签名认证是对非对称加密技术与数字摘要技术的综合运用,指的是将通信内容的摘要信息使用发送者的私钥进行加密,然后将密文与原文一起传输给信息的接收者,接收者通过发送者的公钥信息来解密被加密的摘要作息,然后使用与发送者相同的摘要算法,对接收到的内容采用相同的方式方式产生摘要串,与解密的摘要串进行对比,如果相同,则说明接收到的内容是完整的,在传输过程中没有受到第三方的篡改,否则说明通信内容已被第三方修改。
我们知道,每个人都有其特有的私钥,且都是对外界保密的,而通过私钥加密的信息,只能通过其对应的公钥来进行解密。因此,私钥可以代表私钥持有者的身份,可以通过私钥对应的公钥来对私钥拥有者的身份进行校验。通过数字签名,能够确认消息是消息发送方签名并发送过来的,因为其他人根本假冒不了消息发送方的签名,他们没有消息发送者的私钥。而不同的内容,摘要信息千差万别,通过数字摘要算法,可以确保传输内容的完整性,如果传输内容在中途被篡改了,对应的数字签名的值也将发生改变。
数字签名的产生过程如图如示:
数字签名的校验过程:
区别于不同的摘要算法,不同的非对称加密方式,数字签名的算法也不尽相同。以下为MD5withRSA和SHA1withRSA的例子。
package com.eudi.encode; import java.security.MessageDigest; import java.security.PrivateKey; import java.security.PublicKey; import javax.crypto.Cipher; import sun.misc.BASE64Encoder; /** * 用数字签名来保证传输安全的例子 * */ public class MD5withRSA { public static void main( String[] args ) throws Exception { //要传送的明文 String content = "我是中国人,我爱自己的祖国"; //生成公钥私钥,用于生成数字签名 RSA rsa = new RSA(); PublicKey publicKey = rsa.getPublicKey(); PrivateKey privateKey = rsa.getPrivateKey(); //生成数字签名 byte[] mysign = sign(content.getBytes(), privateKey); //验证数字签名 boolean result = verify(content.getBytes(), mysign, publicKey); if(result) { System.out.println("验证成功,数据没有被修改!"); }else { System.out.println("验证失败,数据被修改过!"); } } /** * @param conentBytes * @param mysign * @param publicKey * @return * @throws Exception */ private static boolean verify(byte[] contentBytes, byte[] mysign, PublicKey publicKey) throws Exception { //首先对签名进行解密 Cipher cipher = Cipher.getInstance("RSA"); cipher.init(Cipher.DECRYPT_MODE, publicKey); byte[] decrytBytes = cipher.doFinal(mysign); //这是解密开的数字摘要 //接下来对明文进行摘要 MessageDigest md = MessageDigest.getInstance("MD5"); byte[] srcBytes = md.digest(contentBytes); //这是原数字摘要 //比较两个摘要是否相同 //将字节数据编码成Base64再进行字符串比较 if(encryptBASE64(decrytBytes).equals(encryptBASE64(srcBytes))) { System.out.println("验证成功,传送的内容为:" + new String(contentBytes)); return true; } else { return false; } } /** * 采用MD5withRSA算法对bytes进行签名 * @param bytes * @param privateKey * @return * @throws Exception */ private static byte[] sign(byte[] conentBytes, PrivateKey privateKey) throws Exception { //生成数字摘要 MessageDigest md = MessageDigest.getInstance("MD5"); byte[] md5Bytes = md.digest(conentBytes); //对摘要进行私钥加密 Cipher cipher = Cipher.getInstance("RSA"); cipher.init(Cipher.ENCRYPT_MODE, privateKey); byte[] encrytBytes = cipher.doFinal(md5Bytes); //这就是最后生成的签名 return encrytBytes; } /** * 用base64编码byte数组 * @param bytes * @return */ private static String encryptBASE64(byte[] bytes) { BASE64Encoder encoder = new BASE64Encoder(); return encoder.encodeBuffer(bytes); } } package com.eudi.encode; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.PrivateKey; import java.security.PublicKey; public class RSA { private KeyPair keyPair; /** * 构造RSA对象,初始化keyPair * @throws Exception */ public RSA() throws Exception{ KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA"); keyPairGenerator.initialize(1024); keyPair = keyPairGenerator.generateKeyPair(); } /** * @return */ public PublicKey getPublicKey() { return keyPair.getPublic(); } /** * @return */ public PrivateKey getPrivateKey() { return keyPair.getPrivate(); } }运行结果
验证成功,传送的内容为:我是中国人,我爱自己的祖国 验证成功,数据没有被修改!
