jca使用_使用JCA的密码学–提供者中的服务

最新推荐文章于 2022-04-24 22:01:37 发布
最新推荐文章于 2022-04-24 22:01:37 发布
阅读量490 收藏
点赞数
文章标签: java 编程语言 python jvm 大数据
原文链接:https://www.javacodegeeks.com/2013/03/cryptography-using-jca-services-in-providers.html
版权

jca使用

Java密码体系结构(JCA)是一个可扩展的框架,使您能够使用执行加密操作。 JCA还促进实现独立性(程序不应该在乎谁提供加密服务)和实现互操作性(程序不应该与特定加密服务的特定提供者联系在一起)。

JCA允许将众多密码服务(例如密码,密钥生成器,消息摘要)捆绑到java.security.Provider类中,并声明式地注册在特殊文件(java.security)中,或者通过java.security.Security类以编程方式进行注册(方法'addProvider')。

尽管JCA是标准,但是不同的JDK实施JCA的方式有所不同。 在Sun / Oracle和IBM JDK之间,IBM JDK比Oracle更“有序”。 例如,IBM的超级提供程序(com.ibm.crypto.provider.IBMJCE)实现以下密钥库格式:JCEKS,PKCS12KS(PKCS12),JKS。 Oracle JDK将密钥库格式实现“传播”到以下提供程序中:

  • sun.security.provider.Sun – JKS
  • com.sun.crypto.provider.SunJCE – JCEKS
  • com.sun.net.ssl.internal.ssl.Provider – PKCS12

尽管流行的建议是编写不指向特定Provider类的应用程序,但是在某些用例中,需要应用程序/程序确切了解Provider类提供的服务。 当支持可能与特定JDK(例如与IBM JDK捆绑在一起的WebSphere)紧密耦合的多个应用程序服务器时,此要求变得更加普遍。 我通常使用Tomcat + Oracle JDK进行开发(更轻便,更快),但是我的测试/生产设置是WebSphere + IBM JDK。 为了使事情更加复杂,我的项目需要使用硬件安全模块(HSM),该模块通过提供程序类com.ncipher.provider.km.nCipherKM使用JCA API。 因此,当我在家时(无法访问HSM),我想继续编写代码,但至少要在JDK提供程序上对代码进行测试。 然后,在将代码提交到源代码管理之前,我可以切换为使用nCipherKM提供程序进行另一轮单元测试。

通常的假设是,一个提供程序类就足够了,例如对于IBM JDK来说是IBMJCE,对于Oracle JDK是SunJCE。 因此,通常的解决方案是实现一个指定一个提供程序的类,并使用反射来避免由于“未找到类”而导致的编译错误: 

//For nShield HSM
Class c = Class.forName('com.ncipher.provider.km.nCipherKM');
Provider provider = (Provider)c.newInstance();

//For Oracle JDK
Class c = Class.forName('com.sun.crypto.provider.SunJCE');
Provider provider = (Provider)c.newInstance();

//For IBM JDK
Class c = Class.forName('com.ibm.crypto.provider.IBMJCE');
Provider provider = (Provider)c.newInstance();

这种设计是可以的,直到遇到在Oracle JDK上运行某些单元测试用例的NoSuchAlgorithmException错误。 我使用的算法是RSA,这是一种常见算法! 怎么可能,文档说支持RSA! 相同的测试用例在IBM JDK上运行良好。

经过进一步的调查,我感到非常沮丧的是,SunJCE提供程序没有用于RSA的KeyPairGenerator服务的实现。 但是,可以在提供程序类sun.security.rsa.SunRsaSign中找到实现。 因此,“ 1提供者全部提供”的假设被打破了。 但是由于有了JCA的开放API,在请求Service实例时可以传递Provider对象,例如 

KeyGenerator kgen = KeyGenerator.getInstance('AES', provider);

为了帮助检查各种Provider对象,我提供了一个JUnit测试,以漂亮地打印出JDK中每个已注册Provider实例的各种服务。 

package org.gizmo.jca;

import java.security.Provider;
import java.security.Provider.Service;
import java.security.Security;
import java.util.Comparator;
import java.util.SortedSet;
import java.util.TreeSet;

import javax.crypto.KeyGenerator;

import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.junit.Test;

public class CryptoTests {

 @Test
 public void testBouncyCastleProvider() throws Exception {
  Provider p = new BouncyCastleProvider();
  String info = p.getInfo();
  System.out.println(p.getClass() + ' - ' + info);
  printServices(p);
 }

