Java進行數據加密

本文主要談一下密碼學中的加密和數字簽名，以及其在Java中如何進行使用。對密碼學有興趣的伙伴，推薦看Bruce Schneier的著作：ApplIEd Crypotography。在jdk1.5的發行版本中安全性方面有了很大的改進，也提供了對RSA算法的直接支持，現在我們從實例入手解決問題(本文僅是作為簡單介紹)：

　　一、密碼學上常用的概念

　　1)消息摘要：　　這是一種與消息認證碼結合使用以確保消息完整性的技術。主要使用單向散列函數算法，可用於檢驗消息的完整性，和通過散列密碼直接以文本形式保存等，目前廣泛使用的算法有MD4、MD5、SHA-1，jdk1.5對上面都提供了支持，在java中進行消息摘要很簡單， Java.security.MessageDigest提供了一個簡易的操作方法：

　　/**

　　*MessageDigestExample.Java

　　*Copyright 2005-2-16

　　*/

　　import Java.security.MessageDigest;

　　/**

　　*單一的消息摘要算法，不使用密碼.可以用來對明文消息(如：密碼)隱藏保存

　　*/

　　public class MessageDigestExample{

　　public static void main(String[] args) throws Exception{

　　if(args.length!=1){

　　System.err.println("Usage:Java MessageDigestExample text");

　　System.exit(1);

　　}

　　byte[] plainText=args[0].getBytes("UTF8");

　　//使用getInstance("算法")來獲得消息摘要,這裡使用SHA-1的160位算法

　　MessageDigest messageDigest=MessageDigest.getInstance("SHA-1");

　　System.out.println(" "+messageDigest.getProvider().getInfo());

　　//開始使用算法

　　messageDigest.update(plainText);

　　System.out.println(" Digest:");

　　//輸出算法運算結果

　　System.out.println(new String(messageDigest.digest(),"UTF8"));

　　}

　　}

　　還可以通過消息認證碼來進行加密實現，Javax.crypto.Mac提供了一個解決方案，有興趣者可以參考相關API文檔，本文只是簡單介紹什麼是摘要算法。

　　2)私鑰加密：　　消息摘要只能檢查消息的完整性，但是單向的，對明文消息並不能加密，要加密明文的消息的話，就要使用其他的算法，要確保機密性，我們需要使用私鑰密碼術來交換私有消息。

　　這種最好理解，使用對稱算法。比如：A用一個密鑰對一個文件加密，而B讀取這個文件的話，則需要和A一樣的密鑰，雙方共享一個私鑰(而在web環境下，私鑰在傳遞時容易被偵聽)：

　　使用私鑰加密的話，首先需要一個密鑰，可用javax.crypto.KeyGenerator產生一個密鑰 (java.security.Key),然後傳遞給一個加密工具(Javax.crypto.Cipher),該工具再使用相應的算法來進行加密，主要對稱算法有：DES(實際密鑰只用到56位)，AES(支持三種密鑰長度：128、192、256位)，通常首先128位，其他的還有DESede 等，jdk1.5種也提供了對對稱算法的支持，以下例子使用AES算法來加密：

　　/**

　　*PrivateExmaple.Java

　　*Copyright 2005-2-16

　　*/

　　import Javax.crypto.Cipher;

　　import Javax.crypto.KeyGenerator;

　　import Java.security.Key;

　　/**

　　*私鈅加密，保證消息機密性

　　*/

　　public class PrivateExample{

　　public static void main(String[] args) throws Exception{

　　if(args.length!=1){

　　System.err.println("Usage:Java PrivateExample ");

　　System.exit(1);

　　}

　　byte[] plainText=args[0].getBytes("UTF8");

　　//通過KeyGenerator形成一個key

　　System.out.println(" Start generate AES key");

　　KeyGenerator keyGen=KeyGenerator.getInstance("AES");

　　keyGen.init(128);

　　Key key=keyGen.generateKey();

　　System.out.println("Finish generating DES key");

　　//獲得一個私鈅加密類Cipher，ECB是加密方式，PKCS5Padding是填充方法

　　Cipher cipher=Cipher.getInstance("AES/ECB/PKCS5Padding");

　　System.out.println(" "+cipher.getProvider().getInfo());

　　//使用私鈅加密

　　System.out.println(" Start encryption:");

　　cipher.init(Cipher.ENCRYPT_MODE,key);

　　byte[] cipherText=cipher.doFinal(plainText);

　　System.out.println("Finish encryption:");

　　System.out.println(new String(cipherText,"UTF8"));

　　System.out.println(" Start decryption:");

　　cipher.init(Cipher.DECRYPT_MODE,key);

　　byte[] newPlainText=cipher.doFinal(cipherText);

　　System.out.println("Finish decryption:");

　　System.out.println(new String(newPlainText,"UTF8"));

