引言
創(chuàng)新互聯(lián)建站是一家專(zhuān)業(yè)提供五臺(tái)企業(yè)網(wǎng)站建設(shè),專(zhuān)注與網(wǎng)站制作���、做網(wǎng)站、H5建站���、小程序制作等業(yè)務(wù)��。10年已為五臺(tái)眾多企業(yè)����、政府機(jī)構(gòu)等服務(wù)��。創(chuàng)新互聯(lián)專(zhuān)業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中�。
數(shù)字證書(shū)是一個(gè)經(jīng)證書(shū)授權(quán)中心數(shù)字簽名的包含公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。為現(xiàn)實(shí)網(wǎng)絡(luò)安全化標(biāo)準(zhǔn)如今大部分的 B2B���、B2C��、P2P�����、O2O 等商業(yè)網(wǎng)站含有重要企業(yè)資料個(gè)人資料的信息資信網(wǎng)站政府機(jī)構(gòu)金融機(jī)構(gòu)等服務(wù)網(wǎng)站大部分都使用了數(shù)字證書(shū)來(lái)加強(qiáng)網(wǎng)絡(luò)的安全性����。
數(shù)字證書(shū)一般由經(jīng)過(guò)國(guó)家認(rèn)證的權(quán)威機(jī)構(gòu)頒發(fā)即CA例如中國(guó)各地方的CA公司中心簽發(fā)的證書(shū)也可以由企業(yè)級(jí)CA系統(tǒng)進(jìn)行簽發(fā)例如Symantec�����、ResellerClub����、數(shù)安時(shí)代等。開(kāi)發(fā)人員也可以通過(guò)工具自動(dòng)生成證書(shū)進(jìn)行開(kāi)發(fā)但不經(jīng)過(guò)認(rèn)證的證書(shū)將被視為無(wú)效證書(shū)不保安全保護(hù)但仍可正常運(yùn)行��。
在這篇文章里將為大家介紹數(shù)字證書(shū)的生成使用過(guò)程以及對(duì)數(shù)據(jù)進(jìn)行加密����、解密����、簽名�、驗(yàn)簽的使用方式。
希望能對(duì)各位的學(xué)習(xí)研究有所幫助當(dāng)中有所錯(cuò)漏的地方敬請(qǐng)點(diǎn)評(píng)���。
目錄
一�、數(shù)字證書(shū)介紹
二�、加密算法介紹
三、生成數(shù)字證書(shū)的方式
四��、獲取公鑰與私鑰
五�、數(shù)字證書(shū)加密與解密
六、數(shù)字證書(shū)簽名與驗(yàn)簽
一�����、數(shù)字證書(shū)介紹
1.1 什么是數(shù)字證書(shū)
數(shù)字證書(shū)就是互聯(lián)網(wǎng)通訊中標(biāo)志通訊各方身份信息的一串?dāng)?shù)字提供了一種在Internet上驗(yàn)證通信實(shí)體身份的方式數(shù)字證書(shū)不是數(shù)字×××而是身份認(rèn)證機(jī)構(gòu)蓋在數(shù)字×××上的一個(gè)章或印或者說(shuō)加在數(shù)字×××上的一個(gè)簽名�。它是由權(quán)威機(jī)構(gòu)——CA機(jī)構(gòu)又稱(chēng)為證書(shū)授權(quán)Certificate Authority中心發(fā)行的人們可以在網(wǎng)上用它來(lái)識(shí)別對(duì)方的身份。
最簡(jiǎn)單的證書(shū)包含密鑰���、名稱(chēng)以及證書(shū)授權(quán)中心的數(shù)字簽名���。數(shù)字證書(shū)還有一個(gè)重要的特征就是只在特定的時(shí)間段內(nèi)有效。數(shù)字證書(shū)是一種權(quán)威性的電子文檔可以由權(quán)威公正的第三方機(jī)構(gòu)即CA例如中國(guó)各地方的CA公司中心簽發(fā)的證書(shū)也可以由企業(yè)級(jí)CA系統(tǒng)進(jìn)行簽發(fā)���。
圖 V.1.1
1.2 數(shù)字證書(shū)的分類(lèi)
從數(shù)字簽名使用對(duì)象的角度分目前的數(shù)字證書(shū)類(lèi)型主要包括個(gè)人×××?xí)?����、企業(yè)或機(jī)構(gòu)×××?xí)?��、支付網(wǎng)關(guān)證書(shū)���、服務(wù)器證書(shū)、安全電子郵件證書(shū)�、個(gè)人代碼簽名證書(shū)這些數(shù)字證書(shū)特點(diǎn)各有不同��。
符合 X.509 標(biāo)準(zhǔn)的數(shù)字安全證書(shū)證書(shū)中包含個(gè)人身份信息和個(gè)人的公鑰用于標(biāo)識(shí)證書(shū)持有人的個(gè)人身份�。數(shù)字安全證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)于 E-key 中用于個(gè)人在網(wǎng)上進(jìn)行合同簽定�、定單、錄入審核�����、操作權(quán)限���、支付信息等活動(dòng)中標(biāo)明身份�。
符合 X.509 標(biāo)準(zhǔn)的數(shù)字安全證書(shū)證書(shū)中包含企業(yè)信息和企業(yè)的公鑰用于標(biāo)識(shí)證書(shū)持有企業(yè)的身份�����。數(shù)字安全證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)于 E-key 或 IC 卡中可以用于企業(yè)在電子商務(wù)方面的對(duì)外活動(dòng)如合同簽定�����、網(wǎng)上證券交易����、交易支付信息等方面。
支付網(wǎng)關(guān)證書(shū)是證書(shū)簽發(fā)中心針對(duì)支付網(wǎng)關(guān)簽發(fā)的數(shù)字證書(shū)是支付網(wǎng)關(guān)實(shí)現(xiàn)數(shù)據(jù)加解密的主要工具用于數(shù)字簽名和信息加密。支付網(wǎng)關(guān)證書(shū)僅用于支付網(wǎng)關(guān)提供的服務(wù)Internet 上各種安全協(xié)議與銀行現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)格式的轉(zhuǎn)換����。支付網(wǎng)關(guān)證書(shū)只能在有效狀態(tài)下使用。支付網(wǎng)關(guān)證書(shū)不可被申請(qǐng)者轉(zhuǎn)讓����。
