欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

詳解Java?加密解密和數(shù)字簽名問題

 更新時間:2021年12月22日 10:12:59   作者:攻城獅·正  
在做項目中,只要涉及敏感信息,或者對安全有一定要求的場景,都需要對數(shù)據(jù)進行加密。接下來通過本文給大家分享Java?加密解密和數(shù)字簽名問題,感興趣的朋友跟隨小編一起看看吧

在做項目中,只要涉及敏感信息,或者對安全有一定要求的場景,都需要對數(shù)據(jù)進行加密。在Java中原生API即可實現(xiàn)對稱加密與非對稱加密,并支持常用的加密算法。

對稱加密

對稱加密使用單鑰完成加解密,加密和解密采用相同的密鑰。對稱加密的速度快,常用于大量數(shù)據(jù)進行加密。主流的算法有:AES,3DES。

生成3DES密鑰

<em>/**
 * 對稱加密-3DES算法,取代舊的DES
 */</em>
SecretKey desKey = KeyGenerator.getInstance("DESede").generateKey();

生成AES密鑰

<em>/**
* 生成AES算法的密鑰
*/</em>
SecretKey aesKey = KeyGenerator.getInstance("AES").generateKey();

保存密鑰

對稱密鑰一般使用二進制保存

SecretKey desKey = KeyGenerator.getInstance("DESede").generateKey();
<em>// 二進制密鑰</em>
byte[] bkey = desKey.getEncoded();
<em>// 轉(zhuǎn)成十六進制</em>
String keyStr = Hex.byteCoverToString(bkey);

讀取密鑰

可以自己生成隨機字符串轉(zhuǎn)成byte數(shù)組生成密鑰,注意byte長度不能小于24位。

<em>// bkey是byte數(shù)組</em>
DESedeKeySpec keySpec = new DESedeKeySpec(bkey);
<em>// 讀取AES密鑰</em>
SecretKey srtKey = SecretKeyFactory.getInstance("AES").generateSecret(keySpec);

Hex是我自己寫的工具類。byte數(shù)組和十六進制互轉(zhuǎn)的方法有很多,篇幅有限就不貼出來了。可以引入 Apache Commons Codec 工具類,提供Hex,Base64等常用方法。

非對稱加密

非對稱加密使用密鑰對進行加密。一般使用私密加密,公鑰解密,也可以反過來用。但自己加密的數(shù)據(jù)自己不能解,只能依靠對方解密,可以很好的防止單方面密鑰泄露。常用的加密算法有:RSA,DSA。

生成密鑰對

<em>/**
 * 可以傳RSA或DSA算法
 */</em>
KeyPair keyPair = KeyPairGenerator.getInstance("RSA").generateKeyPair();
<em>// 私鑰</em>
PrivateKey prvKey = keyPair.getPrivate();
<em>// 公鑰</em>
PublicKey pubKey = keyPair.getPublic();

保存密鑰

非對稱密鑰一般使用Base64編碼保存。

<em>// 私鑰串</em>
String prvKeyStr = Base64.getEncoder().encodeToString(prvKey.getEncoded());
<em>// 公鑰串</em>
String pubKeyStr = Base64.getEncoder().encodeToString(pubKey.getEncoded());

非對稱加密對加密內(nèi)容長度有限制,不能超過192位。雖然可以使用加密數(shù)據(jù)數(shù)流來突破限制,但由于非對稱加密效率不如對稱加密,非對稱加密一般用來加密對稱密鑰。

讀取密鑰

<em>// 從二進制中讀取私鑰</em>
byte[] bPrvKey = Base64.getDecoder().decode(prvKeyStr);
PKCS8EncodedKeySpec rsaKeySpec = new PKCS8EncodedKeySpec(bPrvKey);
PrivateKey prvKey = KeyFactory.getInstance("RSA").generatePrivate(rsaKeySpec);

<em>// 從二進制中讀取公鑰</em>
byte[] bPubKey = Base64.getDecoder().decode(pubKeyStr);
X509EncodedKeySpec rsaKeySpec1 = new X509EncodedKeySpec(bPubKey);
PublicKey pubKey = KeyFactory.getInstance("RSA").generatePublic(rsaKeySpec1);

我們在接入其他系統(tǒng)中,有時不是給密鑰串,而是一個CA證書或PFX密鑰文件。HTTS網(wǎng)站就是使用非對稱加密的,網(wǎng)站會把CA證書掛在上面讓瀏覽器下載,和服務(wù)器進行加解密交互。

