Java加密技术——BASE64与单向加密算法MD5、SHA、MAC
Java加密技术——BASE64与单向加密算法MD5、SHA、MAC
最近在做一个课程设计,使用装饰器模式,实现多重密码嵌套加密。用Swing写好界面,根据设计类图,很容易实现了什么简单加密、逆向加密、求模加密,尽管也实现了多层嵌套加密,可总感觉这些加密算法太“小儿科”,于是转向研究一下Java支持的加密技术。
Java的安全体系架构介绍
Java中为安全框架提供类和接口。JDK 安全 API 是 Java 编程语言的核心 API,位于 java.security 包(及其子包),以及sun.securityAPI包(及其子包)中。设计用于帮助开发人员在程序中同时使用低级和高级安全功能。
JDK 1.1 中第一次发布的 JDK 安全中引入了“Java 加密体系结构”(JCA),指的是用于访问和开发 Java 平台密码功能的构架。在 JDK1.1 中,JCA 包括用于数字签名和报文摘要的 API。JDK 1.2 大大扩展了 Java 加密体系结构,它还对证书管理基础结构进行了升级以支持 X.509 v3 证书,并为划分细致、可配置性强、功能灵活、可扩展的访问控制引入了新的 Java 安全体系结构。
Java 加密体系结构包含 JDK1.2 安全 API 中与密码有关的部分,以及本文档中提供的一组约定和规范。为实现多重、可互操作的密码,它还提供了“提供者”体系结构。
Java 密码扩展 (JCE))扩展了 JCAAPI,包括用于加密、密钥交换和信息认证码(MAC)的 API。JCE 和 JDK 密码共同提供了一个与平台无关的完整密码 API。JCE 作为 JDK 的扩展将独立发布,以符合美国的出口控制约束。
主要描述Java已经实现的一些加密解密算法,是官方JDK提供了的。
如基本的单向加密算法:
· BASE64 严格地说,属于编码格式,而非加密算法
· MD5(MessageDigest algorithm 5,信息摘要算法)
· SHA(SecureHash Algorithm,安全散列算法)
· HMAC(HashMessage Authentication Code,散列消息鉴别码)
复杂的对称加密(DES、PBE)、非对称加密算法:
· DES(DataEncryption Standard,数据加密算法)
· PBE(Password-basedencryption,基于密码验证)
· RSA(算法的名字以发明者的名字命名:Ron Rivest, AdiShamir 和Leonard Adleman)
· DH(Diffie-Hellman算法,密钥一致协议)
· DSA(DigitalSignature Algorithm,数字签名)
· ECC(EllipticCurves Cryptography,椭圆曲线密码编码学)
本篇内容简要介绍BASE64、MD5、SHA、HMAC几种方法。
MD5、SHA、HMAC这三种加密算法,可谓是非可逆加密,就是不可解密的加密方法。将数据信息用这三种方式处理后,不可逆向解密。我们通常只把他们作为加密的基础。单纯的以上三种的加密并不可靠。
BASE64
按照RFC2045的定义,Base64被定义为:Base64内容传送编码被设计用来把任意序列的8位字节描述为一种不易被人直接识别的形式。(The Base64Content-Transfer-Encoding is designed to represent arbitrary sequences ofoctets in a form that need not be humanly readable.)
常见于邮件、http加密,截取http信息,你就会发现登录操作的用户名、密码字段通过
BASE64加密的。
通过java代码实现如下:
Java代码
1. /**
2. * BASE64解密
3. *
4. * @param key
5. * @return
6. * @throws Exception
7. */
8. public static byte[] decryptBASE64(String key) throws Exception {
9. return (new BASE64Decoder()).decodeBuffer(key);
10.}
11.
12./**
13. * BASE64加密
14. *
15. * @param key
16. * @return
17. * @throws Exception
18. */
19.public static String encryptBASE64(byte[] key) throws Exception {
20. return (new BASE64Encoder()).encodeBuffer(key);
21.}
主要就是BASE64Encoder、BASE64Decoder两个类,我们只需要知道使用对应的方法即可。另外注意:BASE加密后产生的字节位数是8的倍数,如果不够位数以=符号填充。
MD5
MD5 -- message-digest algorithm 5 (信息-摘要算法)缩写,广泛用于加密和解密技术,常用于文件校验。校验?不管文件多大,经过MD5后都能生成唯一的MD5值[还可以是定长的]。好比现在的ISO校验,都是MD5校验。怎么用?当然是把ISO经过MD5后产生MD5的值。一般下载linux-ISO的朋友都见过下载链接旁边放着MD5的串。就是用来验证文件是否一致的。
MD5 在90年代初由MIT Laboratoryfor Computer Science和RSA Data Security Inc的RonaldL. Rivest开发出来,经MD2、MD3和MD4发展而来。
MD5 用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一(又译摘要算法、哈希算法),主流编程语言普遍已有MD5实现。将数据(如汉字)运算为另一固定长度值,是杂凑算法的基础原理,MD5的前身有MD2、MD3和MD4。
MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被"压缩"成一种保密的格式(就是把一个任意长度的字节串变换成一定长的十六进制数字串)。
算法原理
对MD5算法简要的叙述可以为:MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
通过java代码实现如下:
Java代码
1. /**
2. * MD5加密
3. * @param data
4. * @return
5. * @throws Exception
6. */
7. public static byte[] encryptMD5(byte[] data) throws Exception {
8.
