收藏
下载资源

Java安全通信数字证书及数字证书应用实践.doc

上传人:豆**** 文档编号:17416043 上传时间:2022-05-24 格式:DOC 页数:23 大小:499.50KB
返回 下载 相关 举报
Java安全通信数字证书及数字证书应用实践.doc_第1页
第1页 / 共23页
Java安全通信数字证书及数字证书应用实践.doc_第2页
第2页 / 共23页
点击查看更多>>
资源描述

《Java安全通信数字证书及数字证书应用实践.doc》由会员分享,可在线阅读,更多相关《Java安全通信数字证书及数字证书应用实践.doc(23页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流Java安全通信数字证书及数字证书应用实践Trackback: .精品文档.摘要: 在本文中,我用详细的语言和大量的图片及完整的程序源码向你展示了在 JAVA中如何实现通过消息摘要、消息验证码达到安全通信、以及用Java的工具生成数字证书,和用程序给数字证书签名、以及用签名后的数学证书签名applet突破applet的访问权限的过程,给出了全部例子的详细代码。 通过本文中你可以学到以下知识: 程序间如何安全通信 什么是 及 如何生成消息摘要 什么是 及 如何生成消息验证码 如何使用 Java工具生成和维护数字证书库 如何用程序给数字证书验证签

2、名 如何利用数字证书给 applet签名突破applet的访问权限 关键字: 消息摘要、消息验证码、指纹、加密、安全、 Java、数字签名、applet、数字证书 一、基础知识 计算机安全通信过程中,常使用消息摘要和消息验证码来保证传输的数据未曾被第三方修改。 消息摘要是对原始数据按照一定算法进行计算得到的结果,它主要检测原始数据是否被修改过。消息摘要与加密不同,加密是对原始数据进行变换,可以从变换后的数据中获得原始数据,而消息摘要是从原始数据中获得一部分信息,它比原始数据少得多,因此消息摘要可以看作是原始数据的指纹。 例:下面一段程序计算一段字符串的消息摘要 package com.mess

3、agedigest; import java.security.*; public class DigestPass public static void main(String args) throws Exception String str=Hello,I sent to you 80 yuan.; MessageDigest md = MessageDigest.getInstance(MD5);/常用的有MD5,SHA算法等 md.update(str.getBytes(UTF-8);/传入原始字串 byte re = md.digest();/计算消息摘要放入byte数组中 /下面

4、把消息摘要转换为字符串 String result = ; for(int i=0;ire.length;i+) result += Integer.toHexString(0x000000ff&rei)|0xffffff00).substring(6); System.out.println(result); 当我们有时需要对一个文件加密时,以上方式不再适用。 又例:下面一段程序计算从输入(出)流中计算消息摘要。 package com.messagedigest; import java.io.*; import java.security.*; public class DigestIn

5、put public static void main(String args) throws Exception String fileName = test.txt; MessageDigest md = MessageDigest.getInstance(MD5); FileInputStream fin = new FileInputStream(fileName); DigestInputStream din = new DigestInputStream(fin,md);/构造输入流 /DigestOutputStream dout = new DigestOutputStream

6、(fout,md); /使用输入(出)流可以自己控制何时开始和关闭计算摘要 /也可以不控制,将全过程计算 /初始时是从开始即开始计算,如我们可以开始时关闭,然后从某一部分开始,如下: /din.on(false); int b; while(b=din.read()!=-1) /做一些对文件的处理 /if(b=$) din.on(true); /当遇到文件中的符号$时才开始计算 byte re = md.digest();/获得消息摘要 /下面把消息摘要转换为字符串 String result = ; for(int i=0;ire.length;i+) result += Integer.t

