Java Security:Java加密框架(JCA)简要说明

     
加密服务总是关联到一个一定的算法或项目,它既是提供了密码操作(如Digital
Signature或MessageDigest),生成还是供所待的加密材料(Key或Parameters)加密操作,也会见因为一个安的点子转数据对象(KeyStore或Certificate),封装(压缩)密钥(可以用于加密操作)。

    Java Security API中,一个engine
class就是概念了一致栽加密服务,不同的engine
class提供不同之服务。下面就来探视发生哪engine class:

1)MessageDigest:对信息进行hash算法生成消息摘要(digest)。

2)Signature:对数据进行签字、验证数字签名。

3)KeyPairGenerator:根据指定的算法生成配对的公钥、私钥。

4)KeyFactory:根据Key说明(KeySpec)生成公钥或者私钥。

5)CertificateFactory:创建公钥证书和证件吊销列表(CRLs)。

6)KeyStore:keystore是一个keys的数据库。Keystore中之私钥会起一个互关联的证书链,证书用于鉴定对应之公钥。一个keystore也隐含其他的信赖的实体。

7)AlgorithmParameters:管理算法参数。KeyPairGenerator就是应用算法参数,进行算法相关的运算,生成KeyPair的。生成Signature时也会为此到。

8)AlgorithmParametersGenerator:用于生成AlgorithmParameters。

9)SecureRandom:用于生成随机数或者伪随机数。

10)CertPathBuilder:用于构建证书链。

11)CertPathValidator:用于校验证书链。

12)CertStore:存储、获取证书链、CRLs到(从)CertStore中。

 

由点这些engine
class中,可以看来JCA(Java加密框架)中主要就是是提供了4栽服务:Digest、Key、Cert、Signature、Alogorithm。

1) 对信息内容以某种hash算法就得生成Digest。

2) 利用KeyFactory、KeyPairGenerator就好转变公钥、私钥。

3) 证书中心使用公钥就可生成Cert。

4) 可以使用私钥和Digest就得消息进行签约Signature。

5) 不论是Digest、Key、Cert、Signature,都使运用及算法Algorithm。

 

JCA Core API

 

1)engine class的提供商Provider

 

从今JCA的计划达到的话,这些engine的落实都距不开Provider。

是类似继承了Properties,提供了JCA中之engine class。每个engine
class都来getInstance()方法,它们还是从provider中取得有关实例的。所以说Provider是JCA
engine class的提供商。

 

 

2)管理Provider的工具:Security

 

实质上就是一个存放Provider的聚合。如果你于定义了一个Provider,可以用Java
Security属性文件配置provider,也足以直接用Security采用编程的艺术来补偿加Provider。然后就好下于定义之engine
class了。

Java Security 属性文件在Java Security Policy中曾经来提了。在设置目录下:

 Java 1

 

脚是一个自定义的Provider:

/**
 * @author fs1194361820@163.com
 */
public class XYZProvider extends Provider{
    public XYZProvider(){
        super("XYZ", 1.0, "XYZ Security Provider v1.0");
        put("MessageDigest.XYZ", XYZMessageDigest.class.getName());
    }
}

 

早就默认配置了下列Provider:

 Java 2

配置为:security.provider.11=com.fjn.security.XYZProvider 即可。

编码方式就越是简便易行了:Security.addProvider(new XYZProvider());

  

3)消息摘要服务:MessageDigest

   
消息摘要服务实际就算是采用hash算法将平段落消息(可以是字符串、文件内容、html等)进行测算生成的一个byte[]。

常用加密算法MD5、SHA、SHA-1其实还是hash算法。

 

下就给一个简易的MD5算法工具:

Java 3Java 4

package com.fjn.util;

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
/**
 * 
 * @author fs1194361820@163.com
 *
 */
public class MD5 {
    private static MessageDigest md5MsgDigest;

    static{
        try {
            md5MsgDigest=MessageDigest.getInstance("md5");
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
    }

