Java加密和数字签名编程快速入门(二)

xiangfei01

4）数字签名：

　　数字签名，它是确定交换消息的通信方身份的第一个级别。上面A通过使用公钥加密数据后发给B，B利用私钥解密就得到了需要的数据，问题来了，由于都是使用公钥加密，那么如何检验是A发过来的消息呢？上面也提到了一点，私钥是唯一的，那么A就可以利用A自己的私钥进行加密，然后B再利用A的公钥来解密，就可以了；数字签名的原理就基于此，而通常为了证明发送数据的真实性，通过利用消息摘要获得简短的消息内容，然后再利用私钥进行加密散列数据和消息一起发送。java中为数字签名提供了良好的支持，java.security.Signature类提供了消息签名：

/** *DigitalSignature2Example.java *Copyright 2005-2-16 */ import java.security.Signature; import java.security.KeyPairGenerator; import java.security.KeyPair; import java.security.SignatureException; /** *数字签名，使用RSA私钥对对消息摘要签名，然后使用公?验证 测试 */ public class DigitalSignature2Example{ 　public static void main(String[] args) throws Exception{ 　　if(args.length!=1){ 　　　System.err.println("Usage:java DigitalSignature2Example "); 　　　System.exit(1); 　　} 　　byte[] plainText=args[0].getBytes("UTF8"); 　　//形成RSA公钥对 　　System.out.println("\nStart generating RSA key"); 　　KeyPairGenerator keyGen=KeyPairGenerator.getInstance("RSA"); 　　keyGen.initialize(1024); 　　KeyPair key=keyGen.generateKeyPair(); 　　System.out.println("Finish generating RSA key"); 　　//使用私?签名 　　Signature sig=Signature.getInstance("SHA1WithRSA"); 　　sig.initSign(key.getPrivate()); 　　sig.update(plainText); 　　byte[] signature=sig.sign(); 　　System.out.println(sig.getProvider().getInfo()); 　　System.out.println("\nSignature:"); 　　System.out.println(new String(signature,"UTF8")); 　　//使用公?验证 　　System.out.println("\nStart signature verification"); 　　sig.initVerify(key.getPublic()); 　　sig.update(plainText); 　　try{ 　　　if(sig.verify(signature)){ 　　　　System.out.println("Signature verified"); 　　　}else System.out.println("Signature failed"); 　　　}catch(SignatureException e){ 　　　　System.out.println("Signature failed"); 　　　} 　　} }

　　5)数字证书。

　　还有个问题，就是公钥问题，A用私钥加密了，那么B接受到消息后，用A提供的公钥解密；那么现在有个讨厌的C，他把消息拦截了，然后用自己的私钥加密，同时把自己的公钥发给B，并告诉B，那是A的公钥，结果....，这时候就需要一个中间机构出来说话了（相信权威，我是正确的），就出现了Certificate Authority(也即CA），有名的CA机构有Verisign等，目前数字认证的工业标准是：CCITT的X.509：
数字证书：它将一个身份标识连同公钥一起进行封装，并由称为认证中心或 CA 的第三方进行数字签名。

　　密钥库：java平台为你提供了密钥库，用作密钥和证书的资源库。从物理上讲，密钥库是缺省名称为 .keystore 的文件（有一个选项使它成为加密文件）。密钥和证书可以拥有名称（称为别名），每个别名都由唯一的密码保护。密钥库本身也受密码保护；您可以选择让每个别名密码与主密钥库密码匹配。 

　　使用工具keytool，我们来做一件自我认证的事情吧（相信我的认证）：

　　1、创建密钥库keytool -genkey -v -alias feiUserKey -keyalg RSA 默认在自己的home目录下（windows系统是c:\documents and settings\<你的用户名> 目录下的.keystore文件），创建我们用 RSA 算法生成别名为 feiUserKey 的自签名的证书,如果使用了-keystore mm 就在当前目录下创建一个密钥库mm文件来保存密钥和证书。

　　2、查看证书：keytool -list 列举了密钥库的所有的证书 

　　也可以在dos下输入keytool -help查看帮助。