Java加密技术

1）消息摘要：

　 　这是一种与消息认证码结合使用以确保消息完整性的技术。主要使用单向散列函数算法，可用于检验消息的完整性，和通过散列密码直接以文本形式保存等，目前 广泛使用的算法有MD4、MD5、SHA-1，jdk1.5对上面都提供了支持，在java中进行消息摘要很简单， java.security.MessageDigest提供了一个简易的操作方法：

/** *MessageDigestExample.java *Copyright 2005-2-16 */ import java.security.MessageDigest; /** *单一的消息摘要算法，不使用密码.可以用来对明文消息（如：密码）隐藏保存 */ public class MessageDigestExample{ 　public static void main(String[] args) throws Exception{ 　　if(args.length!=1){ 　　　System.err.println("Usage:java MessageDigestExample text"); 　　　System.exit(1); 　　} 　　byte[] plainText=args[0].getBytes("UTF8"); 　　//使用getInstance("算法")来获得消息摘要,这里使用SHA-1的160位算法 　　MessageDigest messageDigest=MessageDigest.getInstance("SHA-1"); 　　System.out.println("/n"+messageDigest.getProvider().getInfo()); 　　//开始使用算法 　　messageDigest.update(plainText); 　　System.out.println("/nDigest:"); 　　//输出算法运算结果 　　System.out.println(new String(messageDigest.digest(),"UTF8")); 　} }

　　还可以通过消息认证码来进行加密实现，javax.crypto.Mac提供了一个解决方案，有兴趣者可以参考相关API文档，本文只是简单介绍什么是摘要算法。

　　2）私钥加密：

　　消息摘要只能检查消息的完整性，但是单向的，对明文消息并不能加密，要加密明文的消息的话，就要使用其他的算法，要确保机密性，我们需要使用私钥密码术来交换私有消息。

　　这种最好理解，使用对称算法。比如：A用一个密钥对一个文件加密，而B读取这个文件的话，则需要和A一样的密钥，双方共享一个私钥（而在web环境下，私钥在传递时容易被侦听）：

　 　使用私钥加密的话，首先需要一个密钥，可用javax.crypto.KeyGenerator产生一个密钥(java.security.Key), 然后传递给一个加密工具(javax.crypto.Cipher),该工具再使用相应的算法来进行加密，主要对称算法有：DES（实际密钥只用到56 位），AES（支持三种密钥长度：128、192、256位），通常首先128位，其他的还有DESede等，jdk1.5种也提供了对对称算法的支持， 以下例子使用AES算法来加密：

/** *PrivateExmaple.java *Copyright 2005-2-16 */ import javax.crypto.Cipher; import javax.crypto.KeyGenerator; import java.security.Key; /** *私?加密，保证消息机密性 */ public class PrivateExample{ 　public static void main(String[] args) throws Exception{ 　　if(args.length!=1){ 　　　System.err.println("Usage:java PrivateExample "); 　　　System.exit(1); 　　} 　　byte[] plainText=args[0].getBytes("UTF8"); 　　//通过KeyGenerator形成一个key 　　System.out.println("/nStart generate AES key"); 　　KeyGenerator keyGen=KeyGenerator.getInstance("AES"); 　　keyGen.init(128); 　　Key key=keyGen.generateKey(); 　　System.out.println("Finish generating DES key"); 　　//获得一个私?加密类Cipher，ECB是加密方式，PKCS5Padding是填充方法 　　Cipher cipher=Cipher.getInstance("AES/ECB/PKCS5Padding"); 　　System.out.println("/n"+cipher.getProvider().getInfo()); 　　//使用私?加密 　　System.out.println("/nStart encryption:"); 　　cipher.init(Cipher.ENCRYPT_MODE,key); 　　byte[] cipherText=cipher.doFinal(plainText); 　　System.out.println("Finish encryption:"); 　　System.out.println(new String(cipherText,"UTF8")); 　　System.out.println("/nStart decryption:"); 　　cipher.init(Cipher.DECRYPT_MODE,key); 　　byte[] newPlainText=cipher.doFinal(cipherText); 　　System.out.println("Finish decryption:"); 　　System.out.println(new String(newPlainText,"UTF8")); 　} }

