Java安全——基于密码的加密

Java安全

基于密码的加密

基于密码加密和SSL加密的区别

• 密码加密可以数据和密码分离传输
• SSL只限于在套接字空间传输的数据进行加密

SSL和密码加密

密码加密是指通过算法将原始信息转换成密文，只有知道相应密钥的人才能解密。Java中常用的密码加密算法包括MD5、SHA、AES、DES等，可以用于实现用户密码的加密存储、数据安全传输等场景。

SSL加密（Secure Sockets
Layer）是一种基于公钥加密技术的安全协议，主要用于保证数据在传输过程中的安全性和完整性。SSL通过使用数字证书来确保客户端与服务端之间的通信安全，可以防止网络中间人攻击、数据篡改、信息泄露等问题。在Java中，使用SSLSocket、SSLServerSocket等类可以实现SSL加密传输。

密码引擎

在Java Cryptography Extension (JCE) 中，有多种加密引擎可供使用。以下是每个引擎的简要说明和使用示例：

1. Cipher：用于对称加密和解密算法。可以使用getInstance方法获取Cipher对象，并指定加密算法和工作模式/填充模式。然后使用init方法初始化Cipher对象，传递加密操作模式（加密、解密、包括需要的密钥和其他参数）以及密钥。最后，使用doFinal方法进行实际的加密和解密操作。
   示例：

   Cipher cipher = Cipher.getInstance(“AES/CBC/PKCS5Padding”);
   cipher.init(Cipher.ENCRYPT_MODE, secretKey, iv);
   byte[] encryptedData = cipher.doFinal(data);

2. KeyGenerator：用于生成对称密钥。可使用getInstance方法获取KeyGenerator对象，并指定密钥算法。然后使用init方法初始化密钥生成器，设置密钥的长度、安全随机数源等。最后，使用generateKey方法生成对称密钥。
   示例：

   KeyGenerator keyGenerator = KeyGenerator.getInstance(“AES”);
   keyGenerator.init(256);
   SecretKey secretKey = keyGenerator.generateKey();

3. SecureRandom：生成安全随机数。可使用getInstance方法获取SecureRandom对象，并选择合适的算法。然后，直接调用nextBytes方法生成指定长度的随机字节。
   示例：

   SecureRandom secureRandom = SecureRandom.getInstanceStrong();
   byte[] randomBytes = new byte[16];
   secureRandom.nextBytes(randomBytes);

4. Signature：用于数字签名和验证。可以使用getInstance方法获取Signature对象，并选择签名算法。然后，通过initSign方法初始化签名对象并传递私钥，或通过initVerify方法初始化验证对象并传递公钥。最后，使用update方法传入要签名的数据，调用sign方法进行签名，或调用verify方法进行验证。
   示例：

   Signature signature = Signature.getInstance(“SHA256withRSA”);
   signature.initSign(privateKey);
   signature.update(data);
   byte[] signatureBytes = signature.sign();

5. Mac：提供消息认证码算法。可以使用getInstance方法获取Mac对象，并选择合适的算法。然后，通过init方法传入密钥初始化Mac对象。最后，使用doFinal方法对数据进行消息认证，生成Mac码。
   示例：

   Mac mac = Mac.getInstance(“HmacSHA256”);
   mac.init(secretKey);
   byte[] macBytes = mac.doFinal(data);

6. KeyPairGenerator：用于生成非对称密钥对。可以使用getInstance方法获取KeyPairGenerator对象，并选择合适的加密算法。然后，使用initialize方法传递密钥长度和可选的随机源初始化密钥对生成器。最后，通过generateKeyPair方法生成非对称密钥对。
   示例：

   KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(“RSA”);
   keyPairGenerator.initialize(2048);
   KeyPair keyPair = keyPairGenerator.generateKeyPair();

这些示例演示了如何使用JCE中的加密引擎。您可以根据自己的需求选择适当的加密算法和模式，并按照示例代码进行相应的初始化和操作。请注意，还需要进行适当的异常处理和密钥管理来保证安全性。

密码流

在Java安全中，CipherInputStream是一种基于密码的输入流，用于加密或解密数据流。它可以与其他输入流（如文件输入流或网络输入流）结合使用，将数据流加密或解密。

CipherInputStream使用javax.crypto.Cipher加密引擎来处理数据流的加密或解密操作。它接收一个已初始化的Cipher对象作为参数，并使用该Cipher对象来进行相应的加密或解密操作。