    // 转字符串
    public static String byte2hex(byte[] b){ 
        String hs = "";
        String stmp = "";
        for (int n = 0; n < b.length; n++) {
            stmp = Integer.toHexString(b[n] & 0xFF);
            if (stmp.length() == 1)
                hs = hs + "0" + stmp;
            else
                hs = hs + stmp;
        }
        return hs.toUpperCase();
    }

    public static String getMD5(String srcMsg){
        if(srcMsg == null){
            throw new IllegalArgumentException("srcMsg is null.");
        }
        byte[] md5Bytes=md5MsgDigest.digest(srcMsg.getBytes());
        return byte2hex(md5Bytes);
    }

    public static void main(String[] args) {
        System.out.println(MD5.getMD5("hello"));
        System.out.println(MD5.getMD5("world"));
    }
}

View Code

 

Md5算法我连不曾失去实现,因为当JDK中曾经嵌入了md5算法。上面的代码就是应用信息摘要服务,并采取md5算法,生成对应的摘要。 

脚来一个自定义的MessageDigest:

 

Java 5Java 6

package com.fjn.security.messageDigest;

import java.security.MessageDigest;
/**
 * @author fs1194361820@163.com
 */
public class XYZMessageDigest extends MessageDigest{
    private int hash;
    private int store;
    private int count;

    public XYZMessageDigest(){
        super("XYZ");
        engineReset();
    }

    /**
     * 算法执行过程,每次执行{@link MessageDigest#update(byte)}时,都会调用这个方法,
     * 也就是使用这个算法对在已经计算的数据的基础上再次计算,计算出最新的结果
     */
    @Override
    protected void engineUpdate(byte b) {
        switch (count) {
        case 0:
            store = (b << 24) & 0xff000000;
            break;
        case 1:
            store |= (b << 16) & 0x00ff0000;
            break;
        case 2:
            store |= (b << 8) & 0x0000ff00;
            break;
        case 3:
            store |= (b << 0) & 0x000000ff;
            break;
        }
        count++;
        if(count==4){
            hash = hash ^ store;
            count = 0;
            store = 0;
        }
    }

    @Override
    protected void engineUpdate(byte[] b, int offset, int length) {
        for (int i = 0; i < length; i++){
            engineUpdate(b[i + offset]);
        }
    }

    /**
     * 每次执行{@link MessageDigest#digest()}时,都会获取之前计算好的结果。
     * 同时也会将数据置为初始状态。
     */
    @Override
    protected byte[] engineDigest() {
        while (count != 0){
            engineUpdate((byte) 0);
        }
        byte b[] = new byte[4];
        b[0] = (byte) (hash >>> 24);
        b[1] = (byte) (hash >>> 16);
        b[2] = (byte) (hash >>>  8);
        b[3] = (byte) (hash >>>  0);
        engineReset();
        return b;
    }

    /**
     * 数据转为初始状态
     */
    @Override
    protected void engineReset() {
        hash = 0;
        store = 0;
        count = 0;        
    }

}

View Code

其一自定义的MessageDigest中备注的情节,其实就是MessageDigest的实践过程,所有的MessageDigest都使论从之进程的。 

 

测试用例:

 

Java 7Java 8

package com.fjn.security.messageDigest;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.security.MessageDigest;
import java.security.Security;

public class XYZMessageDigestTest {
    private static String filename="MessageDigestTest.txt";
    static{
        Security.addProvider(new XYZProvider());
    }

    public static void main(String[] args) throws Exception {
        XYZMessageDigestTest test=new XYZMessageDigestTest();
        test.writeMessage();
        test.readMessage();
    }

    public void writeMessage() throws Exception {
        File file=new File(filename);
        file.deleteOnExit();
        file.createNewFile();
        FileOutputStream fos = new FileOutputStream(file);
        MessageDigest md = MessageDigest.getInstance("XYZ");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        String data = "This have I thought good to deliver thee, "+
            "that thou mightst not lose the dues of rejoicing " +
            "by being ignorant of what greatness is promised thee.";
        byte buf[] = data.getBytes();
        md.update(buf);
        oos.writeObject(data);  // original message
        oos.writeObject(md.digest()); // digest

        oos.close();
    }

    public void readMessage() throws Exception{
        File file=new File(filename);
        FileInputStream fis=new FileInputStream(file);
        ObjectInputStream ois=new ObjectInputStream(fis);