7、oHexString(0x000000ff&rei)|0xffffff00).substring(6); System.out.println(result); 当 A和B通信时,A将数据传给B时,同时也将数据的消息摘要传给B,B收到后可以用该消息摘要验证A传的消息是否正确。这时会产生问题,即若传递过程中别人修改了数据时,同时也修改了消息摘要。B就无法确认数据是否正确。消息验证码可以解决这一问题。 使用消息验证码的前提是 A和B双方有一个共同的密钥,这样A可以将数据计算出来的消息摘要加密后发给B,以防止消息摘要被改。由于使用了共同的密钥,所以称为“验证码”。 例、下面的程序即可利用共同的密钥来

8、计算消息摘要的验证码 package com.mac; import java.io.*; import java.security.*; import javax.crypto.*; import javax.crypto.spec.*; public class MyMac public static void main(String args) throws Exception /这是一个消息摘要串 String str=TestString; /共同的密钥编码,这个可以通过其它算法计算出来 byte kb=11,105,-119,50,4,-105,16,38,-14,-111,21,

9、-95,70,-15,76,-74, 67,-88,59,-71,55,-125,104,42; /获取共同的密钥 SecretKeySpec k = new SecretKeySpec(kb,HMACSHA1); /获取Mac对象 Mac m = Mac.getInstance(HmacMD5); m.init(k); m.update(str.getBytes(UTF-8); byte re = m.doFinal();/生成消息码 /下面把消息码转换为字符串 String result = ; for(int i=0;ikeytool -genkey -alias abnerCA -ke

10、yalg RSA -keysize 1024 -keystore abnerCALib -validity 3650 如下图所示: 上图中最后一步,我们输入的是 CN,代表中国的缩写,也可以直接输入“中国”两个字。 三、证书的操作方法 证书的显示 如: keytool list keystore abnerCALib 将显示 abnerCALib证书库的的所有证书列表:如下图示: 又如: keytool -list -alias abnerCA -keystore abnerCALib 将显示 abnerCALib证书库中别名为abnerCA的证书的信息。如下图所示: 又如: keytool

11、-list -v -alias abnerCA -keystore abnerCALib 将显示证书的详细信息( -v参数)如下图所示: 将证书导出到证书文件 如: keytool -export -alias abnerCA -file abnerCA.cer -keystore abnerCALib 将把证书库 abnerCALib中的别名为abnerCA的证书导出到abnerCA.cer证书文件中, 它包含证书主体的信息及证书的公钥,不包括私钥,可以公开,如下图所示 : 上面导出的证书文件是以二进制编码文件,无法用文本编辑器正确显示,因此不利用公布证书,可以加上 -rfc参数以一种可打印

12、的编者编码输出。 如: keytool -export -alias abnerCA -file abnerCA.cer -keystore abnerCALib -storepass 100200 rfc 这个命令在命令行中指定了证书库的访问密码,同时指定以可查看编码的方式输出。 3、通过证书文件查看证书的信息 通过命令 :keytool printcert file abnerCA.cer可以查看证书文件的信息。 也可以在 windows中双击产生的证书文件直接查看。 证书条目的删除 keytool的命令行参数-delete可以删除密钥库中的条目,如: keytool -delete -a

13、lias abnerCA -keystore abnerCALib 这条命令将 abnerCALib库中的abnerCA这一条证书删除了。 证书条目口令的修改 如: keytool keypasswd alias abnerCA keystore abnerCALib 可以以交互的方式修改 abnerCALib证书库中的条目为abnerCA的证书。 Keytool keypasswd alias abnerCA keypass 123456 new 200100 storepass 1002 00 keystore abnerCALib 这一行命令以非交互式的方式修改库中别名为 abnerCA

14、的证书的密码为新密码123456,行中的200100是指该条证书的原密码, 1002 00是指证书库的密码。 三、数字证书的签发(签名) 我们在上面创建好了数字证书,但这些数字证书还没有经过权威 CA的证实(即签名)。一般情况下,我们需要将这些证书发送给权威的CA,并申请其签名以确认数字证书让客户信任。 下面我们将模仿自己是一个权威的数字证书认证机构 CA,这个机构将采用自己的私钥来签发其它的证书。这个签发过程是这样的:我们自己是CA,我们自己有一个自签的数字证书存入数字证书库中。在数字证书库中的这个我们的CA数字证书,它含有私钥,公钥和我们这个CA的主体信息。下面这一个指令可以创建一个CA的

