jca使用

Java密碼體系結構（JCA）是一個可擴展的框架，使您能夠使用執行加密操作。 JCA還促進實現獨立性（程序不應該在乎誰提供加密服務）和實現互操作性（程序不應該與特定加密服務的特定提供者聯系在一起）。

JCA允許將眾多密碼服務（例如密碼，密鑰生成器，消息摘要）捆綁到java.security.Provider類中，并聲明式地注冊在特殊文件（java.security）中，或者通過java.security.Security類以編程方式進行注冊（方法'addProvider'）。

盡管JCA是標準，但是不同的JDK實施JCA的方式有所不同。 在Sun / Oracle和IBM JDK之間，IBM JDK比Oracle更“有序”。 例如，IBM的超級提供程序（com.ibm.crypto.provider.IBMJCE）實現以下密鑰庫格式：JCEKS，PKCS12KS（PKCS12），JKS。 Oracle JDK將密鑰庫格式實現“傳播”到以下提供程序中：

• sun.security.provider.Sun – JKS
• com.sun.crypto.provider.SunJCE – JCEKS
• com.sun.net.ssl.internal.ssl.Provider – PKCS12

盡管流行的建議是編寫不指向特定Provider類的應用程序，但是在某些用例中，需要應用程序/程序確切了解Provider類提供的服務。 當支持可能與特定JDK（例如與IBM JDK捆綁在一起的WebSphere）緊密耦合的多個應用程序服務器時，此要求變得更加普遍。 我通常使用Tomcat + Oracle JDK進行開發（更輕便，更快），但是我的測試/生產設置是WebSphere + IBM JDK。 為了使事情更加復雜，我的項目需要使用硬件安全模塊（HSM），該模塊通過提供程序類com.ncipher.provider.km.nCipherKM使用JCA API。 因此，當我在家時（無法訪問HSM），我想繼續編寫代碼，但至少要在JDK提供程序上對代碼進行測試。 然后，在將代碼提交到源代碼管理之前，我可以切換為使用nCipherKM提供程序進行另一輪單元測試。

通常的假設是，一個提供程序類就足夠了，例如對于IBM JDK來說是IBMJCE，對于Oracle JDK是SunJCE。 因此，通常的解決方案是實現一個指定一個提供程序的類，并使用反射來避免由于“未找到類”而導致的編譯錯誤：

//For nShield HSM Class c = Class.forName('com.ncipher.provider.km.nCipherKM'); Provider provider = (Provider)c.newInstance();//For Oracle JDK Class c = Class.forName('com.sun.crypto.provider.SunJCE'); Provider provider = (Provider)c.newInstance();//For IBM JDK Class c = Class.forName('com.ibm.crypto.provider.IBMJCE'); Provider provider = (Provider)c.newInstance();

這種設計是可以的，直到遇到在Oracle JDK上運行某些單元測試用例的NoSuchAlgorithmException錯誤。 我使用的算法是RSA，這是一種常見算法！ 怎么可能，文檔說支持RSA！ 相同的測試用例在IBM JDK上運行良好。

經過進一步的調查，我感到非常沮喪的是，SunJCE提供程序沒有用于RSA的KeyPairGenerator服務的實現。 但是，可以在提供程序類sun.security.rsa.SunRsaSign中找到實現。 因此，“ 1提供者全部提供”的假設被打破了。 但是由于有了JCA的開放API，在請求Service實例時可以傳遞Provider對象，例如

KeyGenerator kgen = KeyGenerator.getInstance('AES', provider);

為了幫助檢查各種Provider對象，我提供了一個JUnit測試，以漂亮地打印出JDK中每個已注冊Provider實例的各種服務。

package org.gizmo.jca;import java.security.Provider; import java.security.Provider.Service; import java.security.Security; import java.util.Comparator; import java.util.SortedSet; import java.util.TreeSet;import javax.crypto.KeyGenerator;import org.bouncycastle.jce.provider.BouncyCastleProvider; import org.junit.Test;public class CryptoTests {@Testpublic void testBouncyCastleProvider() throws Exception {Provider p = new BouncyCastleProvider();String info = p.getInfo();System.out.println(p.getClass() + ' - ' + info);printServices(p);}@Testpublic void testProviders() throws Exception {Provider[] providers = Security.getProviders();for(Provider p : providers) {String info = p.getInfo();System.out.println(p.getClass() + ' - ' + info);printServices(p);}}private void printServices(Provider p) {SortedSetservices = new TreeSet(new ProviderServiceComparator());services.addAll(p.getServices());for(Service service : services) {String algo = service.getAlgorithm();System.out.println('==> Service: ' + service.getType() + ' - ' + algo);}}/*** This is to sort the various Services to make it easier on the eyes...*/private class ProviderServiceComparator implements Comparator{@Overridepublic int compare(Service object1, Service object2) {String s1 = object1.getType() + object1.getAlgorithm();String s2 = object2.getType() + object2.getAlgorithm();;return s1.compareTo(s2);}} }

無論如何，如果您使用的算法是通用的并且足夠強大，可以滿足您的需求，那么可以使用BouncyCastle提供程序。 它在所有JDK（針對IBM和Oracle進行了測試）上都能很好地工作。 BouncyCastle不支持JKS或JCEKS密鑰庫格式，但是如果您不太挑剔，則BC密鑰庫格式可以正常工作。 BouncyCastle也是開源的，可以免費包含在您的應用程序中。

提示 ：JKS密鑰庫無法存儲SecretKeys。 您可以嘗試做功課

希望本文能啟發您進一步探索JCA，或者至少在與JCA合作時意識到“幸福的無知”的陷阱。

參考： YK研討會的博客中， 使用JCA的密碼學-來自我們JCG合作伙伴 Allen Julia的“ 提供者中的服務” 。

翻譯自: https://www.javacodegeeks.com/2013/03/cryptography-using-jca-services-in-providers.html

jca使用

總結

以上是生活随笔為你收集整理的jca使用_使用JCA的密码学–提供者中的服务的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。