Pkcs7Attach 数字签名、验签、解密

置顶 已于 2024-08-23 10:15:27 修改
阅读量1.9k 收藏 19
点赞数 12
CC 4.0 BY-SA版权
文章标签: 算法 数据结构 java
于 2024-08-06 11:01:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/java_sso_yw/article/details/140949938 
Attached模式,又称P7A,即签名值中包含被签名的原文,但明文必须经过ASN.1编码。

实现步骤如下:

第一步:创建证书

生成keystore文件
keytool -genkey -alias ynhr -keyalg RSA -keysize 1024 -keypass yw@123 -validity 36500 -keystore test.keystore -storepass yw@123

导出私钥文件
keytool -importkeystore -srcstoretype JKS -srckeystore test.keystore -srcstorepass yw@123 -srcalias ynhr -srckeypass yw@123 -deststoretype PKCS12 -destkeystore keystore.p12 -deststorepass yw@123 -destalias client -destkeypass yw@123 -noprompt

相关证书的创建在网上随处都可以找到。

第二步:加密解密实现

这里我直接放上源码,之前在网上找了一些,但是结果都不是太全,后来自己通过多次实验,并用于项目实践。

import lombok.extern.slf4j.Slf4j;
import org.apache.commons.lang3.StringUtils;
import org.bouncycastle.cert.X509CertificateHolder;
import org.bouncycastle.cert.jcajce.JcaCertStore;
import org.bouncycastle.cert.jcajce.JcaX509CertificateConverter;
import org.bouncycastle.cms.*;
import org.bouncycastle.cms.jcajce.JcaSignerInfoGeneratorBuilder;
import org.bouncycastle.cms.jcajce.JcaSimpleSignerInfoVerifierBuilder;
import org.bouncycastle.operator.ContentSigner;
import org.bouncycastle.operator.jcajce.JcaContentSignerBuilder;
import org.bouncycastle.operator.jcajce.JcaDigestCalculatorProviderBuilder;
import org.bouncycastle.util.Store;

import java.io.File;
import java.io.FileInputStream;
import java.security.*;
import java.security.cert.Certificate;
import java.security.cert.X509Certificate;
import java.util.*;
@Slf4j
public class Pkcs7AttachUtil {

    /**
     * 加密算法
     */
    private static final String KEY_ALGORITHM = "SHA1withRSA";

    public static void main(String[] args) throws Exception {
        //加载密钥库文件
        String pfxFile = System.getProperty("user.dir")+"/distfile/keystore.p12";
        String password = "yw@123";
        String content = "你好";
        String signValue = Pkcs7AttachUtil.signature(content,pfxFile,password);
        System.out.println("Signature: " + signValue);

//        String signValue = "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";

        Pkcs7AttachUtil.unsign(Base64.getDecoder().decode(signValue));
        boolean flag = Pkcs7AttachUtil.verifySignature(Base64.getDecoder().decode(signValue),pfxFile,password);
        System.out.println(flag);
    }

    /**
     * Pkcs7Detach 签名
     * @param content 内容
     * @param pfxFile 证书路径
     * @param password 证书密码
     * @return
     */
    public static String signature(String content,String pfxFile,String password){
        if (StringUtils.isEmpty(content)) {
            return "加密内容为空";
        }
        if (StringUtils.isEmpty(pfxFile)) {
            return "证书路径为空";
        }
        if (StringUtils.isEmpty(password)) {
            return "证书密码为空";
        }
        try {
            Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());

            //创建密钥对
            KeyStore keyStore = KeyStore.getInstance("PKCS12");

            File file = new File(pfxFile);
            FileInputStream fis = new FileInputStream(file);
            keyStore.load(fis, password.toCharArray());
            fis.close();

            //获取别名
            Enumeration enumas = keyStore.aliases();
            String alias = null;
            while (enumas.hasMoreElements()) {
                alias = (String) enumas.nextElement();
            }

            //准备密钥对
            Key key = keyStore.getKey(alias, password.toCharArray());
            KeyPair keyPair = null;
            Certificate cert = null;
            if (key instanceof PrivateKey) {
                //获取用户证书
                cert = keyStore.getCertificate(alias);
                PublicKey publicKey = cert.getPublicKey();
                //初始化密钥对和证书
                keyPair = new KeyPair(publicKey, (PrivateKey) key);
            }

