记一次SUN JDK与IBM JDK下AES秘钥生成不一致问题

最新推荐文章于 2023-10-20 03:12:34 发布
最新推荐文章于 2023-10-20 03:12:34 发布
阅读量1.4k 收藏 6
点赞数 3
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CSDNLYFc/article/details/117108060
版权

需求: 与对接方对接一个接口,接口需使用固定种子,AES-128算法生成秘钥,并对报文信息进行加密
问题表现: 公司自有运行环境与项目运维运行环境,接口都可以正常加解密调通接口,但生产环境调用接口对接方会解密失败,且报文内容通过自己写的解密方法也无法解密
排查流程:
1、查看生产环境应用日志,定位问题
对接方返回结果只显示解密失败,我们自己的日志只打印了加密结果,于是把测试环境的接口地址,算法种子等参数都配置成生产相同,得到的打印结果(即加密后的数据不相同)
2、打印加密算法固定seed,以及AES-128使用该种子生产的秘钥的二进制信息(因为秘钥是byte数据,打二进制会方便查看些)
3、通过前面两个步骤,最终定位到问题是相同的seed,在生产与测试环境下生成的秘钥不一致,导致最终加密的结果不相同,对接方无法解密

// 代码中生成秘钥的方法如下
 public static byte[] generateAesKey(String key) {
        byte[] keys = null;
        try {
            KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
            //防止linux下 随机生成key
            SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
            secureRandom.setSeed(key.getBytes());
            keyGenerator.init(128, secureRandom);
            SecretKey secretKey = keyGenerator.generateKey();
            keys = secretKey.getEncoded();
        } catch (GeneralSecurityException e) {
            logger.error(e.getMessage(), e);
        }
        return keys;
    }

4、然后就是苦逼的上网查看大量资料,博客,网上提到方法,主要是两种
1)使用第三方加密提供者BouncyCastleProvider,设置算法提供者为BC
即项目引入BouncyCastleProvider的jar包,代码动态增加入该算法提供者,使用算法时指定算法提供者
项目是maven项目,所以增加依赖

<dependency>
            <groupId>org.bouncycastle</groupId>
            <artifactId>bcprov-jdk15on</artifactId>
            <version>1.59</version>
            <scope>compile</scope>
</dependency>

///修改内容
 static {
        Security.addProvider(new BouncyCastleProvider());
        }
///
public static byte[] generateAesKey(String key) {
        byte[] keys = null;
        try {
            ///修改内容
            KeyGenerator keyGenerator = KeyGenerator.getInstance("AES","BC");
            ///
            //防止linux下 随机生成key
            SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
            secureRandom.setSeed(key.getBytes());
            keyGenerator.init(128, secureRandom);
            SecretKey secretKey = keyGenerator.generateKey();
            keys = secretKey.getEncoded();
        } catch (GeneralSecurityException e) {
            logger.error(e.getMessage(), e);
        }
        return keys;
    }

结果 使用该方法升级了一版,但经测试还是老问题,修改算法提供者并没有解决问题
然后又是查资料查资料…
终于在其它人的博客中有提到,SecureRandom的SHA1PRNG算法会因为运行环境不同而有差异,于是火速去查了下生产和两个测试环境运行环境以及对接方运行环境,如下
生产:winServer 部署WAS 使用IBM自带JDK 版本1.6
测试1:winServer 部署WAS 使用IBM自带JDK 版本1.8
测试2:winServer 部署Tomcat 使用SUN JDK 1.6
对接方:Linux SUN JDK 1.8
经网上查看资料(JCE,SecureRandom,IBMSecureRandom相关资料),资料中有提到,jdk静态配置的算法提供者列表信息,放在
%JAVA_HOME%\jre\lib\security\java.security中,于是取出正式与测试环境该文件查看,在jdk1.8.0_121的对应java.security中有列出算法提供者的列表,如图:
在这里插入图片描述
上述图片内的大致意思是,算法提供者的列表默认格式为:security.provider.=
其中n为优先级,n的数字越小越优先,且n的配置需要顺序配置,不可以空数字(比如有security.provider.1,security.provider.3但是没有security.provider.2),顺序可以打乱但不可以空

