序列化揭秘(一)

最新推荐文章于 2024-07-19 19:11:19 发布
最新推荐文章于 2024-07-19 19:11:19 发布
阅读量84 收藏
点赞数
分类专栏: 编程工匠之所想 文章标签: Java Security 项目管理 算法

   声明:因为准备在项目组内部做一次关于序列化的分享,故有如此一系列关于序列化的博文产生。次系列期间参考了一些其他的资料,如《java加密与解密的艺术》,java官方序列化规范文档等资料,来源相对较杂,在此不一一说明,后续也不再说明。仅致以最诚挚的感谢!此为原创,转载请说明出处   -----哲渊2011-4-10

 

   序列化的二进制数据几乎是以明文的形式在网络传输,这样会存在比较大的安全问题。解决方案之一如下:

对整个对象进行加密和签名,最简单的是将它放在一个 javax.crypto.SealedObject  或 java.security.SignedObject 包装器中。两者都是可序列化的,所以将对象包装在 SealedObject 中可以围绕原对象创建一种 “包装盒”。必须有对称密钥才能解密,而且密钥必须单独管理。同样,也可以将 SignedObject 用于数据验证,并且对称密钥也必须单独管理。以下代码解释了以SignedObject为例说明如何进行整个对象的序列化安全加密和解密。

 

需要序列化的原始类代码:

package zheyuan.experiment4.com;

import java.io.Serializable;

/**
 * 用于被密钥包装的类
 * 
 * @author Administrator
 * 
 */
public class SignedPerson implements Serializable {

	private static final long serialVersionUID = 8533862948800025300L;

	private String name;
	private int age;
	private boolean isNB;

	public String getName() {
		return name;
	}

	public void setName(String name) {
		this.name = name;
	}

	public int getAge() {
		return age;
	}

	public void setAge(int age) {
		this.age = age;
	}

	public boolean isNB() {
		return isNB;
	}

	public void setNB(boolean isNB) {
		this.isNB = isNB;
	}

}



序列化类的加密解密类代码如下:

package zheyuan.experiment4.com;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.OutputStream;
import java.io.Serializable;
import java.security.KeyPair;
import java.security.KeyPairGenerator;
import java.security.Signature;
import java.security.SignedObject;

public class SignedSerializableTest {

	/**
	 *    如果需要对整个对象进行加密和签名,最简单的是将它放在一个 javax.crypto.SealedObject 
	 *    或 java.security.SignedObject 包装器中。两者都是可序列化的,所以将对象包装在 SealedObject 
	 *    中可以围绕原对象创建一种 “包装盒”。必须有对称密钥才能解密,而且密钥必须单独管理。
	 *    同样,也可以将 SignedObject 用于数据验证,并且对称密钥也必须单独管理。 
	 *    
	 *    这里以SignedObject为例说明
	 */
	
	/**
	 * 演示如何对序列化数据进行签名加密
	 * @param args
	 */
	public static void main(String[] args) throws Throwable{
		SignedPerson signedPerson=new SignedPerson();
		signedPerson.setAge(18);
		signedPerson.setName("zheyuan");
		signedPerson.setNB(false);
		
		signedSerializableData(signedPerson);
	}
	
	static void signedSerializableData(Object signedPerson) throws Throwable{
		//-----------第一步:密钥武装序列化类--------------------
		
		//代做数字签名的原始信息(必须实现Serializable接口)
		Serializable o=(Serializable)signedPerson;
		//实例化KeyPairGenerator(密钥生成器)对象,并指定DSA算法
		KeyPairGenerator keyPairGen=KeyPairGenerator.getInstance("DSA");
		//初始化KeyPairGenerator对象
		int keysize=1024;
		keyPairGen.initialize(keysize);
		//生成KeyPair对象
		KeyPair keyPair=keyPairGen.generateKeyPair();
		//实例化Signature(用来生成和验证数字签名,是一个引擎类)对象
		Signature signature=Signature.getInstance(keyPairGen.getAlgorithm());
		//实例化SignedObject对象
		SignedObject sin=new SignedObject(o,keyPair.getPrivate(),signature);
		
