添加要签名的信息
public final byte[] sign()
throws signatureexception
返回签名的数组,前提是initsign和update
public final void initverify(publickey publickey)
throws invalidkeyexception
用指定的公钥初始化
参数:publickey 验证时用的公钥
public final boolean verify(byte[] signature)
throws signatureexception
验证签名是否有效,前提是已经initverify初始化
参数: signature 签名数组
*/
import java.security.*;
import java.security.spec.*;
public class testdsa {
public static void main(string[] args) throws java.security.nosuchalgorithmexception,java.lang.exception {
testdsa my=new testdsa();
my.run();
}
public void run()
{
//数字签名生成密钥
//第一步生成密钥对,如果已经生成过,本过程就可以跳过,对用户来讲myprikey.dat要保存在本地
//而mypubkey.dat给发布给其它用户
if ((new java.io.file("myprikey.dat")).exists()==false) {
if (generatekey()==false) {
system.out.println("生成密钥对败");
return;
};
}
//第二步,此用户
//从文件中读入私钥,对一个字符串进行签名后保存在一个文件(myinfo.dat)中
//并且再把myinfo.dat发送出去
//为了方便数字签名也放进了myifno.dat文件中,当然也可分别发送
try {
java.io.objectinputstream in=new java.io.objectinputstream(new java.io.fileinputstream("myprikey.dat"));
privatekey myprikey=(privatekey)in.readobject();
in.close();
// java.security.spec.x509encodedkeyspec pubx509=new java.security.spec.x509encodedkeyspec(bx509);
//java.security.spec.x509encodedkeyspec pubkeyencode=java.security.spec.x509encodedkeyspec
string myinfo="这是我的信息"; //要签名的信息
//用私钥对信息生成数字签名
java.security.signature signet=java.security.signature.getinstance("dsa");
signet.initsign(myprikey);
signet.update(myinfo.getbytes());
byte[] signed=signet.sign(); //对信息的数字签名
system.out.println("signed(签名内容)="+byte2hex(signed));
//把信息和数字签名保存在一个文件中
java.io.objectoutputstream out=new java.io.objectoutputstream(new java.io.fileoutputstream("myinfo.dat"));
out.writeobject(myinfo);
out.writeobject(signed);
out.close();
system.out.println("签名并生成文件成功");
}
catch (java.lang.exception e) {
e.printstacktrace();
system.out.println("签名并生成文件失败");
};
//第三步
//其他人通过公共方式得到此户的公钥和文件
//其他人用此户的公钥,对文件进行检查,如果成功说明是此用户发布的信息.
//
try {
java.io.objectinputstream in=new java.io.objectinputstream(new java.io.fileinputstream("mypubkey.dat"));
publickey pubkey=(publickey)in.readobject();
in.close();
system.out.println(pubkey.getformat());
in=new java.io.objectinputstream(new java.io.fileinputstream("myinfo.dat"));
string info=(string)in.readobject();
byte[] signed=(byte[])in.readobject();
in.close();
java.security.signature signetcheck=java.security.signature.getinstance("dsa");
signetcheck.initverify(pubkey);
signetcheck.update(info.getbytes());
if (signetcheck.verify(signed)) {
system.out.println("info="+info);
system.out.println("签名正常");
}
else system.out.println("非签名正常");
}
catch (java.lang.exception e) {e.printstacktrace();};
}
//生成一对文件myprikey.dat和mypubkey.dat---私钥和公钥,
//公钥要用户发送(文件,网络等方法)给其它用户,私钥保存在本地
public boolean generatekey()
{
try {
java.security.keypairgenerator keygen=java.security.keypairgenerator.getinstance("dsa");
// securerandom secrand=new securerandom();
// secrand.setseed("tttt".getbytes()); //初始化随机产生器
// keygen.initialize(576,secrand); //初始化密钥生成器
keygen.initialize(512);
keypair keys=keygen.genkeypair();
// keypair keys=keygen.generatekeypair(); //生成密钥组
publickey pubkey=keys.getpublic();
privatekey prikey=keys.getprivate();
java.io.objectoutputstream out=new java.io.objectoutputstream(new java.io.fileoutputstream("myprikey.dat"));
out.writeobject(prikey);
out.close();
system.out.println("写入对象 prikeys ok");
out=new java.io.objectoutputstream(new java.io.fileoutputstream("mypubkey.dat"));
out.writeobject(pubkey);
out.close();
system.out.println("写入对象 pubkeys ok");
system.out.println("生成密钥对成功");
return true;
}
catch (java.lang.exception e) {
e.printstacktrace();
system.out.println("生成密钥对失败");
return false;
};
}
public string byte2hex(byte[] b)
{
string hs="";
string stmp="";
for (int n=0;n<b.length;n++)
{
stmp=(java.lang.integer.tohexstring(b[n] & 0xff));
if (stmp.length()==1) hs=hs+"0"+stmp;
else hs=hs+stmp;
if (n<b.length-1) hs=hs+":";
}
return hs.touppercase();
}
}
2.4. desede/des对称算法
首先生成密钥,并保存(这里并没的保存的代码,可参考dsa中的方法)
keygenerator keygen = keygenerator.getinstance(algorithm);
secretkey deskey = keygen.generatekey();
用密钥加密明文(myinfo),生成密文(cipherbyte)
cipher c1 = cipher.getinstance(algorithm);
c1.init(cipher.encrypt_mode,deskey);
byte[] cipherbyte=c1.dofinal(myinfo.getbytes());
传送密文和密钥,本文没有相应代码可参考dsa
.............
