PEB对称加密
概述:
PBE算法(Password Based Encryption,基于口令加密)是一种基于口令的加密算法,其特点是使用口令代替了密钥,而口令由用户自己掌管,采用随机数杂凑多重加密等方法保证数据的安全性。
PBE算法在加密过程中并不是直接使用口令来加密,而是加密的密钥由口令生成,这个功能由PBE算法中的KDF函数完成。KDF函数的实现过程为:将用户输入的口令首先通过“盐”(salt)的扰乱产生准密钥,再将准密钥经过散列函数多次迭代后生成最终加密密钥,密钥生成后,PBE算法再选用对称加密算法对数据进行加密,可以选择DES、3DES、RC5等对称加密算法。
PEB是对称加密算法,因为密钥越长越不容易被破解,但是密钥太长就不容易记忆,所以通过口令生成密钥,密钥+盐值+迭代次数再生成密文。
场景应用:
对系统用户密码加密:用户注册或者修改密码时在前台页面填入密码传至后台,此时填入的密码相当于口令,在后台通过口令生成密钥,生成随机盐值,规定好迭代次数,生成对应密文,然后把盐值和密文存入数据库。用户登陆时,同理拿到前台页面的用户名和密码,通过用户名查到盐值,再把密码(口令)生成的密钥加上盐值进行加密,把加密后的密文和数据库中的密文做对比,若相同则代表登陆成功。
java6和bouncycastle支持的算法列表
算法 | 密钥长度 | 密钥长度默认值 | 工作模式 | 填充方式 | 备注 |
---|---|---|---|---|---|
PBEWithMD5AndDES | 56 | 56 | CBC | PKCS5Padding | java6实现 |
PBEWithMD5AndTripeDES | 112、168 | 168 | CBC | PKCS6Padding | java7实现 |
PBEWithSHA1AndDESede | 112、168 | 168 | CBC | PKCS7Padding | java8实现 |
PBEWithSHA1AndRC2_40 | 40至1024 | 128 | CBC | PKCS8Padding | java9实现 |
PBEWithMD5AndDES | 64 | 64 | CBC | PKCS5Padding/PKCS7Padding/ISO10126Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithMD5AndRC2 | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10127Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHA1AndDES | 64 | 64 | CBC | PKCS5Padding/PKCS7Padding/ISO10128Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHA1AndRC2 | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10129Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAndIDEA-CBC | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10130Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd2-KeyTripleDES-CBC | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10131Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd3-KeyTripleDES-CBC | 192 | 192 | CBC | PKCS5Padding/PKCS7Padding/ISO10132Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd128BitRC2-CBC | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10133Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd40BitRC2-CBC | 40 | 40 | CBC | PKCS5Padding/PKCS7Padding/ISO10134Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd128BitRC4 | 128 | 128 | CBC | PKCS5Padding/PKCS7Padding/ISO10135Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAnd40BitRC4 | 40 | 40 | CBC | PKCS5Padding/PKCS7Padding/ISO10136Padding/ZeroBytePadding | BouncyCastle实现 |
PBEWithSHAAndTwofish-CBC | 256 | 256 | CBC | PKCS5Padding/PKCS7Padding/ISO10137Padding/ZeroBytePadding | BouncyCastle实现 |
PEB加密工具类PasswordUtil
package com.util;
import java.math.BigInteger;
import java.security.Key;
import java.security.SecureRandom;
import java.util.Arrays;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import javax.crypto.spec.PBEParameterSpec;
public class PasswordUtil {
/**
* JAVA6支持以下任意一种算法 PBEWITHMD5ANDDES PBEWITHMD5ANDTRIPLEDES
* PBEWITHSHAANDDESEDE PBEWITHSHA1ANDRC2_40 PBKDF2WITHHMACSHA1
* */
/**
* 定义使用的算法为:PBEWITHMD5andDES算法
*/
public static final String ALGORITHM = "PBEWithMD5AndDES";//加密算法
public static final String Salt = "42165666";//盐值
/**
* 定义迭代次数为10次
*/
private static final int ITERATIONCOUNT = 10;
/**
* 获取加密算法中使用的盐值,解密中使用的盐值必须与加密中使用的相同才能完成操作. 盐长度必须为8字节
*
* @return byte[] 盐值
* */
public static byte[] getSalt() throws Exception {
// 实例化安全随机数
SecureRandom random = new SecureRandom();
// 产出盐
return random.generateSeed(8);
}
public static byte[] getStaticSalt() {
// 产出盐
return Salt.getBytes();
}
/**
* 根据PBE密码生成一把密钥
*
* @param password
* 生成密钥时所使用的密码
* @return Key PBE算法密钥
* */
private static Key getPBEKey(String password) {
// 实例化使用的算法
SecretKeyFactory keyFactory;
SecretKey secretKey = null;
try {
keyFactory = SecretKeyFactory.getInstance(ALGORITHM);
