博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
Java Security:Java加密框架(JCA)简要说明
阅读量:5285 次
发布时间:2019-06-14

本文共 3714 字,大约阅读时间需要 12 分钟。

 

转:

      加密服务总是关联到一个特定的算法或类型,它既提供了密码操作(如Digital Signature或MessageDigest),生成或供应所需的加密材料(Key或Parameters)加密操作,也会以一个安全的方式生成数据对象(KeyStore或Certificate),封装(压缩)密钥(可以用于加密操作)。

    Java Security API中,一个engine class就是定义了一种加密服务,不同的engine class提供不同的服务。下面就来看看有哪些engine class:

1)MessageDigest:对消息进行hash算法生成消息摘要(digest)。

2)Signature:对数据进行签名、验证数字签名。

3)KeyPairGenerator:根据指定的算法生成配对的公钥、私钥。

4)KeyFactory:根据Key说明(KeySpec)生成公钥或者私钥。

5)CertificateFactory:创建公钥证书和证书吊销列表(CRLs)。

6)KeyStore:keystore是一个keys的数据库。Keystore中的私钥会有一个相关联的证书链,证书用于鉴定对应的公钥。一个keystore也包含其它的信任的实体。

7)AlgorithmParameters:管理算法参数。KeyPairGenerator就是使用算法参数,进行算法相关的运算,生成KeyPair的。生成Signature时也会用到。

8)AlgorithmParametersGenerator:用于生成AlgorithmParameters。

9)SecureRandom:用于生成随机数或者伪随机数。

10)CertPathBuilder:用于构建证书链。

11)CertPathValidator:用于校验证书链。

12)CertStore:存储、获取证书链、CRLs到(从)CertStore中。

 

从上面这些engine class中,可以看出JCA(Java加密框架)中主要就是提供了4种服务:Digest、Key、Cert、Signature、Alogorithm。

1) 对消息内容使用某种hash算法就可以生成Digest。

2) 利用KeyFactory、KeyPairGenerator就可以生成公钥、私钥。

3) 证书中心使用公钥就可生成Cert。

4) 可以使用私钥和Digest就可以消息进行签名Signature。

5) 不论是Digest、Key、Cert、Signature,都要使用到算法Algorithm。

 

JCA Core API

 

1)engine class的提供商Provider

 

从JCA的设计上来说,这些engine的实现都离不开Provider。

这个类继承了Properties,提供了JCA中的engine class。每个engine class都有getInstance()方法,它们都是从provider中获取相关实例的。所以说Provider是JCA engine class的提供商。

 

 

2)管理Provider的工具:Security

 

其实就是一个存放Provider的集合。如果你自定义了一个Provider,可以使用Java Security属性文件配置provider,也可以直接使用Security采用编程的方式来添加Provider。然后就可以使用自定义的engine class了。

Java Security 属性文件在Java Security Policy中已有提过。在安装目录下:

 

 

下面是一个自定义的Provider:

/** * @author fs1194361820@163.com */public class XYZProvider extends Provider{ public XYZProvider(){ super("XYZ", 1.0, "XYZ Security Provider v1.0"); put("MessageDigest.XYZ", XYZMessageDigest.class.getName()); } }

 

已经默认配置了下列Provider:

 

配置为:security.provider.11=com.fjn.security.XYZProvider 即可。

编码方式就更加简单了:Security.addProvider(new XYZProvider());

  

3)消息摘要服务:MessageDigest

    消息摘要服务其实就是使用hash算法将一段消息(可以是字符串、文件内容、html等)进行计算生成的一个byte[]。

常用加密算法MD5、SHA、SHA-1其实都是hash算法。

 

下面就给一个简单的MD5算法工具:

View Code

 

Md5算法我并没有去实现,因为在JDK中已经内置了md5算法。上面的代码就是使用消息摘要服务,并使用md5算法,生成相应的摘要。 

下面来一个自定义的MessageDigest:

 

View Code

这个自定义的MessageDigest中备注的内容,其实就是MessageDigest的执行过程,所有的MessageDigest都要遵从这个过程的。 

 

