非对称加密的使用

winder_sety

浏览: 117048 次
性别:
来自: 北京

最近访客更多访客>>

soldier_1985

沉默的水

jinqiao6699

wes_chen

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

Java工具类

最近给华为做一个项目，用到SAML单点登录。其中涉及到非对称加密和SSL相关的东西。学习了一下，记录下。

非对称加密意思就是这套算法有2个钥匙，一个叫密钥，一个叫公钥，用密钥加密的内容，只能用公钥解密，用公钥加密的内容，只能用密钥解密。公钥是公开的，密钥是保密的。这样的特性被利用在SSL上，极大提高了网络传输的安全性。（SSL协议其实是两边拥有相同的密钥，而且这个密钥是临时生成的，并非每次都不变的。在一段生成了密钥之后如何告诉对方才不会被网络中盗取？那就是通过非对称加密来做这个事情。）

现在说说如何生成这对密钥和公钥。

我使用的是java，java SDK提供了keytool.exe 在bin 下，可以直接使用。

D:>keytool -genkey -alias huawei（别名） -keyalg RSA（加密算法） -validity 36500（证书有效期） -keysize 1024（密钥长度） -keystore D:\huawei.keystore（密钥数据库文件存放的地方） -storepass 222222（密钥数据库访问的密码） -keypass 111111（密钥数据库中密钥获取要使用的密码） -dnam e "CN=JOB,OU=企业服务部,O=北京MM科技有限公司,L=北京市,ST=北京市,C=CN"（主体的信息）

上面这行命令中小括号内的内容是注释，运行时需要去掉的。

运行之后，就会在D盘下面生成huawei.keystore 这个数据库文件。这是个数据库文件，里面可以有多个密钥公钥对，每次生成都可以存储在这个文件中，每个密码对通过上面指定的 alias 别名区分，故不可重复。

然后就是从这个数据库文件中导出公钥，导出成 .cer 后缀的文件，这个文件就叫证书。里面包含公钥和主体信息等。

导出的命令是：

D:>keytool -export -keystore D:\huawei.keystore -alias huawei -file D:\huawei.cer

回车后，会让输入数据库文件的访问密码，即上面的storepass(569832)回车，即可导出证书。

下面是 RSA 算法加密解密的辅助类，上面部分是公开方法，下面部分是私有的辅助方法，字符串转码默认使用 UTF-8 ，对byte可视化编码默认使用 BASE64编码。要使用下面这个辅助类加密解密先需要提供公钥(PublicKey)和秘钥(PrivateKey)(见下面第二个测试类中)。

import java.security.KeyFactory;
import java.security.PrivateKey;
import java.security.PublicKey;
import java.security.Signature;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;

import javax.crypto.Cipher;

import org.apache.commons.codec.binary.Base64;


/**
 * 加密解密
 * @author tanyf
 *
 */
public final class EncryptUtils {

	/**
	 * 通过秘钥将数据加密
	 * @param data 原始数据
	 * @param privateKey 秘钥
	 * @return 加密后的数据
	 * @throws Exception TODO
	 */
	public static byte[] encrypt(byte[] data,String privateKey) throws Exception{
		
		return encrypt(data, parsePrivateKey(privateKey));
	}
	
	/**
	 * 通过秘钥将数据加密
	 * @param data 原始数据
	 * @param privateKey 秘钥
	 * @return 加密过后的数据
	 * @throws Exception TODO
	 */
	public static byte[] encrypt(byte[] data,PrivateKey privateKey) throws Exception{
		Cipher cipher = Cipher.getInstance("RSA");
		cipher.init(Cipher.ENCRYPT_MODE, privateKey);
		
		return cipher.doFinal(data);
	}

	
	/**
	 * 通过公钥将数据解密
	 * @param data 加密后的数据
	 * @param publicKey 公钥
	 * @return 解密后的数据
	 * @throws Exception TODO 
	 */
	public static byte[] decrypt(byte[] data,String publicKey)throws Exception{
		return decrypt(data, parsePublicKye(publicKey));
	}
	