 @Test
 public void testProviders() throws Exception {

  Provider[] providers = Security.getProviders();
  for(Provider p : providers) {
   String info = p.getInfo();
   System.out.println(p.getClass() + ' - ' + info);
   printServices(p);
  }
 }

 private void printServices(Provider p) {
  SortedSet

                       services = new TreeSet

                       (new ProviderServiceComparator());
  services.addAll(p.getServices());

  for(Service service : services) {
   String algo = service.getAlgorithm();
   System.out.println('==> Service: ' + service.getType() + ' - ' + algo);
  }
 }

 /**
  * This is to sort the various Services to make it easier on the eyes...
  */
 private class ProviderServiceComparator implements Comparator

                         {

  @Override
  public int compare(Service object1, Service object2) {
   String s1 = object1.getType() + object1.getAlgorithm();
   String s2 = object2.getType() + object2.getAlgorithm();;

   return s1.compareTo(s2);
  }

 }
}

无论如何,如果您使用的算法是通用的并且足够强大,可以满足您的需求,那么可以使用BouncyCastle提供程序。 它在所有JDK(针对IBM和Oracle进行了测试)上都能很好地工作。 BouncyCastle不支持JKS或JCEKS密钥库格式,但是如果您不太挑剔,则BC密钥库格式可以正常工作。 BouncyCastle也是开源的,可以免费包含在您的应用程序中。

提示 :JKS密钥库无法存储SecretKeys。 您可以尝试做功课

希望本文能启发您进一步探索JCA,或者至少在与JCA合作时意识到“幸福的无知”的陷阱。

参考: YK研讨会的博客中, 使用JCA的密码学-来自我们JCG合作伙伴 Allen Julia的“ 提供者中的服务”

翻译自: https://www.javacodegeeks.com/2013/03/cryptography-using-jca-services-in-providers.html