以下是CipherInputStream的说明和使用示例：

import javax.crypto.Cipher;
import javax.crypto.CipherInputStream;
import javax.crypto.spec.SecretKeySpec;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStream;
import java.io.OutputStream;
import java.security.Key;
import java.util.Base64;

public class CipherInputStreamExample {
    public static void main(String[] args) throws Exception {
        // 定义密钥
        String keyString = "0123456789ABCDEF";
        Key key = new SecretKeySpec(keyString.getBytes(), "AES");

        // 初始化加密引擎
        Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
        cipher.init(Cipher.ENCRYPT_MODE, key);

        // 创建输入流和输出流
        InputStream inputStream = new FileInputStream("input.txt");
        OutputStream outputStream = new FileOutputStream("output.txt");

        // 创建CipherInputStream
        CipherInputStream cipherInputStream = new CipherInputStream(inputStream, cipher);

        // 读取加密的数据，并写入输出流
        byte[] buffer = new byte[1024];
        int bytesRead;
        while ((bytesRead = cipherInputStream.read(buffer)) != -1) {
            outputStream.write(buffer, 0, bytesRead);
        }

        // 关闭流
        cipherInputStream.close();
        inputStream.close();
        outputStream.close();
    }
}

上述示例演示了使用CipherInputStream对数据流进行加密的过程。首先，我们定义了一个密钥（key），然后使用该密钥创建一个Cipher对象，指定加密算法和模式。接下来，我们创建一个输入流（FileInputStream）从源文件中读取数据，并创建一个输出流（FileOutputStream）将加密后的数据写入到目标文件中。然后，我们使用CipherInputStream来加密数据流，传入输入流和已初始化的Cipher对象。在while循环中从密文输入流读取加密数据，并将其写入到输出流中。最后，关闭流以释放资源。

通过类似的方式，您也可以使用CipherInputStream来进行数据流的解密操作，只需将Cipher对象的加密模式设置为Cipher.DECRYPT_MODE即可。

请注意，上述示例使用的是ECB模式和PKCS5Padding填充模式的AES加密算法，您可以根据需要选择其他支持的加密算法和模式。此外，为了保证数据安全性，建议使用更强大和安全的加密算法，并采取适当的密钥管理和安全措施。

加封对象

在Java安全中，“加封”（Sealing）是指将对象序列化并使用加密技术保护对象的完整性和机密性。通过加封对象，可以在不暴露敏感数据的情况下，将对象传输或存储到不可信的环境中。

Java中的加封对象可以使用javax.crypto.SealedObject类实现。该类在应用层上提供了对对象加密和解密的支持，以及对对象完整性的保护。

以下是加封对象在Java安全中的说明和使用示例：

import javax.crypto.*;
import java.io.Serializable;
import java.security.Key;
import java.util.Base64;

class MySecretData implements Serializable {
    // 加密和解密所需的共享密钥
    private static final Key sharedKey = ...;

    private String secretMessage;

    public MySecretData(String secretMessage) {
        this.secretMessage = secretMessage;
    }

    public String getSecretMessage() {
        return secretMessage;
    }

    // 加封对象
    public SealedObject seal() throws Exception {
        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(Cipher.ENCRYPT_MODE, sharedKey);

        return new SealedObject(this, cipher);
    }

    // 解开加封的对象
    public static MySecretData unseal(SealedObject sealedObject) throws Exception {
        Cipher cipher = Cipher.getInstance("AES");
        cipher.init(Cipher.DECRYPT_MODE, sharedKey);

        return (MySecretData) sealedObject.getObject(cipher);
    }
}

public class SealedObjectExample {
    public static void main(String[] args) throws Exception {
        // 创建私密数据对象
        MySecretData secretData = new MySecretData("This is a secret message!");

        // 加封对象
        SealedObject sealedObject = secretData.seal();

        // 获取加封对象的密文表示
        byte[] sealedData = sealedObject.getEncoded();
        String sealedDataString = Base64.getEncoder().encodeToString(sealedData);

        System.out.println("Sealed Object: " + sealedDataString);

        // 解开加封的对象
        MySecretData unsealedData = MySecretData.unseal(sealedObject);

        // 获取解开的对象的信息
        String secretMessage = unsealedData.getSecretMessage();
        System.out.println("Unsealed Object: " + secretMessage);
    }
}
``

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础 时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境 时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作 时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段

第三阶段：进阶

已经入门并且找到工作之后又该怎么进阶？详情看下图

给新手小白的入门建议：
新手入门学习最好还是从视频入手进行学习，视频的浅显易懂相比起晦涩的文字而言更容易吸收，这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦！

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

# 学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析