15、自签的数字证书: keytool genkey dname “CN=美森系统软件有限公司,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” alias MissionCA keyalg RSA keysize 1024 keystore abnerCALib keypass 200100 storepass 100200 validity 3650 上面,我们在 abnerCALib这个数字证书库中创建了一个别名为:missionCA、有效期为3650天、算法为RSA且密钥长度为1024的数字证书,这条证书的私钥密码为:200100,证书库的访问密码为

16、:100200。这条别名为missionCA的证书代表我们自己的权威CA即:美森系统软件有限公司这个权威CA。以后我们将用这个证书来签名其它的数字证书。 现在我要给自己申请一个数字证书,我可以这么做:先在数字证书库中创建一条证书: keytool genkey dname “CN=柴政,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” alias abnerCA keyalg RSA keysize 1024 keystore abnerCALib keypass 200100 storepass 100200 validity 3650 这样创建了一

17、个别名为 abnerCA的数字证书,我们可以将它导出为cer文件(见前)。 接着,我们可以用上一步生成的 CA的自签证书来签名我这个数字证书了。 CA签名数字证书的过程需用以下程序来进行,这个程序是自解释的: package com.security; import java.io.*; import java.security.*; import java.security.cert.*; import java.util.*; import java.math.*; import sun.security.x509.*; /* * Description: 该程序根据签发者(CA)的证书信

18、息(即CA的私钥)来对被签发者 * 的证书进行签名,过程即是使用CA的证书和被签证书来重构形成一个新的证书 * author abnerchai * version 1.0 */ public class SignCert public static void main(String args) throws Exception char storepass = 100200.toCharArray();/存放CA证书和被签证书的证书库的访问密码 char cakeypass = 200100.toCharArray();/CA数字证书条目的访问密码 String alias = missio

19、nCA;/CA证书在证书库中的别名,这个CA的证书用来签名其它的证书 String name = abnerCALib;/存放CA证书和被签证书的证书库的名字 String newLib = SignedLib;/新证书库的名字,如果需要将签名后的证书放入新库,这是新库的名字 char newLibPass = 100200.toCharArray();/设置新库的访问密码 String cerFileName = abnerCA.cer;/被签证书的证书文件名 String aliasName = abnerCA;/被签证书在证书库中的alias别名 char namePass = 2001

20、00.toCharArray();/被签证书的条目在证书库的私钥密码 int n =3; /被签证书的有效期,以年为单位,以当前时间开始计算 int sn = 200406001;/序列号可自己定义,这里定义的意义为2004年6月签发,是本年度CA签发的第多少个以001计算,要求唯一 String afteraliasName = abnerCA_Signed; /签名后新产生的被签过名的证书在库中的别名 char afterNewPass = 200100.toCharArray(); /签名后新产生的被签过名的证书在库的条目的私钥的密码 /装载证书库 FileInputStream in

21、= new FileInputStream(name); KeyStore ks = KeyStore.getInstance(JKS);/JKS为证书库的类型 ks.load(in,storepass); /从证书库中读出签发者(CA)的证书 java.security.cert.Certificate cl = ks.getCertificate(alias);/读出一个CA证书,这里的l是字母l不是数据字1 PrivateKey privateKey = (PrivateKey)ks.getKey(alias,cakeypass);/根据别名和证书密码读出CA证书的私钥 in.close

22、(); /从证书库中读出的签发者(CA)的证书中提取签发者的信息 byte encodl = cl.getEncoded();/提取证书的编码,这里是字母l不是数据字1 X509CertImpl cimpl = new X509CertImpl(encodl);/这里是字母l不是数据字1,根据证书的编码创建X509CertImpl类型的对象 /根据上面的对象获得X509CertInfo类型的对象,该对象封装了证书的全部内容。 X509CertInfo cinfo_first = (X509CertInfo)cimpl.get(X509CertImpl.NAME+.+X509CertImpl.I

23、NFO); /然后获得X500Name类型的签发者信息 X500Name issuer = (X500Name) cinfo_first.get(X509CertInfo.SUBJECT+.+CertificateIssuerName.DN_NAME); /获取待签发的证书,即获取被签发者的证书 /可从密钥库中获取,也可从导出的证书文件中获取,这里给出两种方式 / /方式一、采用从导出的cer文件中获取 start / /* CertificateFactory cf = CertificateFactory.getInstance(X.509);/X.509是使用最多的一种数字证书标准 Fi

24、leInputStream in2 = new FileInputStream(cerFileName);/被签证书文件 java.security.cert.Certificate c2 = cf.generateCertificate(in2);/生成需要被签的证书 in2.close(); byte encod2 = c2.getEncoded(); X509CertImpl cimp2 = new X509CertImpl(encod2); /获得被签证书的详细内容,然后根据这个证书生成新证书 X509CertInfo cinfo_second = (X509CertInfo)cimp

25、2.get(X509CertImpl.NAME+.+X509CertImpl.INFO); */ / /end 方式一 / / /方式二、从证书库中读出被签的证书 start / java.security.cert.Certificate c3 = ks.getCertificate(aliasName);/从证书库中读出被签证书,然后生成新的证书 byte encod3 = c3.getEncoded(); X509CertImpl cimp3 = new X509CertImpl(encod3); X509CertInfo cinfo_second = (X509CertInfo)cim

26、p3.get(X509CertImpl.NAME+.+X509CertImpl.INFO); / /end方式二 / /设置新证书的有效期,使之为当前向后n年有效,新证书的 /截止日期不能超过CA证书的有效日期 Date beginDate = new Date(); Calendar cal = Calendar.getInstance(); cal.setTime(beginDate); cal.add(cal.YEAR,n); Date endDate = cal.getTime(); CertificateValidity cv = new CertificateValidity(be

27、ginDate,endDate); cinfo_second.set(X509CertInfo.VALIDITY,cv); /设置新证书的序列号 CertificateSerialNumber csn = new CertificateSerialNumber(sn); cinfo_second.set(X509CertInfo.SERIAL_NUMBER,csn); /设置新证书的签发者 cinfo_second.set(X509CertInfo.ISSUER+.+CertificateIssuerName.DN_NAME, issuer); /新的签发者是CA的证书中读出来的 /设置新证书

28、的算法,指定CA签名该证书所使用的算法为md5WithRSA AlgorithmId algorithm = new AlgorithmId(AlgorithmId.md5WithRSAEncryption_oid); cinfo_second.set(CertificateAlgorithmId.NAME+.+ CertificateAlgorithmId.ALGORITHM,algorithm); /创建新的签名后的证书 X509CertImpl newcert = new X509CertImpl(cinfo_second); /签名,使用CA证书的私钥进行签名,签名使用的算法为MD5W

29、ithRSA newcert.sign(privateKey,MD5WithRSA);/这样便得到了经过CA签名后的证书 /把新证书存入证书库 /把新生成的证书存入一个新的证书库,也可以存入原证书库, /存入新证书库,则新证书库中不仅包含原证书库中的所有条目, /而且新增加了一个这次产生的条目。注意,这时,新产生的签名后的证书只 /包括公钥和主体信息及签名信息,不包括私钥信息。这里给出两种方式。 / /方式一:存入新密钥库 / /* ks.setCertificateEntry(afteraliasName,newcert); FileOutputStream out = new FileOu