		//----------第二步:将密钥武装后序列化类SignedObject序列化------------
		OutputStream out=new FileOutputStream("signed_temp");
		ObjectOutputStream oos=new ObjectOutputStream(out);
		oos.writeObject(sin);
		//-----------第三步:SignedObject反序列化-----------------------
		
		InputStream in=new FileInputStream("signed_temp");
		ObjectInputStream ois=new ObjectInputStream(in);
		SignedObject sout=(SignedObject)ois.readObject();
		
        //-------------第四步:将原始类信息解密-----------------		
		//获得签名值
		Object sign=sout.getObject();
		System.out.println(sign.toString());
		//验证签名
		boolean status=sout.verify(keyPair.getPublic(), signature);
		System.out.println(status);
		
	}

}
 
lixiang_2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
二次反序列化 看我一命通关
msbz7的博客
08-17 766
不记得是哪一场比赛了,遇到了一个 Java 的题目,过滤了很多关键类,不管小编把 CC 链如何拆开组合,都没有办法绕过。就在此时,大佬看了一眼说,用二次反序列化就可以绕过了。“二次反序列化”这六个字重重地敲在了我的心巴上,从那以后我就对二次反序列化产生了莫名的渴望。小编开始详细学习时,发现没有二次反序列化比较系统的学习文章,那么,就自己总结一个。简单介绍下二次反序列化,顾名思义,就是反序列化两次,其主要意义是PS:本文用到的工具类会放在文末它,是下一个用于创建真实运行时对象的类,更具体地说,...
keypair java_如何在Java序列化和反序列化RSA KeyPair
weixin_39517902的博客
02-13 946
我想在我的Java应用程序中实现一些非常基本的安全性,但是一开始我就陷入了困境.我想做的是这样的:1-生成RSA密钥对2将这些密钥以序列化形式存储在数据库中,以便在下次运行该应用程序时重新创建它们3-反序列化它们,这样我就可以将它们恢复为对象形式,并可以使用它们来加密/解密内容.问题是,在任何地方我都找不到直接的解释.我尝试了标准的Java序列化/反序列化方法,但是它们不起作用.我的代码如下:pu...
Kryo序列化进阶学习: 加密数据
rocklee的专栏
05-21 1989
上一篇文章已经讲述了如何用Kryo对对象进行序列化和还原,但很多时候
kryo
weixin_30815427的博客
08-23 219
测试kryo与jdk的ObjectOutputStream kryo常用设置 InstantiatorStrategy即初始化策略,默认kryo在反序列化对象时需要对象的类有一个零参数构造器,该构造器可以是private的,kryo通过反射调用该构造器来实例化对象。如果没有这样一个构造器,就需要使用kryo.setInstantiatorStrategy(new St...
java序列化算法揭秘
LZN的博客
02-14 1161
序列化是将对象保存为字节序列的过程,反序列化是将字节序列转换为对象的过程。Java Serialization API为开发者提供了一套标准机制来处理对象序列化。本文你将看到如何序列化一个对象以及为什么对象的序列化在有的情况下是必须的。你将会学习到java序列化算法以及一个揭示序列化对象格式的例子。阅读完本篇内容后,你讲会对java序列化算法如何工作以及一个实体对象在底层如何被序列化有一个深入
Protocol Buffer 序列化原理大揭秘
xupeng1644的博客
03-13 1590
前言 习惯用 Json、XML 数据存储格式的你们,相信大多都没听过Protocol Buffer Protocol Buffer 其实 是 Google出品的一种轻量 & 高效的结构化数据存储格式,性能比 Json、XML 真的强!太!多! 由于 Google出品,我相信Protocol Buffer已经具备足够的吸引力 今天,我将讲解为什么Protocol Buffer的性能如此...
