`
wanjianfei
  • 浏览: 321386 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Java安全通信、数字证书及应用实践

    博客分类:
  • J2SE
阅读更多

Java安全通信、数字证书及应用实践

【IT168 技术文档】

一、基础知识

  计算机安全通信过程中,常使用消息摘要和消息验证码来保证传输的数据未曾被第三方修改。

  消息摘要是对原始数据按照一定算法进行计算得到的结果,它主要检测原始数据是否被修改过。消息摘要与加密不同,加密是对原始数据进行变换,可以从变换后的数据中获得原始数据,而消息摘要是从原始数据中获得一部分信息,它比原始数据少得多,因此消息摘要可以看作是原始数据的指纹。

  例:下面一段程序计算一段字符串的消息摘要

<!-- Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/ -->package com.messagedigest; import java.security.*; public class DigestPass {  public static void main(String[] args) throws Exception{   String str="Hello,I sent to you 80 yuan.";   MessageDigest md = MessageDigest.getInstance("MD5");//常用的有MD5,SHA算法等   md.update(str.getBytes("UTF-8"));//传入原始字串   byte[] re = md.digest();//计算消息摘要放入byte数组中   //下面把消息摘要转换为字符串   String result = "";   for(int i=0;i<re.length;i++){    result += Integer.toHexString((0x000000ff&re[i])|0xffffff00).substring(6);   }   System.out.println(result);  } }
当我们有时需要对一个文件加密时,以上方式不再适用。

  又例:下面一段程序计算从输入(出)流中计算消息摘要。

<!-- Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/ -->package com.messagedigest; import java.io.*; import java.security.*; public class DigestInput {  public static void main(String[] args) throws Exception{   String fileName = "test.txt";   MessageDigest md = MessageDigest.getInstance("MD5");   FileInputStream fin = new FileInputStream(fileName);   DigestInputStream din = new DigestInputStream(fin,md);//构造输入流   //DigestOutputStream dout = new DigestOutputStream(fout,md);   //使用输入(出)流可以自己控制何时开始和关闭计算摘要   //也可以不控制,将全过程计算   //初始时是从开始即开始计算,如我们可以开始时关闭,然后从某一部分开始,如下:   //din.on(false);   int b;   while((b=din.read())!=-1){    //做一些对文件的处理    //if(b=='$') din.on(true); //当遇到文件中的符号$时才开始计算   }   byte[] re = md.digest();//获得消息摘要   //下面把消息摘要转换为字符串   String result = "";   for(int i=0;i<re.length;i++){    result += Integer.toHexString((0x000000ff&re[i])|0xffffff00).substring(6);   }   System.out.println(result);  } }
当A和B通信时,A将数据传给B时,同时也将数据的消息摘要传给B,B收到后可以用该消息摘要验证A传的消息是否正确。这时会产生问题,即若传递过程中别人修改了数据时,同时也修改了消息摘要。B就无法确认数据是否正确。消息验证码可以解决这一问题。

  使用消息验证码的前提是 A和B双方有一个共同的密钥,这样A可以将数据计算出来的消息摘要加密后发给B,以防止消息摘要被改。由于使用了共同的密钥,所以称为“验证码”。

  例、下面的程序即可利用共同的密钥来计算消息摘要的验证码
<!-- Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/ -->package com.mac; import java.io.*; import java.security.*; import javax.crypto.*; import javax.crypto.spec.*; public class MyMac {  public static void main(String[] args) throws Exception{   //这是一个消息摘要串   String str="TestString";   //共同的密钥编码,这个可以通过其它算法计算出来   byte[] kb={11,105,-119,50,4,-105,16,38,-14,-111,21,-95,70,-15,76,-74,     67,-88,59,-71,55,-125,104,42};   //获取共同的密钥   SecretKeySpec k = new SecretKeySpec(kb,"HMACSHA1");   //获取Mac对象   Mac m = Mac.getInstance("HmacMD5");   m.init(k);   m.update(str.getBytes("UTF-8"));   byte[] re = m.doFinal();//生成消息码   //下面把消息码转换为字符串   String result = "";   for(int i=0;i<re.length;i++){    result += Integer.toHexString((0x000000ff&re[i])|0xffffff00).substring(6);   }   System.out.println(result);  } }
使用以上两种技术可以保证数据没有经过改变,但接收者还无法确定数据是否确实是某个人发来的。尽管消息码可以确定数据是某个有同样密钥的人发来的,但这要求双方具有共享的密钥,若有一组用户共享,我们就无法确定数据的来源了。