30、tputStream(newLib); /存入新库signedLib,并设置新库的库访问密码 ks.store(out,newLibPass); out.close(); */ / /end 方式一 / /也可以采用另外一种方式,存入原证书库中 /存入原库中,即在原证书库中增加一条证书,这个证书是原证书经过签名后的证书 /这个新证书含有私钥和私钥密码 / /方式二,存入原密钥库 / /先在原库中读出被签证书的私钥 PrivateKey prk = (PrivateKey)ks.getKey(aliasName,namePass); java.security.cert.Certificate

31、cchain = newcert; /存入原来的库,第二个参数为原证书的私钥,第三个参数为新证书的私钥密码,第三个参数为新证书 ks.setKeyEntry(afteraliasName,prk,afterNewPass,cchain); /用新密钥替代原来的没有签名的证书的密码 FileOutputStream out2 = new FileOutputStream(name); ks.store(out2,storepass);/存入原来的库中,第二个参数为该库的访问密码 / /end 方式二 / 运行以上程序,即可运用 MissionCA证书来签发abnerCA证书,运行后在abnerC

32、ALib中增加一条别名为abnerCA_Signed的数字证书,我们将它导出为cer文件(导出方法见前)。 至此,我们己经用 CA的证书以我们的数字证书签名了。在windows中,双击导出的abnerCA_Signend.cer文件,出现如下图所示: 上图中证书信息一栏显示“不能验证该证书”,原因是因为,我们的这个数字证书的签发者 missionCA证书没有安装到系统中。我们可以将证书库中别名为missionCA的自签数字证书导出为cer文件,然后安装到系统中。再次查双击看此证书,如下图所示: 到此,我们己经获得了一个由我们自己的 CA签名颁发的个人数字证书。并且将我们自己的CA证书安装到系统

33、中成为系统信任的根证书。于是,以后只要是由我们的这个CA证书签名颁发的数字证书都会受到系统的信任。 四、利用数字证书给 applet签名 现在假设我们公司给 xx公司做一个项目,这个项目中需要用到applet,且这些applet需要特权以实现一些特殊的功能(如读出客户端用户系统中C:winNTsystem.ini文件中的内容并显示)。那么我们可以颁发一个数字证书,并给这个数字证书签名,然后用签名后的这个数字证书来签名我们的applet,使客户信任。具体过程如下: 一、生成一个用于此项目签名 applet 的数字证书,别名定为: mission_water 生成一个用于此项目签名的数字证书如下:

34、 keytool genkey dname “CN=美森软件-水公司项目,OU=美森系统软件有限公司,O=美森系统软件有限公司,L=成都市,ST=四川省,C=中国” alias Mission_Water keyalg RSA keysize 1024 keystore abnerCALib keypass 200100 storepass 100200 validity 3650 二、用我们的 CA(missinCA) 来签发这个数字证书 然后,运行我们在前面第三节中给定的程序,注意:运行此程序前,请修改以下参数: String cerFileName = Mission_Water.cer

35、; String aliasName = Mission_Water; String afteraliasName = Mission_Water_Signed; 然后运行,程序会在 abnerCALib证书库中产生一个别名为:Mission_Water_Signed的数字证书,这个证书是经过我们的CA(MissionCA)签发的。 下面,我们用以下指令导出这个证书: keytool -export -alias Mission_Water_Signed -file Mission_Water_Signed.cer -keystore abnerCALib -rfc 会生成一个 Mission

36、_Water_Signed.cer 文件。 三、用签发后的数字证书来签名我们的 applet 我们现在来做一个简单的 applet,它的代码如下: package com.applet; import java.awt.*; import java.awt.event.*; import java.applet.*; import javax.swing.*; import java.io.*; public class ShowFileApplet extends JApplet private boolean isStandalone = false; private String content = 文件的内容是:; /自定义的提示信息 private String fileName = C:WINNTsystem.ini;/读出这个文件的内容 private TextArea ta = new TextArea(10,80);/自定义的输出框 public S

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 小学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com