测试用例:

 

View Code

在这个用例中,writeMessage()将一段字符串保存后并将生成的digest也保存。 

readMessage()将消息读取后,使用MessageDigest.isEqual()方法进行比较,这样可以知道文件是否被人改动过。

 

 

而实际上利用私钥更新签名信息时,就是使用MessageDigest#update()方法的。

4)Key 相关的服务

Key包括公钥(PublicKey)、私钥(PrivateKey)两种。

 

4.1 KeyPairGenerator

这个服务用于生成PublicKey和PrivateKey。

  

获取实例后,只需要根据上面4种initialize方法进行初始化后,就可以生成KeyPair了。

View Code

第一次调用generateKeyPair()都会生成不同的KeyPair。KeyPairGenerator 每次生成的都是一个KeyPair。

 

4.2 KeyFactory

KeyFactory用于在Key与KeySpec之间转换,即可以根据key获取到KeySpec,也可以根据KeySpec获取Key。

 

View Code

 

 

5)Cert相关的服务

从上一篇的例子中知道,用户使用的Public Key有可能被不法分子偷偷地窜改,这样用户就得不到应有的服务,也会受到不法分子的危害。如何保证public key不被窜改或者替换呢?认证服务就出现了。

 

5.1 CertificateFactory

用于生成Certificate或者CRL的。

 

 

FileInputStream fis = new FileInputStream(filename); BufferedInputStream bis = new BufferedInputStream(fis); CertificateFactory cf = CertificateFactory.getInstance("X.509"); while (bis.available() > 0) { Certificate cert = cf.generateCertificate(bis); System.out.println(cert.toString()); }

 

什么是CRL ? 

一个证书颁发机构需要证书吊销其颁发的证书——也许是虚假的,或者证书的用户已经使用证书从事非法行为。在这样的情况下,证书的有效期不足保护;证书必须立即失效。

 

下面的这个例子就是在验证完证书的有效性后,判断这个证书是否是一个吊销的证书。

View Code

 

5.2 CertPathBuilder构建证书链CertPath

 

CertPath就是之前说的证书链。其实就是一个Certificate的有序列表。在列表的最后的一个Cert是一个自签名的Cert。

 

 

5.3 CertPathValidator验证Cert链

 

CertPathValidator用于校验Cert。

 

 

 

6)KeyStore

    一个KeyStore是一个key、cert的库,里面存储了PrivateKey, Aliases, Certs.

KeyStore将会有专门的说明。

 

7)Signature签名

用私钥签名,用公钥验证:

View Code

 

到此,JCA部分的engine class已经大体上有个了解了。接下来就是要学习如何应用它们了。

 

作者: 房继诺

出处:http://www.cnblogs.com/f1194361820
版权:本文版权归作者和博客园共有
欢迎转载,转载请需要注明博客出处

转载于:https://www.cnblogs.com/libin6505/p/10442194.html

你可能感兴趣的文章
sublime 打开命令窗口监控
查看>>
2014-9-4 技术创业分享汇
查看>>
利用上载漏洞,攻击asp.net 网站
查看>>
Springboot整合Kfka
查看>>
数学·序言
查看>>
jstack 命令介绍
查看>>
Android Studio Tips
查看>>
EM算法的应用
查看>>
STM32 输入捕获配置
查看>>
Spark 运行架构核心总结
查看>>
判断是否有审核的项目(案例)
查看>>
问题,不是逃避的
查看>>
HTML 自学笔记(HTML的图像标记+超链接的使用)
查看>>
Arduino学习笔记40
查看>>
VS2010之– Web Development(三)-使用VisualStudio打包发布WebApplication
查看>>
LeetCode 671. 二叉树中第二小的节点(Second Minimum Node In a Binary Tree) 9
查看>>
scrapy之中间件
查看>>
51Nod 1016 - 水仙花数
查看>>
python接口自动化测试二十五:执行所有用例,并生成HTML测试报告
查看>>
测开之路五十四:实现文件查找
查看>>