用密钥解密密文
c1 = cipher.getinstance(algorithm);
c1.init(cipher.decrypt_mode,deskey);
byte[] clearbyte=c1.dofinal(cipherbyte);
相对来说对称密钥的使用是很简单的,对于jce来讲支技des,desede,blowfish三种加密术
对于密钥的保存各传送可使用对象流或者用二进制编码,相关参考代码如下
secretkey deskey = keygen.generatekey();
byte[] desencode=deskey.getencoded();
javax.crypto.spec.secretkeyspec destmp=new javax.crypto.spec.secretkeyspec(desencode,algorithm);
secretkey mydeskey=destmp;
相关api
keygenerator 在dsa中已经说明,在添加jce后在instance进可以如下参数
des,desede,blowfish,hmacmd5,hmacsha1
javax.crypto.cipher 加/解密器 public static final cipher getinstance(java.lang.string transformation)
throws java.security.nosuchalgorithmexception,
nosuchpaddingexception
返回一个指定方法的cipher对象
参数:transformation 方法名(可用 des,desede,blowfish)
public final void init(int opmode, java.security.key key)
throws java.security.invalidkeyexception
用指定的密钥和模式初始化cipher对象
参数:opmode 方式(encrypt_mode, decrypt_mode, wrap_mode,unwrap_mode)
key 密钥
public final byte[] dofinal(byte[] input)
throws java.lang.illegalstateexception,
illegalblocksizeexception,
badpaddingexception
对input内的串,进行编码处理,返回处理后二进制串,是返回解密文还是加解文由init时的opmode决定
注意:本方法的执行前如果有update,是对updat和本次input全部处理,否则是本inout的内容
/*
安全程序 desede/des测试
*/
import java.security.*;
import javax.crypto.*;
public class testdes {
public static void main(string[] args){
testdes my=new testdes();
my.run();
}
public void run() {
//添加新安全算法,如果用jce就要把它添加进去
security.addprovider(new com.sun.crypto.provider.sunjce());
string algorithm="des"; //定义 加密算法,可用 des,desede,blowfish
string myinfo="要加密的信息";
try {
//生成密钥
keygenerator keygen = keygenerator.getinstance(algorithm);
secretkey deskey = keygen.generatekey();
//加密
system.out.println("加密前的二进串:"+byte2hex(myinfo.getbytes()));
system.out.println("加密前的信息:"+myinfo);
cipher c1 = cipher.getinstance(algorithm);
c1.init(cipher.encrypt_mode,deskey);
byte[] cipherbyte=c1.dofinal(myinfo.getbytes());
system.out.println("加密后的二进串:"+byte2hex(cipherbyte));
//解密
c1 = cipher.getinstance(algorithm);
c1.init(cipher.decrypt_mode,deskey);
byte[] clearbyte=c1.dofinal(cipherbyte);
system.out.println("解密后的二进串:"+byte2hex(clearbyte));
system.out.println("解密后的信息:"+(new string(clearbyte)));
}
catch (java.security.nosuchalgorithmexception e1) {e1.printstacktrace();}
catch (javax.crypto.nosuchpaddingexception e2) {e2.printstacktrace();}
catch (java.lang.exception e3) {e3.printstacktrace();}
}
public string byte2hex(byte[] b) //二行制转字符串
{
string hs="";
string stmp="";
for (int n=0;n<b.length;n++)
{
stmp=(java.lang.integer.tohexstring(b[n] & 0xff));
if (stmp.length()==1) hs=hs+"0"+stmp;
else hs=hs+stmp;
if (n<b.length-1) hs=hs+":";
}
return hs.touppercase();
}
}
2.5. diffie-hellman密钥一致协议
公开密钥密码体制的奠基人diffie和hellman所提出的 "指数密钥一致协议"(exponential key agreement protocol),该协议不要求别的安全性 先决条件,允许两名用户在公开媒体上交换信息以生成"一致"的,可以共享的密钥。在jce的中实现用户alice生成dh类型的密钥对,如果长度用1024生成的时间请,推荐第一次生成后保存dhparameterspec,以便下次使用直接初始化.使其速度加快
system.out.println("alice: 产生 dh 对 ...");
keypairgenerator alicekpairgen = keypairgenerator.getinstance("dh");
alicekpairgen.initialize(512);
keypair alicekpair = alicekpairgen.generatekeypair();
alice生成公钥发送组bob byte[] alicepubkeyenc = alicekpair.getpublic().getencoded();
bob从alice发送来的公钥中读出dh密钥对的初始参数生成bob的dh密钥对
注意这一步一定要做,要保证每个用户用相同的初始参数生成的
dhparameterspec dhparamspec = ((dhpublickey)alicepubkey).getparams();
keypairgenerator bobkpairgen = keypairgenerator.getinstance("dh");