從CA證書中讀取公鑰

<em>// keyFilePath是證書文件</em>
try (InputStream fin = new FileInputStream(keyFilePath)) {
    CertificateFactory f = CertificateFactory.getInstance("X.509");
    X509Certificate certificate = (X509Certificate) f.generateCertificate(fin);
    PublicKey pubKey = certificate.getPublicKey();
} catch (IOException | CertificateException e) {
    e.printStackTrace();
}

從PFX文件中讀取密鑰

根據(jù)密鑰存儲類型,下面方可以讀取pfx或jks類型的密鑰文件。

try (InputStream is = new FileInputStream(keyFilePath)) {
    <em>// pkcs12或jks</em>
    KeyStore store = KeyStore.getInstance("pkcs12");
    <em>// 密碼</em>
    store.load(is, "密碼".toCharArray());
    <em>// 獲取所有密鑰別名列表</em>
    Enumeration<String> e = store.aliases();
    <em>// 如果有,讀取第一個密鑰</em>
    if (e.hasMoreElements()) {
        String alias = e.nextElement();
        <em>// 私鑰</em>
        PrivateKey prvKey = (PrivateKey) store.getKey(alias, password.toCharArray());
        <em>// 公鑰</em>
        PublicKey pubKey = store.getCertificate(alias).getPublicKey();
        <em>// 創(chuàng)建密鑰對</em>
        KeyPair keyPare = new KeyPair(pubKey, prvKey);
    }

} catch (IOException | KeyStoreException | CertificateException | NoSuchAlgorithmException | UnrecoverableKeyException e) {
    e.printStackTrace();
}

密鑰文件是用來存儲密鑰的倉庫。Java中KeyTool工具可以創(chuàng)建jks密鑰文件。jks密鑰文件中可以存儲多個密鑰。如果有多個密鑰文件,可以根據(jù)別名來讀取指定密鑰。

加密擴展包——JCE

使用JDK8,讀取PFX密鑰也許會遇到:java.security.InvalidKeyException:illegal Key Size

這是因為jdk sercurity的jar包限制,只支持128bit的密鑰。jar包如下:

$JAVA_HOME/lib/security/local_policy.jar

$JAVA_HOME/jre/lib/security/US_export_policy.jar

到Oracle官網(wǎng)下載JDK對應(yīng)的加密擴展包(JCE)。以下是JDK8的JCE

https://www.oracle.com/java/technologies/javase-jce8-downloads.html

把下載后的文件解壓,找到 local_policy.jar 和 US_export_policy.jar

覆蓋jdk目錄下, $JAVA_HOME/jre/lib/security 和? $JAVA_HOME/lib/security 下的文件。(有的版本JDK可能沒有 $JAVA_HOME/lib/security 目錄,則忽略)

再運行代碼,就能正常讀取256bit的密鑰。

加密&解密

用上面生成的密鑰(對稱/非對密)加密或解密

<em>// 密文</em>
String ciphertext = null;

{
    String plaintext = "加密內(nèi)容";
    <em>// 密鑰算法,RSA/DAS/AESDESed</em>
    Cipher cipher = Cipher.getInstance("RSA");
    <em>// 設(shè)置加密模式</em>
    cipher.init(Cipher.ENCRYPT_MODE, prvKey);
    <em>// 加密后的byte數(shù)組</em>
    byte[] cipherbyte = cipher.doFinal(plaintext.getBytes());
    <em>// 轉(zhuǎn)成base64</em>
    ciphertext = Base64.getEncoder().encodeToString(cipherbyte);
    logger.info(ciphertext);
}

{
    <em>// 密鑰算法,RSA/DAS/AESDESed</em>
    Cipher cipher = Cipher.getInstance("RSA");
    <em>// 設(shè)置解密模式</em>
    cipher.init(Cipher.DECRYPT_MODE, pubKey);
    <em>// base64解碼獲得密文byte數(shù)組</em>
    byte[] cipherbyte = Base64.getDecoder().decode(ciphertext);
    <em>// 解密后的byte數(shù)組</em>
    byte[] plainbyte = cipher.doFinal(cipherbyte);
    <em>// byte數(shù)組轉(zhuǎn)字符串</em>
    String plaintext = new String(plainbyte);
    logger.info(plaintext);
}

簽名算法

保證數(shù)據(jù)安全,僅靠加密還不夠。如果密鑰被泄漏,攻擊者可以偽靠數(shù)據(jù),使用密鑰加密后給服務(wù)器發(fā)送信息。所以還需要對數(shù)據(jù)簽名,為安全增加一道屏障。常用的簽名算法有:MD5,SHA。非對稱加密的公/私鑰也可以對數(shù)據(jù)簽名。

