Java加密体系结构 精品资料

JavaTM加密体系结构API规范和参考2011年01月30日

1简介[设计原理][体系结构][概念]核心类和接口[Provider类]如何请求和提供提供者的实现安装提供者[Sercuity类][MessageDigest类][Signature类][算法参数类]算法参数规范接口和类【AlgorithmParameterSpec接口】【DSAParameterSpec类】AlgorithmParameters类AlgorithmParameterGenerator类[密钥接口][密钥规范接口和类]KeySp|ec接口DSAPrivateKeySpec类

2DSAPublicKeySpec类RSAPrivateKeySpec类RSAPrivateCrtKeySpec类RSAPublicKeySpec类EncodedKeySpec类PKCS8EncodedKeySpec类X509EncodedKeySpec类[KeyFactory类][CertificateFactory类][KeyPair类][KeyPairGenerator类][密钥管理]Keystore位置Keystore实现KeyStore类[Secure|Random类]代码示例[计算MessageDigest对象][生成密钥对][用生成的密钥来生成和校验签名][用密钥规范和KeyFactory来生成和校验签名]

3[读取用Base64编码的证书][解析证书答复]附录A：标准名称附录B：算法----------------------------------------------------------------------------------------------------------------------------------------|---------------

4简介JDK安全API是Java编程语言的核心API，位于java.security包（及其子包）中。该API设计用于帮助开发人员在程序中同时使用低级和高级安全功能。JDK1.1中第一次发布的JDK安全中引入了“Java加密体系结构”(JCA)，指的是用于访问和开发Java平台密码功能的构架。在JDK1.1中，JCA包括用于数字签名和报文摘要的API。正如本文档所述，JDK1.2大大扩展了Java加密体系结构。它还对证书管理基础结构进行了升级以支持X.509v3证书，并为划分|细致、可配置性强、功能灵活、可扩展的访问控制引入了新的Java安全体系结构。Java加密体系结构包含JDK1.2安全API中与密码有关的部分，以及本文档中提供的一组约定和规范。为实现多重、可互操作的密码，它还提供了“提供者”体系结构。Java密码扩展(JCE)扩展了JCAAPI，包括用于加密、密钥交换和信息认证码（MAC）的API。JCE和JDK密码共同提供了一个与平台无关的完整密码API。JCE作为JDK的扩展将独立发布，以符合美国的出口控制约束。本文档是对Java开发工具包(JDK)1.2版中发布的Ja|va加密体系结构API及其缺省提供者的描述和说明。描述JCEAPI的文档将在JCE版本中提供。有关JDK安全API中Java安全体系结构方面的信息，参见“Java安全体系结构规范”。注：该JCA规范的最新版本可在公共网站http://java.sun.com/products/jdk/1.2/docs/guide/security/CryptoSpec.html上找到。设计原理Java加密体系结构(JCA)是根据以下原理设计的：•实现的独立性和互操作性•算法的独立性和可扩展性实现的独立性和算法独立性是互补的|：其目的是让API用户能用密码学的概念（如数字签名和报文摘要），但又不必关心这些概念的实现甚至实现这些概念所用算法的实现。当不可能完全实现算法独立性时，JCA将为开发人员提供标准的特定算法API。当实现方法的独立性不可能实现时，JCA将让开发人员指明所要求的特定实现方法。算法独立性是通过定义密码“引擎”（服务）的类型以及定义提供这些密码引擎功能的类来实现的。这些类称为engine（引擎）类，例如MessageDigest类、Signature类和KeyFactory类。实现的独立性是通过使用基于“提供者”的|体系结构而实现的。密码服务提供者（简称“提供者”）指的是用于实现一种或多种密码服务的一个包或一组包，如数字签名算法、报文摘要算法及密钥交换服务。程序可以只是简单地请求某类对象（如签名对象）实现某种服务（如DSA数字签名算法），并从任一安装好的提供者上获取实现方法。反之，必要时程序可从某个特定的提供者那请求实现方法。当有更快或更安全的版本可用时，提供者的升级对应用程序来说是透明的。

5实现的互操作性指的是各种实现方法可在一起工作，使用彼此的密钥或校验彼此的签名。这意味着对于相同的算法，由一个提供者生成的密钥可|被另一个提供者使用，而一个提供者生成的签名也可由另一个提供者来校验。算法的可扩展性指的是可以很容易地添加那些能适应所支持的engine类的新算法。体系结构密码服务提供者Java加密体系结构引入了密码服务提供者（简称为“提供者”）的概念。它是指一个（或一组）包，用于提供JDK安全API的密码子集的具体实现。例如，在JDK1.1中，提供者可包含一个或多个数字签名算法、报文摘要算法及密钥生成算法的实现。JDK1.2增加了五类附加服务：密钥工厂、密钥仓库的创建与管理；算法参数管理；算法参数的生成和证书工厂。它还允许|提供者提供随机数生成(RNG)算法。在以前的版本中，RNG不是由提供者提供的，而是某一特定的算法嵌入在JDK中的。如前所述，程序可以只是简单地请求某类对象（如Signature对象）提供某种服务（如DSA签名算法），并从某一安装好的提供者上获取该对象的实现方法。程序也可请求某一特定的提供者（每个提供者都有自己的名称，供引用时使用）。Sun版本的Java运行时环境都带有一个名为“SUN”的缺