        Object o = ois.readObject(); // String data: original message
        if (!(o instanceof String)) {
            System.out.println("Unexpected data in file");
            System.exit(-1);
        }
        String data = (String) o;
        System.out.println("Got message : " + data);
        o = ois.readObject();   // byte[] : digest
        if (!(o instanceof byte[])) {
            System.out.println("Unexpected data in file");
            System.exit(-1);
        }
        byte origDigest[] = (byte []) o;
        MessageDigest md = MessageDigest.getInstance("XYZ");
        md.update(data.getBytes());
        if (MessageDigest.isEqual(md.digest(), origDigest))
            System.out.println("Message is valid");
        else 
            System.out.println("Message was corrupted");


        MessageDigest md2 = MessageDigest.getInstance("SHA");
        md2.update(data.getBytes());
        if (MessageDigest.isEqual(md2.digest(), origDigest))
            System.out.println("Message is valid");
        else 
            System.out.println("Message was corrupted");

        ois.close();
    }
}

View Code

每当是用例中,writeMessage()将同段落字符串保存后并拿转变的digest也保留。 

readMessage()将信息读取后,使用MessageDigest.isEqual()方法进行比较,这样可知晓文书是否被人变更过。

 

 

假如实在以私钥更新签名信经常,就是运MessageDigest#update()方法的。

4)Key 相关的劳动

Key包括公钥(PublicKey)、私钥(PrivateKey)两栽。

 

4.1 KeyPairGenerator

其一服务用于生成PublicKey和PrivateKey。

 Java 9 

获实例后,只需要基于地方4种植initialize方法开展初始化后,就足以十分成KeyPair了。

Java 10Java 11

@Test
    public void generateKeyPair() throws Exception {
        // 算法名称有规定的值,不能乱写的
        KeyPairGenerator dsaKeyPairGenerator=KeyPairGenerator.getInstance("dsa");
        SecureRandom random=SecureRandom.getInstance("SHA1PRNG","SUN");
        random.setSeed(new byte[]{1,2,3,4});
        /**
         * jdk8: key必须在[512,1024]之间,并且是64的倍数。有的JDK版本要求是8的倍数,这要根据实际情况和需求设定
         */
        dsaKeyPairGenerator.initialize(576, random);

        KeyPair keyPair=dsaKeyPairGenerator.generateKeyPair();
        DSAPublicKey puk=(DSAPublicKey)keyPair.getPublic();
        DSAPrivateKey pik=(DSAPrivateKey)keyPair.getPrivate();

        System.out.println(puk.getFormat());
        System.out.println(pik.getFormat());

        System.out.println(puk);
        System.out.println(pik);
    }

View Code

先是不行调动用generateKeyPair()都见面扭转不同之KeyPair。KeyPairGenerator
每次转的都是一个KeyPair。

 

4.2 KeyFactory

KeyFactory用于在Key与KeySpec之间变换,即可以依据key获取到KeySpec,也可因KeySpec获取Key。

 

Java 12Java 13

package com.fjn.security.key;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.math.BigInteger;
import java.security.KeyFactory;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.PublicKey;
import java.security.SecureRandom;
import java.security.spec.DSAPublicKeySpec;

import org.junit.Test;

public class KeyFactoryTest {
    private static final String DSA="DSA";
    private static final String keyspecFile="keyspec.text";

    @Test
    public void genenatePublicKey() throws Exception{
        writeKeySpec();
        readKeySpec();
    }

    private void writeKeySpec() throws Exception {
        File file=new File(keyspecFile);
        file.deleteOnExit();
        file.createNewFile();

        KeyPairGenerator keyGen = KeyPairGenerator.getInstance(DSA);
        keyGen.initialize(512, new SecureRandom());
        KeyPair keyPair=keyGen.generateKeyPair();

        KeyFactory factory=KeyFactory.getInstance(DSA);
        DSAPublicKeySpec keySpec=factory.getKeySpec(keyPair.getPublic(), DSAPublicKeySpec.class);
        FileOutputStream fos = new FileOutputStream(file);
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(keySpec.getY());
        oos.writeObject(keySpec.getP());
        oos.writeObject(keySpec.getQ());
        oos.writeObject(keySpec.getG());
        oos.flush();
        oos.close();
    }

    private void readKeySpec() throws Exception {
        KeyFactory factory=KeyFactory.getInstance(DSA);
        FileInputStream fis = new FileInputStream(keyspecFile);
        ObjectInputStream ois = new ObjectInputStream(fis);
        DSAPublicKeySpec keySpec = new DSAPublicKeySpec(
                    (BigInteger) ois.readObject(),
                    (BigInteger) ois.readObject(),
                    (BigInteger) ois.readObject(),
                    (BigInteger) ois.readObject());
        ois.close();
        PublicKey puk=factory.generatePublic(keySpec);
        System.out.println("Got private key:\n"+puk);
    }
}