  数字签名可以解决这一问题。数字签名利用非对称加密技术,发送者使用私钥加密数据产生的消息摘要(签名),接收者使用发送者的公钥解密消息摘要以验证签名是否是某个人的。由于私钥只有加密者才有,因此如果接收者用某个公钥解密了某个消息摘要,就可以确定这段消息摘要必然是对应的私钥持有者发来的。

  使用数字签名的前提是接收数据者能够确信验证签名时(用发送者的私钥加密消息摘要)所用的公钥确实是某个人的 (因为有可能有人假告公钥)。数字证书可以解决这个问题。

  数字证书含有两部分数据:一部分是对应主体(单位或个人)的信息,另一部分是这个主体所对应的公钥。即数字证书保存了主体和它的公钥的一一对应关系。同样,数字证书也有可能被假造,如何判定数字证书的内容的真实性呢?所以,有效的数字证书必须经过权威 CA的签名,即权威CA验证数字证书的内容的真实性,然后再在数字证书上使用自己的私钥签名(相当于在证书加章确认)。

  这样,当用户收到这样的数字证书后,会用相应的权威 CA的公钥验证该证书的签名(因为权威的CA的公钥在操作系统中己经安装)。根据非对称加密的原理,如果该证书不是权威CA签名的,将不能通过验证,即该证书是不可靠的。

  若通过验证,即可证明此证书含的信息(发信人的公钥和信息)是无误的。于是可以信任该证书,便可以通过该证书内含的公钥来确认数据确实是发送者发来的。

  于是,双方通信时, A把数据的消息摘要用自己的私钥加密(即签名),然后把自己的数字证书和数据及签名后的消息摘要一起发送给B,B处查看A的数字证书,如果A的数字证书是经过权威CA验证可靠的,便信任A,便可使用A的数字证书中附带的A的公钥解密消息摘要(这一过程同时确认了发送数据的人又可以解密消息摘要),然后通过解密后的消息摘要验证数据是否正确无误没被修改。

  利用这一原理,我们可以突破 java的applet小程序在浏览器中的权限,由于默认的applet权限控制不允许它访问操作系统级的一切。于是我们可以用我们数字证书来给applet签名,然后客户端收到该applet时,系统会自动查看给该applet签名的数字证书并提供给终端用户判定是否信认该数字证书,如果用户信认,则该applet便有了访问系统的权限。

1
分享到:
评论

相关推荐

    Java安全通信

    ### Java安全通信、数字证书及应用实践 #### 一、基础知识 在计算机网络通信中,保障数据的安全性和完整性至关重要。为了确保数据在传输过程中的安全,通常会采用一系列的技术手段来防止数据被篡改或窃取。其中,*...

    java 实现数字证书的操作实现网络安全

    Java 数字证书操作是网络安全领域中的重要组成部分,主要用于身份验证和数据加密,确保网络通信的安全。在Java中,我们可以利用Java Cryptography Extension (JCE) 和 Java Secure Socket Extension (JSSE) 这些强大...

    Java 数字签名、数字证书生成源码.7z

    在这个"Java 数字签名、数字证书生成源码"压缩包中,包含了实现这些功能的源代码,对于理解Java安全编程和实际应用具有很高的价值。 1. **数字签名** 数字签名是一种用于验证电子文档完整性和发送者身份的技术。在...

    JAVA keytool数字证书生成及应用

    总之,`JAVA keytool`数字证书生成及应用是一个涵盖密钥对管理、证书创建、导入导出、以及安全配置等多个方面的重要话题。了解并熟练掌握这些操作,可以帮助开发者确保Java应用程序的安全性,并有效地进行网络通信的...

    Java 数字签名、数字证书生成源码.zip

    通过研究和实践这些源码,开发者可以深入理解Java的安全模型,学会如何在实际项目中实现数字签名和数字证书的功能,以确保通信的安全性。这将有助于提升开发者的专业技能,特别是在处理涉及敏感数据或网络通信的Java...