下面一段就主要是讲SecureRandom的种子来源
在这里插入图片描述
上图主要是说到SecureRandom的种子来源配置,linux,unix,windows系统配置不太相同,具体可以参照自己项目使用的jdk的java.security文件来配置
这项配置也可以通过配置jvm参数来配置,等同于-Djava.security.egd=file:/dev/random,
这个配置不一致的话也可能会导致生成秘钥不一致,不过涉及JDK运行配置,不到必要不要去改
在这里插入图片描述
这段里面说明了SecureRandom的增强算法,来源为 SUN
关于JCE,以及相关知识,文末会列出写本记录参考到所有博客资料信息,因为自己写的比较粗糙,只作为问题记录

这块的话主要是写对于SecureRandom的一些了解,楼主是去取了生产和测试的的java.security配置大致都看了一遍,一般生产运行环境是不会轻易让改动这些的,所以网上提供的第二种办法
2)修改java.security,静态的增加算法提供者,jdk的扩展中增加对应包
即增加算法提供者列表,将自己需要的提供者优先级提高,并增加对应提供者的jar包到jdk的配置中,这个做法的话,有一定的风险的影响项目上已写过的算法的应用,因有风险方案被拒

**

最后就是楼主具体解决问题的方法了

**

在了解了前面这些知识点的前提下,搜索IBM和sun JDK jce差异,有了解到,其实IBM和SUN实现SHA1PRNG也会是有差异的,不能保证IBMSecureRandom和SUN的SecureRandom,SHA1PRNG算法得到一直的结果!!!
然后就是上生产,测试环境,运行代码,查看一下这个SecureRandom的算法提供者,看看是否有差异,代码如下

SecureRandom random= SecureRandom.getInstance("SHA1PRNG");
System.out.println("默认:"+random.getProvider());

直接放到java文件中生成class文件运行或者放jsp运行,都可以,得到
生产:IBMJCE 1.2
测试1:IBMJCE 1.8
测试2:SUN version 1.8

在IBM中 SHA1PRNG由IBM JCE实现,找到生产IBM JDK 1.6下com.ibm.crypto.provider.IBMJCE类所在的jar包%JAVA_HOME%/jre/lib/ext/ibmjceprovider.jar和其依赖的%JAVA_HOME%/jre/lib/ibmpkcs.jar,引入工程

动态引入算法提供者,因为本地的JDK 是SUN 1.8的版本,刚刚也看了java.security.默认是使用SUN的SecureRandom
也就是说,在本地SUN JDK1.8的前提下,这两行代码是等同的

SecureRandom random= SecureRandom.getInstance("SHA1PRNG");
SecureRandom random= SecureRandom.getInstance("SHA1PRNG","SUN");

引入对应IBM JCE算法实现的相关jar包之后,

Security.addProvider(new com.ibm.crypto.provider.IBMJCE());
SecureRandom random= SecureRandom.getInstance("SHA1PRNG","IBMJCE");
System.out.println("默认:"+random.getProvider());

得到与生产相同的结果 IBMJCE 1.2,再本地进行加密,果然得到AES-128加密算法的秘钥与生产环境的秘钥一致,且加密后的结果,使用SUN JDK1.8(即对接方相同的JDK)无法解密,但是测试1的环境也是IBM,但IBMJCE是1.8的版本,也可以正常加解密,所以问题应该就在IBMJCE的版本上,生产环境的jdk运行配置不可以随意修改,所以理论上有两种方案
1、生产的IBMJCE升级到1.8
2、生产的算法提供者增加SUN算法提供者(动态配置就不用修改java.security)
适配的话比升级风险小一些,所以接下来测试,生产中是否已经有SUN 算法提供者,没有的话就使用代码动态增加算法提供者,指定算法提供者为SUN,测试代码如下

		if (null != Security.getProvider("SUN")) {
            System.out.println("SUN in use");
        }else{
        	System.out.println("SUN not in use");
        }

