySpec(bPrvKey);
PrivateKey prvKey = KeyFactory.getInstance("RSA").generatePrivate(rsaKeySpec);

<em>// 從二進(jìn)制中讀取公鑰</em>
byte[] bPubKey = Base64.getDecoder().decode(pubKeyStr);
X509EncodedKeySpec rsaKeySpec1 = new X509EncodedKeySpec(bPubKey);
PublicKey pubKey = KeyFactory.getInstance("RSA").generatePublic(rsaKeySpec1);

我們?cè)诮尤肫渌到y(tǒng)中,有時(shí)不是給密鑰串,而是一個(gè)CA證書(shū)或PFX密鑰文件。HTTS網(wǎng)站就是使用非對(duì)稱加密的,網(wǎng)站會(huì)把CA證書(shū)掛在上面讓瀏覽器下載,和服務(wù)器進(jìn)行加解密交互。

從CA證書(shū)中讀取公鑰

<em>// keyFilePath是證書(shū)文件</em>
try (InputStream fin = new FileInputStream(keyFilePath)) {
    CertificateFactory f = CertificateFactory.getInstance("X.509");
    X509Certificate certificate = (X509Certificate) f.generateCertificate(fin);
    PublicKey pubKey = certificate.getPublicKey();
} catch (IOException | CertificateException e) {
    e.printStackTrace();
}

從PFX文件中讀取密鑰

根據(jù)密鑰存儲(chǔ)類型,下面方可以讀取pfx或jks類型的密鑰文件。

try (InputStream is = new FileInputStream(keyFilePath)) {
    <em>// pkcs12或jks</em>
    KeyStore store = KeyStore.getInstance("pkcs12");
    <em>// 密碼</em>
    store.load(is, "密碼".toCharArray());
    <em>// 獲取所有密鑰別名列表</em>
    Enumeration<String> e = store.aliases();
    <em>// 如果有,讀取第一個(gè)密鑰</em>
    if (e.hasMoreElements()) {
        String alias = e.nextElement();
        <em>// 私鑰</em>
        PrivateKey prvKey = (PrivateKey) store.getKey(alias, password.toCharArray());
        <em>// 公鑰</em>
        PublicKey pubKey = store.getCertificate(alias).getPublicKey();
        <em>// 創(chuàng)建密鑰對(duì)</em>
        KeyPair keyPare = new KeyPair(pubKey, prvKey);
    }

} catch (IOException | KeyStoreException | CertificateException | NoSuchAlgorithmException | UnrecoverableKeyException e) {
    e.printStackTrace();
}

密鑰文件是用來(lái)存儲(chǔ)密鑰的倉(cāng)庫(kù)。Java中KeyTool工具可以創(chuàng)建jks密鑰文件。jks密鑰文件中可以存儲(chǔ)多個(gè)密鑰。如果有多個(gè)密鑰文件,可以根據(jù)別名來(lái)讀取指定密鑰。

加密擴(kuò)展包——JCE

使用JDK8,讀取PFX密鑰也許會(huì)遇到:java.security.InvalidKeyException:illegal Key Size

這是因?yàn)閖dk sercurity的jar包限制,只支持128bit的密鑰。jar包如下:

$JAVA_HOME/lib/security/local_policy.jar

$JAVA_HOME/jre/lib/security/US_export_policy.jar

到Oracle官網(wǎng)下載JDK對(duì)應(yīng)的加密擴(kuò)展包(JCE)。以下是JDK8的JCE

https://www.oracle.com/java/technologies/javase-jce8-downloads.html

把下載后的文件解壓,找到 local_policy.jar 和 US_export_policy.jar

覆蓋jdk目錄下, $JAVA_HOME/jre/lib/security 和? $JAVA_HOME/lib/security 下的文件。(有的版本JDK可能沒(méi)有 $JAVA_HOME/lib/security 目錄,則忽略)

再運(yùn)行代碼,就能正常讀取256bit的密鑰。

加密&解密

用上面生成的密鑰(對(duì)稱/非對(duì)密)加密或解密

<em>// 密文</em>
String ciphertext = null;

{
    String plaintext = "加密內(nèi)容";
    <em>// 密鑰算法,RSA/DAS/AESDESed</em>
    Cipher cipher = Cipher.getInstance("RSA");
    <em>// 設(shè)置加密模式</em>
    cipher.init(Cipher.ENCRYPT_MODE, prvKey);
    <em>// 加密后的byte數(shù)組</em>
    byte[] cipherbyte = cipher.doFinal(plaintext.getBytes());
    <em>// 轉(zhuǎn)成base64</em>
    ciphertext = Base64.getEncoder().encodeToString(cipherbyte);
    logger.info(ciphertext);
}

{
    <em>// 密鑰算法,RSA/DAS/AESDESed</em>
    Cipher cipher = Cipher.getInstance("RSA");
    <em>// 設(shè)置解密模式</em>
    cipher.init(Cipher.DECRYPT_MODE, pubKey);
    <em>// base64解碼獲得密文byte數(shù)組</em>
    byte[] cipherbyte = Base64.getDecoder().decode(ciphertext);
    <em>// 解密后的byte數(shù)組</em>
    byte[] plainbyte = cipher.doFinal(cipherbyte);
    <em>// byte數(shù)組轉(zhuǎn)字符串</em>
    String plaintext = new String(plainbyte);
    logger.info(plaintext);
}

簽名算法

保證數(shù)據(jù)安全,僅靠加密還不夠。如果密鑰被泄漏,攻擊者可以偽靠數(shù)據(jù),使用密鑰加密后給服務(wù)器發(fā)送信息。所以還需要對(duì)數(shù)據(jù)簽名,為安全增加一道屏障。常用的簽名算法有:MD5,SHA。非對(duì)稱加密的公/私鑰也可以對(duì)數(shù)據(jù)簽名。

