您好,登錄后才能下訂單哦!
本篇內(nèi)容介紹了“Java怎么實(shí)現(xiàn)密鑰的管理”的有關(guān)知識(shí),在實(shí)際案例的操作過(guò)程中,不少人都會(huì)遇到這樣的困境,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!
之前的文章中,我們分別講到了對(duì)稱密碼,公鑰密碼,消息認(rèn)證碼和數(shù)字簽名這四種密碼學(xué)技術(shù)。這里我們?cè)賮?lái)回顧一下。
對(duì)稱密碼
對(duì)稱密碼使用相同的密鑰來(lái)進(jìn)行明文的加密和解密。
公鑰密碼
公鑰密碼使用不同的密鑰來(lái)對(duì)消息進(jìn)行加密解密。
消息認(rèn)證碼
消息認(rèn)證碼使用相同的密鑰來(lái)對(duì)消息進(jìn)行認(rèn)證。
數(shù)字簽名
數(shù)字簽名使用不同的密鑰來(lái)對(duì)消息進(jìn)行簽名和驗(yàn)證。
其中對(duì)稱密碼和公鑰密碼是直接對(duì)明文進(jìn)行加密,從而用來(lái)保證消息的機(jī)密性。
而消息認(rèn)證碼和數(shù)字簽名則是用來(lái)做消息的認(rèn)證,其本身并不用作對(duì)明文的加密,主要來(lái)驗(yàn)證消息的合法性。
上面的四種是按照加密方式和使用用途來(lái)分的,其實(shí)安裝密鑰的使用次數(shù)可以分為會(huì)話密鑰和主密鑰。
會(huì)話密鑰是只用在一個(gè)會(huì)話中的密鑰,用完之后就廢棄不用了,而主密鑰是固定的密鑰,一直重復(fù)使用的密鑰。
熟悉SSL/TLS協(xié)議的朋友肯定對(duì)這個(gè)比較熟悉,在這個(gè)協(xié)議中每次會(huì)話都會(huì)創(chuàng)建一個(gè)單獨(dú)的密鑰用來(lái)加密會(huì)話消息,也就是說(shuō)每次會(huì)話都會(huì)創(chuàng)建一個(gè)會(huì)話密鑰。
另外安裝加密對(duì)象是內(nèi)容還是密鑰,我們可以分為加密消息的密鑰(CEK)和加密密鑰的密鑰(KEK)。加密消息的密鑰很好理解,之前的對(duì)稱密鑰和公鑰密鑰就是CEK。而加密密鑰的密鑰主要是為了減少密鑰的保存?zhèn)€數(shù)。
我們主要從下面幾個(gè)方面來(lái)講解密鑰的管理:
生成密鑰
生成密鑰有兩種方式,使用隨機(jī)數(shù)和使用口令。
隨機(jī)數(shù)一定要有不可被推斷的特性,一般來(lái)說(shuō)我們需要使用偽隨機(jī)送生成器來(lái)生成。
java代碼中我們通常會(huì)用到Random類,但是這個(gè)類是不能用來(lái)生成密鑰的。我們可以使用java.security.SecureRandom來(lái)生成密碼安全的隨機(jī)數(shù)。
下面是SecureRandom的兩種常用用法:
SecureRandom random = new SecureRandom(); byte bytes[] = new byte[20]; random.nextBytes(bytes);
byte seed[] = random.generateSeed(20);
除了隨機(jī)數(shù),另外一種方式就是口令了。
口令是人類可以記住的密碼,為了保證口令生成的密鑰不會(huì)被暴力破解,需要對(duì)口令加鹽。
簡(jiǎn)單點(diǎn)說(shuō)就是向口令添加一個(gè)隨機(jī)數(shù),然后對(duì)添加之后的數(shù)進(jìn)行hash計(jì)算,計(jì)算出來(lái)的結(jié)果就可以當(dāng)做密鑰了。
配送密鑰
為了配送密鑰我們可以采用事先共享密鑰,使用密鑰分配中心,使用公鑰密碼等方式。當(dāng)然還可以采用其他的方式來(lái)配送。
更新密鑰
有的時(shí)候,為了保證密鑰的安全,我們需要不定期的更新密鑰,一般的做法就是使用當(dāng)前的密鑰作為一個(gè)基準(zhǔn)值,通過(guò)特定的算法計(jì)算出新的密鑰。
保存密鑰
學(xué)過(guò)區(qū)塊鏈的應(yīng)該都知道有個(gè)紙密鑰的東西,實(shí)際上就是把密鑰寫在紙上進(jìn)行保存。
當(dāng)密鑰太多的話,離線保存密鑰也成了一個(gè)非常困難的工作。這時(shí)候就可以使用到密鑰的密鑰KEK。將這些密鑰加密后保存。
這樣加密后的密鑰我們不用特別考慮其安全性,因?yàn)榧词贡桓`取也無(wú)法還原之前的密鑰。我們只需要保存加密這些密鑰的密鑰即可。
作廢密鑰
作廢密鑰是個(gè)非常比較復(fù)雜的事情,因?yàn)槊荑€就是密鑰,即使你把它刪除,其他的人也可能持有它的備份。所以在設(shè)計(jì)的時(shí)候要充分考慮到密鑰作廢的情況。
我們可以通過(guò)CRL列表來(lái)保存廢棄的密鑰。
“Java怎么實(shí)現(xiàn)密鑰的管理”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。