溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

Java怎么實(shí)現(xiàn)密鑰的管理

發(fā)布時(shí)間:2022-01-15 10:43:54 來(lái)源:億速云 閱讀:210 作者:iii 欄目:互聯(lián)網(wǎng)科技

本篇內(nèi)容介紹了“Java怎么實(shí)現(xiàn)密鑰的管理”的有關(guān)知識(shí),在實(shí)際案例的操作過(guò)程中,不少人都會(huì)遇到這樣的困境,接下來(lái)就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧!希望大家仔細(xì)閱讀,能夠?qū)W有所成!

各種密鑰總結(jié)

之前的文章中,我們分別講到了對(duì)稱密碼,公鑰密碼,消息認(rèn)證碼和數(shù)字簽名這四種密碼學(xué)技術(shù)。這里我們?cè)賮?lái)回顧一下。

  • 對(duì)稱密碼

Java怎么實(shí)現(xiàn)密鑰的管理

對(duì)稱密碼使用相同的密鑰來(lái)進(jìn)行明文的加密和解密。

  • 公鑰密碼

Java怎么實(shí)現(xiàn)密鑰的管理

公鑰密碼使用不同的密鑰來(lái)對(duì)消息進(jìn)行加密解密。

  • 消息認(rèn)證碼

Java怎么實(shí)現(xiàn)密鑰的管理

消息認(rèn)證碼使用相同的密鑰來(lái)對(duì)消息進(jìn)行認(rèn)證。

  • 數(shù)字簽名

Java怎么實(shí)現(xiàn)密鑰的管理

數(shù)字簽名使用不同的密鑰來(lái)對(duì)消息進(jìn)行簽名和驗(yàn)證。

其中對(duì)稱密碼和公鑰密碼是直接對(duì)明文進(jìn)行加密,從而用來(lái)保證消息的機(jī)密性。

而消息認(rèn)證碼和數(shù)字簽名則是用來(lái)做消息的認(rèn)證,其本身并不用作對(duì)明文的加密,主要來(lái)驗(yàn)證消息的合法性。

其他密鑰分類

上面的四種是按照加密方式和使用用途來(lái)分的,其實(shí)安裝密鑰的使用次數(shù)可以分為會(huì)話密鑰和主密鑰。

會(huì)話密鑰是只用在一個(gè)會(huì)話中的密鑰,用完之后就廢棄不用了,而主密鑰是固定的密鑰,一直重復(fù)使用的密鑰。

熟悉SSL/TLS協(xié)議的朋友肯定對(duì)這個(gè)比較熟悉,在這個(gè)協(xié)議中每次會(huì)話都會(huì)創(chuàng)建一個(gè)單獨(dú)的密鑰用來(lái)加密會(huì)話消息,也就是說(shuō)每次會(huì)話都會(huì)創(chuàng)建一個(gè)會(huì)話密鑰。

另外安裝加密對(duì)象是內(nèi)容還是密鑰,我們可以分為加密消息的密鑰(CEK)和加密密鑰的密鑰(KEK)。加密消息的密鑰很好理解,之前的對(duì)稱密鑰和公鑰密鑰就是CEK。而加密密鑰的密鑰主要是為了減少密鑰的保存?zhèn)€數(shù)。

密鑰的管理

我們主要從下面幾個(gè)方面來(lái)講解密鑰的管理:

  1. 生成密鑰

生成密鑰有兩種方式,使用隨機(jī)數(shù)和使用口令。

隨機(jī)數(shù)一定要有不可被推斷的特性,一般來(lái)說(shuō)我們需要使用偽隨機(jī)送生成器來(lái)生成。

java代碼中我們通常會(huì)用到Random類,但是這個(gè)類是不能用來(lái)生成密鑰的。我們可以使用java.security.SecureRandom來(lái)生成密碼安全的隨機(jī)數(shù)。

下面是SecureRandom的兩種常用用法:

        SecureRandom random = new SecureRandom();
        byte bytes[] = new byte[20];
        random.nextBytes(bytes);
 byte seed[] = random.generateSeed(20);

除了隨機(jī)數(shù),另外一種方式就是口令了。

口令是人類可以記住的密碼,為了保證口令生成的密鑰不會(huì)被暴力破解,需要對(duì)口令加鹽。

簡(jiǎn)單點(diǎn)說(shuō)就是向口令添加一個(gè)隨機(jī)數(shù),然后對(duì)添加之后的數(shù)進(jìn)行hash計(jì)算,計(jì)算出來(lái)的結(jié)果就可以當(dāng)做密鑰了。

  1. 配送密鑰

為了配送密鑰我們可以采用事先共享密鑰,使用密鑰分配中心,使用公鑰密碼等方式。當(dāng)然還可以采用其他的方式來(lái)配送。

  1. 更新密鑰

有的時(shí)候,為了保證密鑰的安全,我們需要不定期的更新密鑰,一般的做法就是使用當(dāng)前的密鑰作為一個(gè)基準(zhǔn)值,通過(guò)特定的算法計(jì)算出新的密鑰。

  1. 保存密鑰

學(xué)過(guò)區(qū)塊鏈的應(yīng)該都知道有個(gè)紙密鑰的東西,實(shí)際上就是把密鑰寫在紙上進(jìn)行保存。

當(dāng)密鑰太多的話,離線保存密鑰也成了一個(gè)非常困難的工作。這時(shí)候就可以使用到密鑰的密鑰KEK。將這些密鑰加密后保存。

這樣加密后的密鑰我們不用特別考慮其安全性,因?yàn)榧词贡桓`取也無(wú)法還原之前的密鑰。我們只需要保存加密這些密鑰的密鑰即可。

  1. 作廢密鑰

作廢密鑰是個(gè)非常比較復(fù)雜的事情,因?yàn)槊荑€就是密鑰,即使你把它刪除,其他的人也可能持有它的備份。所以在設(shè)計(jì)的時(shí)候要充分考慮到密鑰作廢的情況。

我們可以通過(guò)CRL列表來(lái)保存廢棄的密鑰。

“Java怎么實(shí)現(xiàn)密鑰的管理”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注億速云網(wǎng)站,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI