Java加密体系-java.security包

最新推荐文章于 2024-07-27 04:04:35 发布
最新推荐文章于 2024-07-27 04:04:35 发布
阅读量3.3k 收藏 16
点赞数 3
分类专栏: java加密与解密

一、JCA/ JCE

  • JCA(Java Cryptography Architecture) 是Java体系结构,提供了基本Java加密框架,比如证书、数字签名、消息摘要、秘钥对生成器等,在java.security包中实现。

  • JCE(Java Cryptography Extension)是JCA的扩展,主要负责提供DES、AES、RSA、DSA这样的加密算法,因为加密算法是会不断进步的,会有新的算法诞生,所以整个安全体系结构的可扩展性必须要得到保证。

  • JCE包因为其加密算法的安全限制,受美国出口限制,我们平时使用的是oracle提供的“阉割版”,比如默认不允许256位密钥的AES,我们通过oracle官网,可以下载“完整版”。
    下面是“完整版的加密扩展包”
    http://www.oracle.com/technetwork/java/javase/downloads/jce8-download-2133166.html

  • 解压缩以后是这个样子:

     

    完整版加密扩展包.png

根据readme中的提示,放在<java-home>/lib/security包中就可以啦

 

image.png

  • JCE并不是只有oracle提供的,有多家厂商可以提供JCE的扩展包,在我们jdk的安装目录下的java.security文件中可以看到,支持的服务提供者Provider。

     

    Provider

  • JCA的实现是在java.security包下,这个包只能实现消息摘要算法,其他都要依赖JCE扩展包,在javax.crypto包中实现,也可以添加自己的provider,根据上图的格式继续填写第11个即可。使用Security.addProvider("xxx")可以完成Provider的添加,使用insertProviderAt("xxx", position)可以在指定位置完成添加,这里涉及到一个优先级的概念,如上图Provider所示,数字越小优先级越高。

  • 借用oracle官方的一个例子,如图privider example,我们可以使用如下代码获得摘要实例,比如我们要获取SHA-256算法生成摘要的实例,第一句代码会走左侧的图,遍历所有provider,获取到支持该算法的Provider就立刻返回,左侧会返回ProviderB,而生成摘要是提供重载方法的,可以指定Provider,第二行代码指定了ProviderC,那么就会直接返回ProviderC,可以看到使用方法简单灵活。

privider example

 

md = MessageDigest.getInstance("SHA-256");
md = MessageDigest.getInstance("SHA-256", "ProviderC");

  • 官方是不推荐使用Sun, SunJSSE,SunJCE,SunRsaSign这些厂商提供的Provider的,据说是因为历史原因导致这些厂商提供的功能和加密强度都不怎么样 。

  • MessageDigest.getInstance("SHA-256");这一行代码,的执行流程会是什么样子的呢?我们找到MessageDigest在包中位置,发现旁边还有一个和他的名字很像的SPI类,SPI全称是Service Provider Interface,是软件设计可插拔的体现,经常被用在插件的设计上。

  • 类似MessageDigest这样的类,我们通常叫做“engine”类,可以翻译叫做引擎类,每一个这样的引擎类都有一个对应的SPI类,引擎类继承SPI类,引擎类负责被用户调用,引擎类调用SPI类,我们发现所有的SPI类都是abstract的,也就是说SPI类提供模板,其他Provider实现SPI类中的方法就可以了,这些对于用户来说都是透明的,用户只需要在java.security中进行配置就可以了,是可插拔的一种体现,后面将会对这些引擎类进行简单介绍。

     

    MessageDigestSpi

  • 对于某些provider,可能会提供加密算法的别名,官方文档不推荐使用别名这种行为,因为其他厂商不一定叫这个别名。

  • 如果想知道自己可以使用那些Provider,Security的getProvider()方法可以获取到,获取到key有很多,笔者使用的是1.8版本,有600+条,如下面这段代码。

    public static void main(String[] args) {
  for (Provider p : Security.getProviders()) {
      System.out.println(p);
      for (Map.Entry entry :p.entrySet()) {
          System.out.println("\t"+entry.getKey());
      }
  }
}

二、java.security包类库

  • 类似MessageDigest这样的类,我们通常叫做引擎类,java.包中的引擎类都是为其继承的SPI类服务,这样的可插拔的机制方便了整体的扩展,下面将介绍java.security包下的引擎类。