// 设置PBE密钥参数
PBEKeySpec keySpec = new PBEKeySpec(password.toCharArray());
// 生成密钥
secretKey = keyFactory.generateSecret(keySpec);
} catch (Exception e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
return secretKey;
}
/**
* 加密明文字符串
*
* @param plaintext
* 待加密的明文字符串
* @param password
* 生成密钥时所使用的密码
* @param salt
* 盐值
* @return 加密后的密文字符串
* @throws Exception
*/
public static String encrypt(String plaintext, String password, byte[] salt) {
Key key = getPBEKey(password);
byte[] encipheredData = null;
PBEParameterSpec parameterSpec = new PBEParameterSpec(salt, ITERATIONCOUNT);
try {
Cipher cipher = Cipher.getInstance(ALGORITHM);
cipher.init(Cipher.ENCRYPT_MODE, key, parameterSpec);
encipheredData = cipher.doFinal(plaintext.getBytes());
} catch (Exception e) {
}
return bytesToHexString(encipheredData);
}
/**
* 解密密文字符串
*
* @param ciphertext
* 待解密的密文字符串
* @param password
* 生成密钥时所使用的密码(如需解密,该参数需要与加密时使用的一致)
* @param salt
* 盐值(如需解密,该参数需要与加密时使用的一致)
* @return 解密后的明文字符串
* @throws Exception
*/
public static String decrypt(String ciphertext, String password, byte[] salt) {
Key key = getPBEKey(password);
byte[] passDec = null;
PBEParameterSpec parameterSpec = new PBEParameterSpec(getStaticSalt(), ITERATIONCOUNT);
try {
Cipher cipher = Cipher.getInstance(ALGORITHM);
cipher.init(Cipher.DECRYPT_MODE, key, parameterSpec);
passDec = cipher.doFinal(hexStringToBytes(ciphertext));
}
catch (Exception e) {
// TODO: handle exception
}
return new String(passDec);
}
/**
* 将字节数组转换为十六进制字符串
*
* @param src
* 字节数组
* @return
*/
public static String bytesToHexString(byte[] src) {
StringBuilder stringBuilder = new StringBuilder("");
if (src == null || src.length <= 0) {
return null;
}
for (int i = 0; i < src.length; i++) {
int v = src[i] & 0xFF;
String hv = Integer.toHexString(v);
if (hv.length() < 2) {
stringBuilder.append(0);
}
stringBuilder.append(hv);
}
return stringBuilder.toString();
}
/**
* 将十六进制字符串转换为字节数组
*
* @param hexString
* 十六进制字符串
* @return
*/
public static byte[] hexStringToBytes(String hexString) {
if (hexString == null || hexString.equals("")) {
return null;
}
hexString = hexString.toUpperCase();
int length = hexString.length() / 2;
char[] hexChars = hexString.toCharArray();
byte[] d = new byte[length];
for (int i = 0; i < length; i++) {
int pos = i * 2;
d[i] = (byte) (charToByte(hexChars[pos]) << 4 | charToByte(hexChars[pos + 1]));
}
return d;
}
private static byte charToByte(char c) {
return (byte) "0123456789ABCDEF".indexOf(c);
}
public static void main(String[] args) {
String str = "我是需要加密的密文";
String password = "123456";
System.out.println("明文:" + str);
System.out.println("密码:" + password);
Key pbeKey = PasswordUtil.getPBEKey("123456");
BigInteger num = new BigInteger(1, pbeKey.getEncoded());
System.out.println("密钥: "+ num.toString());
try {
byte[] salt = PasswordUtil.getStaticSalt();
// byte[] salt = PasswordUtil.getSalt();
System.out.println("盐值:"+Arrays.toString(salt));
String ciphertext = PasswordUtil.encrypt(str, password, salt);
System.out.println("加密后的密文:" + ciphertext);
String plaintext = PasswordUtil.decrypt(ciphertext, password, salt);
System.out.println("解密后的明文:" + plaintext);
String result = PasswordUtil.decrypt("0adf39483a68e21c9314e10e8176dacb7f36806d94b9236b", "123456", salt);
System.out.println("解密后的明文:" + result);
} catch (Exception e) {
e.printStackTrace();
}
}
}
运行结果:
明文:我是需要加密的密文
密码:123456
密钥: 54091677185334
盐值:[52, 50, 49, 54, 53, 54, 54, 54]
加密后的密文:77d4e8e292d9fde668ec4cea1f88e562f4a2916b0d26fade
解密后的明文:我是需要加密的密文
解密后的明文:我是需要加密的密文