　　}

　　}

　　3)公鑰加密：　　上面提到，私鑰加密需要一個共享的密鑰，那麼如何傳遞密鑰呢?web環境下，直接傳遞的話很容易被偵聽到，幸好有了公鑰加密的出現。公鑰加密也叫不對稱加密，不對稱算法使用一對密鑰對，一個公鑰，一個私鑰，使用公鑰加密的數據，只有私鑰能解開(可用於加密);同時，使用私鑰加密的數據，只有公鑰能解開(簽名)。但是速度很慢(比私鑰加密慢100到1000倍)，公鑰的主要算法有RSA，還包括Blowfish,DiffIE- Helman等，jdk1.5種提供了對RSA的支持，是一個改進的地方：

　　/**

　　*PublicExample.Java

　　*Copyright 2005-2-16

　　*/

　　import Java.security.Key;

　　import Javax.crypto.Cipher;

　　import Java.security.KeyPairGenerator;

　　import Java.security.KeyPair;

　　/**

　　*一個簡單的公鈅加密例子,Cipher類使用KeyPairGenerator生成的公鈅和私鈅

　　*/

　　public class PublicExample{

　　public static void main(String[] args) throws Exception{

　　if(args.length!=1){

　　System.err.println("Usage:Java PublicExample ");

　　System.exit(1);

　　}

　　byte[] plainText=args[0].getBytes("UTF8");

　　//構成一個RSA密鑰

　　System.out.println(" Start generating RSA key");

　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");

　　keyGen.initialize(1024);

　　KeyPair key=keyGen.generateKeyPair();

　　System.out.println("Finish generating RSA key");

　　//獲得一個RSA的Cipher類，使用公鈅加密

　　Cipher cipher=Cipher.getInstance("RSA/ECB/PKCS1Padding");

　　System.out.println(" "+cipher.getProvider().getInfo());

　　System.out.println(" Start encryption");

　　cipher.init(Cipher.ENCRYPT_MODE,key.getPublic());

　　byte[] cipherText=cipher.doFinal(plainText);

　　System.out.println("Finish encryption:");

　　System.out.println(new String(cipherText,"UTF8"));

　　//使用私鈅解密

　　System.out.println(" Start decryption");

　　cipher.init(Cipher.DECRYPT_MODE,key.getPrivate());

　　byte[] newPlainText=cipher.doFinal(cipherText);

　　System.out.println("Finish decryption:");

　　System.out.println(new String(newPlainText,"UTF8"));

　　}

　　}

4)數字簽名：　　數字簽名，它是確定交換消息的通信方身份的第一個級別。上面A通過使用公鑰加密數據後發給B，B利用私鑰解密就得到了需要的數據，問題來了，由於都是使用公鑰加密，那麼如何檢驗是 A發過來的消息呢?上面也提到了一點，私鑰是唯一的，那麼A就可以利用A自己的私鑰進行加密，然後B再利用A的公鑰來解密，就可以了;數字簽名的原理就基於此，而通常為了證明發送數據的真實性，通過利用消息摘要獲得簡短的消息內容，然後再利用私鑰進行加密散列數據和消息一起發送。java中為數字簽名提供了良好的支持，Java.security.Signature類提供了消息簽名：

　　/**

　　*DigitalSignature2Example.Java

　　*Copyright 2005-2-16

　　*/

　　import Java.security.Signature;

　　import Java.security.KeyPairGenerator;

　　import Java.security.KeyPair;

　　import Java.security.SignatureException;

　　/**

　　*數字簽名，使用RSA私鑰對對消息摘要簽名，然後使用公鈅驗證 測試

　　*/

　　public class DigitalSignature2Example{

　　public static void main(String[] args) throws Exception{

　　if(args.length!=1){

　　System.err.println("Usage:Java DigitalSignature2Example ");

　　System.exit(1);

　　}

　　byte[] plainText=args[0].getBytes("UTF8");

　　//形成RSA公鑰對

　　System.out.println(" Start generating RSA key");

　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");

　　keyGen.initialize(1024);

　　KeyPair key=keyGen.generateKeyPair();

　　System.out.println("Finish generating RSA key");

　　//使用私鈅簽名

　　Signature sig=Signature.getInstance("SHA1WithRSA");

　　sig.initSign(key.getPrivate());

　　sig.update(plainText);

　　byte[] signature=sig.sign();

　　System.out.println(sig.getProvider().getInfo());

　　System.out.println(" Signature:");

　　System.out.println(new String(signature,"UTF8"));

　　//使用公鈅驗證

　　System.out.println(" Start signature verification");

　　sig.initVerify(key.getPublic());

　　sig.update(plainText);

　　try{

　　if(sig.verify(signature)){

　　System.out.println("Signature verifIEd");

　　}else System.out.println("Signature failed");

　　}catch(SignatureException e){

　　System.out.println("Signature failed");

　　}

　　}

　　}　　5)數字證書。　　還有個問題，就是公鑰問題，A用私鑰加密了，那麼B接受到消息後，用A提供的公鑰解密;那麼現在有個討厭的C，他把消息攔截了，然後用自己的私鑰加密，同時把自己的公鑰發給B，並告訴B，那是A的公鑰，結果....，這時候就需要一個中間機構出來說話了(相信權威，我是正確的)，就出現了Certificate Authority(也即CA)，有名的CA機構有Verisign等，目前數字認證的工業標准是：CCITT的X.509：