符合 X.509 標(biāo)準(zhǔn)的數(shù)字安全證書(shū)證書(shū)中包含服務(wù)器信息和服務(wù)器的公鑰在網(wǎng)絡(luò)通訊中用于標(biāo)識(shí)和驗(yàn)證服務(wù)器的身份���。數(shù)字安全證書(shū)和對(duì)應(yīng)的私鑰存儲(chǔ)于 E-key 中����。服務(wù)器軟件利用證書(shū)機(jī)制保證與其他服務(wù)器或客戶端通信時(shí)雙方身份的真實(shí)性����、安全性、可信任度等����。
代碼簽名證書(shū)是 CA 中心簽發(fā)給軟件提供商的數(shù)字證書(shū)包含軟件提供商的身份信息、公鑰及 CA 的簽名����。軟件提供商使用代碼簽名證書(shū)對(duì)軟件進(jìn)行簽名后放到 Internet 上當(dāng)用戶在 Internet 上下載該軟件時(shí)將會(huì)得到提示從而可以確信軟件的來(lái)源軟件自簽名后到下載前沒(méi)有遭到修改或破壞。代碼簽名證書(shū)可以對(duì) 32-bit .exe 、 .cab ��、 .ocx ��、 .class 等程序和文件 進(jìn)行簽名���。
符合 X.509 標(biāo)準(zhǔn)的數(shù)字安全證書(shū)通過(guò) IE 或 Netscape 申請(qǐng)用 IE 申請(qǐng)的證書(shū)存儲(chǔ)于 WINDOWS 的注冊(cè)表中用 NETSCAPE 申請(qǐng)的存儲(chǔ)于個(gè)人用戶目錄下的文件中��。用于安全電子郵件或向需要客戶驗(yàn)證的 WEB 服務(wù)器(https 服務(wù)) 表明身份�。
個(gè)人代碼簽名證書(shū)是 CA 中心簽發(fā)給軟件提供人的數(shù)字證書(shū)包含軟件提供個(gè)人的身份信息���、公鑰及 CA 的簽名����。軟件提供人使用代碼簽名證書(shū)對(duì)軟件進(jìn)行簽名后放到 Internet 上當(dāng)用戶在 Internet 上下載該軟件時(shí)將會(huì)得到提示從而可以確信軟件的來(lái)源軟件自簽名后到下載前沒(méi)有遭到修改或破壞�����。代碼簽名證書(shū)可以對(duì) 32-bit .exe ����、 .cab 、 .ocx ��、 .class 等程序和文件進(jìn)行簽名。
從數(shù)字證書(shū)的技術(shù)角度分CA中心發(fā)放的證書(shū)分為兩類(lèi)SSL證書(shū)和SET證書(shū)�。一般地說(shuō)SSL 證書(shū)安全套接層是服務(wù)于銀行對(duì)企業(yè)或企業(yè)對(duì)企業(yè)的電子商務(wù)活動(dòng)的而SET安全電子交易證書(shū)則服務(wù)于持卡消費(fèi)、網(wǎng)上購(gòu)物�。雖然它們都是用于識(shí)別身份和數(shù)字簽名的證書(shū)但它們的信任體系完全不同而且所符合的標(biāo)準(zhǔn)也不一樣。
1.3 數(shù)字證書(shū)的格式
證書(shū)主要的文件類(lèi)型和協(xié)議有: PEM����、DER、PFX����、JKS�����、KDB�����、CER����、KEY、CSR����、CRT��、CRL �、OCSP���、SCEP等��。
1.3.1 PEM 格式
Openssl使用 PEM(Privacy Enhanced Mail)格式來(lái)存放各種信息,它是 openssl 默認(rèn)采用的信息存放方式�����。Openssl 中的 PEM 文件一般包含如下信息:
內(nèi)容類(lèi)型:表明本文件存放的是什么信息內(nèi)容,它的形式為“——-BEGIN XXXX ——”,與結(jié)尾的“——END XXXX——”對(duì)應(yīng)����。
頭信息:表明數(shù)據(jù)是如果被處理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv��。
信息體:為 BASE64 編碼的數(shù)據(jù)�����?����?梢园ㄋ兴借€RSA 和 DSA、公鑰RSA 和 DSA和 (x509) 證書(shū)�����。它存儲(chǔ)用 Base64 編碼的 DER 格式數(shù)據(jù)用 ascii 報(bào)頭包圍因此適合系統(tǒng)之間的文本模式傳輸��。
使用PEM格式存儲(chǔ)的證書(shū)
-----BEGIN CERTIFICATE-----
MIIF6TCCBNGgAwIBAgIQSSOR8EYFvAGtG16qv0lZ4DANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UEAxMS
UmFwaWRTU0wgU0hBMjU2IENBMB4XDTE3MDQyNDAwMDAwMFoXDTE5MDQyNDIzNTk1
OVowITEfMB0GA1UEAwwWc2VjdXJpdHkucHVqaW53YW5nLmNvbTCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBANrPWriCfyigreL9cVAyEPesYScRd176xhH0
.............
-----END CERTIFICATE-----
使用PEM格式存儲(chǔ)的私鑰
-----BEGIN RSA PRIVATE KEY-----
MIIF6TCCBNGgAwIBAgIQSSOR8EYFvAGtG16qv0lZ4DANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UEAxMS
UmFwaWRTU0wgU0hBMjU2IENBMB4XDTE3MDQyNDAwMDAwMFoXDTE5MDQyNDIzNTk1
OVowITEfMB0GA1UEAwwWc2VjdXJpdHkucHVqaW53YW5nLmNvbTCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBANrPWriCfyigreL9cVAyEPesYScRd176xhH0
.............
-----END RSA PRIVATE KEY-----
使用PEM格式存儲(chǔ)的證書(shū)請(qǐng)求文件
-----BEGIN CERTIFICATE REQUEST-----
MIIF6TCCBNGgAwIBAgIQSSOR8EYFvAGtG16qv0lZ4DANBgkqhkiG9w0BAQsFADBC
MQswCQYDVQQGEwJVUzEWMBQGA1UEChMNR2VvVHJ1c3QgSW5jLjEbMBkGA1UEAxMS
UmFwaWRTU0wgU0hBMjU2IENBMB4XDTE3MDQyNDAwMDAwMFoXDTE5MDQyNDIzNTk1
OVowITEfMB0GA1UEAwwWc2VjdXJpdHkucHVqaW53YW5nLmNvbTCCASIwDQYJKoZI
hvcNAQEBBQADggEPADCCAQoCggEBANrPWriCfyigreL9cVAyEPesYScRd176xhH0
.............
