工作中碰到的JAVA安全

最新推荐文章于 2024-09-20 15:09:03 发布
最新推荐文章于 2024-09-20 15:09:03 发布
阅读量90 收藏 1
点赞数
分类专栏: java se 文章标签: 工作 Java 算法 数据结构 IBM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_123/article/details/82037645
版权

这两天,在工作中碰到了用JAVA对文件内容的加密解密,做了一些调查,总结一下:

首先算法,用的是DES,

数据加密标准(DES)是一个古老的对称密钥加密算法,又被成为美国 数据加密标准,是1972年美国IBM公司研制的对称密码体制加密算法。 明文按64位进行分组, 密钥 长64位,密钥事实上是56位参与DES运算(第8、16、24、32、40、48、56、64位是校验位, 使得每个密钥都有奇数个1)分组后的明文组和56位的密钥按位替代或交换的方法形成密文组的加密方法。,它不是一个很安全的算法。三重DES(Triple-DES)仍然是很安全的,但是也只是在别无他 法的情况下的一个较好的选择。高级加密标准(AES)是一个更好的加密算法,NIST用AES代替Triple-DES作为他们的标准。高级加密标准 (AES)是一个用来代替数据加密标准(DES)的算法。目前使用的一般为128,196和256位密钥,这三种密钥都是相当安全的。而且美国政府也是这 样认为的。他们批准将128位密钥的AES算法用于一般数据加密,196位和256位密钥的AES算法用于秘密数据和绝密数据的加密。DESX是DES的 一个改进版本。DESX的原理是利用一个随机的二进制数与加密前的数据以及解密后的数据异或。虽然也有人批评这种算法,但是与DES相比DESX确实更安 全,不过DESX在许多情况下并不适用。

 

DES工作基本原理:

其入口参数有三个:key、data、mode。 key为加密解密使用的密钥 ,data为加密

 

des算法结构

解密的数据,mode为其工作模式。当模式为加密模式时,明文按照64位进行分组,形成明文组,key用于对数据加密 ,当模式为解密模式时,key用于对数据解密。实际运用中,密钥只用到了64位中的56位,这样才具有高的安全性。

 

 

DES算法提供CBC, OFB, CFB, ECB四种模式,MAC是基于ECB实现的。

一、数据补位

  DES数据加解密就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文,最后一段不足8个字节,按照需求补足8个字节(通常补00或者FF,根据实际要求不同)进行计算,之后按照顺序将计算所得的数据连在一起即可。

  这里有个问题就是为什么要进行数据补位?主要原因是DES算法加解密时要求数据必须为8个字节。

  二、ECB模式

  DES ECB(电子密本方式)其实非常简单,就是将数据按照8个字节一段进行DES加密或解密得到一段8个字节的密文或者明文,最后一段不足8个字节,按照需求补足8个字节进行计算,之后按照顺序将计算所得的数据连在一起即可,各段数据之间互不影响。

  三、CBC模式

  DES CBC(密文分组链接方式)有点麻烦,它的实现机制使加密的各段数据之间有了联系。其实现的机理如下:

  加密步骤如下:

  1)首先将数据按照8个字节一组进行分组得到D1D2......Dn(若数据不是8的整数倍,用指定的PADDING数据补位)

  2)第一组数据D1与初始化向量I异或后的结果进行DES加密得到第一组密文C1(初始化向量I为全零)

  3)第二组数据D2与第一组的加密结果C1异或以后的结果进行DES加密,得到第二组密文C2

  4)之后的数据以此类推,得到Cn

  5)按顺序连为C1C2C3......Cn即为加密结果。

  解密是加密的逆过程,步骤如下:

 