            // 需要被签名的数据
            byte[] dataToSign = content.getBytes();

            // 创建Signer信息
            CMSSignedDataGenerator signedDataGenerator = new CMSSignedDataGenerator();

            JcaSignerInfoGeneratorBuilder infoGeneratorBuilder = new JcaSignerInfoGeneratorBuilder(new JcaDigestCalculatorProviderBuilder().setProvider("BC").build());

            JcaContentSignerBuilder contentSignerBuilder = new JcaContentSignerBuilder(KEY_ALGORITHM);
            X509Certificate cerx509 = (X509Certificate) cert;
            List<X509Certificate> certList = new ArrayList<>();
            certList.add(cerx509);
            Store certs = new JcaCertStore(certList);
            infoGeneratorBuilder.build(contentSignerBuilder.build(keyPair.getPrivate()), cerx509);
            ContentSigner contentSigner = new JcaContentSignerBuilder(cerx509.getSigAlgName()).setProvider("BC").build(keyPair.getPrivate());
            signedDataGenerator.addSignerInfoGenerator(infoGeneratorBuilder.setDirectSignature(true).build(contentSigner, cerx509));
            signedDataGenerator.addCertificates(certs);
            // 添加内容和设置Pkcs7Detach方式
            CMSSignedData signedData = signedDataGenerator.generate(new CMSProcessableByteArray(dataToSign), true);

            // 输出签名结果
            byte[] signature = signedData.getEncoded();
            log.info("Signature: " + Base64.getEncoder().encodeToString(signature));
            log.info("Pkcs7Attach 签名成功:{}",Base64.getEncoder().encodeToString(signature));
            return Base64.getEncoder().encodeToString(signature);
        } catch (Exception e) {
            e.printStackTrace();
            log.error("签名异常:"+e.getMessage());
        }
        return null;
    }

    /**
     * 验签
     * @param var1 加密信息
     * @param pfxFile 证书路径
     * @param password 证书密码
     * @return
     */
    public static boolean verifySignature(byte[] var1,String pfxFile,String password ) {
        try {
            Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
            //创建密钥对
            KeyStore keyStore = KeyStore.getInstance("PKCS12");

            File file = new File(pfxFile);
            FileInputStream fis = new FileInputStream(file);
            keyStore.load(fis, password.toCharArray());
            fis.close();

            //获取别名
            Enumeration enumas = keyStore.aliases();
            String alias = null;
            while (enumas.hasMoreElements()) {
                alias = (String) enumas.nextElement();
            }

            //准备密钥对
            Key key = keyStore.getKey(alias, password.toCharArray());
            Certificate cert = null;
            if (key instanceof PrivateKey) {
                //获取用户证书
                cert = keyStore.getCertificate(alias);
            }

            // 加载已签名的数据
            CMSSignedData sigData = new CMSSignedData(var1);

            // 创建SignerInformationVerifier
            SignerInformationVerifier verifier = new JcaSimpleSignerInfoVerifierBuilder()
                    .setProvider("BC") // 使用BouncyCastle作为安全提供者
                    .build(cert.getPublicKey());

            // 验证签名
            Collection<SignerInformation> signers = sigData.getSignerInfos().getSigners();
            for (SignerInformation signer : signers) {
                if (signer.verify(verifier)) {
                    return true;
                }
            }
        } catch (Exception e) {
            log.error("验签失败:"+e.getMessage());
        }