　　數字證書：它將一個身份標識連同公鑰一起進行封裝，並由稱為認證中心或 CA 的第三方進行數字簽名。

　　密鑰庫：Java平台為你提供了密鑰庫，用作密鑰和證書的資源庫。從物理上講，密鑰庫是缺省名稱為 .keystore 的文件(有一個選項使它成為加密文件)。密鑰和證書可以擁有名稱(稱為別名)，每個別名都由唯一的密碼保護。密鑰庫本身也受密碼保護;您可以選擇讓每個別名密碼與主密鑰庫密碼匹配。

　　使用工具keytool，我們來做一件自我認證的事情吧(相信我的認證)：

　　1、創建密鑰庫keytool -genkey -v -alias feiUserKey -keyalg RSA 默認在自己的home目錄下(Windows系統是c:documents and settings<你的用戶名> 目錄下的.keystore文件)，創建我們用 RSA 算法生成別名為 feiUserKey 的自簽名的證書,如果使用了-keystore mm 就在當前目錄下創建一個密鑰庫mm文件來保存密鑰和證書。

　　2、查看證書：keytool -list 列舉了密鑰庫的所有的證書

　　也可以在DOS下輸入keytool -help查看幫助。　　 4)數字簽名：　　數字簽名，它是確定交換消息的通信方身份的第一個級別。上面A通過使用公鑰加密數據後發給B，B利用私鑰解密就得到了需要的數據，問題來了，由於都是使用公鑰加密，那麼如何檢驗是A發過來的消息呢?上面也提到了一點，私鑰是唯一的，那麼A就可以利用A自己的私鑰進行加密，然後B再利用A 的公鑰來解密，就可以了;數字簽名的原理就基於此，而通常為了證明發送數據的真實性，通過利用消息摘要獲得簡短的消息內容，然後再利用私鑰進行加密散列數據和消息一起發送。java中為數字簽名提供了良好的支持，Java.security.Signature類提供了消息簽名：

　　/**

　　*DigitalSignature2Example.Java

　　*Copyright 2005-2-16

　　*/

　　import Java.security.Signature;

　　import Java.security.KeyPairGenerator;

　　import Java.security.KeyPair;

　　import Java.security.SignatureException;

　　/**

　　*數字簽名，使用RSA私鑰對對消息摘要簽名，然後使用公鈅驗證 測試

　　*/

　　public class DigitalSignature2Example{

　　public static void main(String[] args) throws Exception{

　　if(args.length!=1){

　　System.err.println("Usage:Java DigitalSignature2Example ");

　　System.exit(1);

　　}

　　byte[] plainText=args[0].getBytes("UTF8");

　　//形成RSA公鑰對

　　System.out.println(" Start generating RSA key");

　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");

　　keyGen.initialize(1024);

　　KeyPair key=keyGen.generateKeyPair();

　　System.out.println("Finish generating RSA key");

　　//使用私鈅簽名

　　Signature sig=Signature.getInstance("SHA1WithRSA");

　　sig.initSign(key.getPrivate());

　　sig.update(plainText);

　　byte[] signature=sig.sign();

　　System.out.println(sig.getProvider().getInfo());

　　System.out.println(" Signature:");

　　System.out.println(new String(signature,"UTF8"));

　　//使用公鈅驗證

　　System.out.println(" Start signature verification");

　　sig.initVerify(key.getPublic());

　　sig.update(plainText);

　　try{

　　if(sig.verify(signature)){

　　System.out.println("Signature verifIEd");

　　}else System.out.println("Signature failed");

　　}catch(SignatureException e){

　　System.out.println("Signature failed");

　　}

　　}

　　}

　　5)數字證書。　　還有個問題，就是公鑰問題，A用私鑰加密了，那麼B接受到消息後，用A提供的公鑰解密;那麼現在有個討厭的C，他把消息攔截了，然後用自己的私鑰加密，同時把自己的公鑰發給B，並告訴B，那是A的公鑰，結果....，這時候就需要一個中間機構出來說話了(相信權威，我是正確的)，就出現了Certificate Authority(也即CA)，有名的CA機構有Verisign等，目前數字認證的工業標准是：CCITT的X.509：

　　數字證書：它將一個身份標識連同公鑰一起進行封裝，並由稱為認證中心或 CA 的第三方進行數字簽名。

　　密鑰庫：Java平台為你提供了密鑰庫，用作密鑰和證書的資源庫。從物理上講，密鑰庫是缺省名稱為 .keystore 的文件(有一個選項使它成為加密文件)。密鑰和證書可以擁有名稱(稱為別名)，每個別名都由唯一的密碼保護。密鑰庫本身也受密碼保護;您可以選擇讓每個別名密碼與主密鑰庫密碼匹配。

　　使用工具keytool，我們來做一件自我認證的事情吧