DES的几种填补方式

  DES是对64位数据的加密算法,如数据位数不足64位的倍数,需要填充,补充到64位的倍数。

  NoPadding

  API或算法本身不对数据进行处理,加密数据由加密双方约定填补算法。例如若对字符串数据进行加解密,可以补充\0或者空格,然后trim

  PKCS5Padding

  加密前:数据字节长度对8取余,余数为m,若m>0,则补足8-m个字节,字节数值为8-m,即差几个字节就补几个字节,字节数值即为补充的字节数,若为0则补充8个字节的8

  解密后:取最后一个字节,值为m,则从数据尾部删除m个字节,剩余数据即为加密前的原文

  因为DES是一种block cipher,一个block要8个字节,所以要加密的东西要分成8字节的整数倍,不足的就填充。

  PKCS5Padding这种填充,填的字节代表所填字节的总数:

  比如差三个字节的话填为 @@@@@333

  差7个字节就填为 @7777777

  没有差就填 88888888

-

  1)首先将数据按照8个字节一组进行分组得到C1C2C3......Cn

  2)将第一组数据进行解密后与初始化向量I进行异或得到第一组明文D1(注意:一定是先解密再异或)

  3)将第二组数据C2进行解密后与第一组密文数据进行异或得到第二组数据D2

  4)之后依此类推,得到Dn

  5)按顺序连为D1D2D3......Dn即为解密结果。

  这里注意一点,解密的结果并不一定是我们原来的加密数据,可能还含有你补得位,一定要把补位去掉才是你的原来的数据。

 

 

 