-----END&~bsp;KETIFICATE REQUEST-----
1.3.2 DER 格式
辨別編碼規(guī)則 (DER) 可包含所有私鑰�、公鑰和證書(shū)。它是大多數(shù)瀏覽器的缺省格式并按 ASN1 DER 格式存儲(chǔ)�����。它是無(wú)報(bào)頭的 PEM 是用文本報(bào)頭包圍的 DER�。
PFX 或 P12 – 公鑰加密標(biāo)準(zhǔn) #12 (PKCS#12) 可包含所有私鑰、公鑰和證書(shū)��。其以二進(jìn)制格式存儲(chǔ)也稱(chēng)為 PFX 文件�����。通常可以將Apache/OpenSSL使用的“KEY文件 + CRT文件”格式合并轉(zhuǎn)換為標(biāo)準(zhǔn)的PFX文件你可以將PFX文件格式導(dǎo)入到微軟IIS 5/6、微軟ISA���、微軟Exchange Server等軟件��。轉(zhuǎn)換時(shí)需要輸入PFX文件的加密密碼��。
1.3.3 JKS格式
通??梢詫pache/OpenSSL使用的“KEY文件 + CRT文件”格式”轉(zhuǎn)換為標(biāo)準(zhǔn)的Java Key Store(JKS)文件。JKS文件格式被廣泛的應(yīng)用在基于Java的WEB服務(wù)器����、應(yīng)用服務(wù)器、中間件����。你可以將JKS文件導(dǎo)入到TOMCAT、 WEBLOGIC 等軟件����。
1.3.4 KDB格式
通常可以將Apache/OpenSSL使用的“KEY文件 + CRT文件”格式轉(zhuǎn)換為標(biāo)準(zhǔn)的IBM KDB文件����。KDB文件格式被廣泛的應(yīng)用在IBM的WEB服務(wù)器、應(yīng)用服務(wù)器��、中間件�。你可以將KDB文件導(dǎo)入到IBM HTTP Server、IBM Websphere 等軟件�����。
1.3.5 CSR 格式證書(shū)請(qǐng)求文件 Certificate Signing Request)
生成 X509 數(shù)字證書(shū)前,一般先由用戶提交證書(shū)申請(qǐng)文件,然后由 CA 來(lái)簽發(fā)證書(shū)。大致過(guò)程如下(X509 證書(shū)申請(qǐng)的格式標(biāo)準(zhǔn)為 pkcs#10 和 rfc2314):
用戶生成自己的公私鑰對(duì);
構(gòu)造自己的證書(shū)申請(qǐng)文件,符合 PKCS#10 標(biāo)準(zhǔn)���。該文件主要包括了用戶信息�、公鑰以及一些可選的屬性信息,并用自己的私鑰給該內(nèi)容簽名;
用戶將證書(shū)申請(qǐng)文件提交給 CA;
CA 驗(yàn)證簽名,提取用戶信息,并加上其他信息(比如頒發(fā)者等信息),用 CA 的私鑰簽發(fā)數(shù)字證書(shū);
說(shuō)明:數(shù)字證書(shū)(如x.509)是將用戶(或其他實(shí)體)身份與公鑰綁定的信息載體�。一個(gè)合法的數(shù)字證書(shū)不僅要符合 X509 格式規(guī)范,還必須有 CA的簽名。用戶不僅有自己的數(shù)字證書(shū),還必須有對(duì)應(yīng)的私鑰��。X509v3數(shù)字證書(shū)主要包含的內(nèi)容有:證書(shū)版本����、證書(shū)序列號(hào)、簽名算法��、頒發(fā)者信息�、有效時(shí)間、持有者信息���、公鑰信息、頒發(fā)者 ID���、持有者 ID 和擴(kuò)展項(xiàng)�����。
1.3.6 OCSP格式在線證書(shū)狀態(tài)協(xié)議 Online Certificate StatusProtocol,rfc2560)
用于實(shí)時(shí)表明證書(shū)狀態(tài)�。OCSP 客戶端通過(guò)查詢 OCSP服務(wù)來(lái)確定一個(gè)證書(shū)的狀態(tài),可以提供給使用者一個(gè)或多個(gè)數(shù)字證書(shū)的有效性資料它建立一個(gè)可實(shí)時(shí)響應(yīng)的機(jī)制讓用戶可以實(shí)時(shí)確認(rèn)每一張證書(shū)的有效性解決由CRL引發(fā)的安全問(wèn)題。��。OCSP 可以通過(guò) HTTP協(xié)議來(lái)實(shí)現(xiàn)�。rfc2560 定義了 OCSP 客戶端和服務(wù)端的消息格式。
1.3.7 CRL格式證書(shū)吊銷(xiāo)列表 Certification Revocation List)
是一種包含撤銷(xiāo)的證書(shū)列表的簽名數(shù)據(jù)結(jié)構(gòu)��。CRL是證書(shū)撤銷(xiāo)狀態(tài)的公布形式,CRL 就像信用卡的黑名單,用于公布某些數(shù)字證書(shū)不再有效��。CRL是一種離線的證書(shū)狀態(tài)信息�����。它以一定的周期進(jìn)行更新����。CRL 可以分為完全 CRL和增量 CRL。在完全 CRL中包含了所有的被撤銷(xiāo)證書(shū)信息,增量 CRL 由一系列的 CRL 來(lái)表明被撤銷(xiāo)的證書(shū)信息,它每次發(fā)布的 CRL 是對(duì)前面發(fā)布 CRL的增量擴(kuò)充��?�;镜?CRL 信息有:被撤銷(xiāo)證書(shū)序列號(hào)���、撤銷(xiāo)時(shí)間���、撤銷(xiāo)原因����、簽名者以及 CRL 簽名等信息���?����;?CRL的驗(yàn)證是一種不嚴(yán)格的證書(shū)認(rèn)證���。CRL 能證明在 CRL 中被撤銷(xiāo)的證書(shū)是無(wú)效的。但是,它不能給出不在 CRL中的證書(shū)的狀態(tài)���。如果執(zhí)行嚴(yán)格的認(rèn)證,需要采用在線方式進(jìn)行認(rèn)證,即 OCSP認(rèn)證���。一般是由CA簽名的一組電子文檔包括了被廢除證書(shū)的唯一標(biāo)識(shí)證書(shū)序列號(hào)CRL用來(lái)列出已經(jīng)過(guò)期或廢除的數(shù)字證書(shū)。它每隔一段時(shí)間就會(huì)更新因此必須定期下茇該輕祬才會(huì)取得最新信息���。
1.3.8 SCEP 簡(jiǎn)單證書(shū)注冊(cè)協(xié)議
基于文件的證書(shū)登記方式需要從您的本地計(jì)算機(jī)將文本文件復(fù)制和粘貼到證書(shū)發(fā)布中心和從證書(shū)發(fā)布中心復(fù)制和粘貼到您的本地計(jì)算機(jī)����。 SCEP可以自動(dòng)處理這個(gè)過(guò)程但是CRLs仍然需要手工的在本地計(jì)算機(jī)和CA發(fā)布中心之間進(jìn)行復(fù)制和粘貼���。
1.3.9 PKCS7 加密消息語(yǔ)法(pkcs7)
是各種消息存放的格式標(biāo)準(zhǔn)���。這些消息包括:數(shù)據(jù)、簽名數(shù)據(jù)���、數(shù)字信封�����、簽名數(shù)字信封����、摘要數(shù)據(jù)和加密數(shù)據(jù)��。
1.3.10 PKCS12 (個(gè)人數(shù)字證書(shū)標(biāo)準(zhǔn)Public Key Cryptography Standards #12)
包含了公鑰和私鑰的二進(jìn)制格式的證書(shū)形式一般以 pfx 作為證書(shū)文件后綴名����。用于存放用戶證書(shū)、crl、用戶私鑰以及證書(shū)鏈pkcs12 中的私鑰J羌用湸嫻諾摹