    数字证书的代码以及文档说明

    总之,Java数字证书是网络通信安全的关键组成部分,理解和熟练运用Java中关于数字证书的API,对于开发安全的应用至关重要。通过学习和实践,开发者可以创建自己的证书,管理KeyStore,以确保应用程序的数据传输和...

    [JAVA加解密]数字证书、Https协议及剩余项目代码

    总的来说,这个主题涵盖了Java中处理加密和安全通信的关键技术,包括数字证书、HTTPS协议以及与之相关的类和接口。理解和熟练运用这些知识,将有助于构建安全、可靠的网络应用。在实际项目中,开发者需要根据具体...

    基于java的数字签名、数字证书生成源码.zip

    这些源码可以作为学习和实践的起点,帮助开发者更好地理解和应用Java中的数字签名和数字证书技术。通过分析和运行这些代码,我们可以深入理解这些安全机制的工作原理,并在实际项目中使用它们来保护数据的安全,确保...

    java源码:Java 数字签名、数字证书生成源码.rar

    总之,Java 数字签名和数字证书是确保网络通信安全的重要工具。理解其工作原理并能够熟练地在Java中实现它们,对于任何Java开发者来说都是必要的技能。这个源码压缩包提供了实践这些概念的实际示例,是学习和研究的...

    安卓android数字证书及扩展项解释生成类库

    在安卓系统中,数字证书用于验证应用程序的签名,确保应用未被篡改,并且能够进行安全的网络通信,如HTTPS连接。 安卓系统支持多种类型的数字证书,包括X.509证书,它是互联网上最常用的证书格式。X.509证书包含...

    利用java编程实现网络安全通信.zip

    3. **数字证书与密钥管理**:在SSL/TLS中,数字证书用于验证通信双方的身份,Java提供KeyManager和TrustManager接口来管理和验证证书。开发者可以使用KeyStore类来存储和管理私钥、公钥以及信任的根证书。 4. **...

    java 应用安全(英文)

    8. **分布式Java应用的安全基础设施**:A Security Infrastructure for Distributed Java Applications.pdf可能涵盖了在分布式环境中保护服务和通信的策略,如SSL/TLS加密、数字证书、消息认证码和分布式会话管理。...

    Java安全性编程及https

    密钥交换过程中,服务器会发送其数字证书,包含公钥,客户端使用该公钥加密一个随机值,然后发送给服务器,服务器用私钥解密,这样双方就拥有了共享的秘密,用于后续的对称加密通信。证书验证则是为了确保服务器的...

    Java安全性编程指南(PDG)

    《Java安全性编程指南》是一本深入探讨如何在Java平台上实现安全编程的重要著作。...通过深入理解和实践书中的知识,开发者能够创建出更加坚固、可靠的Java应用程序,抵御日益复杂的网络安全威胁。

    java -加密安全的java即时通信系统设计

    在设计一个加密安全的Java即时通信系统时,我们需要考虑多个关键方面,确保用户数据的隐私和安全性。以下是一些核心知识点: 1. **Java平台**:Java是一种跨平台的编程语言,适合开发分布式网络应用程序,如即时...

    SSL安全网络通信源码

    在本"SSL安全网络通信源码"中,我们将探讨如何利用自签名的服务器端和客户端数字证书来实现双方的双向认证。 首先,让我们了解SSL通信的基本过程: 1. **握手阶段**:当客户端(例如浏览器)尝试连接到服务器时,...

    Java安全性编程实例.

    Java安全性编程是一个重要的主题,尤其是在开发企业级应用或者网络服务时。它涉及到多个层面,包括防止恶意代码执行、保护用户数据、确保程序的完整性和稳定性等。本实例集主要关注如何在Java环境中实现安全的多线程...

    Java安全中文版

    7. Java安全套接字扩展包(JSSE):用于在Java应用程序中实现SSL/TLS加密,确保网络通信的安全性。 8. Java鉴别与授权服务(JAAS):用于处理用户认证和授权,提供了一种标准的机制来处理Java应用程序的安全需求。 ...

Global site tag (gtag.js) - Google Analytics