密码常用术语
- 明文:待加密信息;
- 密文:经过加密后的明文;
- 加密:明文转为密文的过程;
- 加密算法:明文转为密文的转换算法;
- 加密密钥:通过加密算法进行加密操作用的密钥。
- 解密:将密文转为明文的过程;
- 解密算法:密文转为明文的算法;
- 解密密钥:通过解密算法进行解密操作用的密钥。
- 密码分析:截获密文者试图通过分析截获的密文从而推断原来的明文或密钥的过程;
- 主动攻击:攻击者非法入侵密码系统,采用伪造、修改、删除等手段向系统注入假消息进行欺骗。(对密文具有破坏作用)
- 被动攻击:对一个保密系统采取截获密文并对其进行分析和攻击。(对密文没有破坏作用)
- 密码体制:由明文空间、密文空间、密钥空间、加密算法和解密算法五部分构成。
- 密码协议:也称安全协议,指以密码学为基础的消息交换的通信协议,目的是在网络环境中提供安全的服务;
- 密码系统:指用于加密、解密的系统;
- 柯克霍夫原则:数据的安全基于密钥而不是算法的保密。即系统安全取决于密钥,对密钥保密,对算法公开。—— 现代密码学设计的基本原则。
密码分类 - 时间
- 古典密码:以字符为基本加密单元;
- 现代密码:以信息块为基本加密单元。
密码分类 - 保密内容算法
| 名称 | 详细说明 | 应用领域 | 类别 |
|---|---|---|---|
| 受限制算法 | 算法的保密性基于保持算法的保密 | 军事领域 | 古典密码 |
| 基于密钥算法 | 算法的保密性基于对密钥的保密 | 现代密码 |
密码分类 - 密码体制
| 名称 | 别名 | 详细说明 |
|---|---|---|
| 对称密码 | 单钥密码或私钥密码 | 指加密密钥与解密密钥相同 |
| 非对称密码 | 双钥密码或公钥密码 | 指加密密钥与解密密钥不同,密钥分公钥、私钥 |
| 对称密码算法 | 单钥密码算法或私钥密码算法 | 指应用于对称密码的加密、解密算法 |
| 非对称密码 | 双钥密码算法或公钥密码算法 | 指对应于非对称密码的加密、解密算法 |
密码分类 - 明文处理方法
- 分组密码:指加密时将明文分成固定长度的组,用同一密钥和算法对每一块加密,输出也是固定长度的密文。多用于网络加密。
- 流密码:也称序列密码。指加密时每次加密一位或者一个字节明文。
散列函数
- 散列函数用来验证数据的完整性;
- 特点:长度不受限制、哈希值容易计算、散列运算过程不可逆(单向函数)
散列函数相关的算法
- 消息摘要算法 MD5 等
- SHA - 安全散列算法
- MAC - 消息认证码算法
数字签名
- 主要是针对以数字的形式存储的消息进行的处理(数字签名会产生带有操作者身份信息的编码,执行数字签名的实体被称为“签名者”,签名过程中的算法叫做“签名算法”)
OSI安全体系
-
OSI(Open System Interconnection)
OSI安全体系模型
TCP/IP安全体系
TCP/IP安全体系
Java安全组成
- JCA(Java Cryptography Architecture):提供基本加密框架
- JCE(Java Cryptography Extension):在JCA基础上做了扩展,提供了很多的加密算法;比如DES、AES、RSA算法通过JCE提供
- JSSE(Java Secure Socket Extension):提供基于SSL的加密功能,主要用于网络传输
- JAAS(Java Authentication and Authentication Service):在Java平台上进行用户身份验证的功能。
Java安全组成
- security.provider.1 = sun.security.provider.Sun
security.provider.2 = com.sun.net.ssl.internal.ssl.Provider
security.provider.3 = com.sun.rsajca.Provider
security.provider.4 = com.sun.crypto.provider.SunJCE
security.provider.5 = sun.security.jgss.SunProvider - security.provider.6 = org.bouncycastle.jce.provider.BouncyCastleProvider
使用JDK以外的扩展包需要修改资源文件并增加相关的内容,这是使用JDK以外的扩展包的方式之一(JAVA_HOME/jre/lib/security 下 java.security 文件),或者通过Security的 addProvider() 或 insertProviderAt() 方法。
相关Java包、类
- java.security :为安全框架提供类和接口,了解整包只是进入Java加解密设计的第一步。仅仅能够完成消息摘要算法实现,源码可见。
- javax.crypto :主要用于`安全消息摘要和消息认证(鉴别)码的Java包。可以完整的实现一套加解密算法以及安全摘要算法
- java.net.ssl :主要提供基于安全套接字的相关类,比如 HttpsURLConnection、SSLContext。
第三方Java扩展
- Bouncy Castle
- 两种支持方案:1、配置(security.provider.1=sun.security.provider.Sun);2、调用(API调用)
- Commons Codec
- Apache
- Base64、二进制、十六进制、字符集编码
- Url编码/解码
Base64
- 算法实现
- JDK
- Commons Codec
- Bouncy Castle
- 应用场景:e-mail、密钥、证书文件
- 产生:邮件的“历史问题”
- 定义:基于 64 个字符的编码算法
- 关于 RPC 2045
- 衍生:Base16、Base32、Url Base64
- Base64算法与加解密算法
准备 commons-codec-1.10.jar 和 bcprov-ext-jdk15on-149.jar
import org.apache.commons.codec.binary.Base64;
import sun.misc.BASE64Decoder;
import sun.misc.BASE64Encoder;
public class Base64Test{
public static final String src = "base64 test";
public static void main(String[] args) {
jdkBase64();
commonsCodesBase64();
bouncyCastleBase64();
}
// 用jdk实现
public static void jdkBase64(){
try{
BASE64Encoder encoder = new BASE64Encoder();
String encode = encoder.encode(src.getBytes());
System.out.println("encode:" + encode);
BASE64Decoder decoder = new BASE64Decoder();
System.out.println("decode:" + new String(decoder.decodeBuffer(encode)));
} catch (Exception e) {
e.printStackTrace();
}
}
// 用Apache的common codes实现
public static void commonsCodesBase64(){
byte[] encodeBytes = Base64.encodeBase64(src.getBytes());
System.out.println("common codes encode:" + new String(encodeBytes));
byte[] dencodeBytes = Base64.decodeBase64(encodeBytes);
System.out.println("common codes decode:" + new String(dencodeBytes));
}
// 用bouncy castle实现
public static void bouncyCastleBase64(){
byte[] encodeBytes = org.bouncycastle.util.encoders.Base64.encode(src.getBytes());
System.out.println("bouncy castle encode:" + new String(encodeBytes));
byte[] dencodeBytes = org.bouncycastle.util.encoders.Base64.decode(encodeBytes);
System.out.println("bouncy castle decode:" + new String(dencodeBytes));
}
}