iteye_123
关注
专栏目录
Java安全机制
FromZeroJiYuan的博客
11-26 3757
文章目录启动安全策略使用java.security.AccessController#doPrivileged(java.security.PrivilegedAction) 启动 默认情况下,Java安全模型是不启用的。为了使用Java安全模型,需要通过初始化安全管理器(SecurityManager)来启用Java安全模型。 编码式初始化SecurityManager // 获取安全管理器,如果安全管理器未安装,则返回null SecurityManager manager = System.g
Java 单例模式线程安全问题
08-29
Java 单例模式线程安全问题是指在 Java 实现单例模式时,如何确保线程安全的问题。单例模式是指在整个应用程序生命周期,只有一个实例存在的设计模式。这种模式可以提高性能,因为它减少了实例的创建和销毁的...
Java开发的五条安全小贴士,助你的项目更安全
murphysec的博客
05-11 1000
前言 得益于Java的完备生态,Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说,很少会去关注安全相关的问题,没有养成良好的开发习惯,在开发过程容易带来安全隐患。 我们在本文总结了五条简单有效的小建议。 一、及时更新依赖组件版本 在Java开发,开发者经常会用到各类开源组件来实现自己的功能点,但是许多开发者不常关注安全资讯,不了解开源组件的哪个版本存在什么样的漏洞,从而可能会引入安全漏洞。 所以在选择开源组件版本的时候,应优先选择最新发布的组件,因为最新版本的组件通常都会
Java常用的锁总结与理解
热门推荐
张彦峰的博客
05-12 166万+
java相关内容进行整理分析:乐观锁 VS 悲观锁+自旋锁 VS 适应性自旋锁+无锁 VS 偏向锁 VS 轻量级锁 VS 重量级锁+公平锁 VS 非公平锁+可重入锁 VS 非可重入锁+独享锁 VS 共享锁
Java的多线程安全问题
qq_63218110的博客
01-14 3799
本篇文章主要介绍线程安全相关定义以及线程安全的处理方式:volatile关键字和synchronized关键字,以及JMM和Java标准库线程安全类的简单介绍。
Java安全开发注意事项
qq_42302684的博客
03-16 5292
互联网安全架构设计前言一、如何防御xss攻击?二、抓包如何防止篡改数据?三、对接口实现加密四、相关安全架构设计方案说明 前言 本文是对Java开发做安全的架构设计。 一、如何防御xss攻击? 攻击场景说明:在客户端发起请求时,如果URL的请求参数被篡改为网页脚本的话,而且后台没有对参数做处理的话,在当前页面会受到恶意攻击。 如何解决:在后台编写一个过滤器,对后台接收到的请求参数做过滤处理。 代码说明: @Component @WebFilter public class XssFilter imple
Java线程不安全的原因
m0_61630116的博客
06-23 1323
Java线程不安全的原因
Java多线程之线程安全问题
trong_ 的烂笔头
12-26 6266
Java多线程的线程安全问题, 解决方法, 线程安全和不安全的标准类.
Java web 安全
胡汉三
07-07 1343
随着近年来各种安全问题层出不穷。客户的安全意识也得到了不少的提升。说一件本人遇到的吧、公司的服务被人删库了、比特币勒索。真的是删除的干干净净、就剩下一张表、里面的内容就是往指定的账号打比特币。也不敢真打......只能联系云运营商、通过镜像备份恢复了某一时段的数据。至今到底是哪里出了问题也不清楚。 直到后续各种json工具包的反序列化不断爆出漏洞、spring、就连spring security也不能幸免。最离谱的就是log4j了。现在想起来、这些漏洞应该早就掌握在黑客的手了、相当于0day
Java线程安全
qq_40132294的博客
10-10 2万+
前段时间有测试一个后端对账单和话单采集服务,在测试过程有涉及到数据库读写逻辑和并发的场景,所以结合经验针对系统技术架构设计了部分并发场景结合数据库读写时可能出现的一些问题的用例,也确实出现了一些测试环境容易忽视,线上环境确确实实可能出现的问题,当然最后还是得到了妥善的解决.下面说说后端测试应该考虑的一些线程安全和数据读写方面的问题. 前提:测试环境的架构尽量向线上环境的架构靠拢,比如线上如果采用分布式集群,测试环境如果是单机,那么部分问题自然无法暴露,如果测试环境无足够资源模拟线上的几十台集群环境,那么
Java项目安全问题及解决方案
明耀的博客
09-17 4505
转载:Java项目安全问题及解决方案 1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用
Java局部变量线程安全原理分析
08-25
通过对Java局部变量线程安全原理的分析,我们可以更好地理解Java的线程安全机制,避免在编程出现线程安全问题。 局部变量线程安全原理 Java局部变量线程安全原理是基于每个线程都有自己独立的方法调用栈结构的...
Java:关于学习java安全的一些知识。正在学习ing
03-16
在深入探讨Java安全知识之前,我们先来了解一下Java的基础语法。 Java基础语法包括类、对象、封装、继承、多态等面向对象编程的基本概念。类是Java的蓝图,它定义了对象的属性和行为。对象则是类的实例,具有类...
java开发遇到的安全问题
01-24
java开发遇到的安全问题
代码随想录算法训练营Day7
lynyzy的博客
09-18 380
双指针
力扣 16.最接近的三数之和
qq_51352130的博客
09-16 344
设 s=nums[i]+nums[j]+nums[k],为了判断 s 是不是与 target 最近的数,我们还需要用一个变量 minDiff 维护 ∣s−target∣ 的最小值。分类讨论:如果 s=target,那么答案就是 s,直接返回 s。如果 s>target,那么如果 s−target<minDiff,说明找到了一个与 target 更近的数,更新 minDiff 为 s−target,更新答案为 s。然后和三数之和一样,把 k 减一。
141. 环形链表(快慢指针 + Floyd 判圈算法)
最新发布
2301_79140115的博客
09-20 84
【代码】141. 环形链表(快慢指针 + Floyd 判圈算法)
LeetCode 算法笔记-第 04 章 基础算法
artificiali的博客
09-18 417
什么是质数:大于1的,除了1和它本身以外不再有其他的。
Java平台标准版安全开发者指南
7. **Java安全策略**:如何定义和管理安全策略文件,以控制哪些代码可以在哪个环境执行。 8. **安全管理器**:Java的内置安全管理器允许自定义安全策略,它监控并控制程序的敏感操作。 9. **Java代码签名**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值