Java开发网 |
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
您没有登录 |
» Java开发网 » Java Security
打印话题 寄给朋友 订阅主题 |
作者 | [转载]论Java加密技术与Windows的结合(1) |
samuel
发贴: 50 积分: 10 |
于 2003-08-22 11:17
[转载自 ·独行客· http://www.yesky.com/20030429/1666178.shtml] 公共钥匙加密技术需要一个空间来存储数字证书和私钥。通过将钥匙和证书存储到一个文件中(称为keystore),Java Security Architecture实现了独立于平台的加密技术。 Microsoft Windows把钥匙和证书存储到Windows注册表和文件系统中。这就是说,在Windows系统上运行安全的Java程序的用户必须在Java和Microsoft的钥匙和证书库之间输入和输出钥匙和证书。好消息是,你可以“哄骗”Java应用程序通过Microsoft本地函数来运用Microsoft的证书和钥匙库。 通过将你的Java应用程序同Windows 钥匙/证书库结合起来,你虽然牺牲了平台独立性,但你得到了四个好处:减少了管理和支持的成本、更方便用户使用、更好的证书撤消校验、以及更好的钥匙和证书管理工具。 一个Java程序必须通过四个不同的类实现与Windows加密术的集成: · TrustManager Provider:用这个类来实现与Windows证书库的集成并实现安全策略。 · KeyManager Provider:用这个类来实现与Windows私钥库的集成。 · RSA Signature Provider:数字签名需要访问私钥库。如果Java程序不能读取私钥(比如,如果私钥存在一个加密了的智能卡上了),那么签名操作就必须在Windows中进行。 · RSA Cipher Provider:解密RSA加密的数据(如加密套接字协议层(SSL)对称的钥匙)需要访问私钥库。如果Java程序不能读取私钥(比如,如果私钥存在一个加密了的智能卡上了),那么RSA解密操作就必须在Windows中进行。 我将讲述与Windows平台集成的TrustManager Provider、KeyManager Provider、RSA Signature Provider和RSA Cipher Provider的用法。TrustManager和KeyManager可以让你构建可运行的Windows支持的Java Secure Socket Extension(JSSE)应用程序。JSSE范例程序——EchoServer和EchoClient可以证明这一点。你不能覆盖JSSE的内置的RSA Cipher Provider,所以,只有当私钥可以从Windows钥匙库中输出时,JSSE应用程序才可以运行。 如果你在编写一个运用RSA签名或RSA加密的Java应用程序,那么你可以运用Windows支持的RSA Signature Provider和Cipher Provider。这不需要从Windows钥匙库中输出私钥。对于其它三个提供者(provider),你可以单独使用每一个。 该代码是用 beta版JDK 1.4.0-rc开发的,很稳定。不过,我们打算将该代码作为一个框架,进行进一步的开发。在将该代码用于生产环境前,你应该改进异常处理,确信在本地代码中没有内存泄露,并使密钥的暴露降低到最小。为了测试代码,你需要一个RSA数字证书。你可以从VeriSign网站www.verisign.com/client/enrollment得到一个临时证书,有效期是60天。具体操作请遵循该站点上的指南。不要选定标为“Protect your Private Key”的框。因为没有选定这个框,你的私钥就可以输出。 下面的代码初试化了四个提供者: MSTrustMgrProvider.install(); MSKeyMgrProvider.install(); MSRSASignProvider.install(); MSRSACipherProvider.install(); kmf = KeyManagerFactory .getInstance("MSKMF"); tmf = TrustManagerFactory. getInstance("MSTMF"); Cipher cipher = Cipher.getInstance( "RSA/ECB/PKCS1Padding"); Signature rsa = Signature.getInstance( "SHA1withRSA"); 所有的四个提供者都调用了10个本地的Microsoft函数: · MSgetCACerts()从Microsoft证书库返回一列认证授权中心(Certificate Authority (CA))签发的证书。 · 如果一个证书没有被撤消,MSVerifyCertRevocation()返回true。 · MSgetPrivateKey()为一个特定的别名(alias )返回私钥。(这里所说的一个别名就是带有一个RSA私钥和证书的一个身份。)钥匙从Microsoft钥匙库中输出。 · MSgetCert()为一个特定的别名从Microsoft证书库中返回一个证书。 · MSgetAliases()返回一组别名(带有私钥的一个身份的名字)。Microsoft钥匙库中的每个私钥都有一个别名。 · MSrsaSignHash()返回哈希数据(hashed data)的RSA签名。 · MSrsaDecrypt()用RSA算法来解密一个先前加密了的数据块。 · MSrsaEncrypt()用Microsoft RSA provider来加密一个数据块。 · MSrsaGetKeysize()返回Microsoft钥匙库中一个钥匙的RSA钥匙大小。 · MSgetCRL()将一个证书撤消清单(Certificate Revocation List(CRL))下载到Microsoft Internet缓存中。 一个约500行的用C语言代码编写的源文件mscryptofunctions.c中包含了所有这些函数。该代码可以在Windows 98/NT4/2000/XP上运行。 |
话题树型展开 |
人气 | 标题 | 作者 | 字数 | 发贴时间 |
7204 | [转载]论Java加密技术与Windows的结合(1) | samuel | 2638 | 2003-08-22 11:17 |
已读帖子 新的帖子 被删除的帖子 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |