一、密碼學(xué)上常用的概念

1）消息摘要：

這是一種與消息認(rèn)證碼結(jié)合使用以確保消息完整性的技術(shù)。主要使用單向散列函數(shù)算法，可用于檢驗消息的完整性，和通過散列密碼直接以文本形式保存等，目前廣泛使用的算法有MD4、MD5、SHA-1，jdk1.5對上面都提供了支持，在Java編程入門級的代碼中進(jìn)行消息摘要很簡單， java.security.MessageDigest提供了一個簡易的操作方法：

Java代碼

/**    
*MessageDigestExample.java    
*Copyright 2005-2-16    
*/    
import java.security.MessageDigest;     
/**    
*單一的消息摘要算法，不使用密碼.可以用來對明文消息（如：密碼）隱藏保存    
*/    
public class MessageDigestExample{     
　public static void main(String[] args) throws Exception{     
if(args.length!=1){     
　System.err.println("Usage:java MessageDigestExample text");     
　System.exit(1);     
}     
    
byte[] plainText=args[0].getBytes("UTF8");     
    
//使用getInstance("算法")來獲得消息摘要,這里使用SHA-1的160位算法     
MessageDigest messageDigest=MessageDigest.getInstance("SHA-1");     
    
System.out.println("\n"+messageDigest.getProvider().getInfo());     
//開始使用算法     
messageDigest.update(plainText);     
System.out.println("\nDigest:");     
//輸出算法運算結(jié)果     
System.out.println(new String(messageDigest.digest(),"UTF8"));     
　}     
}     
 
/**  
*MessageDigestExample.java  
*Copyright 2005-2-16  
*/  
import java.security.MessageDigest;  
/**  
*單一的消息摘要算法，不使用密碼.可以用來對明文消息（如：密碼）隱藏保存  
*/  
public class MessageDigestExample{  
　public static void main(String[] args) throws Exception{  
if(args.length!=1){  
　System.err.println("Usage:java MessageDigestExample text");  
　System.exit(1);  
}  
 
byte[] plainText=args[0].getBytes("UTF8");  
 
//使用getInstance("算法")來獲得消息摘要,這里使用SHA-1的160位算法  
MessageDigest messageDigest=MessageDigest.getInstance("SHA-1");  
 
System.out.println("\n"+messageDigest.getProvider().getInfo());  
//開始使用算法  
messageDigest.update(plainText);  
System.out.println("\nDigest:");  
//輸出算法運算結(jié)果  
System.out.println(new String(messageDigest.digest(),"UTF8"));  
　}  
}  

還可以通過消息認(rèn)證碼來進(jìn)行加密實現(xiàn)，javax.crypto.Mac提供了一個解決方案，有興趣者可以參考相關(guān)API文檔，本文只是簡單介紹什么是摘要算法。

2）私鑰加密：

消息摘要只能檢查消息的完整性，但是單向的，對明文消息并不能加密，要加密明文的消息的話，就要使用其他的算法，要確保機(jī)密性，我們需要使用私鑰密碼術(shù)來交換私有消息。

這種最好理解，使用對稱算法。比如：A用一個密鑰對一個文件加密，而B讀取這個文件的話，則需要和A一樣的密鑰，雙方共享一個私鑰（而在web環(huán)境下，私鑰在傳遞時容易被偵聽）：

使用私鑰加密的話，首先需要一個密鑰，可用javax.crypto.KeyGenerator產(chǎn)生一個密鑰(java.security.Key),然后傳遞給一個加密工具(javax.crypto.Cipher),該工具再使用相應(yīng)的算法來進(jìn)行加密，主要對稱算法有：DES（實際密鑰只用到56位），AES（支持三種密鑰長度：128、192、256位），通常首先128位，其他的還有DESede等，jdk1.5種也提供了對對稱算法的支持，以下例子使用AES算法來加密：

Java代碼

/**    
*PrivateExmaple.java    
*Copyright 2005-2-16    
*/    
import javax.crypto.Cipher;     
import javax.crypto.KeyGenerator;     
import java.security.Key;     
    
/**    
*私鈅加密，保證消息機(jī)密性    
*/    
public class PrivateExample{     
　public static void main(String[] args) throws Exception{     
if(args.length!=1){     
　System.err.println("Usage:java PrivateExample ");     
　System.exit(1);     
}     
byte[] plainText=args[0].getBytes("UTF8");     
    