9. MessageDigest md5 = MessageDigest.getInstance(KEY_MD5);
10. md5.update(data);
11.
12. return md5.digest();
13.
14.}
通常我们不直接使用上述MD5加密。通常将MD5产生的字节数组交给BASE64再加密一把,得到相应的字符串。
MD5还可以这样用…….................………………….
//数字摘要--是个抽象类
MessageDigest md =MessageDigest.getInstance("MD5");//指定--采用MD5算法(可换为SHA-1,SHA-256)
//生成摘要
byte[] gererateDigest = md.digest("ljheee".getBytes());
//把字节数组转化为十六进制数
BigInteger bi = new BigInteger(1, gererateDigest);//把gererateDigest变成一个“大的整数”
String result = bi.toString(16);//将大的整数,十六进制输出
SHA
SHA(Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,被广泛地应用于电子商务等信息安全领域。虽然,SHA与MD5通过碰撞法都被破解了, 但是SHA仍然是公认的安全加密算法,较之MD5更为安全。
该算法经过加密专家多年来的发展和改进已日益完善,现在已成为公认的最安全的散列算法之一,并被广泛使用。该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。
安全散列算法SHA(SecureHash Algorithm,SHA)是美国国家标准技术研究所发布的国家标准FIPSPUB 180,最新的标准已经于2008年更新到FIPS PUB180-3。其中规定了SHA-1,SHA-224,SHA-256,SHA-384,和SHA-512这几种单向散列算法。SHA-1,SHA-224和SHA-256适用于长度不超过2^64二进制位的消息。SHA-384和SHA-512适用于长度不超过2^128二进制位的消息。
单向散列函数的安全性在于其产生散列值的操作过程具有较强的单向性。如果在输入序列中嵌入密码,那么任何人在不知道密码的情况下都不能产生正确的散列值,从而保证了其安全性。SHA将输入流按照每块512位(64个字节)进行分块,并产生20个字节的被称为信息认证代码或信息摘要的输出。
通过java代码实现如下:
1. /**
2. * SHA加密
3. * @param data 待加密数据
4. * @return
5. * @throws Exception
6. */
7. public static byte[] encryptSHA(byte[] data) throws Exception {
8.
9. MessageDigest sha = MessageDigest.getInstance(KEY_SHA);
10. sha.update(data);
11. return sha.digest();
12. }
13. }
SHA算法可选以下2种
SHA-1
SHA-256
HMAC
HMAC(Hash Message Authentication Code,散列消息鉴别码,基于密钥的Hash算法的认证协议。消息鉴别码实现鉴别的原理是,用公开函数和密钥产生一个固定长度的值作为认证标识,用这个标识鉴别消息的完整性。使用一个密钥生成一个固定大小的小数据块,即MAC,并将其加入到消息中,然后传输。接收方利用与发送方共享的密钥进行鉴别认证等。
通过java代码实现如下:
/**
* 初始化HMAC密钥--一个定长标识
* @return
* @throws Exception
*/
publicstatic String initMacKey() throws Exception {
KeyGenerator keyGenerator = KeyGenerator.getInstance(KEY_MAC);
SecretKey secretKey = keyGenerator.generateKey();
return encryptBASE64(secretKey.getEncoded());
}
/**
*HMAC加密
* @param data 待加密数据
* @param key 加密时,使用的密钥(加密前需先生成密钥)
* @return
* @throws Exception
*/
publicstaticbyte[] encryptHMAC(byte[] data, String key) throws Exception {
SecretKey secretKey = new SecretKeySpec(decryptBASE64(key), KEY_MAC);
Mac mac = Mac.getInstance(secretKey.getAlgorithm());
mac.init(secretKey);
returnmac.doFinal(data);
}
MAC算法可选以下多种算法
HmacMD5
HmacSHA1
HmacSHA256
HmacSHA384
HmacSHA512
BASE64Encoder和BASE64Decoder是非官方JDK实现类。虽然可以在JDK里能找到并使用,但是在API里查不到。JRE 中 sun 和 com.sun 开头包的类都是未被文档化的,他们属于 java, javax 类库的基础,其中的实现大多数与底层平台有关,一般来说是不推荐使用的。
BASE64的加密解密是双向的,可以求反解。
MD5、SHA以及HMAC是单向加密,任何数据加密后只会产生唯一的一个加密串,通常用来校验数据在传输过程中是否被修改。其中HMAC算法有一个密钥,增强了数据传输过程中的安全性,强化了算法外的不可控因素。
单向加密的用途主要是为了校验数据在传输过程中是否被修改。
参考文档
《MD5加密_百度百科》:http://baike.baidu.com/view/1039631.htm?fr=aladdin
http://snowolf.iteye.com/blog/379860