PBKDF2(Password-Based Key Derivation Function)。

通过哈希算法进行加密。由于哈希算法是单向的,能够将不论什么大小的数据转化为定长的“指纹”,并且无法被反向计算。

另外,即使数据源仅仅修改了一丁点。哈希的结果也会全然不同。

这种特性使得它很适合用于保存password。由于我们须要加密后的password无法被解密,同一时候也能保证正确校验每一个用户的password。可是哈希加密能够通过字典攻击和暴力攻击破解。

password加盐。盐是一个加入到用户的password哈希过程中的一段随机序列。

这个机制可以防止通过预先计算结果的彩虹表破解。每一个用户都有自己的盐,这种结果就是即使用户的password同样。通过加盐后哈希值也将不同。

为了校验password是否正确,我们须要储存盐值。通常和password哈希值一起存放在账户数据库中。或者直接存为哈希字符串的一部分。

public class PasswordEncryption {

	public static final String PBKDF2_ALGORITHM = "PBKDF2WithHmacSHA1";

	/**
	 * 盐的长度
	 */
	public static final int SALT_BYTE_SIZE = 32 / 2;

	/**
	 * 生成密文的长度
	 */
	public static final int HASH_BIT_SIZE = 128 * 4;

	/**
	 * 迭代次数
	 */
	public static final int PBKDF2_ITERATIONS = 1000;

	/**
	 * 对输入的password进行验证
	 * 
	 * @param attemptedPassword
	 *            待验证的password
	 * @param encryptedPassword
	 *            密文
	 * @param salt
	 *            盐值
	 * @return 是否验证成功
	 * @throws NoSuchAlgorithmException
	 * @throws InvalidKeySpecException
	 */
	public static boolean authenticate(String attemptedPassword, String encryptedPassword, String salt)
			throws NoSuchAlgorithmException, InvalidKeySpecException {
		// 用同样的盐值对用户输入的password进行加密
		String encryptedAttemptedPassword = getEncryptedPassword(attemptedPassword, salt);
		// 把加密后的密文和原密文进行比較,同样则验证成功。否则失败
		return encryptedAttemptedPassword.equals(encryptedPassword);
	}

	/**
	 * 生成密文
	 * 
	 * @param password
	 *            明文password
	 * @param salt
	 *            盐值
	 * @return
	 * @throws NoSuchAlgorithmException
	 * @throws InvalidKeySpecException
	 */
	public static String getEncryptedPassword(String password, String salt) throws NoSuchAlgorithmException,
			InvalidKeySpecException {

		KeySpec spec = new PBEKeySpec(password.toCharArray(), fromHex(salt), PBKDF2_ITERATIONS, HASH_BIT_SIZE);
		SecretKeyFactory f = SecretKeyFactory.getInstance(PBKDF2_ALGORITHM);
		return toHex(f.generateSecret(spec).getEncoded());
	}

	/**
	 * 通过提供加密的强随机数生成器 生成盐
	 * 
	 * @return
	 * @throws NoSuchAlgorithmException
	 */
	public static String generateSalt() throws NoSuchAlgorithmException {
		SecureRandom random = SecureRandom.getInstance("SHA1PRNG");
		byte[] salt = new byte[SALT_BYTE_SIZE];
		random.nextBytes(salt);

		return toHex(salt);
	}

	/**
	 * 十六进制字符串转二进制字符串
	 * 
	 * @param   hex         the hex string
	 * @return              the hex string decoded into a byte array      
	 */
	private static byte[] fromHex(String hex) {
		byte[] binary = new byte[hex.length() / 2];
		for (int i = 0; i < binary.length; i++) {
			binary[i] = (byte) Integer.parseInt(hex.substring(2 * i, 2 * i + 2), 16);
		}
		return binary;
	}

	/**
	 * 二进制字符串转十六进制字符串
	 * 
	 * @param   array       the byte array to convert
	 * @return              a length*2 character string encoding the byte array      
	 */
	private static String toHex(byte[] array) {
		BigInteger bi = new BigInteger(1, array);
		String hex = bi.toString(16);
		int paddingLength = (array.length * 2) - hex.length();
		if (paddingLength > 0)
			return String.format("%0" + paddingLength + "d", 0) + hex;
		else
			return hex;
	}
}


首先要生成一个盐值salt,再把原始password和salt加密得到密文。验证的时候,把用户输入的password和同样的盐值salt使用同样的加密算法得到一个密文,将这个密文和原密文相比較,同样则验证通过,反之则不通过。

	public static void main(String[] args) {
		String password = "test";
		String salt;
		String ciphertext;
		try {

			salt = PasswordEncryption.generateSalt();
			ciphertext = PasswordEncryption.getEncryptedPassword(password, salt);
			boolean result = PasswordEncryption.authenticate(password, ciphertext, salt);

			System.out.println(password + "  " + password.length());
			System.out.println(salt + "  " + salt.length());
			System.out.println(ciphertext + "  " + ciphertext.length());
			if (result) {
				System.out.println("succeed");
			} else {
				System.out.println("failed");
			}
		} catch (NoSuchAlgorithmException e) {
			System.out.println("NoSuchAlgorithmException");
		} catch (InvalidKeySpecException e) {
			System.out.println("InvalidKeySpecException");
		}
	}

測试结果为:

test  4
3aca9ca3fa80158b765ece7d0a45f2e8  32
592cb30e95efc720c5accf425ed5f2fe46aa332d9980e6daa234797de49cda731c2c18e667b4dd71ba33797a3dcddd312ff9b03d802bf1cc09aacb2a176cf741  128
succeed

參考资料:

1、https://en.wikipedia.org/wiki/PBKDF2
2、http://blog.jobbole.com/61872/#toc1
3、http://www.oschina.net/question/82993_59611?sort=time&p=1

posted on 2017-06-22 10:56  lxjshuju  阅读(6867)  评论(1编辑  收藏  举报