基本概念
密碼學的三大作用:加密( Encryption)凤价、認證(Authentication)街图,鑒定(Identification)
加密:
防止壞人獲取你的數(shù)據(jù)
鑒權(quán):
防止壞人假冒你的身份。
認證:
防止壞人修改了你的數(shù)據(jù)而你卻并沒有發(fā)現(xiàn)。
Base64編碼
Base64編碼算法是一種用64個字符(ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/)來表示任意二進制數(shù)據(jù)的方法。在加解密算法中,原始的數(shù)據(jù)和加密后的數(shù)據(jù)一般也是二進制數(shù)據(jù)实愚,為了不傳輸出錯,方便保存或者調(diào)試代碼兔辅,一般需要對加密后的數(shù)據(jù)進行base64編碼腊敲。
常用加密算法
對稱加密算法(加解密密鑰相同)
加解密速度快,適合大數(shù)據(jù)量的加解密處理,但是密鑰管理困難维苔,不適合互聯(lián)網(wǎng),一般用于內(nèi)部系統(tǒng)
常見的有DES碰辅,3DES,AES蕉鸳,DES默認的是56位的加密密鑰乎赴,已經(jīng)不安全,不建議使用潮尝,推薦使用AES榕吼,Android 提供的AES加密算法API默認使用的是ECB模式,所以要顯式指定加密算法為:CBC或CFB模式勉失,可帶上PKCS5Padding填充羹蚣。AES密鑰長度最少是128位,推薦使用256位乱凿。
try {
String a="abc";
//生成key
KeyGenerator keyGenerator=KeyGenerator.getInstance("AES");
keyGenerator.init(256);
//產(chǎn)生秘鑰
SecretKey secretKey=keyGenerator.generateKey();
//獲取秘鑰
byte[] bytes=secretKey.getEncoded();
//還原秘鑰
SecretKey key=new SecretKeySpec(bytes,"AES");
Cipher cipher=Cipher.getInstance("AES/CBC/PKCS5Padding");
cipher.init(Cipher.ENCRYPT_MODE,secretKey);
byte[] result=cipher.doFinal(a.getBytes());
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} catch (NoSuchPaddingException e) {
e.printStackTrace();
} catch (InvalidKeyException e) {
e.printStackTrace();
} catch (BadPaddingException e) {
e.printStackTrace();
} catch (IllegalBlockSizeException e) {
e.printStackTrace();
}
非對稱加密(加密密鑰和解密密鑰不同)
密鑰容易管理,速度慢顽素,適合小數(shù)據(jù)量加解密或數(shù)據(jù)簽名咽弦,非對稱加密算法需要兩個密鑰:公開密鑰(publickey)和私有密鑰(privatekey)浆竭。公開密鑰與私有密鑰是一對泵额,如果用公開密鑰對數(shù)據(jù)進行加密,只有用對應(yīng)的私有密鑰才能解密犹菇;如果用私有密鑰對數(shù)據(jù)進行加密全蝶,那么只有用對應(yīng)的公開密鑰才能解密(這個過程可以做數(shù)字簽名)闹蒜。
非對稱加密主要使用的是RSA算法。
生成密鑰對:
public static KeyPair generateRSAKeyPair(int keyLength) {
try {
KeyPairGenerator kpg = KeyPairGenerator.getInstance(RSA);
kpg.initialize(keyLength);//密鑰長度不要低于512位抑淫,建議使用2048位的密鑰長度
return kpg.genKeyPair();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
return null;
}
}
公鑰加密:
public static byte[] encryptByPublicKey(byte[] data, byte[] publicKey) throws Exception {
// 得到公鑰
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKey);
KeyFactory kf = KeyFactory.getInstance(RSA);
PublicKey keyPublic = kf.generatePublic(keySpec);
// 加密數(shù)據(jù)
Cipher cp = Cipher.getInstance(ECB_PKCS1_PADDING);
cp.init(Cipher.ENCRYPT_MODE, keyPublic);
return cp.doFinal(data);
}
私鑰加密:
public static byte[] encryptByPrivateKey(byte[] data, byte[] privateKey) throws Exception {
// 得到私鑰
PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(privateKey);
KeyFactory kf = KeyFactory.getInstance(RSA);
PrivateKey keyPrivate = kf.generatePrivate(keySpec);
// 數(shù)據(jù)加密
Cipher cipher = Cipher.getInstance(ECB_PKCS1_PADDING);
cipher.init(Cipher.ENCRYPT_MODE, keyPrivate);
return cipher.doFinal(data);
}
公鑰解密:
public static byte[] decryptByPublicKey(byte[] data, byte[] publicKey) throws Exception {
// 得到公鑰
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(publicKey);
KeyFactory kf = KeyFactory.getInstance(RSA);
PublicKey keyPublic = kf.generatePublic(keySpec);
// 數(shù)據(jù)解密
Cipher cipher = Cipher.getInstance(ECB_PKCS1_PADDING);
cipher.init(Cipher.DECRYPT_MODE, keyPublic);
return cipher.doFinal(data);
}
私鑰解密:
public static byte[] decryptByPrivateKey(byte[] encrypted, byte[] privateKey) throws Exception {
// 得到私鑰
PKCS8EncodedKeySpec keySpec = new PKCS8EncodedKeySpec(privateKey);
KeyFactory kf = KeyFactory.getInstance(RSA);
PrivateKey keyPrivate = kf.generatePrivate(keySpec);
// 解密數(shù)據(jù)
Cipher cp = Cipher.getInstance(ECB_PKCS1_PADDING);
cp.init(Cipher.DECRYPT_MODE, keyPrivate);
byte[] arr = cp.doFinal(encrypted);
return arr;
}
注意:android系統(tǒng)的RSA實現(xiàn)是"RSA/None/NoPadding"绷落,而標準JDK實現(xiàn)是"RSA/None/PKCS1Padding" ,這造成了在android機上加密后無法在服務(wù)器上解密的原因始苇,1024位key的最多只能加密127位數(shù)據(jù)砌烁,否則就會報錯(javax.crypto.IllegalBlockSizeException: Data must not be longer than 117 bytes)
消息摘要
MD5加密全程是Message-Digest Algoorithm 5(信息-摘要算法),它對信息進行摘要采集催式,再通過一定的位運算函喉,最終獲取加密后的MD5字符串。
例如我們要加密一篇文章荣月,那么我們會隨機從每段話或者每行中獲取一個字函似,把這些字統(tǒng)計出來后,再通過一定的運算獲得一個固定長度的MD5加密后信息喉童。因此,其很難被逆向破解顿天。
Android端 AES+RSA結(jié)合實踐
Android端
服務(wù)器端(server)分別生成自己的RSA密鑰對,并提供接口給Android客戶端獲取RSA公鑰(rsaPublicKey)
client生成AES密鑰(aesKey)
client使用自己的AES密鑰(aesKey)對轉(zhuǎn)換為json格式的請求明文數(shù)據(jù)(data)進行加密堂氯,得到加密后的請求數(shù)據(jù)encryptData
client提供server提供的接口獲取RSA公鑰(rsaPublicKey)
client使用獲取RSA公鑰(rsaPublicKey)對AES密鑰(aesKey)進行加密,得到encryptAesKey
client將encryptAesKey作為http請求頭參數(shù)牌废,將加密后的請求數(shù)據(jù)encryptData作為請求體一起傳輸給服務(wù)器端
服務(wù)器端
server響應(yīng)client的http請求咽白,讀取http請求頭。獲得client傳過來的加密后的AES密鑰(encryptAesKey)鸟缕,讀取http請求體晶框,獲得client傳過來的加密后的請求數(shù)據(jù)(encryptData)。
server使用自己的RSA私鑰(rsaPrivateKey)對加密后的AES密鑰(encryptAesKey)進行RSA解密懂从,得到AES密鑰(aesKey)
使用解密后的AES密鑰(aesKey)對加密后的請求數(shù)據(jù)(encryptData),進行AES解密操作授段,得到解密后的請求數(shù)據(jù)(data),該數(shù)據(jù)為json格式
對解密后的請求數(shù)據(jù)(data)進行json解析番甩,然后做相關(guān)的響應(yīng)操作侵贵。