1、MessageDigest类

  • 可以使用MessageDigest生成指定加密算法的摘要,代码如下,首先根据MessageDigest的静态方法获取对应算法的实例,然后调用update()方法更新摘要,最后使用digest()方法生成摘要。

        MessageDigest digest =  MessageDigest.getInstance("SHA");
      digest.update(input);
      byte[] output = digest.digest();

2、Key接口

  • Key是一个接口,是秘钥的抽象概念,所有与秘钥相关的类都要实现这个接口,通过查看源代码我们可以发现这个接口继承了Serializable接口,这是因为秘钥多数情况都是在系统间进行传输,这个接口很简单只有三个方法,如下:

    public String getAlgorithm();//获取算法名称
    public String getFormat();//获取秘钥格式化的编码格式
    public byte[] getEncoded();//返回二进制格式的秘钥

  • 有三个接口继承了它:分别是SecretKey、PublicKey、PrivateKey,SecretKey是对称秘钥的抽象,对称加密算法的秘钥由SecretKey提供,PublicKey和PrivateKey对应非对称件加密算法中的公钥和私钥。

3、KeyPair接口

  • KeyPair是非对称加密算法秘钥对的抽象,如下图所示,这个类的构造方法参数只有两个,类型为PublicKey和PrivateKey,这个类是不提供公钥和私钥的setter方法的,只可以通过构造方法的方式去构造秘钥对。

KeyPair

4、KeyPairGenerator类

  • 秘钥对的生成就是由KeyPairGenerator来完成的,这是一个引擎类,同样也继承了SPI类,通过工厂方法getInstance()来完成秘钥对的构建,下面通过调用KeyPairGenerator的getInstance()方法获得实例,初始化秘钥长度,然后获得秘钥对。

     KeyPairGenerator generator = KeyPairGenerator.getInstance("DSA");
  generator.initialize(1024);
  KeyPair keys = generator.generateKeyPair();

5、KeyFactory类

  • KeyFactory最大的作用就是根据指定的规范生成秘钥,如下面这段代码,使用的是PKCS8规范,这样的规范还有很多,如下图所示:

      PKCS8EncodedKeySpec pkcs8KeySpec = new PKCS8EncodedKeySpec(keyBytes);
  KeyFactory keyFactory = KeyFactory.getInstance("RSA");
  Key privateKey = keyFactory.generatePrivate(pkcs8KeySpec);

spec

6、Signature类

  • Signature类主要用于生成和验证数字签名,生成数字签名这一步我们通常称为“加签”,验证数字签名这一步,我们通常称为“验签”,首先我们根据KeyPairGenerator的工厂方法getInstance()获取实例秘钥对实例,初始化秘钥长度1024,生成秘钥对,根据指定算法构建Signature签名实例,根据私钥初始化,调用sign()方法完成加签,下面这一段代码展示了加签的过程:

      byte[] data = "Signature Data".getBytes();
  KeyPairGenerator generator = KeyPairGenerator.getInstance("DSA");
  generator.initialize(1024);
  KeyPair keyPair = generator.generateKeyPair();
  Signature signature = Signature.getInstance(generator.getAlgorithm());
  signature.initSign(keyPair.getPrivate());
  signature.update(data);
  byte[] signData = signature.sign();

  • 验签过程和加签相似,使用公钥初始化,调用verify()方法完成验签,如下面代码所示:

      signature.initVerify(keyPair.getPublic());
  signature.update(data);
  boolean status = signature.verify(signData);

7、KeyStore类

  • KeyStore是秘钥库的抽象,用于管理秘钥和证书,这也是一个引擎类,如下代码,我们从本地加载秘钥库配合密码加载秘钥库,这里我们可以看到通过keyStore.aliases();获取了全部的别名列表,原因是keystore是通过别名去加载秘钥的,原理类似前面提到的Provider,获取到第一个别名返回。

       String keyPassword = "123456";
    inputStream = new FileInputStream(new File(keyPath));
    KeyStore keyStore = KeyStore.getInstance(keyType);
    keyStore.load(inputStream, keyPassword.toCharArray());
    Enumeration enum2 = keyStore.aliases();
    String keyAlias = null;
        if (enum2 == null) {
          return null;
         } else {
        if (enum2.hasMoreElements()) {
          keyAlias = (String) enum2.nextElement();
      } else {
          return null;
      }
  }
    PrivateKey priviteKey = keyStore.getKey(keyAlias, keyPassword.toCharArray());

