Java安全通信、數字證書及應用實踐

2019-11-18 14:28:48

字體：大中小

來源：轉載

供稿：網友

摘要：

　　在本文中，我用具體的語言和大量的圖片及完整的程序源碼向你展示了在 java中如何實現通過消息摘要、消息驗證碼達到安全通信、以及用Java的工具生成數字證書，和用程序給數字證書簽名、以及用簽名后的數學證書簽名applet突破applet的訪問權限的過程，給出了全部例子的具體代碼。

　　通過本文中你可以學到以下知識：

　　 ● 程序間如何安全通信

　　 ● 什么是及如何生成消息摘要

　　 ● 什么是及如何生成消息驗證碼

　　 ● 如何使用 Java工具生成和維護數字證書庫

　　 ● 如何用程序給數字證書驗證簽名

　　 ● 如何利用數字證書給 applet簽名突破applet的訪問權限

　　要害字：

　　消息摘要、消息驗證碼、指紋、加密、安全、 Java、數字簽名、applet、數字證書

　　一、基礎知識

　　計算機安全通信過程中，常使用消息摘要和消息驗證碼來保證傳輸的數據未曾被第三方修改。

　　消息摘要是對原始數據按照一定算法進行計算得到的結果，它主要檢測原始數據是否被修改過。消息摘要與加密不同，加密是對原始數據進行變換，可以從變換后的數據中獲得原始數據，而消息摘要是從原始數據中獲得一部分信息，它比原始數據少得多，因此消息摘要可以看作是原始數據的指紋。

　　例：下面一段程序計算一段字符串的消息摘要

package com.messagedigest;
import java.security.*;
public class DigestPass {
　public static void main(String[] args) throws Exception{
　　String str="Hello,I sent to you 80 yuan.";
　　MessageDigest md = MessageDigest.getInstance("md5");//常用的有MD5,SHA算法等
　　md.update(str.getBytes("UTF-8"));//傳入原始字串
　　byte[] re = md.digest();//計算消息摘要放入byte數組中
　　//下面把消息摘要轉換為字符串
　　String result = "";
　　for(int i=0;i＜re.length;i++){
　　　result += Integer.toHexString((0x000000ff&re[i])0xffffff00).substring(6);
　　}
　　System.out.PRintln(result);
　}
}
　　當我們有時需要對一個文件加密時，以上方式不再適用。

　　又例：下面一段程序計算從輸入（出）流中計算消息摘要。

package com.messagedigest;
import java.io.*;
import java.security.*;
public class DigestInput {
　public static void main(String[] args) throws Exception{
　　String fileName = "test.txt";
　　MessageDigest md = MessageDigest.getInstance("MD5");
　　FileInputStream fin = new FileInputStream(fileName);
　　DigestInputStream din = new DigestInputStream(fin,md);//構造輸入流
　　//DigestOutputStream dout = new DigestOutputStream(fout,md);
　　//使用輸入（出）流可以自己控制何時開始和關閉計算摘要
　　//也可以不控制，將全過程計算
　　//初始時是從開始即開始計算，如我們可以開始時關閉，然后從某一部分開始，如下：
　　//din.on(false);
　　int b;
　　while((b=din.read())!=-1){
　　　//做一些對文件的處理
　　　//if(b=='$') din.on(true); //當碰到文件中的符號$時才開始計算
　　}
　　byte[] re = md.digest();//獲得消息摘要
　　//下面把消息摘要轉換為字符串
　　String result = "";
　　for(int i=0;i＜re.length;i++){
　　　result += Integer.toHexString((0x000000ff&re[i])0xffffff00).substring(6);
　　}
　　System.out.println(result);
　}
}
　　當A和B通信時，A將數據傳給B時，同時也將數據的消息摘要傳給B，B收到后可以用該消息摘要驗證A傳的消息是否正確。這時會產生問題，即若傳遞過程中別人修改了數據時，同時也修改了消息摘要。B就無法確認數據是否正確。消息驗證碼可以解決這一問題。

　　使用消息驗證碼的前提是 A和B雙方有一個共同的密鑰，這樣A可以將數據計算出來的消息摘要加密后發給B，以防止消息摘要被改。由于使用了共同的密鑰，所以稱為“驗證碼”。

　　例、下面的程序即可利用共同的密鑰來計算消息摘要的驗證碼

package com.mac;
import java.io.*;
import java.security.*;
import javax.crypto.*;
import javax.crypto.spec.*;
public class MyMac {
　public static void main(String[] args) throws Exception{
　　//這是一個消息摘要串
　　String str="TestString";
　　//共同的密鑰編碼，這個可以通過其它算法計算出來
　　byte[] kb={11,105,-119,50,4,-105,16,38,-14,-111,21,-95,70,-15,76,-74,
　　　　67,-88,59,-71,55,-125,104,42};
　　//獲取共同的密鑰
　　SecretKeySpec k = new SecretKeySpec(kb,"HMACSHA1");
　　//獲取Mac對象
　　Mac m = Mac.getInstance("HmacMD5");
　　m.init(k);
　　m.update(str.getBytes("UTF-8"));
　　byte[] re = m.doFinal();//生成消息碼
　　//下面把消息碼轉換為字符串
　　String result = "";
　　for(int i=0;i＜re.length;i++){
　　　result += Integer.toHexString((0x000000ff&re[i])0xffffff00).substring(6);
　　}
　　System.out.println(result);
　}
}
　　使用以上兩種技術可以保證數據沒有經過改變，但接收者還無法確定數據是否確實是某個人發來的。盡管消息碼可以確定數據是某個有同樣密鑰的人發來的，但這要求雙方具有共享的密鑰，若有一組用戶共享，我們就無法確定數據的來源了。

　　數字簽名可以解決這一問題。數字簽名利用非對稱加密技術，發送者使用私鑰加密數據產生的消息摘要（簽名），接收者使用發送者的公鑰解密消息摘要以驗證簽名是否是某個人的。由于私鑰只有加密者才有，因此假如接收者用某個公鑰解密了某個消息摘要，就可以確定這段消息摘要必然是對應的私鑰持有者發來的。

　　使用數字簽名的前提是接收數據者能夠確信驗證簽名時（用發送者的私鑰加密消息摘要）所用的公鑰確實是某個人的 (因為有可能有人假告公鑰)。數字證書可以解決這個問題。

　　數字證書含有兩部分數據：一部分是對應主體（單位或個人）的信息，另一部分是這個主體所對應的公鑰。即數字證書保存了主體和它的公鑰的一一對應關系。同樣，數字證書也有可能被假造，如何判定數字證書的內容的真實性呢？所以，有效的數字證書必須經過權威 CA的簽名，即權威CA驗證數字證書的內容的真實性，然后再在數字證書上使用自己的私鑰簽名（相當于在證書加章確認）。

　　這樣，當用戶收到這樣的數字證書后，會用相應的權威 CA的公鑰驗證該證書的簽名(因為權威的CA的公鑰在操作系統中己經安裝)。根據非對稱加密的原理，假如該證書不是權威CA簽名的，將不能通過驗證，即該證書是不可靠的。

　　若通過驗證，即可證實此證書含的信息（發信人的公鑰和信息）是無誤的。于是可以信任該證書，便可以通過該證書內含的公鑰來確認數據確實是發送者發來的。

　　于是，雙方通信時， A把數據的消息摘要用自己的私鑰加密（即簽名），然后把自己的數字證書和數據及簽名后的消息摘要一起發送給B，B處查看A的數字證書，假如A的數字證書是經過權威CA驗證可靠的，便信任A，便可使用A的數字證書中附帶的A的公鑰解密消息摘要（這一過程同時確認了發送數據的人又可以解密消息摘要），然后通過解密后的消息摘要驗證數據是否正確無誤沒被修改。

　　利用這一原理，我們可以突破 java的applet小程序在瀏覽器中的權限，由于默認的applet權限控制不答應它訪問操作系統級的一切。于是我們可以用我們數字證書來給applet簽名，然后客戶端收到該applet時，系統會自動查看給該applet簽名的數字證書并提供給終端用戶判定是否信認該數字證書，假如用戶信認，則該applet便有了訪問系統的權限。 二、 Java中的數字證書的生成及維護方法

　　Java中的keytool.exe可以用來創建數字證書，所有的數字證書是以一條一條(采用別名區別)的形式存入證書庫的中，證書庫中的一條證書包含該條證書的私鑰，公鑰和對應的數字證書的信息。證書庫中的一條證書可以導出數字證書文件，數字證書文件只包括主體信息和對應的公鑰。

　　每一個證書庫是一個文件組成，它有訪問密碼，在首次創建時，它會自動生成證書庫，并要求指定訪問證書庫的密碼。

　　在創建證書的的時候，需要填寫證書的一些信息和證書對應的私鑰密碼。這些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，它們的意思是：

　　CN(Common Name名字與姓氏)

　　OU(Organization Unit組織單位名稱)

　　O(Organization組織名稱)

　　L(Locality城市或區域名稱)

　　ST(State州或省份名稱)

　　C(Country國家名稱）

　　可以采用交互式讓工具提示輸入以上信息，也可以采用參數

-dname "CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx"來自動創建。

　　1、示例

　　如下所示一句采用交互式創建一個證書，指定證書庫為 abnerCALib，創建別名為abnerCA的一條證書，它指定用RSA算法生成，

　　且指定密鑰長度為 1024，證書有效期為3650天：

　　如下圖所示：

　　上圖中最后一步，我們輸入的是 CN，代表中國的縮寫，也可以直接輸入“中國”兩個字。

　　2、證書的操作方法

　　● 證書的顯示

　　如：

　　將顯示 abnerCALib證書庫的的所有證書列表：如下圖示：

　　又如： keytool -list -alias abnerCA -keystore abnerCALib

　　將顯示 abnerCALib證書庫中別名為abnerCA的證書的信息。如下圖所示：

　　又如： keytool -list -v -alias abnerCA -keystore abnerCALib

　　將顯示證書的具體信息（ -v參數）如下圖所示：

Java安全通信、數字證書及應用實踐（圖一）

點擊查看大圖

　　● 將證書導出到證書文件

　　如： keytool -eXPort -alias abnerCA -file abnerCA.cer -keystore abnerCALib
　　將把證書庫 abnerCALib中的別名為abnerCA的證書導出到abnerCA.cer證書文件中，

　　它包含證書主體的信息及證書的公鑰，不包括私鑰，可以公開，如下圖所示 :

　　上面導出的證書文件是以二進制編碼文件，無法用文本編輯器正確顯示，因此不利用公布證書，可以加上 -rfc參數以一種可打印的編者編碼輸出。

　　如：

keytool -export -alias abnerCA -file abnerCA.cer -keystore abnerCALib -storepass 100200 –rfc
　　這個命令在命令行中指定了證書庫的訪問密碼，同時指定以可查看編碼的方式輸出。
　
　　3、通過證書文件查看證書的信息

　　通過命令 :keytool –printcert –file abnerCA.cer可以查看證書文件的信息。

　　也可以在 windows中雙擊產生的證書文件直接查看。

　　● 證書條目的刪除

　　keytool的命令行參數-delete可以刪除密鑰庫中的條目，如：

keytool -delete -alias abnerCA -keystore abnerCALib　　
　　這條命令將 abnerCALib庫中的abnerCA這一條證書刪除了。

　　● 證書條目口令的修改

　　如：

keytool –keypasswd –alias abnerCA –keystore abnerCALib
　　可以以交互的方式修改 abnerCALib證書庫中的條目為abnerCA的證書。

Keytool –keypasswd –alias abnerCA –keypass 123456 –new 200100 –storepass 1002 00 –keystore abnerCALib

上一篇：Java集合構架研究之一

下一篇：JavaCard開發教程之消息模型