密钥获取.docVIP

5)数字证书。 ??? 还有个问题，就是公钥问题，A用私钥加密了，那么B接受到消息后，用A提供的公钥解密；那么现在有个讨厌的C，他把消息拦截了，然后用自己的私钥加密，同时把自己的公钥发给B，并告诉B，那是A的公钥，结果……，这时候就需要一个中间机构出来说话了（相信权威，我是正确的），就出现了Certificate Authority（也即CA），有名的CA机构有Verisign等，目前数字认证的工业标准是：CCITT的X.509： ??? 数字证书：它将一个身份标识连同公钥一起进行封装，并由称为认证中心或 CA 的第三方进行数字签名。 ??? 密钥库：java平台为你提供了密钥库，用作密钥和证书的资源库。从物理上讲，密钥库是缺省名称为 .keystore 的文件（有一个选项使它成为加密文件）。密钥和证书可以拥有名称（称为别名），每个别名都由唯一的密码保护。密钥库本身也受密码保护；您可以选择让每个别名密码与主密钥库密码匹配。 ??? 使用工具keytool，我们来做一件自我认证的事情吧（相信我的认证）： ??? 1、创建密钥库keytool -genkey -v -alias feiUserKey -keyalg RSA 默认在自己的home目录下（windows系统是c：documents and settings你的用户名 目录下的。keystore文件），创建我们用 RSA 算法生成别名为 feiUserKey 的自签名的证书，如果使用了-keystore mm 就在当前目录下创建一个密钥库mm文件来保存密钥和证书。 ??? 2、查看证书：keytool -list 列举了密钥库的所有的证书 ??? 也可以在dos下输入keytool -help查看帮助。 ??? 二、JAR的签名 ??? 我们已经学会了怎样创建自己的证书了，现在可以开始了解怎样对JAR文件签名，JAR文件在 HYPERLINK / \t _blank Java中相当于 ZIP 文件，允许将多个  HYPERLINK / \t _blank Java 类文件打包到一个具有 .jar 扩展名的文件中，然后可以对这个jar文件进行数字签名，以证实其来源和真实性。该 JAR 文件的接收方可以根据发送方的签名决定是否信任该代码，并可以确信该内容在接收之前没有被篡改过。同时在部署中，可以通过在策略文件中放置访问控制语句根据签名者的身份分配对机器资源的访问权。这样，有些Applet的 HYPERLINK / \t _blank 安全检验访问就得以进行。 ??? 使用jarsigner工具可以对jar文件进行签名： ??? 现在假设我们有个Test.jar文件（可以使用jar命令行工具生成）： ??? jarsigner Test.jar feiUserKey （这里我们上面创建了该别名的证书） ，详细信息可以输入jarsigner查看帮助 ??? 验证其真实性：jarsigner -verify　Test.jar（注意，验证的是jar是否被修改了，但不检验减少的，如果增加了新的内容，也提示，但减少的不会提示。） ??? 使用Applet中：applet code=Test.class archive=Test.jar width=150 height=100/applet然后浏览器就会提示你：准许这个会话-拒绝-始终准许-查看证书等。 ??? 三、 HYPERLINK / \t _blank 安全套接字层（SSL Secure Sockets Layer）和传输层安全性（TLS Transport Layer Security） ??? 安全套接字层和传输层安全性是用于在客户机和 HYPERLINK / \t _blank 服务器之间构建安全的通信通道的 HYPERLINK /List_11.html \t _blank 协议。它也用来为客户机认证 HYPERLINK / \t _blank 服务器，以及（不太常用的）为服务器认证客户机。该 HYPERLINK /List_11.html \t _blank 协议在浏览器应用程序中比较常见，浏览器窗口底部的锁表明 SSL/TLS 有效： ??? 1）当使用 SSL/TLS（通常使用 https:// URL）向站点进行请求时，从服务器向客户机发送一个证书。客户机使用已安装的公共 CA 证书通过这个证书验证服务器的身份，然后检查 IP 名称（机器名）与客户机连接的机器是否匹配。 ??? 2）客户机生成一些可以用来生成对话的私钥（称为会话密钥）的随机信息，然后用服务器的公钥对它加密并将它发送到服务器。服务器用自己的私钥解密消息，然后用该随机信息派生出和客户机一样的私有会话密钥