同样写到java文件中编译成class或者放到jsp中放上服务器运行,楼主这得到的结果为SUN not in use,所以使用代码动态增加算法提供者,指定算法提供者为SUN,增加算法提供者相关jar包到应用lib目录下
因楼主这生产是IBM jdk1.6的版本,于是找SUN jdk1.6的算法提供者rt.jar放到了应用lib目录(jdk1.8中因使用算法不同,会用到的jar包有rt.jar,jsse.jar,sunjce_provider.jar,jce.jar,视项目情况放,楼主这使用的sun.security.provider.Sun(),就在rt.jar里,放入rt.jar,就正常了所以剩下的jar就没再放入)

static{
Security.addProvider(new sun.security.provider.Sun());
}
public static byte[] generateAesKey(String key) {
        byte[] keys = null;
        try {
            KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
            //防止linux下 随机生成key
            SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG", "SUN");
            secureRandom.setSeed(key.getBytes());
            keyGenerator.init(128, secureRandom);
            SecretKey secretKey = keyGenerator.generateKey();
            keys = secretKey.getEncoded();
        } catch (GeneralSecurityException e) {
            logger.error(e.getMessage(), e);
        }
        return keys;
    }

附测试jsp

<%@ page import="java.security.Security" %>
<%@ page import="javax.crypto.KeyGenerator" %>
<%@ page import="java.security.SecureRandom" %>
<%@ page import="javax.crypto.SecretKey" %>

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
<%!

    public static String byteToHex(byte[] bytes) {
        String strHex = "";
        StringBuilder sb = new StringBuilder("");
        for (int n = 0; n < bytes.length; n++) {
            strHex = Integer.toHexString(bytes[n] & 0xFF);
            sb.append((strHex.length() == 1) ? "0" + strHex : strHex); // 每个字节由两个字符表示,位数不够,高位补0
        }
        return sb.toString().trim();
    }

%>
<%

    //        Security.addProvider(new com.ibm.crypto.provider.IBMJCE());
//        Security.addProvider(new BouncyCastleProvider());
    Security.addProvider(new sun.security.provider.Sun());
    if (null != Security.getProvider("SUN")) {
        out.println("SUN in use");
    }
    String key="11111111111111111";
    KeyGenerator keyGenerator = KeyGenerator.getInstance("AES");
    //防止linux下 随机生成key
    SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG","SUN");
    secureRandom.setSeed(key.getBytes());
    keyGenerator.init(128, secureRandom);
    SecretKey secretKey = keyGenerator.generateKey();
    SecureRandom random= SecureRandom.getInstance("SHA1PRNG");
    out.println("默认:"+random.getProvider());
    out.println("系统随机数生成AES加密秘钥:"+byteToHex(secretKey.getEncoded()));

%>

</body>
</html>

附查看本地JDKProvider信息代码

import java.security.Provider;
import java.security.Security;

public class TestBouncyCastle {
    public static void main(String[] args) {
        Provider[] providers = Security.getProviders();
        for (Provider p : providers) {
            System.out.println("提供者名称:" + p.getName() + "版本号:" + p.getVersion());
            System.out.println();
            System.out.println(p.getInfo());
        }
        System.out.println();
        System.out.println("支持的消息摘要名称");
        for (String s : Security.getAlgorithms("messageDigest")) {
            System.out.println("算法名称:" + s);
        }
        System.out.println("支持生成公钥和私钥的方法");
        for (String s : Security.getAlgorithms("keypairGenerator")) {
            System.out.println("name:" + s);
        }
    }
}

至此问题终于解决了
参考的博客和资料如下,可以都看看:
https://blog.csdn.net/weixin_30608503/article/details/95059126
http://www.360doc.com/content/12/0105/14/3888911_177438546.shtml
https://wenku.baidu.com/view/bb6638042379168884868762caaedd3383c4b58c.html?qq-pf-to=pcqq.c2c
https://bugs.openjdk.java.net/browse/JDK-4705093
https://stackoverflow.com/questions/23024107/securerandom-getinstancesha1prng-sun-always-blocking-while-new-securerand
https://wretchant.blog.csdn.net/article/details/84953724
https://blog.csdn.net/qq_20520585/article/details/96996985
https://blog.csdn.net/afer198215/article/details/11672035
https://blog.csdn.net/zhuhong_1115/article/details/88602878
https://blog.csdn.net/qq_29583513/article/details/78866461
https://blog.csdn.net/cshichao/article/details/8732670