MD5或SHA簽名

<em>// 可傳入MD5或SHA算法</em>
MessageDigest md = MessageDigest.getInstance("MD5");
<em>// 對str數(shù)據(jù)簽名</em>
byte[] bSign = md.digest(str.getBytes());
<em>// 轉(zhuǎn)成十六進制簽名串</em>
String signStr = Hex.byteCoverToString(bSign);

公/私密鑰簽名

<em>/**
 * 簽名
 * @param key
 * @param algorithm
 * @param data
 * @return
 */</em>
public static byte[] sign(PrivateKey key, String algorithm, byte[] data) {

    try {

        Signature signature = Signature.getInstance(algorithm);
        signature.initSign(key);
        signature.update(data);
        return signature.sign();

    } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException e) {
        throw new CommonException(e);
    }
}

<em>/**
 * 驗簽
 * @param key
 * @param algorithm
 * @param sign
 * @param data
 * @return
 */</em>
public static boolean verify(PublicKey key, String algorithm, byte[] sign, byte[] data) {

    try {

        Signature signature = Signature.getInstance(algorithm);
        signature.initVerify(key);
        signature.update(data);
        return signature.verify(sign);

    } catch (NoSuchAlgorithmException | SignatureException | InvalidKeyException e) {
        throw new CommonException(e);
    }
}

設(shè)計規(guī)范示例

示例一

第一次接觸Java加密是12年做銀聯(lián)直連支付插件,后臺加密規(guī)范是銀聯(lián)出的,對稱加密與非對稱加密都用上了。如下:

協(xié)議版本|加密密鑰|報文密文|報文簽名

協(xié)議版本號一般是固定的,如:1.0。

加密密鑰是動態(tài)生成的對稱密鑰,每一次請求都會生成,用來加密報文。加密密鑰用自己的私鑰加密,Base64編碼。

報文密文是用動態(tài)生成的加密密鑰加密后Base64編碼。

報文簽名是按約將報文明文參數(shù)排序,進行MD5計算。

示例二

因工作需內(nèi)容,接入過幾十加支付系統(tǒng),他們的加觸密都大同小異。示例一中銀聯(lián)的那套加密方案后面看到的不多。很多公司用的對稱密鑰+簽名。

報文(key1=value1&k2=value2&sign=value)

先對報文進行規(guī)則排序(一般是key的ascii碼升序或降序),再用事先約定好的對密密鑰(十六進制字符串)拼接在后面,進行MD5計算。

也有的是使用RSA密鑰簽名驗簽。

跨語言加解密

Java原生API中加密算法提供者是SUN或Oracle。使用同相的Java代碼,用Android加密,后臺解密是不通過的。在Android上,算法要用 RSA/ECB/PKCS1Padding ,才能對應(yīng)Oracle JDK的RSA。主要是因為非對稱加密的默認填充方式不一樣。

同樣,用PHP或.NET語言和Java交互,也會出現(xiàn)不能解密的情況。所以有些系統(tǒng)設(shè)計上,只用了簽名和對稱加密,配合https在傳輸上保證內(nèi)容加密。雖然方便,但沒實際解決問題。

做Java后臺同學可能注意到,引入第三方提供的加解密SDK時,有些會依賴 org.bouncycastle 的包。

這是一個開源項目:Bouncy Castle,支持Java和C#語言。

官網(wǎng): www.bouncycastle.org

Git: github.com/bcgit/bc-java

BC包需下載對應(yīng)JDK版本,不同版本的BC包可能會沖突,甚至無法啟動工程。

可以使用 Security.addProvider() 手動添加加密提供者。

密鑰管理

JDK中有一個 keytool 的工具??梢杂脕韯?chuàng)建密鑰庫,管理密鑰和證書。

keytool創(chuàng)建的密鑰庫keystore是jks類型的,讀取jks密鑰庫在前面已給出說明了。在tomcat中配置https時是可以直接使用keystore密鑰庫。nginx或apache使用的還是pfx或pem格式(pem一般只存私鑰)。

當我們用Java的Connection連接https有可能會遇到證書錯誤,是因為證書受信任,或不是受信任的機構(gòu)頒發(fā)的。JDK有一個密鑰庫用來存放受信任證書。

$JAVA_HOME/jre/lib/security/cacerts

我們可以用keytool管理cacerts,默認密碼:changeit

使用keytool在cacerts中添加相應(yīng)證書,再用Connection訪問https就不會報錯了。

不建議在cacerts中添加證書,會導至程序可移植性差。在阿里云或Let's Encrypt可以申請免費證書。

到此這篇關(guān)于 Java 加密解密和數(shù)字簽名的文章就介紹到這了,更多相關(guān) Java 加密解密和數(shù)字簽名內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

最新評論