1.3.11 CER 一般指使用DER格式的證書(shū)
CER 證書(shū)一般是以 DER 二進(jìn)制編碼的證書(shū)證書(shū)中沒(méi)有私鑰以 *.cer 作為證書(shū)文件后綴名�。證書(shū)可以以 BASE64 編碼輸出以Base64 編碼的證書(shū)證書(shū)中沒(méi)有私鑰BASE64 編碼格式的證書(shū)文件也是以 *.cer 作為證書(shū)文件后綴名。
1.3.12 CRT 證書(shū)文件可以是PEM格式
1.3.13 KEY 一般指PEM格式的私鑰文件
回到目錄
二����、加密算法介紹
在生成數(shù)據(jù)證書(shū)是用戶可選擇不同的加密方式對(duì)數(shù)據(jù)進(jìn)行加密常見(jiàn)的加密算法可以分成三類(lèi)對(duì)稱(chēng)加密算法非對(duì)稱(chēng)加密算法和Hash算法。
2.1 對(duì)稱(chēng)加密
在對(duì)稱(chēng)加密算法中加密使用的密鑰和解密使用的密鑰是相同的��。也就是說(shuō)加密和解密都是使用的同一個(gè)密鑰�����。因此對(duì)稱(chēng)加密算法要保證安全性的話密鑰要做好保密只能讓使用的人知道不能對(duì)外公開(kāi)��。在對(duì)稱(chēng)加密算法中加密和解密都是使用同一個(gè)密鑰不區(qū)分公鑰和私鑰����。
對(duì)稱(chēng)加密算法的優(yōu)點(diǎn)在于加解密的高速度和使用長(zhǎng)密鑰時(shí)的難破解性。假設(shè)兩個(gè)用戶需要使用對(duì)稱(chēng)加密方法加密然后交換數(shù)據(jù)則用戶最少需要2個(gè)密鑰并交換使用如果企業(yè)內(nèi)用戶有n個(gè)則整個(gè)企業(yè)共需要n×(n-1) 個(gè)密鑰密鑰的生成和分發(fā)將成為企業(yè)信息部門(mén)的惡夢(mèng)�。對(duì)稱(chēng)加密算法的安全性取決于加密密鑰的保存情況但要求企業(yè)中每一個(gè)持有密鑰的人都保守秘密是不可能的他們通常會(huì)有意無(wú)意的把密鑰泄漏出去——如果一個(gè)用戶使用的密鑰被***者所獲得***者便可以讀取該用戶密鑰加密的所有文檔如果整個(gè)企業(yè)共用一個(gè)加密密鑰那整個(gè)企業(yè)文檔的保密性便無(wú)從談起。
常見(jiàn)的對(duì)稱(chēng)加密算法DES����、3DES、DESX���、Blowfish��、IDEA���、RC4、RC5��、RC6和AES��。
DES是一種分組數(shù)據(jù)加密技術(shù)先將數(shù)據(jù)分成固定長(zhǎng)度的小數(shù)據(jù)塊之后進(jìn)行加密速度較快適用于大量數(shù)據(jù)加密而3DES是一種基于DES的加密算法使用3個(gè)不同密匙對(duì)同一個(gè)分組數(shù)據(jù)塊進(jìn)行3次加密如此以使得密文強(qiáng)度更高�����。
相較于DES和3DES算法而言AES算法有著更高的速度和資源使用效率安全級(jí)別也較之更高了被稱(chēng)為下一代加密標(biāo)準(zhǔn)����。
2.2 非對(duì)稱(chēng)加密
在非對(duì)稱(chēng)加密算法中加密使用的密鑰和解密使用的密鑰是不相同的也稱(chēng)為公私鑰加密也就是說(shuō)加密使用的密鑰和解密使用的密鑰不同。
假設(shè)兩個(gè)用戶要加密交換數(shù)據(jù)雙方交換公鑰使用時(shí)一方用對(duì)方的公鑰加密另一方即可用自己的私鑰解密�����。如果企業(yè)中有n個(gè)用戶企業(yè)需要生成n對(duì)密鑰并分發(fā)n個(gè)公鑰�。由于公鑰是可以公開(kāi)的用戶只要保管好自己的私鑰即可因此加密密鑰的分發(fā)將變得十分簡(jiǎn)單。同時(shí)由于每個(gè)用戶的私鑰是唯一的其他用戶除了可以可以通過(guò)信息發(fā)送者的公鑰來(lái)驗(yàn)證信息的來(lái)源是否真實(shí)還可以確保發(fā)送者無(wú)法否認(rèn)曾發(fā)送過(guò)該信息�����。非對(duì)稱(chēng)加密的缺點(diǎn)是加解密速度要遠(yuǎn)遠(yuǎn)慢于對(duì)稱(chēng)加密在某些極端情況下甚至能比非對(duì)稱(chēng)加密慢上1000倍。
常見(jiàn)的非對(duì)稱(chēng)加密算法RSA����、ECC移動(dòng)設(shè)備用、Diffie-Hellman�、El Gamal、DSA數(shù)字簽名用��。
RSA和DSA的安全性及其它各方面性能都差不多而ECC較之則有著很多的性能優(yōu)越包括處理速度帶寬要求存儲(chǔ)空間等等����。
2.3 Hash算法
Hash算法特別的地方在于它是一種單向算法用戶可以通過(guò)Hash算法對(duì)目標(biāo)信息生成一段特定長(zhǎng)度的唯一的Hash值卻不能通過(guò)這個(gè)Hash值重新獲得目標(biāo)信息。因此Hash算法常用在不可還原的密碼存儲(chǔ)�、信息完整性校驗(yàn)等。
常見(jiàn)的Hash算法MD2���、MD4���、MD5、HAVAL����、SHA���、SHA-1、HMAC��、HMAC-MD5�、HMAC-SHA1。
這幾種算法只生成一串不可逆的密文經(jīng)常用其效驗(yàn)數(shù)據(jù)傳輸過(guò)程中是否經(jīng)過(guò)修改因?yàn)橄嗤纳伤惴▽?duì)于同一明文只會(huì)生成唯一的密文若相同算法生成的密文不同則證明傳輸數(shù)據(jù)進(jìn)行過(guò)了修改��。通常在數(shù)據(jù)傳說(shuō)過(guò)程前使用MD5和SHA1算法均需要發(fā)送和接收數(shù)據(jù)雙方在數(shù)據(jù)傳送之前就知道密匙生成算法而HMAC與之不同的是需要生成一個(gè)密匙發(fā)送方用此密匙對(duì)數(shù)據(jù)進(jìn)行摘要處理生成密文接收方再利用此密匙對(duì)接收到的數(shù)據(jù)進(jìn)行摘要處理再判斷生成的密文是否相同���。
加密算法的效能通常可以按照算法本身的復(fù)雜程度���、密鑰長(zhǎng)度密鑰越長(zhǎng)越安全����、加解密速度等來(lái)衡量�����。上述的算法中除了DES密鑰長(zhǎng)度不夠�、MD2速度較慢已逐漸被淘汰外其他算法仍在目前的加密系統(tǒng)產(chǎn)品中使用。
回到目錄
三�����、生成數(shù)字證書(shū)的方式
數(shù)字證書(shū)可以通過(guò)在線工具腳本代碼KEYTOOL工具OPEN SSL工具等多種方式生成。下面以常用的RSA非對(duì)稱(chēng)加密為例子向大家介紹幾種常用的數(shù)字證書(shū)生成方式���。
3.1 利用KEYTOOL工具生成數(shù)字證書(shū)
KEYTOOL 是個(gè)密鑰和證書(shū)管理工具可以在 JAVA 環(huán)境下管理安全鑰匙與證書(shū)的生成與安裝��。它還是一個(gè)有效的安全鑰匙和證書(shū)的管理工具使用戶能夠管理自己的公鑰/私鑰對(duì)及相關(guān)證書(shū)���。它管理一個(gè)存儲(chǔ)了私有鑰匙和驗(yàn)證相應(yīng)公共鑰匙的與它們相關(guān)聯(lián)的X.509 證書(shū)鏈的keystore(相當(dāng)一個(gè)數(shù)據(jù)庫(kù)里面可存放多個(gè)X.509標(biāo)準(zhǔn)的證書(shū))。能夠使用戶使用數(shù)字簽名來(lái)管理他們自己的私有/公共鑰匙對(duì),管理用來(lái)作自我鑒定的相關(guān)的證書(shū),管理數(shù)據(jù)完整性和鑒冬服務(wù)‖能使用戶在通信時(shí)緩存它們的公共鑰匙���。