	/**
	 * 通过公钥将数据解密
	 * @param data 加密后的数据
	 * @param publicKey 公钥
	 * @return 解密后的数据
	 * @throws Exception TODO
	 */
	public static byte[] decrypt(byte[] data,PublicKey publicKey)throws Exception{
		Cipher cipher = Cipher.getInstance("RSA");
		cipher.init(Cipher.DECRYPT_MODE, publicKey);
		
		return cipher.doFinal(data);
	}

	

	/**
	 * 通过秘钥对数据进行签名
	 * @param data 原始数据
	 * @param privateKey 密钥
	 * @return 用PrivateKey对数据进行的签名
	 * @throws Exception TODO
	 */
	public static String sign(byte[] data,String privateKey)throws Exception{
		Signature s = Signature.getInstance("MD5withRSA");
		s.initSign(parsePrivateKey(privateKey));
		s.update(data);
		
		return encodeBase64(s.sign());
	}

	
	/**
	 * 通过秘钥对数据进行签名
	 * @param data 原始数据
	 * @param privateKey 密钥
	 * @return 用PrivateKey对数据进行的签名
	 * @throws Exception TODO
	 */
	public static String sign(byte[] data,PrivateKey privateKey)throws Exception{
		Signature s = Signature.getInstance("MD5withRSA");
		s.initSign(privateKey);
		s.update(data);
		
		return encodeBase64(s.sign());
	}
	
	
	/**
	 * 通过公钥校验签名是否正确
	 * @param data 解密之后的数据
	 * @param sign 用privateKey 对数据进行的签名字符串
	 * @param publicKey 公钥
	 * @return 签名是否正确，这确保了数据没有被篡改过
	 * @throws Exception TODO
	 */
	public static boolean verifySign(byte[] data,String sign,String publicKey)throws Exception{
		Signature  s = Signature.getInstance("MD5withRSA");
		s.initVerify(parsePublicKye(publicKey));
		s.update(data);
		
		return s.verify(decodeBase64(sign));
	}
	

	/**
	 * 通过公钥校验签名是否正确
	 * @param data 解密之后的数据
	 * @param sign 用privateKey 对数据进行的签名字符串
	 * @param publicKey 公钥
	 * @return 签名是否正确，这确保了数据没有被篡改过
	 * @throws Exception TODO
	 */
	public static boolean verifySign(byte[] data,String sign,PublicKey publicKey)throws Exception{
		Signature  s = Signature.getInstance("MD5withRSA");
		s.initVerify(publicKey);
		s.update(data);
		
		return s.verify(decodeBase64(sign));
	}
	
	
	//  --------- 下面是私有辅助方法 ------------
	

	/**
	 * 将秘钥字符串加工秘钥
	 * @param privateKeyStr 秘钥字符串
	 * @return 秘钥
	 * @throws Exception TODO
	 */
	private static PrivateKey parsePrivateKey(String privateKeyStr)throws Exception{
		PKCS8EncodedKeySpec spec  =   new PKCS8EncodedKeySpec(decodeBase64(privateKeyStr));
		KeyFactory factory = KeyFactory.getInstance("RSA");
		return factory.generatePrivate(spec);
	}
	
	/**
	 * 将公钥字符串加工成公钥
	 * @param publicKyeStr 公钥字符串
	 * @return 公钥
	 * @throws Exception TODO
	 */
	private static PublicKey parsePublicKye(String publicKyeStr)throws Exception{
		X509EncodedKeySpec spec = new X509EncodedKeySpec(decodeBase64(publicKyeStr));
		KeyFactory factory = KeyFactory.getInstance("RSA");
		return factory.generatePublic(spec);
	}
	
	/**
	 * 用BASE64解码
	 * @param str 待解码的字符串
	 * @return 解码后的byte数据
	 * @throws Exception TODO
	 */
	private static byte[] decodeBase64(String str)throws Exception{
		return Base64.decodeBase64(str.getBytes("UTF-8"));
	}
	