Protobuf序列化原理
钟离默的个人博客
06-24 8455
一、Protobuf序列化原理简介 1.1序列化 序列化是将数据结构或对象转换成二进制字节流的过程。 Protobuf对于不同的字段类型采用不同的编码方式和数据存储方式对消息字段进行序列化,以确保得到高效紧凑的数据压缩。 Protobuf序列化过程如下: (1)判断每个字段是否有设置值,有值才进行编码。 (2)根据字段标识号与数据类型将字段值通过不同的编码方式进行编码。 (3)将编码后的数据块按照...
Dubbo的几个序列化方式
终身做学习,并予以实践
01-18 674
Dubbo的几个序列化方式
SpringBoot揭秘 快速构建微服务体系_SpringSprintBoot揭秘_
10-02
开发者将学习如何利用Spring MVC,结合@Controller、@RequestMapping等注解定义HTTP端点,以及如何使用Jackson库进行JSON序列化和反序列化。此外,还会介绍Spring Data JPA和Hibernate,用于简化数据库操作,实现ORM...
C#数据结构与算法揭秘二 线性结构
09-05
线性表的形式化定义由数据元素集合D和它们之间的关系集合R组成,即L = (D, R)。 在C#中,线性结构常见的实现有数组和泛型列表等。数组是一种固定大小的线性数据结构,它的元素在内存中是连续存储的,可以通过索引...
MATLAB揭秘.zip
11-16
- 读写文件:MATLAB可以通过fread、fwrite、textscan等函数读取二进制或文本文件,save和load函数用于序列化和反序列化MATLAB变量。 - 数据导入导出:可以将数据导入到MATLAB工作空间,或者导出为其他格式(如CSV...
android应用开发揭秘
04-12
- JSON解析:介绍如何使用Gson、Jackson或org.json库解析和序列化JSON数据。 通过以上章节的学习,开发者可以掌握Android应用开发的基础和进阶技巧,包括界面设计、程序流程控制、数据管理和网络通信等关键领域。...
ASP.NET Web API 2 框架揭秘 目录、源码版
01-30
2. **数据传输**:讲述如何处理HTTP请求和响应,包括JSON和XML序列化,以及如何自定义内容协商。 3. **路由和筛选器**:讲解ASP.NET Web API的路由系统,如何配置和使用路由模板,以及筛选器(如授权、异常处理)的...
JAVA: 序列化
weixin_30577801的博客
09-05 97
对象序列化 - 一个对象可以被表示为一个字节序列,保存对象的类型信息、对象的数据,还有对象中的数据类型,以便存储或传输。 反序列化 -将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。 对象序列化带来了方便,也带来了风险:敏感数据的泄露,被劫持后被反序列化进行修改,无法保证数据来源的安全性...
Held-Karp算法的C++代码
最新发布
m0_61862494的博客
07-19 117
Held-Karp算法是动态规划的一种应用,用于解决旅行商问题 (TSP)。该算法通过记录部分路径的最小成本来避免重复计算,从而有效地降低计算复杂度。Held-Karp算法使用一个状态压缩动态规划表。表示从起点出发,访问过所有由。表示的集合中的节点,并以节点。结束的最小路径长度。
Leetcode—207. 课程表【中等】
Atticus的博客
07-19 239
运行结果 之后我会持续更新,如果喜欢我的文章,请记得一键三连哦,点赞关注收藏,你的每一个赞每一份关注每一次收藏都将是我前进路上的无限动力 !!!↖(▔▽▔)↗感谢支持!
代码随想录学习 54day 图论 A star算法
qq_40445763的博客
07-17 475
【代码】代码随想录学习 54day 图论 A star算法
PySpark在时间序列分析中的应用揭秘
《藏经阁-PySpark for Time Series Analysis》是一份由David Palaitis撰写的专业指南,针对时间序列分析领域的深度探讨,特别是如何利用Apache PySpark这一强大的大数据处理工具进行处理。该文档隶属于Two Sigma ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值