　　3）公钥加密：

　 　上面提到，私钥加密需要一个共享的密钥，那么如何传递密钥呢？web环境下，直接传递的话很容易被侦听到，幸好有了公钥加密的出现。公钥加密也叫不对称 加密，不对称算法使用一对密钥对，一个公钥，一个私钥，使用公钥加密的数据，只有私钥能解开（可用于加密）；同时，使用私钥加密的数据，只有公钥能解开 （签名）。但是速度很慢（比私钥加密慢100到1000倍），公钥的主要算法有RSA，还包括Blowfish,Diffie-Helman等， jdk1.5种提供了对RSA的支持，是一个改进的地方：

/** *PublicExample.java *Copyright 2005-2-16 */ import java.security.Key; import javax.crypto.Cipher; import java.security.KeyPairGenerator; import java.security.KeyPair; /** *一个简单的公?加密例子,Cipher类使用KeyPairGenerator生成的公?和私? */ public class PublicExample{ 　public static void main(String[] args) throws Exception{ 　　if(args.length!=1){ 　　　System.err.println("Usage:java PublicExample "); 　　　System.exit(1); 　　} 　　byte[] plainText=args[0].getBytes("UTF8"); 　　//构成一个RSA密钥 　　System.out.println("/nStart generating RSA key"); 　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA"); 　　keyGen.initialize(1024); 　　KeyPair key=keyGen.generateKeyPair(); 　　System.out.println("Finish generating RSA key"); 　　//获得一个RSA的Cipher类，使用公?加密 　　Cipher cipher=Cipher.getInstance("RSA/ECB/PKCS1Padding"); 　　System.out.println("/n"+cipher.getProvider().getInfo()); 　　System.out.println("/nStart encryption"); 　　cipher.init(Cipher.ENCRYPT_MODE,key.getPublic()); 　　byte[] cipherText=cipher.doFinal(plainText); 　　System.out.println("Finish encryption:"); 　　System.out.println(new String(cipherText,"UTF8")); 　　//使用私?解密 　　System.out.println("/nStart decryption"); 　　cipher.init(Cipher.DECRYPT_MODE,key.getPrivate()); 　　byte[] newPlainText=cipher.doFinal(cipherText); 　　System.out.println("Finish decryption:"); 　　System.out.println(new String(newPlainText,"UTF8")); 　} }

4）数字签名：

　　数字签名，它是确定 交换消息的通信方身份的第一个级别。上面A通过使用公钥加密数据后发给B，B利用私钥解密就得到了需要的数据，问题来了，由于都是使用公钥加密，那么如何 检验是A发过来的消息呢？上面也提到了一点，私钥是唯一的，那么A就可以利用A自己的私钥进行加密，然后B再利用A的公钥来解密，就可以了；数字签名的原 理就基于此，而通常为了证明发送数据的真实性，通过利用消息摘要获得简短的消息内容，然后再利用私钥进行加密散列数据和消息一起发送。java中为数字签 名提供了良好的支持，java.security.Signature类提供了消息签名：

/** *DigitalSignature2Example.java *Copyright 2005-2-16 */ import java.security.Signature; import java.security.KeyPairGenerator; import java.security.KeyPair; import java.security.SignatureException; /** *数字签名，使用RSA私钥对对消息摘要签名，然后使用公?验证 测试 */ public class DigitalSignature2Example{ 　public static void main(String[] args) throws Exception{ 　　if(args.length!=1){ 　　　System.err.println("Usage:java DigitalSignature2Example "); 　　　System.exit(1); 　　} 　　byte[] plainText=args[0].getBytes("UTF8"); 　　//形成RSA公钥对 　　System.out.println("/nStart generating RSA key"); 　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA"); 　　keyGen.initialize(1024); 　　KeyPair key=keyGen.generateKeyPair(); 　　System.out.println("Finish generating RSA key"); 　　//使用私?签名 　　Signature sig=Signature.getInstance("SHA1WithRSA"); 　　sig.initSign(key.getPrivate()); 　　sig.update(plainText); 　　byte[] signature=sig.sign(); 　　System.out.println(sig.getProvider().getInfo()); 　　System.out.println("/nSignature:"); 　　System.out.println(new String(signature,"UTF8")); 　　//使用公?验证 　　System.out.println("/nStart signature verification"); 　　sig.initVerify(key.getPublic()); 　　sig.update(plainText); 　　try{ 　　　if(sig.verify(signature)){ 　　　　System.out.println("Signature verified"); 　　　}else System.out.println("Signature failed"); 　　　}catch(SignatureException e){ 　　　　System.out.println("Signature failed"); 　　　} 　　} }