以下是SHAwithRSA签名例子
package com.eudi.encode; import java.security.MessageDigest; import java.security.PrivateKey; import java.security.PublicKey; import javax.crypto.Cipher; import sun.misc.BASE64Encoder; /** * 用数字签名来保证传输安全的例子 * */ public class SHA1withRSA { public static void main( String[] args ) throws Exception { //要传送的明文 String content = "我是中国人,我爱自己的祖国"; //生成公钥私钥,用于生成数字签名 RSA rsa = new RSA(); PublicKey publicKey = rsa.getPublicKey(); PrivateKey privateKey = rsa.getPrivateKey(); //生成数字签名 byte[] mysign = sign(content.getBytes(), privateKey); //验证数字签名 boolean result = verify(content.getBytes(), mysign, publicKey); if(result) { System.out.println("验证成功,数据没有被修改!"); }else { System.out.println("验证失败,数据被修改过!"); } } /** * @param conentBytes * @param mysign * @param publicKey * @return * @throws Exception */ private static boolean verify(byte[] contentBytes, byte[] mysign, PublicKey publicKey) throws Exception { //首先对签名进行解密 Cipher cipher = Cipher.getInstance("RSA"); cipher.init(Cipher.DECRYPT_MODE, publicKey); byte[] decrytBytes = cipher.doFinal(mysign); //这是解密开的数字摘要 //接下来对明文进行摘要 MessageDigest md = MessageDigest.getInstance("SHA1"); byte[] srcBytes = md.digest(contentBytes); //这是原数字摘要 //比较两个摘要是否相同 //将字节数据编码成Base64再进行字符串比较 if(encryptBASE64(decrytBytes).equals(encryptBASE64(srcBytes))) { System.out.println("验证成功,传送的内容为:" + new String(contentBytes)); return true; } else { return false; } } /** * 采用SHA1withRSA算法对bytes进行签名 * @param bytes * @param privateKey * @return * @throws Exception */ private static byte[] sign(byte[] conentBytes, PrivateKey privateKey) throws Exception { //生成数字摘要 MessageDigest md = MessageDigest.getInstance("SHA1"); byte[] rha1Bytes = md.digest(conentBytes); //对摘要进行私钥加密 Cipher cipher = Cipher.getInstance("RSA"); cipher.init(Cipher.ENCRYPT_MODE, privateKey); byte[] encrytBytes = cipher.doFinal(rha1Bytes); //这就是最后生成的签名 return encrytBytes; } /** * 用base64编码byte数组 * @param bytes * @return */ private static String encryptBASE64(byte[] bytes) { BASE64Encoder encoder = new BASE64Encoder(); return encoder.encodeBuffer(bytes); } }Java提供了比较友好的API来使用数字签名,在sign方法中,先获取MD5withRSA的一个实例,然后使用私钥对signature进行初始化,调用update传入签名内容,最后生成签名。在verify方法中,使用公钥来对signature进行初始化,调用update传入需要校验的内容,调用signature的verify方法校验签名,并返回结果。
以下是笔者的代码实现
package com.eudi.encode; import java.security.PrivateKey; import java.security.PublicKey; import java.security.Signature; /** * 用数字签名来保证传输安全的例子 * */ public class SignatureAPI { public static void main( String[] args ) throws Exception { //要传送的明文 String content = "我是中国人,我爱自己的祖国"; //生成公钥私钥,用于生成数字签名 RSA rsa = new RSA(); PublicKey publicKey = rsa.getPublicKey(); PrivateKey privateKey = rsa.getPrivateKey(); //生成数字签名 byte[] mysign = sign(content.getBytes(), privateKey); //验证数字签名 boolean result = verify(content.getBytes(), mysign, publicKey); if(result) { System.out.println("验证成功,数据没有被修改!"); }else { System.out.println("验证失败,数据被修改过!"); } } /** * 基本Java的signature API对数字签名进行校验 * @param conentBytes * @param mysign * @param publicKey * @return * @throws Exception */ private static boolean verify(byte[] contentBytes, byte[] mysign, PublicKey publicKey) throws Exception { Signature signature = Signature.getInstance("MD5withRSA"); signature.initVerify(publicKey); signature.update(contentBytes); return signature.verify(mysign); } /** * 采用Java的Signature API进行签名 * @param bytes * @param privateKey * @return * @throws Exception */ private static byte[] sign(byte[] conentBytes, PrivateKey privateKey) throws Exception { Signature signature = Signature.getInstance("MD5withRSA"); signature.initSign(privateKey); signature.update(conentBytes); return signature.sign(); } }