摘自:oralce JCA参考指南

Loong.xu
关注
专栏目录
Java Cryptography Extension (JCE)
12-27
Java Cryptography Extension (JCE) Unlimited Strength Jurisdiction Policy Files java 8的权限文件
Java.security中的KeyStore类详解
一起coding,一起嗨。
01-31 1459
KeyStore是一个抽象概念上的密钥存储库,允许应用程序以安全的方式存储和管理各种形式的密钥与证书对。: 返回提供此KeyStore实例的提供者的名称。: 根据指定类型和提供者获取KeyStore实例。: 根据指定类型(默认使用系统默认的安全服务提供者)获取KeyStore实例。: 获取默认的密钥库类型。: 返回此KeyStore的安全服务提供者对象。getType(): 返回此KeyStore的类型。: 根据别名获取密钥。: 获取给定别名的证书链。: 获取给定别名的证书。
记录一将内存中大量JceSecurity实例导致OOM问题排查
最新发布
weixin_32176627的博客
07-27 57
问题现象最近有一个同事负责的项目,运行一断时间就OOM了,让我帮忙排查一下是什么原因,首先我查看项目启动命令配置了dump文件,看到dump文件居然有3.4G,肯定是代码有问题导致内存没有回收。登录后复制 -XX:+HeapDumpBeforeFullGC -XX:+HeapDumpAfterFullGC -XX:Hea...
java中 SSL认证和keystore使用
热门推荐
ywb201314的专栏
06-01 1万+
好久没用过SSL认证了,东西久不用,就有点生疏。博客就是有这个好处,可以做备忘录。 java中是通过SSL认证,使用的是SSLSocket,通过SSLSocketFactory可以获得SSLSocket实例对象。通常SSLSocketFactory需要一个SSLContext环境对象来构建, 构建一个SSLContext 环境: SSLContext sslc=SSLContext.getI
JCE的功能分析
蔚可云的博客
03-14 2944
什么是JCE JCE(Java Cryptography Extension)即Java密码扩展,是JDK1.4的一个重要部分。它是一组,它们提供用于加密、密钥生成算法和协商以及 Message Authentication Code(MAC)算法的框架和实现。 它提供对对称、不对称、块和流密码的加密支持,它还支持安全流和密封的对象。它不对外出口,用它开发完成封装后将无法调用。 提供者是谁 提供者是特定加密算法的实现者,有的提供者(提供的加密技术)是免费的,有的不免费,IBM, Boun.
java存取密码于keystore文件中
qq_34721505的博客
12-05 6553
最近项目有一个需求,客户要求将密码保存在keyStore文件中。平时开发的WEB项目,密码明文都是加密后以密文的形式保存在数据库中,第一次遇到这种需求,网上查阅相关资料,大多都是基于android的代码,没有找到基于B/S架构的源码,无奈之下只好自己查阅API编写代码,现公布于众,希望大家交流指导! 一、需求 将项目中文件的解密密码保存于keystore文件中,使用时再从keystore文件中
Java使用KeyStore存储AES对称加密的密钥
woshihedayu的博客
09-20 1753
其中,KeyStore的类型必须设置JCEKS,否则保存SecretKey这种对称加密的密钥会报错。KeyStore类是Java当中的密钥库,专门用于存储密钥,以下代码用于生成keystore文件。
java-security-mechanisms-code.rar_java security
09-19
这个压缩java-security-mechanisms-code.rar”含了关于Java安全机制的实例程序,可以帮助我们深入理解Java如何实现其安全特性。 1. **Java安全模型** Java的安全模型基于沙箱模型,它限制了未经许可的代码...
Java2-Network-Security.zip_java security_network security_网络安全
09-19
首先,加密通信是网络安全的基础,Java提供了强大的加密库,如Java Cryptography Extension (JCE)和Java Cryptography Architecture (JCA),支持各种加密算法,如AES、RSA和SHA。这些算法用于对敏感数据进行加解密,...
weix小程序+java-des加密.zip
07-25
Java中实现DES加密,通常会用到`javax.crypto.Cipher`类,以及`java.security.Key`和`java.security.SecureRandom`等接口和类。首先需要生成一个DES密钥,然后创建一个Cipher实例,并用密钥初始化它。接着,可以对...
xml-security-c-1.0.0.zip_.xml.security_java security_xml securi_
09-22
这个压缩"xml-security-c-1.0.0.zip_.xml.security_java security_xml securi_"似乎含了关于如何在Java环境中实现XML安全的详细资料。 首先,让我们关注一下"xml-security-c-1.0.0"这一部分。这可能是一个特定...
Java-Security_Program.zip_java security
09-24
Java提供了`javax.crypto`含用于加密操作的核心类。例如,`Cipher`类用于加解密,`KeyGenerator`用于生成密钥,`KeyPairGenerator`用于非对称加密的密钥对生成。 五、实战应用 在Java中实现加解密,首先需要...