        return false;
    }

    /**
     * 解密
     * @param signedBytes 签名内容
     * @return
     */
    public static String unsign(byte[] signedBytes) {
        try {
            Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider());
            String signedStr = Base64.getEncoder().encodeToString(signedBytes);
            CMSSignedData signedData = new CMSSignedData(Base64.getDecoder().decode(signedStr.getBytes()));
            Store store = signedData.getCertificates();
            SignerInformationStore signers = signedData.getSignerInfos();
            Collection<SignerInformation> coll = signers.getSigners();
            Iterator<SignerInformation> it = coll.iterator();
            StringBuilder content = new StringBuilder();
            while(it.hasNext()) {
                SignerInformation signer = it.next();
                Collection certs = store.getMatches(signer.getSID());
                Iterator certIt = certs.iterator();
                X509CertificateHolder holder = (X509CertificateHolder)certIt.next();
                X509Certificate cert = new JcaX509CertificateConverter().setProvider("BC").getCertificate(holder);
                boolean result = signer.verify(new JcaSimpleSignerInfoVerifierBuilder().setProvider("BC").build(cert));
                if(result) {
                    CMSProcessable sc = signedData.getSignedContent();
                    byte[] data = (byte[])sc.getContent();
                    content.append(new String(data));
                }
            }
            log.info("oragin content: "+ content);
            log.info("Pkcs7Attach 解密成功:{}", content);
            return content.toString();
        } catch (Exception e) {
            log.error("解密失败:"+e.getMessage());
        }

