1、加密算法
为了网络通讯中的报文安全,一般需要对报文进行加密,目前常用的加密算法有:
非对称加密算法:又称公钥加密算法,如RSA、DSA/DSS,最常用的就是RSA算法(算法公开,可自行百度了解算法细节),算法产生一个公钥一个私钥,用公钥加密的报 文只能用私钥解密,用私钥加密的报文只能用公钥解密;
对称加密算法:3DES、AES、RC4,加密密钥与解密密钥相同,一般用于只有通讯双方知道密钥的通讯方式;
HASH算法:MD5、SHA1、SHA256,由哈希算法计划得到哈希值,加密过程不可逆,由哈希值不能得到原明文,一般用于作摘要签名;
2、数字证书
数字证书是由CA(Certificate Authority)机构,发行的用于网络通讯中验证身份的一种方式; 关于数字证书在此不做缀述,有兴趣的小伙伴可以自行网上查找;
数字证书中一般包含了此证书拥有者、证书使用者、证书名称、证书公钥等信息。
3、证书生成
用JDK提供的证书管理工具keytool可以制作证书,命令如下:
keytool -genkey -keyalg RSA -keysize 2048 -validity 36500 -alias SEC_TEST -keypass 123456 -keystore test.keystore -storepass 123456 -dname "CN=localhost,OU=DEP,O=CN,L=BJ,ST=BJ,C=CN"
其中,-keyalg 指定算法,
-keysize指定密钥大小,
-validity指定有效期,单位为天,
-alias 别名
-keypass 指定私钥使用密码,
-keystore指定密钥库名称,
-storepass 证书库的使用密码,从里面提取公钥时需要密码
-dname :CN拥有者名字,一般为网站名或IP+端口,如www.baidu.com,OU组织机构名 O组织名 L城市 ST州或省 C国家代码
以上命令执行后将在当前目录下产生一个keystore文件,里面保存着密钥和证书信息;
导出公钥:
keytool -export -alias SEC_TEST -file test_pub_cer.cer -keystore test.keystore -storepass 123456
在当前目录下会产生一个test_pub_cer.cer的证书,包含了公钥信息及证书相关信息;
导入合作方公钥:
通讯双方假设为A和B,A发布了自己的证书并公开了公钥,B所有经过A的公钥加密的报文发送给A后,A可以正确解密,如果A给B发送报文,A用私钥加密,B可以用公钥解密,但这里有一个问题就是公钥是公开的,A发送给B的报文,任何有公钥的人都可以解密,不能保证A向B发送信息的安全性,所以B也需要制作自己的证书,并对A公开自己的公钥,这样A向B发送信息里用B的公钥加密,这样B就可以用私钥解密,而其他截获信息的人因为没有私钥也不能解密;A需要将B的公钥导入自己的证书库;
keytool -import -file B.cer -keystore test.keystore -storepass 123456
提示是否信任这个认证,y,回车后即可导入,然后查看证书库中的证书条目:
keytool -list -v -keystore test.keystore -storepass 123456
先写一点,下章将以HTTPS协议为例详细讲解使用过程。