Java密碼體系結(jié)構(gòu)（JCA）是一個(gè)可擴(kuò)展的框架，使您能夠使用執(zhí)行加密操作。 JCA還促進(jìn)實(shí)現(xiàn)獨(dú)立性（程序不應(yīng)該在乎誰提供加密服務(wù)）和實(shí)現(xiàn)互操作性（程序不應(yīng)該與特定加密服務(wù)的特定提供者聯(lián)系在一起）。

JCA允許將許多密碼服務(wù)（例如密碼，密鑰生成器，消息摘要）捆綁到j(luò)ava.security.Provider類中，并聲明式地注冊(cè)在特殊文件（java.security）中，或者通過java.security.Security類以編程方式（方法）進(jìn)行注冊(cè)。 'addProvider'）。

盡管JCA是標(biāo)準(zhǔn)，但是不同的JDK實(shí)施JCA的方式有所不同。 在Sun / Oracle與IBM JDK之間，IBM JDK比Oracle更“有序”。 例如，IBM的超級(jí)提供程序（com.ibm.crypto.provider.IBMJCE）實(shí)現(xiàn)以下密鑰庫格式：JCEKS，PKCS12KS（PKCS12），JKS。 Oracle JDK將密鑰庫格式實(shí)現(xiàn)“傳播”到以下提供程序中：

• sun.security.provider.Sun – JKS
• com.sun.crypto.provider.SunJCE – JCEKS
• com.sun.net.ssl.internal.ssl.Provider – PKCS12

盡管流行的建議是編寫不指向特定Provider類的應(yīng)用程序，但是在某些用例中，需要應(yīng)用程序/程序確切了解Provider類提供的服務(wù)。 當(dāng)支持可能與特定JDK（例如與IBM JDK捆綁在一起的WebSphere）緊密耦合的多個(gè)應(yīng)用程序服務(wù)器時(shí)，此要求變得更加普遍。 我通常使用Tomcat + Oracle JDK進(jìn)行開發(fā)（更輕便，更快），但是我的測試/生產(chǎn)設(shè)置是WebSphere + IBM JDK。 為了使事情更加復(fù)雜，我的項(xiàng)目需要使用硬件安全模塊（HSM），該模塊通過提供程序類com.ncipher.provider.km.nCipherKM使用JCA API。 因此，當(dāng)我在家（無法訪問HSM）時(shí)，我想繼續(xù)編寫代碼，但至少要在JDK提供程序上對(duì)代碼進(jìn)行測試。 然后，在將代碼提交給源代碼管理之前，我可以切換為使用nCipherKM提供程序進(jìn)行另一輪單元測試。

通常的假設(shè)是，一個(gè)提供程序類就足夠了，例如對(duì)于IBM JDK來說是IBMJCE，對(duì)于Oracle JDK是SunJCE。 因此，通常的解決方案是實(shí)現(xiàn)一個(gè)指定一個(gè)提供程序的類，并使用反射來避免由于“未找到類”而導(dǎo)致的編譯錯(cuò)誤：

//For nShield HSM Class c = Class.forName('com.ncipher.provider.km.nCipherKM'); Provider provider = (Provider)c.newInstance();//For Oracle JDK Class c = Class.forName('com.sun.crypto.provider.SunJCE'); Provider provider = (Provider)c.newInstance();//For IBM JDK Class c = Class.forName('com.ibm.crypto.provider.IBMJCE'); Provider provider = (Provider)c.newInstance();

這種設(shè)計(jì)是可以的，直到我在Oracle JDK上運(yùn)行一些單元測試用例時(shí)遇到NoSuchAlgorithmException錯(cuò)誤。 我使用的算法是RSA，這是一種常見算法！ 怎么可能，文檔說支持RSA！ 相同的測試用例在IBM JDK上運(yùn)行良好。

經(jīng)過進(jìn)一步調(diào)查，我感到非常沮喪的是，SunJCE提供程序沒有用于RSA的KeyPairGenerator服務(wù)的實(shí)現(xiàn)。 但是，可以在提供程序類sun.security.rsa.SunRsaSign中找到一個(gè)實(shí)現(xiàn)。 因此，“ 1提供者全部提供”的假設(shè)被打破了。 但是由于有了JCA的開放API，在請(qǐng)求Service實(shí)例時(shí)可以傳遞Provider對(duì)象，例如

KeyGenerator kgen = KeyGenerator.getInstance('AES', provider);

為了幫助檢查各種Provider對(duì)象，我提供了一個(gè)JUnit測試，以漂亮地打印JDK中每個(gè)已注冊(cè)Provider實(shí)例的各種服務(wù)。

package org.gizmo.jca;import java.security.Provider; import java.security.Provider.Service; import java.security.Security; import java.util.Comparator; import java.util.SortedSet; import java.util.TreeSet;import javax.crypto.KeyGenerator;import org.bouncycastle.jce.provider.BouncyCastleProvider; import org.junit.Test;public class CryptoTests {@Testpublic void testBouncyCastleProvider() throws Exception {Provider p = new BouncyCastleProvider();String info = p.getInfo();System.out.println(p.getClass() + ' - ' + info);printServices(p);}@Testpublic void testProviders() throws Exception {Provider[] providers = Security.getProviders();for(Provider p : providers) {String info = p.getInfo();System.out.println(p.getClass() + ' - ' + info);printServices(p);}}private void printServices(Provider p) {SortedSetservices = new TreeSet(new ProviderServiceComparator());services.addAll(p.getServices());for(Service service : services) {String algo = service.getAlgorithm();System.out.println('==> Service: ' + service.getType() + ' - ' + algo);}}/*** This is to sort the various Services to make it easier on the eyes...*/private class ProviderServiceComparator implements Comparator{@Overridepublic int compare(Service object1, Service object2) {String s1 = object1.getType() + object1.getAlgorithm();String s2 = object2.getType() + object2.getAlgorithm();;return s1.compareTo(s2);}} }

無論如何，如果您使用的算法通用并且足夠強(qiáng)大，可以滿足您的需求，那么可以使用BouncyCastle提供程序。 它在所有JDK（針對(duì)IBM和Oracle進(jìn)行了測試）上都能很好地工作。 BouncyCastle不支持JKS或JCEKS密鑰庫格式，但是如果您不太挑剔，則BC密鑰庫格式可以正常工作。 BouncyCastle也是開源的，可以免費(fèi)包含在您的應(yīng)用程序中。

提示 ：JKS密鑰庫無法存儲(chǔ)SecretKeys。 您可以嘗試做功課

希望本文能啟發(fā)您進(jìn)一步探索JCA，或者至少在與JCA合作時(shí)意識(shí)到“幸福的無知”的陷阱。

參考： YK研討會(huì)的博客中， 使用JCA的密碼術(shù)-來自我們JCG合作伙伴 Allen Julia的“ 提供者中的服務(wù)” 。

翻譯自: https://www.javacodegeeks.com/2013/03/cryptography-using-jca-services-in-providers.html

總結(jié)

以上是生活随笔為你收集整理的使用JCA的密码术–提供者中的服务的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。