java生成和读取keystore,如何在Java中使用keystore来存储私钥?
weixin_39715290的博客
12-31 376
I have used KeyPairGenerator to generate a RSA key pair. If I'm not wrong, the KeyStore is only used to store certificates and not keys. How can I properly store the private key on the computer?解决方案Yo...
Java安全管理——策略文件介绍
weixin_34114823的博客
02-25 366
2019独角兽企业重金招聘Python工程师标准>>> ...
Java——加密/解密相关类(java.securityjavax.crypto、javax.net.ssl)
吴声子夜歌的博客
12-10 1140
目录Java加密/解密相关类1、Java与密码学1.1、Java安全领域组成部分1.2、安全提供者体系结构2、java.security详解2.1、Provider类2.2、Security类2.3、MessageDigest类2.4、DigestInputStream类2.5、DigestOutputStream类2.6、Key接口1)、SecretKey2)、PublicKey和PrivateKey2.7、AlgorithmParameters类2.8、AlgorithmParameterGenera
JAVA加密--JCA、JCE、CSP概念、体系架构与使用示例
penriver的博客
08-24 4699
讲解JCA、JCE、CSP概念及JCA的体系架构,并以MD5加密,演示如何基于JCA进行数据加密
java.security.key jar_异常: java.security.InvalidKeyException: Illegal key size
weixin_31640385的博客
02-26 207
今天在做接口测试的时候遇到个异常:java.security.InvalidKeyException: Illegal key size。SecretKeySpec secretKeySpec = new SecretKeySpec(aesKey, "AES");Cipher cipher = Cipher.getInstance("AES/CTR/NoPadding");IvParameterS...
JCE无限制权限策略文件的下载地址
dbh58的专栏
10-27 2699
因为某些国家的进口管制限制,Java发布的运行环境中的加解密有一定的限制。比如默认不允许256位密钥的AES加解密,解决方法就是修改策略文件。    官方网站提供了JCE无限制权限策略文件的下载:    JDK6的下载地址:    http://www.oracle.com/technetwork/java/javase/downloads/jce-6-download-42924
java.security path: D:\biayu\jdk\jre\lib\security Security providers: [SUN version 1.8, SunRsaSign version 1.8, SunEC version 1.8, SunJSSE version 1.8, SunJCE version 1.8, SunJGSS version 1.8, SunSASL version 1.8, XMLDSig version 1.8, SunPCSC version 1.8, SunMSCAPI version 1.8] SSLContext provider info: Sun JSSE provider(PKCS12, SunX509/PKIX key/trust factories, SSLv3/TLSv1/TLSv1.1/TLSv1.2/TLSv1.3) SSLContext provider services: [SunJSSE: KeyPairGenerator.RSA -> sun.security.rsa.RSAKeyPairGenerator$Legacy aliases: [OID.1.2.840.113549.1.1, 1.2.840.113549.1.1, 1.2.840.113549.1.1.1] , SunJSSE: KeyFactory.RSA -> sun.security.rsa.RSAKeyFactory$Legacy aliases: [OID.1.2.840.113549.1.1, 1.2.840.113549.1.1, 1.2.840.113549.1.1.1] , SunJSSE: Signature.SHA1withRSA -> sun.security.rsa.RSASignature$SHA1withRSA aliases: [OID.1.2.840.113549.1.1.5, 1.2.840.113549.1.1.5, 1.3.14.3.2.29] attributes: {SupportedKeyClasses=java.security.interfaces.RSAPublicKey|java.security.interfaces.RSAPrivateKey} , SunJSSE: SSLContext.TLS -> sun.security.ssl.SSLContextImpl$TLSContext aliases: [SSL] , SunJSSE: SSLContext.TLSv1 -> sun.security.ssl.SSLContextImpl$TLS10Context aliases: [SSLv3] , SunJSSE: Signature.MD2withRSA -> sun.security.rsa.RSASignature$MD2withRSA aliases: [OID.1.2.840.113549.1.1.2, 1.2.840.113549.1.1.2] attributes: {SupportedKeyClasses=java.security.interfaces.RSAPublicKey|java.security.interfaces.RSAPrivateKey} , SunJSSE: Signature.MD5withRSA -> sun.security.rsa.RSASignature$MD5withRSA aliases: [OID.1.2.840.113549.1.1.4, 1.2.840.113549.1.1.4] attributes: {SupportedKeyClasses=java.security.interfaces.RSAPublicKey|java.security.interfaces.RSAPrivateKey} , SunJSSE: KeyStore.PKCS12 -> sun.security.pkcs12.PKCS12KeyStore , SunJSSE: TrustManagerFactory.SunX509 -> sun.security.ssl.TrustManagerFactoryImpl$SimpleFactory , SunJSSE: KeyManagerFactory.SunX509 -> sun.security.ssl.KeyManagerFactoryImpl$SunX509 , SunJSSE: TrustManagerFactory.PKIX -> sun.security.ssl.TrustManagerFactoryImpl$PKIXFactory aliases: [SunPKIX, X509, X.509] , SunJSSE: KeyManagerFactory.NewSunX509 -> sun.security.ssl.KeyManagerFactoryImpl$X509 aliases: [PKIX] , SunJSSE: SSLContext.Default -> sun.security.ssl.SSLContextImpl$DefaultSSLContext , SunJSSE: SSLContext.TLSv1.1 -> sun.security.ssl.SSLContextImpl$TLS11Context , SunJSSE: Signature.MD5andSHA1withRSA -> sun.security.ssl.RSASignature , SunJSSE: SSLContext.TLSv1.3 -> sun.security.ssl.SSLContextImpl$TLS13Context , SunJSSE: SSLContext.TLSv1.2 -> sun.security.ssl.SSLContextImpl$TLS12Context ] java.ext.dirs: D:\biayu\jdk\jre\lib\ext;C:\Windows\Sun\Java\lib\ext 2023-07-14 09:02:08.895 ERROR 6772 --- [ main] com.zaxxer.hikari.pool.HikariPool : master - Exception during pool initialization. com.microsoft.sqlserver.jdbc.SQLServerException: 驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“The server selected protocol version TLS10 is not accepted by client preferences [TLS13, TLS12]”。 ClientConnectionId:275886a9-fcb1-451b-af33-3b3ea3195ee6
07-15
根据你提供的信息,错误提示是:驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误信息显示客户端偏好的协议版本为 [TLS13, TLS12],而服务器选择的协议版本为 TLS10。这导致连接失败。 要解决这个问题,你可以尝试以下方法: 1. 检查 SQL Server 的 SSL/TLS 配置:确保 SQL Server 配置的 SSL/TLS 协议版本与客户端兼容。你可以在 SQL Server 配置管理器中的 "SQL Server Network Configuration" 下的 "Protocols for [InstanceName]" 中检查和配置 SSL/TLS 设置。 2. 更新 JDBC 驱动程序:尝试更新使用的 JDBC 驱动程序版本,以确保它支持客户端偏好的协议版本。你可以从 Microsoft 官方网站下载最新的 JDBC 驱动程序。 3. 更新 Java 运行时环境 (JRE):确保你使用的 Java 运行时环境 (JRE) 版本支持所需的 SSL/TLS 协议版本。你可以尝试升级到最新的 Java 版本。 4. 显式设置 SSLContext:在连接 SQL Server 之前,通过代码显式设置 SSLContext,指定所需的 SSL/TLS 协议版本。例如,可以使用以下代码片段设置为 TLSv1.2 版本: ```java SSLContext sslContext = SSLContext.getInstance("TLSv1.2"); sslContext.init(null, null, null); ``` 然后,将该 SSLContext 传递给 SQL Server 连接的属性中。 请注意,具体的解决方法可能因你的环境和需求而有所不同。建议先尝试这些方法,并根据实际情况进行调整和进一步研究。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值