//通過KeyGenerator形成一個key     
System.out.println("\nStart generate AES key");     
KeyGenerator keyGen=KeyGenerator.getInstance("AES");     
keyGen.init(128);     
Key key=keyGen.generateKey();     
System.out.println("Finish generating DES key");     
    
//獲得一個私鈅加密類Cipher，ECB是加密方式，PKCS5Padding是填充方法     
Cipher cipher=Cipher.getInstance("AES/ECB/PKCS5Padding");     
System.out.println("\n"+cipher.getProvider().getInfo());     
    
//使用私鈅加密     
System.out.println("\nStart encryption:");     
cipher.init(Cipher.ENCRYPT_MODE,key);     
byte[] ciphercipherText=cipher.doFinal(plainText);     
System.out.println("Finish encryption:");     
System.out.println(new String(cipherText,"UTF8"));     
    
   //使用私鑰解密     
System.out.println("\nStart decryption:");     
cipher.init(Cipher.DECRYPT_MODE,key);     
byte[] newPlainText=cipher.doFinal(cipherText);     
System.out.println("Finish decryption:");     
    
System.out.println(new String(newPlainText,"UTF8"));     
    
　}     
}     
 
/**  
*PrivateExmaple.java  
*Copyright 2005-2-16  
*/  
import javax.crypto.Cipher;  
import javax.crypto.KeyGenerator;  
import java.security.Key;  
 
/**  
*私鈅加密，保證消息機(jī)密性  
*/  
public class PrivateExample{  
　public static void main(String[] args) throws Exception{  
if(args.length!=1){  
　System.err.println("Usage:java PrivateExample ");  
　System.exit(1);  
}  
byte[] plainText=args[0].getBytes("UTF8");  
 
//通過KeyGenerator形成一個key  
System.out.println("\nStart generate AES key");  
KeyGenerator keyGen=KeyGenerator.getInstance("AES");  
keyGen.init(128);  
Key key=keyGen.generateKey();  
System.out.println("Finish generating DES key");  
 
//獲得一個私鈅加密類Cipher，ECB是加密方式，PKCS5Padding是填充方法  
Cipher cipher=Cipher.getInstance("AES/ECB/PKCS5Padding");  
System.out.println("\n"+cipher.getProvider().getInfo());  
 
//使用私鈅加密  
System.out.println("\nStart encryption:");  
cipher.init(Cipher.ENCRYPT_MODE,key);  
byte[] ciphercipherText=cipher.doFinal(plainText);  
System.out.println("Finish encryption:");  
System.out.println(new String(cipherText,"UTF8"));  
 
   //使用私鑰解密  
System.out.println("\nStart decryption:");  
cipher.init(Cipher.DECRYPT_MODE,key);  
byte[] newPlainText=cipher.doFinal(cipherText);  
System.out.println("Finish decryption:");  
 
System.out.println(new String(newPlainText,"UTF8"));  
 
　}  
}  

3）公鑰加密：

上面提到，私鑰加密需要一個共享的密鑰，那么如何傳遞密鑰呢？Web環(huán)境下，直接傳遞的話很容易被偵聽到，幸好有了公鑰加密的出現(xiàn)。公鑰加密也叫不對稱加密，不對稱算法使用一對密鑰對，一個公鑰，一個私鑰，使用公鑰加密的數(shù)據(jù)，只有私鑰能解開（可用于加密）；同時，使用私鑰加密的數(shù)據(jù)，只有公鑰能解開（簽名）。但是速度很慢（比私鑰加密慢100到1000倍），公鑰的主要算法有RSA，還包括Blowfish,Diffie-Helman等，jdk1.5種提供了對RSA的支持，是一個改進(jìn)的地方：

Java代碼

/**    
*PublicExample.java    
*Copyright 2005-2-16    
*/    
import java.security.Key;     
import javax.crypto.Cipher;     
import java.security.KeyPairGenerator;     
import java.security.KeyPair;     
/**    
*一個簡單的公鈅加密例子,Cipher類使用KeyPairGenerator生成的公鈅和私鈅    
*/    
public class PublicExample{     
　public static void main(String[] args) throws Exception{     
if(args.length!=1){     
　System.err.println("Usage:java PublicExample ");     
　System.exit(1);     
}     
    
byte[] plainText=args[0].getBytes("UTF8");     
//構(gòu)成一個RSA密鑰     
System.out.println("\nStart generating RSA key");     
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");     
keyGen.initialize(1024);     
KeyPair key=keyGen.generateKeyPair();     
System.out.println("Finish generating RSA key");     
    