MD5或SHA簽名

<em>// 可傳入MD5或SHA算法</em>
MessageDigest md = MessageDigest.getInstance("MD5");
<em>// 對(duì)str數(shù)據(jù)簽名</em>
byte[] bSign = md.digest(str.getBytes());
<em>// 轉(zhuǎn)成十六進(jìn)制簽名串</em>
String signStr = Hex.byteCoverToString(bSign);

公/私密鑰簽名

<em>/**
 * 簽名
 * @param key
 * @param algorithm
 * @param data
 * @return
 */</em>
public static byte[] sign(PrivateKey key, String algorithm, byte[] data) {

    try {

        Signature signature = Signature.getInstance(algorithm);
        signature.initSign(key);
        signature.update(data);
        return signature.sign();

    } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException e) {
        throw new CommonException(e);
    }
}

<em>/**
 * 驗(yàn)簽
 * @param key
 * @param algorithm
 * @param sign
 * @param data
 * @return
 */</em>
public static boolean verify(PublicKey key, String algorithm, byte[] sign, byte[] data) {

    try {

        Signature signature = Signature.getInstance(algorithm);
        signature.initVerify(key);
        signature.update(data);
        return signature.verify(sign);

    } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException e) {
        throw new CommonException(e);
    }
}

設(shè)計(jì)規(guī)范示例

示例一

第一次接觸Java加密是12年做銀聯(lián)直連支付插件,后臺(tái)加密規(guī)范是銀聯(lián)出的,對(duì)稱加密與非對(duì)稱加密都用上了。如下:

協(xié)議版本|加密密鑰|報(bào)文密文|報(bào)文簽名

協(xié)議版本號(hào)一般是固定的,如:1.0。

加密密鑰是動(dòng)態(tài)生成的對(duì)稱密鑰,每一次請(qǐng)求都會(huì)生成,用來(lái)加密報(bào)文。加密密鑰用自己的私鑰加密,Base64編碼。

報(bào)文密文是用動(dòng)態(tài)生成的加密密鑰加密后Base64編碼。

報(bào)文簽名是按約將報(bào)文明文參數(shù)排序,進(jìn)行MD5計(jì)算。

示例二

因工作需內(nèi)容,接入過(guò)幾十加支付系統(tǒng),他們的加觸密都大同小異。示例一中銀聯(lián)的那套加密方案后面看到的不多。很多公司用的對(duì)稱密鑰+簽名。

報(bào)文(key1=value1&k2=value2&sign=value)

先對(duì)報(bào)文進(jìn)行規(guī)則排序(一般是key的ascii碼升序或降序),再用事先約定好的對(duì)密密鑰(十六進(jìn)制字符串)拼接在后面,進(jìn)行MD5計(jì)算。

也有的是使用RSA密鑰簽名驗(yàn)簽。

跨語(yǔ)言加解密

Java原生API中加密算法提供者是SUN或Oracle。使用同相的Java代碼,用Android加密,后臺(tái)解密是不通過(guò)的。在Android上,算法要用 RSA/ECB/PKCS1Padding ,才能對(duì)應(yīng)Oracle JDK的RSA。主要是因?yàn)榉菍?duì)稱加密的默認(rèn)填充方式不一樣。

同樣,用PHP或.NET語(yǔ)言和Java交互,也會(huì)出現(xiàn)不能解密的情況。所以有些系統(tǒng)設(shè)計(jì)上,只用了簽名和對(duì)稱加密,配合https在傳輸上保證內(nèi)容加密。雖然方便,但沒(méi)實(shí)際解決問(wèn)題。

做Java后臺(tái)同學(xué)可能注意到,引入第三方提供的加解密SDK時(shí),有些會(huì)依賴 org.bouncycastle 的包。

這是一個(gè)開(kāi)源項(xiàng)目:Bouncy Castle,支持Java和C#語(yǔ)言。

官網(wǎng): www.bouncycastle.org

Git: github.com/bcgit/bc-java

BC包需下載對(duì)應(yīng)JDK版本,不同版本的BC包可能會(huì)沖突,甚至無(wú)法啟動(dòng)工程。

可以使用 Security.addProvider() 手動(dòng)添加加密提供者。

密鑰管理

JDK中有一個(gè) keytool 的工具??梢杂脕?lái)創(chuàng)建密鑰庫(kù),管理密鑰和證書(shū)。

keytool創(chuàng)建的密鑰庫(kù)keystore是jks類型的,讀取jks密鑰庫(kù)在前面已給出說(shuō)明了。在tomcat中配置https時(shí)是可以直接使用keystore密鑰庫(kù)。nginx或apache使用的還是pfx或pem格式(pem一般只存私鑰)。

當(dāng)我們用Java的Connection連接https有可能會(huì)遇到證書(shū)錯(cuò)誤,是因?yàn)樽C書(shū)受信任,或不是受信任的機(jī)構(gòu)頒發(fā)的。JDK有一個(gè)密鑰庫(kù)用來(lái)存放受信任證書(shū)。

$JAVA_HOME/jre/lib/security/cacerts

我們可以用keytool管理cacerts,默認(rèn)密碼:changeit

使用keytool在cacerts中添加相應(yīng)證書(shū),再用Connection訪問(wèn)https就不會(huì)報(bào)錯(cuò)了。

不建議在cacerts中添加證書(shū),會(huì)導(dǎo)至程序可移植性差。在阿里云或Let's Encrypt可以申請(qǐng)免費(fèi)證書(shū)。

到此這篇關(guān)于 Java 加密解密和數(shù)字簽名的文章就介紹到這了,更多相關(guān) Java 加密解密和數(shù)字簽名內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評(píng)論