View Code

 

 

5)Cert相关的劳动

打达等同篇之例子中掌握,用户以的Public
Key有或被不法分子偷偷地修改,这样用户就是得无顶该之服务,也会见遭遇不法分子的摧残。如何管public
key不为涂改或者替换为?认证服务就是出现了。

 

5.1 CertificateFactory

用以生成Certificate或者CRL的。

 Java 14

 

FileInputStream fis = new FileInputStream(filename);
 BufferedInputStream bis = new BufferedInputStream(fis);

 CertificateFactory cf = CertificateFactory.getInstance("X.509");

 while (bis.available() > 0) {
    Certificate cert = cf.generateCertificate(bis);
    System.out.println(cert.toString());
 }

 

什么是CRL ? 

一个证颁发机构需要证明吊销其颁发的证明——也许是虚伪的,或者证明的用户已采取证书从事非法行为。在如此的情事下,证书的有效期不足保护;证书必须及时失效。

 

下的斯例子就是以印证了证的行之有效后,判断是关系是否是一个收回的证件。

Java 15Java 16

public Certificate importCertificate(byte data[])
                                    throws CertificateException {
    X509Certificate c = null;
    try {
        CertificateFactory cf = CertificateFactory.getInstance("X509");
        ByteArrayInputStream bais = new ByteArrayInputStream(data);
        c = (X509Certificate) cf.generateCertificate(bais);
        Principal p = c.getIssuerDN();
        PublicKey pk = getPublicKey(p);
        c.verify(pk);
        InputStream crlFile = lookupCRLFile(p);
        cf = CertificateFactory.getInstance("X509CRL");
        X509CRL crl = (X509CRL) cf.generateCRL(crlFile);
        if (crl.isRevoked(c))
            throw new CertificateException("Certificate revoked");
    } catch (NoSuchAlgorithmException nsae) {
        throw new CertificateException("Can't verify certificate");
    } catch (NoSuchProviderException nspe) {
        throw new CertificateException("Can't verify certificate");
    } catch (SignatureException se) {
        throw new CertificateException("Can't verify certificate");
    } catch (InvalidKeyException ike) {
        throw new CertificateException("Can't verify certificate");
    } catch (CRLException ce) {
        // treat as no crl
    }
    return c;
}

View Code

 

5.2 CertPathBuilder构建证书链CertPath

 

CertPath就是事先说的证书链。其实就算是一个Certificate的稳步列表。在列表的终极之一个Cert是一个于签约的Cert。

 

 

5.3 CertPathValidator验证Cert链

 

CertPathValidator用于校验Cert。

 

 

 

6)KeyStore

    一个KeyStore是一个key、cert的库房,里面储存了PrivateKey, Aliases,
Certs.

KeyStore将见面发生Java特别的求证。

 

7)Signature签名

从而私钥签名,用公钥验证:

Java 17Java 18

public class SignatureTest {

    @Test
    public void test() throws Exception{
        KeyPairGenerator keyPairGen=KeyPairGenerator.getInstance(Message.alogthem);
        keyPairGen.initialize(1024);
        KeyPair keyPair= keyPairGen.generateKeyPair();
        PublicKey puk=keyPair.getPublic();
        PrivateKey pik=keyPair.getPrivate();

        String data="Hello, Java.";
        Signature signature=Signature.getInstance("SHA1withDSA");

        // private key sign
        signature.initSign(pik);
        signature.update(data.getBytes());
        byte[] signinfo=signature.sign();

        // public key resolve sign
        signature.initVerify(puk);
        boolean ok=signature.verify(signinfo);
        System.out.println(ok);

        signature.update(data.getBytes());
        ok=signature.verify(signinfo);
        System.out.println(ok);

    }

}

View Code

 

至这,JCA部分的engine
class已经盖上发出只了解了。接下来就使修怎么样用它们了。

 

相关文章