//獲得一個RSA的Cipher類，使用公鈅加密     
Cipher cipher=Cipher.getInstance("RSA/ECB/PKCS1Padding");     
System.out.println("\n"+cipher.getProvider().getInfo());     
    
System.out.println("\nStart encryption");     
cipher.init(Cipher.ENCRYPT_MODE,key.getPublic());     
byte[] ciphercipherText=cipher.doFinal(plainText);     
System.out.println("Finish encryption:");     
System.out.println(new String(cipherText,"UTF8"));     
    
//使用私鈅解密     
System.out.println("\nStart decryption");     
cipher.init(Cipher.DECRYPT_MODE,key.getPrivate());     
byte[] newPlainText=cipher.doFinal(cipherText);     
System.out.println("Finish decryption:");     
System.out.println(new String(newPlainText,"UTF8"));     
　}     
}     
 
/**  
*PublicExample.java  
*Copyright 2005-2-16  
*/  
import java.security.Key;  
import javax.crypto.Cipher;  
import java.security.KeyPairGenerator;  
import java.security.KeyPair;  
/**  
*一個簡單的公鈅加密例子,Cipher類使用KeyPairGenerator生成的公鈅和私鈅  
*/  
public class PublicExample{  
　public static void main(String[] args) throws Exception{  
if(args.length!=1){  
　System.err.println("Usage:java PublicExample ");  
　System.exit(1);  
}  
 
byte[] plainText=args[0].getBytes("UTF8");  
//構(gòu)成一個RSA密鑰  
System.out.println("\nStart generating RSA key");  
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");  
keyGen.initialize(1024);  
KeyPair key=keyGen.generateKeyPair();  
System.out.println("Finish generating RSA key");  
 
//獲得一個RSA的Cipher類，使用公鈅加密  
Cipher cipher=Cipher.getInstance("RSA/ECB/PKCS1Padding");  
System.out.println("\n"+cipher.getProvider().getInfo());  
 
System.out.println("\nStart encryption");  
cipher.init(Cipher.ENCRYPT_MODE,key.getPublic());  
byte[] ciphercipherText=cipher.doFinal(plainText);  
System.out.println("Finish encryption:");  
System.out.println(new String(cipherText,"UTF8"));  
 
//使用私鈅解密  
System.out.println("\nStart decryption");  
cipher.init(Cipher.DECRYPT_MODE,key.getPrivate());  
byte[] newPlainText=cipher.doFinal(cipherText);  
System.out.println("Finish decryption:");  
System.out.println(new String(newPlainText,"UTF8"));  
　}  
}  

4）數(shù)字簽名：

數(shù)字簽名，它是確定交換消息的通信方身份的第一個級別。上面A通過使用公鑰加密數(shù)據(jù)后發(fā)給B，B利用私鑰解密就得到了需要的數(shù)據(jù)，問題來了，由于都是使用公鑰加密，那么如何檢驗是A發(fā)過來的消息呢？上面也提到了一點，私鑰是唯一的，那么A就可以利用A自己的私鑰進(jìn)行加密，然后B再利用A的公鑰來解密，就可以了；數(shù)字簽名的原理就基于此，而通常為了證明發(fā)送數(shù)據(jù)的真實性，通過利用消息摘要獲得簡短的消息內(nèi)容，然后再利用私鑰進(jìn)行加密散列數(shù)據(jù)和消息一起發(fā)送。java中為數(shù)字簽名提供了良好的支持，java.security.Signature類提供了消息簽名：

Java代碼

/**    
*DigitalSignature2Example.java    
*Copyright 2005-2-16    
*/    
import java.security.Signature;     
import java.security.KeyPairGenerator;     
import java.security.KeyPair;     
import java.security.SignatureException;     
    
/**    
*數(shù)字簽名，使用RSA私鑰對對消息摘要簽名，然后使用公鈅驗證 測試    
*/    
public class DigitalSignature2Example{     
　public static void main(String[] args) throws Exception{     
if(args.length!=1){     
　System.err.println("Usage:java DigitalSignature2Example ");     
　System.exit(1);     
}     
    
byte[] plainText=args[0].getBytes("UTF8");     
//形成RSA公鑰對     
System.out.println("\nStart generating RSA key");     
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");     
keyGen.initialize(1024);     
    