	/**
	 * 用BASE64编码
	 * @param bs byte数据
	 * @return 编码后的字符串
	 * @throws Exception TODO
	 */
	private static String encodeBase64(byte[] bs)throws Exception{
		return new String(Base64.encodeBase64(bs),"UTF-8");
	}
}

测试类如下：

import java.security.KeyPair;
import java.security.KeyPairGenerator;

import javassist.expr.NewArray;

import javax.crypto.Cipher;

/**
 * TODO
 * @author tanyf
 *
 */
public class Main {
	/**
	 * TODO
	 * @param args TODO
	 * @throws NoSuchAlgorithmException TODO
	 */
	public static void main(String[] args) throws Exception {
		KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA");
		generator.initialize(1024);
		
		KeyPair pair = generator.generateKeyPair();
		/*
		byte[] privateKeyBs = pair.getPrivate().getEncoded();
		String privateKey = new BASE64Encoder().encode(privateKeyBs);
		byte[] publicKeyBs = pair.getPublic().getEncoded();
		String publicKey = new BASE64Encoder().encode(publicKeyBs);
		
		System.out.println("-----秘钥-------");
		System.out.println(privateKey);
		
		System.out.println("-----公钥-------");
		System.out.println(publicKey);
		*/
		
		// 下面是使用秘钥加密，使用公钥解密
		byte[] data = "ABC欧文刚".getBytes("UTF-8");
		byte[] encData = EncryptUtils.encrypt(data, pair.getPrivate());
		String sign = EncryptUtils.sign(data, pair.getPrivate());
		System.out.println("签名字符串为:\n"+sign);
		byte[] decData = EncryptUtils.decrypt(encData, pair.getPublic());
		String msg = new String(decData,"UTF-8");
		System.out.println(msg);
		System.out.println("签名是否正确: "+EncryptUtils.verifySign(decData, sign, pair.getPublic()));
		System.out.println("--- 秘钥加密，公钥解密 done ---");
		
		// 下面是使用公钥加密，使用秘钥解密  (为了验证下反过来加解密是否成功，所以没有使用到 EncryptUtils辅助类，代码证明，反过来也是可以的)
		byte[] origBs = "购物劲歌王".getBytes("UTF-8");
		Cipher cipher = Cipher.getInstance("RSA");
		cipher.init(Cipher.ENCRYPT_MODE, pair.getPublic());
		byte[] encBs = cipher.doFinal(origBs);
		
		Cipher cipher2 = Cipher.getInstance("RSA");
		cipher2.init(cipher.DECRYPT_MODE, pair.getPrivate());
		byte[] decBs = cipher2.doFinal(encBs);
		
		System.out.println(new String(decBs,"UTF-8"));
		System.out.println("---------- 公钥加密，秘钥解密 DONE -----------");
	}

}

助记：

要将字符串加密，先需要获取公钥秘钥对，获取方式通过 KeyPairGenerator来获取，得到 KeyPair ，此对象里面包含了秘钥和公钥

通过 getPrivate 和 getPublic 方法获取。获取到的对象分别是 PrivateKey 和 PublicKey 对象。两个对象即可用于加密解密。如果需要将这些钥匙保存下来，需要弄成字符串，那么调用它们的 getEncoded() 方法获取到 byte[] 的数据，然后可以通过 BASE64 编码转成字符串。这样就方便拷贝粘贴等。当然不是硬性要求使用 BASE64 的，不过大家都习惯用它罢了。在使用的时候，再用BASE64 把字符串解码成 byte[] ，不过 byte[] 依然不能直接使用。

byte[] 需要转换成 PublicKey 或者 PrivateKey 才可以方便使用。

byte[] 转换成 PublicKey 和 PrivateKey 的方式类似，具体可见类中。

代码中可见，加密解密都使用的是 Cipher 类，不过是使用的模式不同而已如：cipher2.init(cipher.DECRYPT_MODE, pair.getPrivate());

分享到：

删除外键和恢复外键 | 使用maven中央仓库添加自己想要的jar包

2015-03-02 16:27
浏览 401
评论(0)
分类:编程语言
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论