前言
在网络通讯中,通讯传输数据容易被截取或篡改,如果在传输用户隐私数据进程中,被不法分子截取或篡改,就可能导致用户受到伤害,比如被欺诈,所以对客户端与服务端的传输数据加密,是网络通讯中必不可少的。
数据加密计划
首要,客户端与服务端商议好数据加密协议,对传输数据做到安全维护。
安全维护至少需求有下面两点:
现在安全是确保了,但还要考虑到性能问题,由于RSA算法对数据加密时运算速度慢,所以直接把一切传输数据都用RSA加密,会导致网络通讯慢,这对用户将是欠好的体会。由于对称密钥暗码体系中的AES运算速度快且安全性高,所以结合AES对传输数据加密是非常好的计划。
下面是对客户端与服务端通讯数据加密比较通用的计划:
- 客户端生成AES密钥,并保存AES密钥
- 客户端用AES密钥对恳求传输数据进行加密
- 客户端运用RSA公钥对AES密钥加密,然后把值放到自定义的一个恳求头中
- 客户端向服务端发起恳求
- 服务端拿到自定义的恳求头值,然后运用RSA私钥解密,拿到AES密钥
- 服务端运用AES密钥对恳求数据解密
- 服务端对呼应数据运用AES密钥加密
- 服务端向客户端宣布呼应
- 客户端拿到服务端加密数据,并运用之前保存的AES密钥解密
留意:传输数据运用AES密钥加密,RSA公钥对AES密钥加密。RSA公钥和私钥由服务端生成,公钥放在客户端,私钥放在服务端。公钥私钥要私密维护,不能随意给人。
详细流程图如下:
上面网络通讯进程是安全的,能够确保通讯数据即便被截取了,也无法取得任何有效信息;即便被篡改了,也无法被客户端和服务端验证通过。
数据加密细节
AES加解密
生成AES密钥和运用AES密钥加密、解密,有下面重要的几点:
1.密钥长度的挑选:AES能支持的密钥长度能够为128,192,256位(也即16,24,32个字节),这儿挑选128位。
2.算法/形式/填充的挑选:
算法/形式/填充 | 字节加密后数据长度 | 不满16字节加密后长度 |
---|---|---|
AES/CBC/NoPadding | 16 | 不支持 |
AES/CBC/PKCS5Padding | 32 | 16 |
AES/CBC/ISO10126Paddind | 32 | 16 |
AES/CFB/NoPadding | 16 | 原始数据长度 |
AES/CFB/PKCS5Padding | 32 | 16 |
AES/CFB/ISO10126Padding | 32 | 16 |
AES/ECB/NoPadding | 16 | 不支持 |
AES/ECB/PKCS5Padding | 32 | 16 |
AES/ECB/ISO10126Padding | 32 | 16 |
AES/ECB/ISO10126Padding | 32 | 16 |
AES/OFB/NoPadding | 16 | 原始数据长度 |
AES/OFB/PKCS5Padding | 32 | 16 |
AES/OFB/ISO10126Padding | 32 | 16 |
AES/PCBC/NoPadding | 16 | 不支持 |
AES/PCBC/PKCS5Padding | 32 | 16 |
AES/PCBC/ISO10126Padding | 32 | 16 |
这儿挑选AES/CBC/PKCS5Padding。
3.添加向量 IvParameterSpec:增强算法强度。 4.编码格局挑选:UTF-8。
下面为详细代码完成:
private final int AES_KEY_LENGTH = 16;//密钥长度16字节,128位
private final String AES_ALGORITHM = "AES";//算法姓名
private final String AES_TRANSFORMATION = "AES/CBC/PKCS5Padding";//算法/形式/填充
private final String AES_IV = "0112030445060709";//运用CBC形式,需求一个向量iv,可增加加密算法的强度
private final String AES_STRING = "abcdefghijklmnopqrstuvwxyzABCDEFGHIGKLOP";
private final Charset UTF_8 = Charset.forName("UTF-8");//编码格局
/**
* 运用AES加密
*
* @param aesKey AES Key
* @param data 被加密的数据
* @return AES加密后的数据
*/
private byte[] encodeAES(byte[] aesKey, String data) {
if (aesKey == null || aesKey.length != AES_KEY_LENGTH) {
return null;
}
SecretKeySpec keySpec = new SecretKeySpec(aesKey, AES_ALGORITHM);
try {
Cipher cipher = Cipher.getInstance(AES_TRANSFORMATION);
IvParameterSpec iv = new IvParameterSpec(AES_IV.getBytes(UTF_8));
cipher.init(Cipher.ENCRYPT_MODE, keySpec, iv);
return cipher.doFinal(data.getBytes(UTF_8));
} catch (Exception e) {
Log.d(TAG, e.getMessage(), e);
}
return null;
}
/**
* 运用AES解密
*
* @param aesKey AES Key
* @param data 被解密的数据
* @return AES解密后的数据
*/
private String decodeAES(byte[] aesKey, byte[] data) {
if (aesKey == null || aesKey.length != AES_KEY_LENGTH) {