KeyPair key=keyGen.generateKeyPair();     
System.out.println("Finish generating RSA key");     
//使用私鈅簽名     
Signature sig=Signature.getInstance("SHA1WithRSA");     
sig.initSign(key.getPrivate());     
sig.update(plainText);     
byte[] sigsignature=sig.sign();     
System.out.println(sig.getProvider().getInfo());     
System.out.println("\nSignature:");     
System.out.println(new String(signature,"UTF8"));     
    
//使用公鈅驗證     
System.out.println("\nStart signature verification");     
sig.initVerify(key.getPublic());     
sig.update(plainText);     
try{     
　if(sig.verify(signature)){     
System.out.println("Signature verified");     
　}else System.out.println("Signature failed");     
　}catch(SignatureException e){     
System.out.println("Signature failed");     
　}     
}     
}     
 
/**  
*DigitalSignature2Example.java  
*Copyright 2005-2-16  
*/  
import java.security.Signature;  
import java.security.KeyPairGenerator;  
import java.security.KeyPair;  
import java.security.SignatureException;  
 
/**  
*數(shù)字簽名，使用RSA私鑰對對消息摘要簽名，然后使用公鈅驗證 測試  
*/  
public class DigitalSignature2Example{  
　public static void main(String[] args) throws Exception{  
if(args.length!=1){  
　System.err.println("Usage:java DigitalSignature2Example ");  
　System.exit(1);  
}  
 
byte[] plainText=args[0].getBytes("UTF8");  
//形成RSA公鑰對  
System.out.println("\nStart generating RSA key");  
KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA");  
keyGen.initialize(1024);  
 
KeyPair key=keyGen.generateKeyPair();  
System.out.println("Finish generating RSA key");  
//使用私鈅簽名  
Signature sig=Signature.getInstance("SHA1WithRSA");  
sig.initSign(key.getPrivate());  
sig.update(plainText);  
byte[] sigsignature=sig.sign();  
System.out.println(sig.getProvider().getInfo());  
System.out.println("\nSignature:");  
System.out.println(new String(signature,"UTF8"));  
 
//使用公鈅驗證  
System.out.println("\nStart signature verification");  
sig.initVerify(key.getPublic());  
sig.update(plainText);  
try{  
　if(sig.verify(signature)){  
System.out.println("Signature verified");  
　}else System.out.println("Signature failed");  
　}catch(SignatureException e){  
System.out.println("Signature failed");  
　}  
}  
}  

5)數(shù)字證書。

還有個Java編程入門級的問題，就是公鑰問題，A用私鑰加密了，那么B接受到消息后，用A提供的公鑰解密；那么現(xiàn)在有個討厭的C，他把消息攔截了，然后用自己的私鑰加密，同時把自己的公鑰發(fā)給B，并告訴B，那是A的公鑰，結(jié)果....，這時候就需要一個中間機(jī)構(gòu)出來說話了（相信權(quán)威，我是正確的），就出現(xiàn)了Certificate Authority(也即CA），有名的CA機(jī)構(gòu)有Verisign等，目前數(shù)字認(rèn)證的工業(yè)標(biāo)準(zhǔn)是：CCITT的X.509：
數(shù)字證書：它將一個身份標(biāo)識連同公鑰一起進(jìn)行封裝，并由稱為認(rèn)證中心或 CA 的第三方進(jìn)行數(shù)字簽名。

密鑰庫：java平臺為你提供了密鑰庫，用作密鑰和證書的資源庫。從物理上講，密鑰庫是缺省名稱為 .keystore 的文件（有一個選項使它成為加密文件）。密鑰和證書可以擁有名稱（稱為別名），每個別名都由唯一的密碼保護(hù)。密鑰庫本身也受密碼保護(hù)；您可以選擇讓每個別名密碼與主密鑰庫密碼匹配。

使用工具keytool，我們來做一件自我認(rèn)證的事情吧（相信我的認(rèn)證）：

1、創(chuàng)建密鑰庫keytool -genkey -v -alias feiUserKey -keyalg RSA 默認(rèn)在自己的home目錄下（windows系統(tǒng)是c:\documents and settings\<你的用戶名> 目錄下的.keystore文件），創(chuàng)建我們用 RSA 算法生成別名為 feiUserKey 的自簽名的證書,如果使用了-keystore mm 就在當(dāng)前目錄下創(chuàng)建一個密鑰庫mm文件來保存密鑰和證書。