jca使用

dnc8371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
IBM JDK和SUN JDK的差异处理一例
xiongzk的专栏
10-23 1万+
最近在一个加密应用有如下一行代码:        Security.addProvider(new com.sun.crypto.provider.SunJCE());         一看就知道,这用的是SUN JDK 的类。很明显的问题是,如果移植都IBM的JDK上,是编译不过的。当然我们也可以针对IBM的JDK做一个版本,把上面的代码改成如下:        Security.add
记一次SUN JDK与IBM JDK下AES秘钥生成不一致问题
吃货的自我修养的博客
05-21 1461
需求: 与对接方对接一个接口,接口需使用固定种子,AES-128算法生成秘钥,并对报文信息进行加密 问题表现: 公司自有运行环境与项目运维运行环境,接口都可以正常加解密调通接口,但生产环境调用接口对接方会解密失败,且报文内容通过自己写的解密方法也无法解密 排查流程: 1、查看生产环境应用日志,定位问题 对接方返回结果只显示解密失败,我们自己的日志只打印了加密结果,于是把测试环境的接口地址,算法种子等参数都配置成生产相同,得到的打印结果(即加密后的数据不相同) 2、打印加密算法固定seed,以及AES-128
Thread dump文件抓取和分析(JCA工具)
寻梦友的博客
08-14 3160
Thread dump文件抓取和分析 接下来分析CentOS下怎么抓取Thread dump文件,JCA怎么分析Thread dump文件。 1、CentOS下抓取Thread dump文件 CentOS下命令 ps ef | grep java kill -3 2、JCA工具分析Thread dump文件 下载好Jca.jar。输入下面命令,打开JCA分析工具 …/bin>java jar jav433.jar 弹出工具页面,File—>Open Thread dumps,找到文件。
jca分析工具
03-19
分析内存泄露产生的javacore文件,以便于定位blocked线程
加密类com.sun.crypto.provider.SunJCE()找不到
huangdc2011的专栏
07-24 5784
java这个加密类com.sun.crypto.provider.SunJCE()报错的解决办法,有2种 1、Window -> Preferences -> Java -> Compiler -> Errors/Warnings -> Deprecated and restricted API -> Forbidden reference (access ...
IBM-JDK与Sun-JDK加密算法提供者差异
热门推荐
AFer198215的专栏
09-14 1万+
最近为客户做了一个工具,需求:客户在命令行下,通过这个工具下载数据包;下载的数据包已加密,只有已登录的用户,才允许解密并使用数据包。 实现并不复杂,流程: 1、用户登录时,采用sha-1+n位随机码加密用户密码,提交服务器验证。 2、数据包已在服务器(PBEWithSHA1AndDESede)加密,用户根据数据包概要信息选择并下载数据包。 3、安装数据包时,需求用户输入密码,确认后
java.lang.NoClassDefFoundError: com/crypto/provider/SunJCE
zl3126422的专栏
08-05 949
做主机迁移,访问应用时报错:java.lang.NoClassDefFoundError: com/crypto/provider/SunJCE   原系统环境:Linux+Weblogic8.1+jdk1.4 现系统环境:AIX+Weblogic8.1+jdk1.4   原因,域使用的jdk不同,但AIX没有那个版本的   解决办法:添加jce.jar及sunjce_provid...
JCA技术介绍.doc
06-06
JCA技术,在Windchill开发比较常用,在客制任务表单模板使用评率高
JDKJCA的简单使用(一)---MD5加密
Cappadocia_的博客
10-18 1038
其实MD5加密就是用到了MessageDigest类的一种加密算法 MessageDigest类 MessageDigest类是一个引擎类,提供加密的安全消息功能,如SHA-256,SHA-512,MD5。加密安全消息摘要采用任意大小的输入(字节数组),并生成固定大小的输出。 应用场景: 加密某段数据,不需要解密,比如数据库储存密码。 public class MD5Util { ...
IBM JCA 内存分析工具
10-09
IBM JCA 内存分析工具 很好用
jca javacore分析工具
08-09
帮忙分析javacore和dump文件,查看内存泄漏,线程阻塞,个人觉得很实用,希望可以帮忙到需要的人
jca分析工具.zip
08-14
利用Jca工具分析JavaCore文件/Thread dump文件。Jca工具分析JavaCore文件/Thread dump文件。很实用。
java线程堆栈分析工具jca457.jar;堆内存分析工具Memory Analyzer
miniyuyu的博客
05-09 8394
sdfs
JDKJCA的简单使用(二)---RSA加签验签
Cappadocia_的博客
10-18 583
请注意这里是加签验签,如有加密解密需求的,还请移步 JDKJCA的简单使用(三)---RSA加密解密 Signature 类 Signature类是一个引擎类,提供加密的数字签名算法,例如DSA或RSAwithMD5。加密安全签名算法采用任意大小的输入和私钥,并生成一个相对较短(通常是固定大小)的字节串——签名。 只有私钥/公钥对的所有者才能创建签名。对于拥有公钥的任何人来说,恢复私钥在...
JCA - 核心类和接口 - Provider
ttyy1112的专栏
04-24 1247
JCA - 核心类和接口 - ProviderProvider类如何请求和提供Provider实现安装Provider安装Provider类注册Provider静态注册动态注册设置Provider权限Provider类方法 Provider类 术语“加密服务提供者(CSP)”(在本文档与“Provider”可互换使用)是指提供JDK安全API加密功能子集的具体实现的一个或一组包。Provider类是这种包或一组包的接口。它有用来访问Provider名称,版本号和其他信息的方法。请注意,除了注册加密服务
JCA/Web Service/JMS的选择问题
mark010的专栏
07-22 166
最近学习了下WAS对消息系统的支持,提到使用JMS集成,和JCA集成 顺便扩大一下视野,找到两篇非常不错的文章 一篇来自BEA dev2dev,一篇来自IBM Developerworks 第一篇:EAI问题,Web Service还是JCA 人们总是问我J2EE连接器体系结构(J2EE Connector Architecture,JCA)和Web服务的区别是什么。他们很想知道选择其一个而不...
jca分析工具-IBM Thread and Monitor Dump Analyzer for Java
YIWUZH15的专栏
11-19 1554
使用教程参考链接 [size=medium][b]IBM Thread and Monitor Dump Analyzer for Java[/b][/size] https://www.ibm.com/developerworks/community/alphaworks/tech/jca [code="bash"]java -Xmx200M -jar jca450.jar [/c...
JCA相关概念
m00ndown
02-23 671
JCA(Java Cryptography Architecture):MessageDigest:getInstanceupdatedigestSignature:getInstanceinitVerify / initSignupdateverify / signEven though a signature seems similar to a message digest, they ha...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值