return null;
}
SecretKeySpec keySpec = new SecretKeySpec(aesKey, AES_ALGORITHM);
try {
Cipher cipher = Cipher.getInstance(AES_TRANSFORMATION);
IvParameterSpec iv = new IvParameterSpec(AES_IV.getBytes(UTF_8));
cipher.init(Cipher.DECRYPT_MODE, keySpec, iv);
return new String(cipher.doFinal(data), UTF_8);
} catch (Exception e) {
Log.d(TAG, e.getMessage(), e);
}
return null;
}
private int getRandom(int count) {
return (int) Math.round(Math.random() * (count));
}
/**
* 生成AES key
*
* @return AES key
*/
private String initAESKey() {
StringBuilder sb = new StringBuilder();
int len = AES_STRING.length();
for (int i = 0; i < AES_KEY_LENGTH; i++) {
sb.append(AES_STRING.charAt(getRandom(len - 1)));
}
return sb.toString();
}
现在AES密钥和AES加密、解密都有了,在通常情况下,还会对加密、解密进程进行Base64 编码、解码。
Base64编码,挑选 URL_SAFE 标识,也便是 “-” 和 “_” 会被替换为 “+” 和 “/”,:
/**
* 对数据进行Base64编码,运用的是{@link android.util.Base64},并且flags需求运用 {@link android.util.Base64#URL_SAFE,android.util#Base64.NO_PADDING,android.util.Base64#NO_WRAP}。
*
* @param input 来历数据
* @return Base64编码的数据
*/
private String encodeBase64(byte[] input) {
return new String(Base64.encode(input, Base64.URL_SAFE | Base64.NO_PADDING | Base64.NO_WRAP), UTF_8);
}
Base64解码,和编码对应:
/**
* 对数据进行Base64解码,运用的是{@link android.util.Base64},并且flags需求运用 {@link android.util.Base64#URL_SAFE,android.util.Base64#NO_WRAP},首要是为了和Base64加密对应。
*
* @param str 需求解码的数据
* @return Base64解码后的数据
*/
private byte[] decodeBase64(String str) {
return Base64.decode(str.getBytes(UTF_8), Base64.URL_SAFE | Base64.DEFAULT);
}
RSA公钥加密
RSA公钥是从服务端拿到的,这个公钥不能被走漏,必须做到安全维护。
运用RSA公钥加密,也有几个重关键:
1.拿到的公钥是Base64 编码后的,所以首要需求对公钥Base64解码。
2.算法/形式/填充的挑选:RSA/ECB/PKCS1Padding
3.编码格局挑选:UTF-8。
留意:运用RSA公钥加密的流程对应的便是服务端运用RSA私钥解密的流程,所以需求和服务端交流商议好。
详细代码完成:
private final String RSA_PUB_KEY = "服务端给的公钥";
private final String RSA_TRANSFORMATION = "RSA/ECB/PKCS1Padding";
/**
* 公钥加密
*
* @param data 要加密的数据
* @param key 公钥
* @param transformation 算法/形式/填充
* @return 加密后的数据
*/
public byte[] encryptByPublicKey(byte[] data, String key, String transformation)
throws GeneralSecurityException {
byte[] keyBytes = Base64.decode(key.getBytes(UTF_8), Base64.NO_WRAP);
X509EncodedKeySpec keySpec = new X509EncodedKeySpec(keyBytes);
KeyFactory keyFactory = KeyFactory.getInstance("RSA");
PublicKey pubKey = keyFactory.generatePublic(keySpec);
Cipher cipher = Cipher.getInstance(transformation);
cipher.init(Cipher.ENCRYPT_MODE, pubKey);
return cipher.doFinal(data);
}
总结
1.为了确保网络通讯中的通讯数据安全,首要选用HTTPS协议和公钥密钥体系中的RSA加密。
2.由于是RSA运算速度慢,所以选用运算速度快且安全性高的对称密钥暗码体系中的AES对所 有传输数据进行加密,然后再用RSA对AES密钥加密,这样既能确保安全又能确保性能。
3.RSA公钥和私钥由服务端生成,公钥放在客户端,私钥放在服务端。
4.数据加密后选用Base64编码,数据解密前选用Base64解码。
5.编码格局同一选用UTF-8。