3.1.1 KEYTOOL命令介紹
KEYTOOL通是以keytool開(kāi)關(guān)當(dāng)中常用命令有:
keytool -genkey -alias casserver -keypass cas123 -keyalg RSA -keystore casserver.keystore -validity 365
keytool -export -alias casserver -storepass cas123 -file casserver.cer -keystore casserver.keystore
keytool -import -trustcacerts -alias casserver -storepass cas123 -file casserver.cer –keystore cacerts
-genkey 在用戶主目錄中創(chuàng)建一個(gè)默認(rèn)文件".keystore",還會(huì)產(chǎn)生一個(gè)mykey的別名mykey中包含用戶的公鑰�、私鑰和證書(shū)
在沒(méi)有指定生成位置的情況下,keystore會(huì)存在用戶系統(tǒng)默認(rèn)目錄如對(duì)于window xp系統(tǒng)會(huì)生成在系統(tǒng)的C:/Documents and Settings/UserName/文件名為“.keystore”
-alias 產(chǎn)生別名 -keystore 指定密鑰庫(kù)的名稱(chēng)(產(chǎn)生的各類(lèi)信息將不在.keystore文件中) -keyalg 指定密鑰的算法 (如 RSA DSA如果不指定默認(rèn)采用DSA)
-validity 指定創(chuàng)建的證書(shū)有效期多少天-keysize 指定密鑰長(zhǎng)度
-storepass 指定密鑰庫(kù)的密碼(獲取keystore信息所需的密碼)
-keypass 指定別名條目的密碼(私鑰的密碼)
-dname 指定證書(shū)擁有者信息
例如 "CN=名字與姓氏,OU=組織單位名稱(chēng),O=組織名稱(chēng),L=城市或區(qū)域名稱(chēng),ST=州或省份名稱(chēng),C=單位的兩字母國(guó)家代碼"
-list 顯示密鑰庫(kù)中的證書(shū)信息
例如 keytool -list -v -keystore 是指定 keystore -storepass 密碼 -v 顯示密鑰庫(kù)中的證書(shū)詳細(xì)信息
-export 將別名指定的證書(shū)導(dǎo)出到文件
例如keytool -export -alias 需要導(dǎo)出的別名 -keystore 指定keystore -file 指定導(dǎo)出的證書(shū)位置及證書(shū)名稱(chēng) -storepass 密碼
-file 參數(shù)指定導(dǎo)出到文件的文件名
-delete 刪除密鑰庫(kù)中某條目
例如keytool -delete -alias 指定需刪除的別 -keystore 指定keystore -storepass 密碼
-printcert 查看導(dǎo)出的證書(shū)信息
例如keytool -printcert -file leslie.crt
-keypasswd 修改密鑰庫(kù)中指定條目口令
例如keytool -keypasswd -alias 需修改的別名 -keypass 舊密碼 -new 新密碼 -storepass keystore密碼 -keystore sage
-storepasswd 修改keystore口令
例如keytool -storepasswd -keystore c:/leslie.keystore(需修改口令的keystore) -storepass 123456(原始密碼) -new 888888(新密碼)
-import 將已簽名數(shù)字證書(shū)導(dǎo)入密鑰庫(kù)
理萭 keytool -import -alias 指定導(dǎo)入條目的別名 -keystore 指定keystore -file 需導(dǎo)入的證書(shū)
3.1.2 生成 *.keystore 文件流程
首先執(zhí)行以下命令分別輸入密鑰庫(kù)口令��、姓名單位組織城市省份國(guó)家等信息經(jīng)確認(rèn)后生成對(duì)應(yīng)的 leslie.keystore 文件����。注意 *.keystore 文件相當(dāng)于一個(gè)資源庫(kù)后面的公鑰、私鑰����、證書(shū)等都依賴(lài)于它生成必須謹(jǐn)慎保管。
keytool -genkey -alias everygold -keypass 123456 -keyalg RSA -keystore leslie.keystore -validity 365
提示 -alias指定別名為 everygold -keyalg 指定 RSA 算法-keypass 指定私鑰密碼為123456
-keystore 指定密鑰文件名稱(chēng)為 leslie.keystore-validity指定有效期為365天���。
3.1.3 生成數(shù)字證書(shū)
根據(jù)上述生成的 leslie.keystore 文件執(zhí)行以下命令就可以生成數(shù)字證書(shū) leslie.cer
keytool -export -alias everygold -storepass 123456 -file leslie.cer -keystore leslie.keystore
提示 -alias 指定別名為 everygold -storepass 指定私鑰為 123456
-file 指定導(dǎo)出證書(shū)的文件名為 leslie.cer-keystore 指定之前生成的密鑰文件的文件名
注意 -alias 和- storepass 必須為生成 leslie.keystore 密鑰文件時(shí)所指定的別名和密碼一致否則證書(shū)導(dǎo)出失敗
生成證書(shū)
若需要獲取 BASE64 或 DER 證書(shū)可以使用導(dǎo)出功能在圖片上按 “復(fù)制到文件”選擇文件格式即可�����。
以文本格式打開(kāi)導(dǎo)出的 BASE64 證書(shū)可以看到
-----BEGIN CERTIFICATE-----
MIICRjCCAa+gAwIBAgIEIvzKsDANBgkqhkiG9w0BAQsFADBWMQswCQYDVQQGEwJD
TjELMAkGA1UECBMCR0QxCzAJBgNVBAcTAkdaMQ4wDAYDVQQKEwVwdWppbjEMMAoG
A1UECxMDU3VuMQ8wDQYDVQQDEwZMZXNsaWUwHhcNMTcwODI5MDMwMjE4WhcNMTgw
ODI5MDMwMjE4WjBWMQswCQYDVQQGEwJDTjELMAkGA1UECBMCR0QxCzAJBgNVBAcT
AkdaMQ4wDAYDVQQKEwVwdWppbjEMMAoGA1UECxMDU3VuMQ8wDQYDVQQDEwZMZXNs
aWUwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAKFVrCaKFi2GtJjyuWSPrJah
.........................