吃货的自我修养
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于在使用AES加密过程中遇到的坑,IBMJDKsunjdk之间加密秘钥补全工作模式的区别
qq_20520585的博客
07-23 4185
在工作中使用AES加密过程中遇到的坑,网上资料很少,录下来供大家学习参考 业务场景描述: 在一次开发中,我们属于服务平台开发很多接口,供其他各个公司的各个系统调用存取数据,但是由于数据安全的问题,领导要求对数据进行加密传输,并且不让自己写算法实现,经过决定,最终采用AES加密算法进行加密,本人负责此次加密的开发,但是这之中AES加密的坑。不说了,开始介绍: 关于AES和DES,以及3DES这些对...
jdk7解除aes加密限制
12-07
jdk7解除aes加密限制,java.security.InvalidKeyException:illegal Key Size
jdk 加密 aes jar包解决
最新发布
weixin_37595711的博客
10-20 629
JDK1.8.0_151无需去官网下载 local_policy.jar US_export_policy.jar这个jar包,只需要修改Java\jdk1.8.0_151\jre\lib\security这目录下的java.security文件配置即可。但是发现公司选用的 1.8.0_151 版本的 $JAVA_HOME/jre/lib/security/ 目录下面多了一个 policy 文件夹,里面还有两个文件夹。这是因为某些国家的进口管制限制,JDK默认的加解密有一定的限制。
android客户端和java服务端用aes加密结果不一样的解决方法。
HarryWeasley的专栏
08-18 1万+
最近在公司做一个项目,老大让我们实现加解密的方法,我把工作直接推给了java服务端,他们也是直接在网上copy的代码,说我直接放到我的android代码中就可以了,不需要太多的更改。我就照做了,但是在真正的测试的时候,发现两边输入的密码一致,但是加密结果不一致。这可折磨我们了好久,最终解决了这个问题,加以录。 android和java加密结果
使用rsa算法制作license时出现IBM JDK 公钥解密错误
简简单单,平平淡淡
05-30 3865
Caused by: java.security.InvalidKeyException: Public Key cannot be used to decrypt. at com.ibm.crypto.provider.RSA.engineInit(Unknown Source) at javax.crypto.Cipher.a(Unknown Source) at javax.crypt
一次SUN JDKIBM JDK下加解密的兼容性问题处理
Chon
03-16 4014
一、问题描述 系统服务端与客户端之间的通信需要进行签名和加密传输。 签名算法:SHA1WithRSA,采用SUN JDK的keytool工具生成公私钥对证书(具体生成方法可自行百度)。密钥长度2048。 加解密算法:AES,分组模式ECB,填充方式PKCS5Padding。 (之所以采用对称加密,是因为速度快,RSA非对称加密速度很慢。) 服务端基于SU...
jca使用_使用JCA的密码学–提供者中的服务
最佳 Java 编程
06-08 490
jca使用 Java密码体系结构(JCA)是一个可扩展的框架,使您能够使用执行加密操作。 JCA还促进实现独立性(程序不应该在乎谁提供加密服务)和实现互操作性(程序不应该与特定加密服务的特定提供者联系在一起)。 JCA允许将众多密码服务(例如密码,密钥生成器,消息摘要)捆绑到java.security.Provider类中,并声明式地注册在特殊文件(java.security)中,或者通过...
java项目jar包与jdk的版本不兼容的问题解决
08-25
Java项目中的jar包与JDK版本不兼容是一个常见的问题,特别是在升级或降级JDK时。这个问题主要源于Java的版本迭代导致的字节码格式变化。在Java中,每个版本可能会引入新的特性和API,同时也会对字节码格式进行调整,...
ibm jdk1.6 ibm 64
09-28
IBM Webpshere 8.5.0ND版自带的商业JDK,版本信息如下: java version "1.6.0" Java(TM) SE Runtime Environment (build pwa6460_26sr2ifix-20120419_02(SR2+IV19661)) IBM J9 VM (build 2.6, JRE 1.6.0 Windows ...
IBMJDK1.6linux.zip
06-05
2. 使用解压命令(如`unzip IBMJDK16linux.zip`)解压缩文件。 3. 将解压后的目录移动到适当的位置,如`/usr/java`。 4. 配置环境变量,如`JAVA_HOME`、`PATH`和`CLASSPATH`,使其指向IBM JDK 1.6的安装路径。 5. ...