2、查看證書：keytool -list 列舉了密鑰庫的所有的證書

也可以在dos下輸入keytool -help查看幫助。

二、JAR的簽名

我們已經(jīng)學(xué)會了怎樣創(chuàng)建自己的證書了，現(xiàn)在可以開始了解怎樣對JAR文件簽名，JAR文件在Java中相當(dāng)于 ZIP 文件，允許將多個 Java 類文件打包到一個具有 .jar 擴(kuò)展名的文件中，然后可以對這個jar文件進(jìn)行數(shù)字簽名，以證實其來源和真實性。該 JAR 文件的接收方可以根據(jù)發(fā)送方的簽名決定是否信任該代碼，并可以確信該內(nèi)容在接收之前沒有被篡改過。同時在部署中，可以通過在策略文件中放置訪問控制語句根據(jù)簽名者的身份分配對機(jī)器資源的訪問權(quán)。這樣，有些Applet的安全檢驗訪問就得以進(jìn)行。

使用jarsigner工具可以對jar文件進(jìn)行簽名：

現(xiàn)在假設(shè)我們有個Test.jar文件（可以使用jar命令行工具生成）：

jarsigner Test.jar feiUserKey (這里我們上面創(chuàng)建了該別名的證書) ，詳細(xì)信息可以輸入jarsigner查看幫助

驗證其真實性：jarsigner -verify　Test.jar(注意，驗證的是jar是否被修改了，但不檢驗減少的，如果增加了新的內(nèi)容，也提示，但減少的不會提示。）

使用Applet中：：< APPLET archive=Test.jar code=Test.class width=150 height=100>< /APPLET>然后瀏覽器就會提示你：準(zhǔn)許這個會話-拒絕-始終準(zhǔn)許-查看證書等。

三、安全套接字層（SSL Secure Sockets Layer）和傳輸層安全性（TLS Transport Layer Security）

安全套接字層和傳輸層安全性是用于在客戶機(jī)和服務(wù)器之間構(gòu)建安全的通信通道的協(xié)議。它也用來為客戶機(jī)認(rèn)證服務(wù)器，以及（不太常用的）為服務(wù)器認(rèn)證客戶機(jī)。該協(xié)議在瀏覽器應(yīng)用程序中比較常見，瀏覽器窗口底部的鎖表明 SSL/TLS 有效：

1）當(dāng)使用 SSL/TLS（通常使用 https:// URL）向站點進(jìn)行請求時，從服務(wù)器向客戶機(jī)發(fā)送一個證書。客戶機(jī)使用已安裝的公共 CA 證書通過這個證書驗證服務(wù)器的身份，然后檢查 IP 名稱（機(jī)器名）與客戶機(jī)連接的機(jī)器是否匹配。

2）客戶機(jī)生成一些可以用來生成對話的私鑰（稱為會話密鑰）的隨機(jī)信息，然后用服務(wù)器的公鑰對它加密并將它發(fā)送到服務(wù)器。服務(wù)器用自己的私鑰解密消息，然后用該隨機(jī)信息派生出和客戶機(jī)一樣的私有會話密鑰。通常在這個階段使用 RSA 公鑰算法。

3）客戶機(jī)和服務(wù)器使用私有會話密鑰和私鑰算法（通常是 RC4）進(jìn)行通信。使用另一個密鑰的消息認(rèn)證碼來確保消息的完整性。

java中javax.net.ssl.SSLServerSocketFactory類提供了一個很好的SSLServerSocker的工廠類，熟悉Socket編程的讀者可以去練習(xí)。當(dāng)編寫完服務(wù)器端之后，在瀏覽器上輸入https://主機(jī)名:端口 就會通過SSL/TLS進(jìn)行通話了。注意：運行服務(wù)端的時候要帶系統(tǒng)環(huán)境變量運行：javax.net.ssl.keyStore=密鑰庫(創(chuàng)建證書時，名字應(yīng)該為主機(jī)名，比如localhost)和javax.net.ssl.keyStorePassword=你的密碼

【編輯推薦】

1. Java中兩個特殊變量this和super 的使用
2. 3.6.3 this關(guān)鍵字和構(gòu)造方法的調(diào)用
3. 5.7.8 null和this關(guān)鍵字
4. Java學(xué)習(xí)筆記－JSF
5. 開發(fā)者體驗：Java抓取百度 Top500歌曲及源碼