-----END CERTIFICATE-----
或者使用以下語(yǔ)句也可查看到導(dǎo)出的證書(shū)
keytool -list -rfc -keystore d:/leslie.keystore -storepass 123456
顯示結(jié)果與上述方法一致
3.2 腳本代碼生成證書(shū)
若對(duì)KEYTOOL工具不太熟悉的朋友 也可通過(guò)JAVA代碼直接生成數(shù)字證書(shū)原理與KEYTOOL生成的基本一致��。
public class CerTest {
public static void main(String[] args){
CerTest test=new CerTest();
//生成 keystore 文件
test.getKeyStore();
//生成 *.cer 證書(shū)文件
test.export();
}
public void execCommand(String[] arstringCommand) {
for (int i = 0; i < arstringCommand.length; i++) {
System.out.print(arstringCommand[i] + " ");
}
try {
:&nb髉;"nbsp; Runtime.getRuntime().exec(arstringCommand);
} catch (Exception e) {
System.out.println(e.getMessage());
}
}
public void execCommand(String arstringCommand) {
try {
Runtime.getRuntime().exec(arstringCommand);
} catch (Exception e) {
System.out.println(e.getMessage());
}
}
/**
* 生成 *.keystore
*/
public void getKeyStore() {
String[] arstringCommand = new String[] {
"cmd ", "/k",
"start", // cmd Shell命令
"keytool",
"-genkey", // -genkey表示生成密鑰
"-validity", // -validity指定證書(shū)有效期(單位天)這里是365天
"365",
"-keysize",// 指定密鑰長(zhǎng)度
"1024",
"-alias", // -alias指定別名這里是everygold
"everygold",
"-keyalg", // -keyalg 指定密鑰的算法 (如 RSA DSA如果不指定默認(rèn)采用DSA)
"RSA",
"-keystore", // -keystore指定存儲(chǔ)位置這里是d:/leslie.keystore
"d:/leslie.keystore",
"-dname",// CN=(名字與姓氏), OU=(組織單位名稱(chēng)), O=(組織名稱(chēng)), L=(城市或區(qū)域名稱(chēng)),
// ST=(州或省份名稱(chēng)), C=(單位的兩字母國(guó)家代碼)"
"CN=(leslie), OU=(everygold), O=(pujinwang), L=(Guangzhou), ST=(Guangdong), C=(CN)&qumt;,&ob{p;
"-storepass", // 指定密鑰庫(kù)的密碼(獲取keystore信息所需的密碼)
"123456",
"-keypass",// 指定別名條目的密碼(私鑰的密碼)
"123456",
"-v"http:// -v 顯示密鑰庫(kù)中的證書(shū)詳細(xì)信息
};
execCommand(arstringCommand);
}
/**
* 導(dǎo)出證書(shū)文件
*/
public void export() {
String[] arstringCommand = new String[] {
"cmd ", "/k",
&.bsp;nbrp; "start", // cmd Shell命令
"keytool",
"-export", // - export指定為導(dǎo)出操作
"-keystore", // -keystore指定keystore文件這里是d:/leslie.keystore
"d:/leslie.keystore",
"-alias", // -alias指定別名這里是ss
"everygold",
"-file",//-file指向?qū)С雎窂?nbsp;
"d:/leslie.cer",
"-storepass",// 指定密鑰庫(kù)的密碼
"123456"
};
execCommand(arstringCommand);
}
}運(yùn)行成功后可獲取與3.1節(jié)相同的 leslie.keystore 文件與 leslie.cer 數(shù)字證書(shū)��。
若需要獲取 BASE64 或 DER 證書(shū)也可使用與 3.1.3 節(jié)所述方式獲取 在此不再重復(fù)介紹����。
3.3 利用在線工具獲取數(shù)字證書(shū)
如果覺(jué)得使用KEYTOOL或代碼生成數(shù)字證書(shū)過(guò)于繁瑣可以直接使勇在蟔生飛工具生成免費(fèi)數(shù)字證書(shū)�����。一般在線生成的證書(shū)有效期為 3 個(gè)月到 1年到期后需要續(xù)費(fèi)或證書(shū)無(wú)效���。以下是幾個(gè)常用的在線證書(shū)生成工具由于用法比較簡(jiǎn)單在此不作詳細(xì)介紹。
Amazon Web Services (AWS) 是 Amazon.com 旗下的一個(gè)網(wǎng)絡(luò)云服務(wù)站點(diǎn)
addresshttps://aws.amazon.com/cn/?nc2=h_lg
ChinaSSL是亞狐科技旗下專(zhuān)為客戶提供數(shù)字證書(shū)����、網(wǎng)絡(luò)安全服務(wù)的站點(diǎn)
addresshttps://csr.chinassl.net/index.html
MySSL 則是亞洲誠(chéng)信TRUSTASIA旗下專(zhuān)為用戶提供網(wǎng)絡(luò)安全云服務(wù)平臺(tái)
addresshttps://myssl.com/csr_create.html
回到目錄
四、獲取公鑰和私鑰
在第二節(jié)已經(jīng)介紹過(guò)在加密算法中有對(duì)稱(chēng)加密非對(duì)稱(chēng)加密Hash算法等幾類(lèi)����。在對(duì)稱(chēng)加密算法中加密使用的密鑰和解密使用的密鑰是相同的使用起來(lái)比較簡(jiǎn)單。而公鑰與私鑰一般用于非對(duì)稱(chēng)的加密方式是安全性最高使用最為頻密的加密方式下面幾節(jié)將為大家介紹一下非對(duì)稱(chēng)加密的使用方式����。
公鑰Public Key與私鑰Private Key是通過(guò)一種算法得到的一個(gè)密鑰對(duì)即一個(gè)公鑰和一個(gè)私鑰公鑰是密蕓對(duì)衷箣開(kāi)的部分私鑰則是非公開(kāi)的部分��。公鑰通常用于加密會(huì)話密鑰�����、驗(yàn)證數(shù)字簽名加密數(shù)據(jù)可以用相應(yīng)的私鑰進(jìn)行數(shù)據(jù)解密���。通過(guò)這種算法得到的密鑰對(duì)能保證在世界范圍內(nèi)是唯一的����。使用這個(gè)密鑰對(duì)的時(shí)候如果用其中一個(gè)密鑰加密一段數(shù)據(jù)必須用另一個(gè)密鑰解密。比如用公鑰加密數(shù)據(jù)就必須用私鑰解密如果用私鑰簽名則必須用公鑰驗(yàn)簽否則數(shù)據(jù)將不會(huì)成功生成�����。
由于使用 KEYTOOL 等工具無(wú)法直接導(dǎo)出公鑰和私鑰所以必須通過(guò)代碼進(jìn)行導(dǎo)出��。而公鑰和私鑰都是二進(jìn)制數(shù)據(jù)所以一般 用Base 64 方式進(jìn)行保存����。下面以上述有證書(shū)為例子導(dǎo)出對(duì)應(yīng)的公鑰與私鑰。
public abstract class Coder {
/**
* BASE64解密
*
* @param key
* @return
* @throws Exception
*/
public static byte[] decryptBASE64(String key) throws Exception {
return (new BASE64Decoder()).decodeBuffer(key);
}
/**
{&nbsP;&obsp;* BASE64加密
*
* @param key
* @return
* @throws Exception
*/
public static String encryptBASE64(byte[] key) throws Exception {
return (new BASE64Encoder()).encodeBuffer(key).replace("\r", "").replace("\n", "");
}
}
public class KeyStoreTool{
/**
* Java密鑰庫(kù)(Java Key StoreJKS)KEY_STORE
*/
public static final String KEY_STORE = "JKS";
public static final String X509 = "X.509";
/**
* 獲得KeyStore
*
* @version 2016-3-16