        return null;
    }

}

以上就是Pkcs7Attach 数字签名、验签的实现过程。如遇到任何问题,欢迎留言。

java_sso_yw
关注
PKCS#7名介绍与代码实现
new9232的博客
06-23 1276
本文章主要介绍了PKCS#7名、PKCS#7名数据的结构、PKCS#7 Attach 和 Deatch的区别。并通过OpenSSL,用C代码实现了PKCS#7名和,对名数据进行了分析。
PKCS#7的名和
lylhelin的专栏
03-25 1万+
对于PKCS#7的名和证本来已经无需再谈,但考虑到默认的PKCS#7名数据中包含原始数据,这样会带来两个问题:1,如果原始数据量太大,则会严重影响网络传输速度。2,如果需要对外部的原始数据进行证,则难以进行(或者还没发现方法)。解决第一个问题的方法有两个:1,在名时通过参数控制不加入原始数据。2,对原始数据进行MD5或者SHA1算法后再将该hash值作为原始数据进行名,因为hash值是
PKCS7格式加解密方法分享:技术交流与支付系统对接的必备工具
最新发布
gitblog_06736的博客
04-11 980
PKCS#7格式加解密方法分享:技术交流与支付系统对接的必备工具 去发现同类优质开源项目:https://gitcode.com/ 在当今数字化时代,数据安全成为越来越多人关注的焦点。加密技术是确保数据传输安全的重要手段之一。今天,我们将为您介绍一款开源项目——PKCS#7格式加解密方法分享,帮助您轻松应对各种加密需求。 项目介绍 PKCS#7格式加解密方法分享是一款专注于PKCS#7...
PKCS#7格式加解密
12-26
提到PKCS,首先想到的是RSA的证书格式(类似,PKCS8,P12等),最近在和一家俄罗斯支付对接时,对方说加密成PKCS#7格式,当时就懵了,以为对方说错了,在这块卡了好几天,通过查资料,终于找到方法了。确实是PKCS#7加密,看来还是自己懂得太少。现在把方法分享出来,希望对遇到类似问题的朋友有所帮助
PKCS#7格式数字签名
热门推荐
王浩的技术博客
04-28 1万+
 名词解释       数字签名:在ISO7498-2标准中定义为:"附加在数据单元上的一些数据,或是对数据单元所作的密码变换,这种数据和变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性,并保护数据,防止被人(例如接收者)进行伪造"。        PKCS#7:也叫做加密消息的语法标准,由RSA安全体系在公钥加密系统中交换数字证书产生的一种加密标准。PKCS#7描述
PKCS7
qq_42873640的博客
06-02 7381
Enveloped-data 内容类型 enveloped-data内容类型由任意类型的加密内容和加密的一个/多个接收者的内容加密密钥组成。加了密的内容和加了密的内容加密密钥一起构成了接收者的“数字信封”。 Enveloped-data的组建过程分以下几步: 随机产生一个对应于特定加密算法的内容加密密钥。 内容加密密钥用每个接收者的公钥加密。 对于每一个接收者,把加了密的内容加密密钥和接收者的其他信息放入RecipientInfo值中。 用内容加密密钥加密内容。(内容加密可能会需要填充一些块;见Secti
java pkcs7 名_证(格式为PKCS#7)
weixin_42352453的博客
02-24 3055
作为序言,密码学的第一条规则:不要自己动手,在其记录的用例中使用经过证的工具来执行操作。所以我首先检查你的XML文档是否确实是使用标准名的(我不知道基于PKCS7的XML名格式,但是,我肯定不知道所有内容)。如果是这样,我会找到一个支持这种特定格式的库。XML名在XMLD Sig保护伞标准化,在此形式化:http://www.w3.org/TR/xmldsig-core/。 Oracle ...
PKCS7SignData.java
04-07
PKCS7名数据的解析和构造,符合ASN1数据格式要求,可以直接直接替换main函数中的数据直接进行PKCS7数据的解析和构造。如果数据进行了base64编码则需要先进行base64解码转成字节数组,否则不需要解码操作。
数字签名与数字信封
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
09-20 4446
对称密码算法的优点是加解密运算非常快,适合处理大批量数据,但其密钥的分发与管理比较复杂。而非对称密钥算法的特点是公钥与私钥分离,非常适合密钥的分发与管理;但其运行速度不快,又不适合处理大批量数据。如果将对称密码算法和非对称密码算法的优点结合起来,则既能处理大批量数据,又能简化密钥分发与管理,于是数字信封机制应运而生。数字信封并不需要分发和管理对称密钥,而是随机产生对称密钥,采用对称密码算法对大批量数据进行加密,并采用非对称密钥算法对该对称密钥进行加密;
Python3 微信支付(小程序支付)V3接口
qq_42142258的博客
01-12 1万+
微信支付V3接口
PKCS7标准名与
05-08
PKCS7标准名与,SHA1算法(项目添加引用System.Security)
使用数字证书进行PKCS#7数字签名
08-02
越来越多的应用需要我们使用USB接口数字证书进行PKCS#7数字签名。本文分别介绍了使用微软CryptoAPI方式和OpenSSL Engine方式进行数字签名。特别地,提出了OpenSSL Engine简化方式,这种方式更为灵活方便易行。
RSA算法PKCS7格式
10-24
本资源包含:RSA算法,格式为PKCS7。RSA算法,格式为PKCS7。RSA算法,格式为PKCS7。RSA算法,格式为PKCS7。 RSA加密算法是一种非对称加密算法。在公开密钥加密和电子商业中RSA被广泛使用。RSA是1977年由罗纳德·李维斯特(Ron Rivest)、阿迪·萨莫尔(Adi Shamir)和伦纳德·阿德曼(Leonard Adleman)一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。(积分总会乱掉,实在需要请私信我)
C# pkcs # 7
01-09
C# 语言,.net平台下实现pkcs # 7 ,C# 语言,.net平台下实现pkcs # 7
PKCS7名的ASN1格式
02-22
可使用此格式,通过ASN1C生成完整的PKCS7名C语言代码,实现诸如SM2算法数字签名证。 注意,CertificateSerialNumber本来在PKCS7标准ASN1结构中定义为INTEGER类型,但由于ASN1C将INTEGER类型翻译成long,不支持大整数。故这里将CertificateSerialNumber定义成OCTET STRING类型。因此相应的在生成的C代码中,凡涉及到CertificateSerialNumber类型的地方,都还需要将其TAG从4<<2(OCTET STRING)改回成2<<2(INTEGER)
mallplus多商户商城 让支付触手可及,封装了微信支付、QQ支付、支付宝支付、京东支付、银联支付常用的支付方式以及各种常用的接口
a1439226817的博客
01-09 6695
代码下载地址https://gitee.com/zscat/mallplus 关注公众号获取微服务版本下载地址和部署方式 1,各种微信支付方式接口 package com.zscat.mallplus.pay.controller.wxpay; import cn.hutool.core.util.StrUtil; import com.alibaba.fastjson.JS...
PKCS-7
yu2yu3yu2的专栏
04-17 822
OPTIONAL} OPTIONAL。
PKCS1名&PKCS7名&PKCS7信封格式
amuxie_1899的专栏
08-16 1万+
PKCS1名&PKCS7名&PKCS7信封格式 1.1.1.1  PKCS#1标准格式名 1.1.1.1.1 PKCS#1名格式 被名的数据为字节数组。 对给出的被名原数据进行HASH运算,HASH结果按PKCS#1标准进行填充: B = 00 01 ff ff … ff 00 30 … H[00],H[01],…,H[13] 其中H[00],…,H[13]为HAS
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值