bobkpairgen.initialize(dhparamspec);
keypair bobkpair = bobkpairgen.generatekeypair();
bob根据alice的公钥生成本地的des密钥
keyagreement bobkeyagree = keyagreement.getinstance("dh");
bobkeyagree.init(bobkpair.getprivate());
bobkeyagree.dophase(alicepubkey, true);
secretkey bobdeskey = bobkeyagree.generatesecret("des");
bob已经生成了他的des密钥,他现把他的公钥发给alice,
byte[] bobpubkeyenc = bobkpair.getpublic().getencoded();
alice根据bob的公钥生成本地的des密钥
,,,,,,解码
keyagreement alicekeyagree = keyagreement.getinstance("dh");
alicekeyagree.init(alicekpair.getprivate());
alicekeyagree.dophase(bobpubkey, true);
secretkey alicedeskey = alicekeyagree.generatesecret("des");
bob和alice能过这个过程就生成了相同的des密钥,在这种基础就可进行安全能信
常用api
java.security.keypairgenerator 密钥生成器类
public static keypairgenerator getinstance(string algorithm)
throws nosuchalgorithmexception
以指定的算法返回一个keypairgenerator 对象
参数: algorithm 算法名.如:原来是dsa,现在添加了 diffiehellman(dh)
public void initialize(int keysize)
以指定的长度初始化keypairgenerator对象,如果没有初始化系统以1024长度默认设置
参数:keysize 算法位长.其范围必须在 512 到 1024 之间,且必须为 64 的倍数
注意:如果用1024生长的时间很长,最好生成一次后就保存,下次就不用生成了
public void initialize(algorithmparameterspec params)
throws invalidalgorithmparameterexception
以指定参数初始化
javax.crypto.interfaces.dhpublickey
public dhparameterspec getparams()
返回
java.security.keyfactory
public static keyfactory getinstance(string algorithm)
throws nosuchalgorithmexception
以指定的算法返回一个keyfactory
参数: algorithm 算法名:dsh,dh
public final publickey generatepublic(keyspec keyspec)
throws invalidkeyspecexception
根据指定的key说明,返回一个publickey对象
java.security.spec.x509encodedkeyspec
public x509encodedkeyspec(byte[] encodedkey)
根据指定的二进制编码的字串生成一个key的说明
参数:encodedkey 二进制编码的字串(一般能过publickey.getencoded()生成)
javax.crypto.keyagreement 密码一至类
public static final keyagreement getinstance(java.lang.string algorithm)
throws java.security.nosuchalgorithmexception
返回一个指定算法的keyagreement对象
参数:algorithm 算法名,现在只能是diffiehellman(dh)
public final void init(java.security.key key)
throws java.security.invalidkeyexception
用指定的私钥初始化
参数:key 一个私钥
public final java.security.key dophase(java.security.key key,
boolean lastphase)
throws java.security.invalidkeyexception,
java.lang.illegalstateexception
用指定的公钥进行定位,lastphase确定这是否是最后一个公钥,对于两个用户的
情况下就可以多次定次,最后确定
参数:key 公钥
lastphase 是否最后公钥
public final secretkey generatesecret(java.lang.string algorithm)
throws java.lang.illegalstateexception,
java.security.nosuchalgorithmexception,
java.security.invalidkeyexception
根据指定的算法生成密钥
参数:algorithm 加密算法(可用 des,desede,blowfish)
*/
import java.io.*;
import java.math.biginteger;
import java.security.*;
import java.security.spec.*;
import java.security.interfaces.*;
import javax.crypto.*;
import javax.crypto.spec.*;
import javax.crypto.interfaces.*;
import com.sun.crypto.provider.sunjce;
public class testdhkey {
public static void main(string argv[]) {
try {
testdhkey my= new testdhkey();
my.run();
} catch (exception e) {
system.err.println(e);
}
}
private void run() throws exception {
security.addprovider(new com.sun.crypto.provider.sunjce());
system.out.println("alice: 产生 dh 对 ...");
keypairgenerator alicekpairgen = keypairgenerator.getinstance("dh");
alicekpairgen.initialize(512);
keypair alicekpair = alicekpairgen.generatekeypair(); //生成时间长
// 张三(alice)生成公共密钥 alicepubkeyenc 并发送给李四(bob) ,
//比如用文件方式,socket.....