* @param keyStorePath
* @param password
* @return
* @throws Exception
*/
public static KeyStore getKeyStore(String keyStorePatx,&nb{p{String password)
throws Exception {
FileInputStream is = new FileInputStream(keyStorePath);
KeyStore ks = KeyStore.getInstance(KEY_STORE);
ks.load(is, password.toCharArray());
is.close();
return ks;
}
/**
* 由KeyStore獲得私鑰
* @param keyStorePath
* @param alias
* @param storePass
* @return
* @throws Exception
*/
public static PrivateKey getPrivateKey(String keyStorePath, String alias, String storePass, String keyPass) throws Exception {
KeyStore ks = getKeyStore(keyStorePath, storePass);
PrivateKey key = (PrivateKey) ks.getKey(alias, keyPass.toCharArray());
return key;
}
/**
* 由Certificate獲得公鑰
* @param keyStorePath
* KeyStore路徑
* @param alias
* 別名
* @param storePass
* KeyStore訪問(wèn)密碼
* @return
* @throws Exception
*/
public static PublicKey getPublicKey(String keyStorePath, String alias, String storePass) throws Exception {
KeyStore ks = getKeyStore(keyStorePath, storePass);
PublicKey key = ks.getCertificate(alias).getPublicKey();
return key;
}
/**
* 從KeyStore中獲取公鑰并經(jīng)BASE64編碼
* @param keyStorePath
* @param alias
* @param storePass
* @return
* @throws Exception
*/
public static String getStrPublicKey(String keyStorePath, String alias,String storePass) throws Exception{
&ncsp;bwp; PublicKey key = getPublicKey(keyStorePath, alias, storePass);
String strKey = Coder.encryptBASE64(key.getEncoded());
return strKey;
}
/*
* 獲取經(jīng)BASE64編碼后的私鑰
* @param keyStorePath
* @param alias
* @param storePass
* @param keyPass
* @return
* @throws Exception
*/
public static String getStrPrivateKey(String keyStorePath, String alias,String storePass, String keyPass) throws Exception{
PrivateKey key = getPrivateKey(keyStorePath, alias, storePass, keyPass);
String strKey = Coder.encryptBASE64(key.getEncoded());
return strKey;
}
public static void main(String args[]){
// 公鑰
String strPublicKey = "";
// 私鑰
String strPrivateKey = "";
try {
strPublicKey = KeyStoreCoder.getStrPublicKey("d://leslie.keystore", "everygold", "123456");
System.out.println("公鑰 = 【" + strPublicKey + "】");
strPrivateKey = KeyStoreCoder.getStrPrivateKey("d://leslie.keystore", "everygold", "123456", "123456");
System.out.println("\n私鑰 = 【" + strPrivateKey + "】");
} catch (Exception e1) {
&nbwp;&n`s`; e1.printStackTrace();
}
}
}輸出藉果>/`>
為方便保存一般我們會(huì)以Base64位方式把公鑰與私鑰存儲(chǔ)起來(lái)
publicKey.key 公鑰文件
-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDbUPe3WGFA0QPGCrPrXCUR7K7M
aZQY1btYZrAFjpT/k00zkj/AfcUeEZk6Tf+9mgvZ3KRVvSFaA9kYiVCJOjGfnW2H
fk6u7iOwSs/kwpC5uUzdoWlc5ZX7iC9SACXJgDg/T5HBRpXpsEkxhzWLUKy1FQDC
KduLuEFdzaO4XsSX7QIDAQAB-----
END PUBLIC KEY-----
privateKey.key 她鑰文滯
-----BEGIN PRIVATE KEY-----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-----END PRIVATE&n`sp;KDY%----
現(xiàn)在 *.keystore 、*.cer 證書(shū)���、Base64 證書(shū)�����、公鑰文件 public.key 私鑰文件 private.key 都已成功生成下面的章節(jié)將為大家介紹數(shù)據(jù)加密�����、數(shù)據(jù)解密��、數(shù)字簽名�����、數(shù)字驗(yàn)簽的使用方式�。但在此之前我想先為大家講解一下它們的概念與應(yīng)用場(chǎng)景��。
記得在第二節(jié)曾經(jīng)向大家介紹過(guò)對(duì)稱(chēng)加密與非對(duì)稱(chēng)加密的區(qū)別由于對(duì)稱(chēng)加密的加密與解密的密鑰都是一致加密解密雙方都同時(shí)擁有密鑰容易造成密鑰的泄露�。所以一般企業(yè)在不同的業(yè)務(wù)流程下都會(huì)使用不同的密鑰以防數(shù)據(jù)被泄露����。但在大型的企業(yè)中若使用對(duì)稱(chēng)加密這種方式企業(yè)將會(huì)產(chǎn)生大量的密鑰難于管理而且安全性難以保障并不可取所以就產(chǎn)生了非對(duì)稱(chēng)加密方式���。
非對(duì)稱(chēng)加密的情況下在企業(yè)需要獲取客戶端數(shù)據(jù)時(shí)可以把公鑰向客戶端公開(kāi)數(shù)據(jù)進(jìn)行加密后就算加密數(shù)據(jù)被涉取在沒(méi)有私鑰的情況數(shù)據(jù)內(nèi)容都不會(huì)被破解確保了數(shù)據(jù)的安全性。這時(shí)只要企業(yè)保證私鑰的保密前提下一個(gè)公鑰可以向多個(gè)客戶端進(jìn)行公開(kāi)用作數(shù)據(jù)傳輸加密��。
而數(shù)字簽名的應(yīng)用場(chǎng)景有點(diǎn)相反數(shù)字簽名是企業(yè)為客戶端確認(rèn)數(shù)據(jù)來(lái)源的準(zhǔn)確性而提供的服務(wù)���。一般應(yīng)用于政府機(jī)關(guān)����、行政部門(mén)����、金融行業(yè)、資訊愋業(yè)佃企擁的數(shù)據(jù)發(fā)布上�����。數(shù)據(jù)都是由企業(yè)通過(guò)私鑰進(jìn)行簽名只要客戶端擁有對(duì)應(yīng)的公鑰就可以對(duì)數(shù)據(jù)進(jìn)行驗(yàn)簽��。只要驗(yàn)簽成功就能證明該數(shù)據(jù)是來(lái)源此數(shù)字證書(shū)所屬的企業(yè)以保證數(shù)據(jù)來(lái)源的可靠性�����。一般在國(guó)家政策的發(fā)布企業(yè)數(shù)據(jù)的公開(kāi)經(jīng)濟(jì)數(shù)據(jù)的公開(kāi)等場(chǎng)景下應(yīng)該最為廣泛。
回到目錄
五����、數(shù)字證書(shū)加密與解密
經(jīng)過(guò)上面的介紹大家應(yīng)該了解到數(shù)據(jù)加密、數(shù)據(jù)解密�、數(shù)字簽名、數(shù)字驗(yàn)簽的使用場(chǎng)景���。
下面將為大家介紹數(shù)據(jù)加密與解密方式
public abstract class Coder {
/**
* BASE64解密
*
* @param key
* @return
* @throws Exception