jce 1.8 download
09-24
curl -q -L -C - -b "oraclelicense=accept-securebackup-cookie" -o /tmp/jce_policy-8.zip -O http://download.oracle.com/otn-pub/java/jce/8/jce_policy-8.zip 以上两个你选吧
ibmjdk1.6版本
06-26
ibmjdk1.6版本,window版本。~~~~~~~~~~~~~~~~~~~~~~~~
UnlimitedJCEPolicyJDK8
03-30
JCE无限制权限策略文件 java.security.InvalidKeyException:illegal Key Size的解决方案 1:下载后解压,可以看到local_policy.jar和US_export_policy.jar以及readme.txt. 2:如果安装了JRE,将两个jar文件放到%JRE_HOME%\lib\security目录下覆盖原来的文件. 3:如果安装了JDK,将两个jar文件放到%JDK_HOME%\jre\lib\security目录下覆盖原来文件.
ibm_jdk1.7.0_x64.zip
02-20
IBM JDK 1.7 for Windows x64 是IBM公司针对Java Development Kit (JDK)的一个特定版本,专门设计用于64位的Windows操作系统。这个版本的JDKJava编程语言和平台的重要组成部分,它提供了开发和运行Java应用程序所...
Java使用密钥库相关问题(AES加密)
记录
12-15 1818
按照网上帖子使用AES加密的时候显示new BouncyCastleProvider()找不到 原帖地址:http://my.oschina.net/nicsun/blog/95632我去官网下载了适用的版本bcprov-jdk15on-153.jar 下载地址:http://www.bouncycastle.org/java.html然后build path之后终于没有说找不到相关类,但是出现
java AES时遇到的问题和解决办法
望着下雨的天
07-20 825
1. java.security.InvalidKeyException:illegal Key Size   这是因为用到了jdk sercurity, 而jdk sercurity    使用的jar包 $JAVA_HOME/jre/lib/security/local_policy.jar    和 $JAVA_HOME/jre/lib/security/US_export_pol
IBM Java自带了哪些安全算法
windshome的博客
04-19 161
        ==========provider[0],name=IBMJCE======info=IBMJCE Provider implements the following: HMAC-SHA1, MD2, MD5, MARS, SHA, MD2withRSA, MD5withRSA, SHA1withRSA, RSA, SHA1withDSA, RC2, RC4, Sea...
IBM-JDKSun-JDK加密算法提供者差异
热门推荐
AFer198215的专栏
09-14 1万+
最近为客户做了一个工具,需求:客户在命令行下,通过这个工具下载数据包;下载的数据包已加密,只有已登录的用户,才允许解密并使用数据包。 实现并不复杂,流程: 1、用户登录时,采用sha-1+n位随机码加密用户密码,提交服务器验证。 2、数据包已在服务器(PBEWithSHA1AndDESede)加密,用户根据数据包概要信息选择并下载数据包。 3、安装数据包时,需求用户输入密码,确认后
jdk1.6至1.8的JCE包下载
qq_55518865的博客
11-01 1035
适用JDK6的JCE补丁: http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-429243.html 适用JDK7的JCE补丁: http://www.oracle.com/technetwork/java/javase/downloads/jce-7-download-432124.html 适用JDK8的JCE补丁: http://www.oracle.com/technetwork/java/javase/do
IBM JDK 6.0 Dialog:问题诊断指南与技术版简介
本资源是IBM JDK Dialog 6.0版本的诊断指南,它作为IBM Developer Kit and Runtime Environment的一部分,专注于Java Technology Edition的第6版。该指南提供了详尽的技术支持和故障排除信息,旨在帮助开发人员和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值