　　5)数字证书。

　　还有个问题，就是公钥问题，A 用私钥加密了，那么B接受到消息后，用A提供的公钥解密；那么现在有个讨厌的C，他把消息拦截了，然后用自己的私钥加密，同时把自己的公钥发给B，并告诉 B，那是A的公钥，结果....，这时候就需要一个中间机构出来说话了（相信权威，我是正确的），就出现了Certificate Authority(也即CA），有名的CA机构有Verisign等，目前数字认证的工业标准是：CCITT的X.509：
数字证书：它将一个身份标识连同公钥一起进行封装，并由称为认证中心或 CA 的第三方进行数字签名。

　 　密钥库：java平台为你提供了密钥库，用作密钥和证书的资源库。从物理上讲，密钥库是缺省名称为 .keystore 的文件（有一个选项使它成为加密文件）。密钥和证书可以拥有名称（称为别名），每个别名都由唯一的密码保护。密钥库本身也受密码保护；您可以选择让每个别 名密码与主密钥库密码匹配。

　　使用工具keytool，我们来做一件自我认证的事情吧（相信我的认证）：

　　1、 创建密钥库keytool -genkey -v -alias feiUserKey -keyalg RSA 默认在自己的home目录下（windows系统是c:/documents and settings/<你的用户名> 目录下的.keystore文件），创建我们用 RSA 算法生成别名为 feiUserKey 的自签名的证书,如果使用了-keystore mm 就在当前目录下创建一个密钥库mm文件来保存密钥和证书。

　　2、查看证书：keytool -list 列举了密钥库的所有的证书

　　也可以在dos下输入keytool -help查看帮助。
http://tech.sina.com.cn/s/s/2005-02-17/1121528492.shtml

数据加密/编码算法列表
常见用于保证安全的加密或编码算法如下：

1、常用密钥算法

密钥算法用来对敏感数据、摘要、签名等信息进行加密，常用的密钥算法包括：

DES（Data Encryption Standard）：数据加密标准，速度较快，适用于加密大量数据的场合；

3DES（Triple DES）：是基于DES，对一块数据用三个不同的密钥进行三次加密，强度更高；

RC2和 RC4：用变长密钥对大量数据进行加密，比 DES 快；

IDEA（International Data Encryption Algorithm）国际数据加密算法，使用 128 位密钥提供非常强的安全性；

RSA：由 RSA 公司发明，是一个支持变长密钥的公共密钥算法，需要加密的文件快的长度也是可变的；

DSA（Digital Signature Algorithm）：数字签名算法，是一种标准的 DSS（数字签名标准）；

AES（Advanced Encryption Standard）：高级加密标准，是下一代的加密算法标准，速度快，安全级别高，目前 AES 标准的一个实现是 Rijndael 算法；

BLOWFISH，它使用变长的密钥，长度可达448位，运行速度很快；

其它算法，如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等。

2、单向散列算法

单向散列函数一般用于产生消息摘要，密钥加密等，常见的有：

MD5（Message Digest Algorithm 5）：是RSA数据安全公司开发的一种单向散列算法，MD5被广泛使用，可以用来把不同长度的数据块进行暗码运算成一个128位的数值；

SHA（Secure Hash Algorithm）这是一种较新的散列算法，可以对任意长度的数据运算生成一个160位的数值；

MAC（Message Authentication Code）：消息认证代码，是一种使用密钥的单向函数，可以用它们在系统上或用户之间认证文件或消息。HMAC（用于消息认证的密钥散列法）就是这种函数的一个例子。

CRC（Cyclic Redundancy Check）：循环冗余校验码，CRC校验由于实现简单，检错能力强，被广泛使用在各种数据校验应用中。占用系统资源少，用软硬件均能实现，是进行数据传输差错检测地一种很好的手段（CRC 并不是严格意义上的散列算法，但它的作用与散列算法大致相同，所以归于此类）。

3、其它数据算法

其它数据算法包括一些常用编码算法及其与明文（ASCII、Unicode 等）转换等，如 Base 64、Quoted Printable、EBCDIC 等。