*/
public static byte[] decryptBASE64(String key) throws Exception {
return (new BASE64Decoder()).decodeBuffer(key);
}
/**
* BASE64加密
*
* @param key
* @return
* @throws Exception
*/
public static String encryptBASE64(byte[] key) throws Exception {
return (new BASE64Encoder()).encodeBuffer(key).replace("\r", "").replace("\n", "");
}
}
public class MyCoder extends Coder{
/**
* 使用公鑰加密數(shù)據(jù)
* @param publicKey
* @param srcData
* @return
* @throws Exception
*/
public static String encryptByPublicKey(String publicKey, String srcData) throws Exception{
//解密
byte[] pk = Coder.decryptBASE64(publicKey);
X509EncodedKeySpec spec = new X509EncodedKeySpec(pk);
KeyFactorq&nbst;Kf = KeyFactory.getInstance("RSA");
//獲取公鑰
PublicKey pubKey = kf.generatePublic(spec);
// 對(duì)數(shù)據(jù)加密
Cipher cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.ENCRYPT_MODE, pubKey);
byte[] doFinal = cipher.doFinal(srcData.getBytes());
return encryptBASE64(doFinal);
}
/*
* 使用私鑰解密數(shù)據(jù)
* @param privateKey
* @param data
* @return
* @throws Exception
*/
public static String descryptByPrivateKey(String privateKey, String data) throws Exception{
// BASE64轉(zhuǎn)碼解密私鑰
byte[] pk = Coder.decryptBASE64(privateKey);
// BASE64轉(zhuǎn)碼解密密文
byte[] text = decryptBASE64(data);
PKCS8EncodedKeySpec spec = new PKCS8EncodedKeySpec(pk);
KeyFactory kf = KeyFactory.getInstance("RSA");
// 獲取私鑰
PrivateKey prvKey = kf.generatePrivate(spec);
// 對(duì)數(shù)據(jù)加密
Cipher cipher = Cipher.getInstance("RSA");
cipher.init(Cipher.DECRYPT_MODE, prvKey);
byte[] doFinal = cipher.doFinal(text);
return new String(doFinal);
}
public static void main(){
// 公鑰
String strPublicKey = "";
// 私鑰
6nbsp3&.bsp; String strPrivateKey = "";
try {
strPublicKey = KeyStoreTool.getStrPublicKey("d://leslie.keystore", "everygold", "123456");
strPrivateKey = KeyStoreTool.getStrPrivateKey("d://leslie.keystore", "everygold", "123456", "123456");
} catch (Exception e1) {
e1.printStackTrace();
}
// 原文
String originalText = "原文 = 雖然我窮但是再窮也要去旅游";
:&nb髉;"nbsp; System.out.println(originalText);
try {
// RSA算法 公鑰加密隨機(jī)數(shù)
String secretText = MyCoder.encryptByPublicKey(strPublicKey, originalText);
System.out.println("\n經(jīng)RSA公鑰加密后 = " + secretText);
System.out.println("\n經(jīng)RSA公鑰加密后長(zhǎng)度 = " + secretText.length());
String text = MyCoder.descryptByPrivateKey(strPrivateKey, secretText);
System.out.println("\n經(jīng)RSA私鑰解密后 = 【" + text + "】");
System.out.println("\n經(jīng)RSA私鑰解密后長(zhǎng)度 = 【" + text.length() + "】");
} catch (Exception e) {
e.printStackTrace();
}
}
}測(cè)試結(jié)果
當(dāng)然如果公鑰和私鑰已經(jīng)保存在 public.key 與 private.key 文件里就可以直接從文件讀取無(wú)須再通過(guò) *. keystore 文件獲取��。
回到目錄
六���、數(shù)字證書(shū)簽名與驗(yàn)簽
上面介紹過(guò)簽名與驗(yàn)簽主要用于政策機(jī)關(guān)金融機(jī)構(gòu)權(quán)威信息網(wǎng)站對(duì)外公報(bào)信息時(shí)使用��。
一般使用場(chǎng)景下簽名與驗(yàn)簽往往會(huì)與加密解密同時(shí)使用企業(yè)會(huì)生成兩對(duì)密鑰一對(duì)用于對(duì)企業(yè)正式的注冊(cè)名稱(chēng)進(jìn)行簽名另一對(duì)用于詳細(xì)數(shù)據(jù)的加密�?��?蛻趄?yàn)簽后就可證明信息來(lái)源的真確性然后再對(duì)詳細(xì)信息進(jìn)行解密���。
簽名與驗(yàn)簽代碼如下
public class MySign {
/*
* @param keyStorePath 密鑰庫(kù)存儲(chǔ)路徑
* @param alias 密鑰庫(kù)別名
* @param password 密鑰庫(kù)密碼
*/
private static String keyStorePath,alias,password;
private static Certificate getCertificate()
throws Exception {
KeyStore keyStore = KeyStoreTool.getKeyStore(keyStorePath, password);
nbsp+C錼tificate certificate = keyStore.getCertificate(alias);
return certificate;
}
public static void setKeyStorePath(String path){
MySign.keyStorePath=path;
}
public static void setAlias(String alias){
MySign.alias=alias;
}
public static void setPass7ord(strhng password){
MySign.password=password;
}
/*
* 生成數(shù)據(jù)簽名
* @param data 源數(shù)據(jù)
*/
public static byte[] sign(byte[] data)
throws Exception {
// 獲得證書(shū)
X509Certificate x509Certificate = (X509Certificate) getCertificate();
// 獲取KeyStore
KeyStore keyStore = KeyStoreTool.getKeyStore(keyStorePath, password);
// 取得私鑰
PrivateKey privateKey = (PrivateKey) keyStore.getKey(alias, password.toCharArray());
// 構(gòu)建簽名
Signature signature = Signature.getInstance(x509Certificate.getSigAlgName());
signature.initSign(privateKey);
signature.update(data);
return signature.sign();
}
/*
* 生成數(shù)據(jù)簽名并以BASE64編碼
當(dāng)前文章:數(shù)字證書(shū)應(yīng)用綜合揭秘(包括證書(shū)生成、加密����、解密、簽名���、驗(yàn)簽)
分享路徑:http://weahome.cn/article/pcshpj.html
重慶分公司
重慶分公司