byte[] alicepubkeyenc = alicekpair.getpublic().getencoded();
//bob接收到alice的编码后的公钥,将其解码
keyfactory bobkeyfac = keyfactory.getinstance("dh");
x509encodedkeyspec x509keyspec = new x509encodedkeyspec (alicepubkeyenc);
publickey alicepubkey = bobkeyfac.generatepublic(x509keyspec);
system.out.println("alice公钥bob解码成功");
// bob必须用相同的参数初始化的他的dh key对,所以要从alice发给他的公开密钥,
//中读出参数,再用这个参数初始化他的 dh key对
//从alicepubkye中取alice初始化时用的参数
dhparameterspec dhparamspec = ((dhpublickey)alicepubkey).getparams();
keypairgenerator bobkpairgen = keypairgenerator.getinstance("dh");
bobkpairgen.initialize(dhparamspec);
keypair bobkpair = bobkpairgen.generatekeypair();
system.out.println("bob: 生成 dh key 对成功");
keyagreement bobkeyagree = keyagreement.getinstance("dh");
bobkeyagree.init(bobkpair.getprivate());
system.out.println("bob: 初始化本地key成功");
//李四(bob) 生成本地的密钥 bobdeskey
bobkeyagree.dophase(alicepubkey, true);
secretkey bobdeskey = bobkeyagree.generatesecret("des");
system.out.println("bob: 用alice的公钥定位本地key,生成本地des密钥成功");
// bob生成公共密钥 bobpubkeyenc 并发送给alice,
//比如用文件方式,socket.....,使其生成本地密钥
byte[] bobpubkeyenc = bobkpair.getpublic().getencoded();
system.out.println("bob向alice发送公钥");
// alice接收到 bobpubkeyenc后生成bobpubkey
// 再进行定位,使alicekeyagree定位在bobpubkey
keyfactory alicekeyfac = keyfactory.getinstance("dh");
x509keyspec = new x509encodedkeyspec(bobpubkeyenc);
publickey bobpubkey = alicekeyfac.generatepublic(x509keyspec);
system.out.println("alice接收bob公钥并解码成功");
;
keyagreement alicekeyagree = keyagreement.getinstance("dh");
alicekeyagree.init(alicekpair.getprivate());
system.out.println("alice: 初始化本地key成功");
alicekeyagree.dophase(bobpubkey, true);
// 张三(alice) 生成本地的密钥 alicedeskey
secretkey alicedeskey = alicekeyagree.generatesecret("des");
system.out.println("alice: 用bob的公钥定位本地key,并生成本地des密钥");
if (alicedeskey.equals(bobdeskey)) system.out.println("张三和李四的密钥相同");
//现在张三和李四的本地的deskey是相同的所以,完全可以进行发送加密,接收后解密,达到
//安全通道的的目的
/*
* bob用bobdeskey密钥加密信息
*/
cipher bobcipher = cipher.getinstance("des");
bobcipher.init(cipher.encrypt_mode, bobdeskey);
string bobinfo= "这是李四的机密信息";
system.out.println("李四加密前原文:"+bobinfo);
byte[] cleartext =bobinfo.getbytes();
byte[] ciphertext = bobcipher.dofinal(cleartext);
/*
* alice用alicedeskey密钥解密
*/
cipher alicecipher = cipher.getinstance("des");
alicecipher.init(cipher.decrypt_mode, alicedeskey);
byte[] recovered = alicecipher.dofinal(ciphertext);
system.out.println("alice解密bob的信息:"+(new string(recovered)));
if (!java.util.arrays.equals(cleartext, recovered))
throw new exception("解密后与原文信息不同");
system.out.println("解密后相同");
}
}
第3章 小结
在加密术中生成密钥对时,密钥对的当然是越长越好,但费时也越多,请从中从实际出发选取合适的长度,大部分例码中的密钥是每次运行就从新生成,在实际的情况中是生成后在一段时间保存在文件中,再次运行直接从文件中读入,从而加快速度。当然定时更新和加强密钥保管的安全性也是必须的。
闽公网安备 35060202000074号