国密算法SM2深度解析原理、实战与最佳实践在金融、政务、能源等关键领域的信息安全建设中国密算法已成为合规与安全的核心要求。SM2作为我国自主研发的非对称加密算法凭借更高的安全性和国产化适配优势逐步替代RSA成为核心加密标准。本文将从SM2的应用场景、核心用途、代码实战到避坑指南全方位解析这一关键算法。一、SM2算法核心认知1. 什么是SM2SM2全称为《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》是我国自主设计的椭圆曲线加密ECC算法属于非对称加密体系。相比传统RSA算法SM2在同等安全强度下密钥长度更短256位 vs RSA 2048位加解密效率更高且完全规避了国外算法的知识产权和后门风险。2. 核心特性非对称加密基于椭圆曲线数学难题需公钥/私钥配对使用国密合规满足《中华人民共和国密码法》要求是政务、金融等领域的强制适配算法双功能支持同时支持“加密解密”和“签名验签”两大核心能力性能优势密钥生成、加解密速度远超同安全级别的RSA。二、SM2的典型应用场景与用途1. 核心应用场景场景分类具体用途数据加密传输金融交易报文加密、政务系统敏感数据传输、API接口敏感参数加密身份认证电子签章/电子合同验签、系统登录身份认证、设备接入鉴权数据完整性校验重要文件防篡改签名验签、日志数据防伪造、区块链交易确认国产化适配信创项目鲲鹏/麒麟系统密码组件适配、国产化数据库/中间件加密集成2. 核心用途拆解1加密解密保护数据机密性公钥加密发送方用接收方公钥加密敏感数据只有对应私钥能解密防止数据传输过程中被窃取典型场景用户手机号、身份证号、交易金额等敏感字段的传输加密。2签名验签保障数据完整性与不可抵赖性私钥签名数据所有者用私钥对数据签名证明数据归属公钥验签接收方用公钥验证签名确认数据未被篡改且确为签名方发出典型场景电子合同签章、政务公文签发、APP安装包防篡改。3密钥协商安全交换对称密钥SM2还支持密钥协商功能可在两端安全交换对称加密如SM4的密钥兼顾非对称加密的安全性和对称加密的高效性。三、SM2实战基于HutoolBouncyCastle实现1. 环境准备需引入核心依赖Maven!-- Hutool工具包简化SM2调用 --dependencygroupIdcn.hutool/groupIdartifactIdhutool-all/artifactIdversion5.8.20/version/dependency!-- BouncyCastle国密算法底层实现 --dependencygroupIdorg.bouncycastle/groupIdartifactIdbcprov-jdk15to18/artifactIdversion1.69/version/dependency2. 核心功能实现1工具类封装修复底层兼容问题SM2的底层实现依赖BouncyCastle但部分版本存在ECPrivateKeyParameters构造函数参数错误问题以下是优化后的工具类核心逻辑packagecom.css.cryapp.sm2;importcn.hutool.crypto.SmUtil;importcn.hutool.crypto.asymmetric.KeyType;importcn.hutool.crypto.asymmetric.SM2;importorg.bouncycastle.asn1.gm.GMNamedCurves;importorg.bouncycastle.asn1.x9.X9ECParameters;importorg.bouncycastle.crypto.AsymmetricCipherKeyPair;importorg.bouncycastle.crypto.engines.SM2Engine;importorg.bouncycastle.crypto.generators.ECKeyPairGenerator;importorg.bouncycastle.crypto.params.*;importorg.bouncycastle.crypto.signers.SM2Signer;importorg.bouncycastle.jce.spec.ECParameterSpec;importorg.bouncycastle.jce.provider.BouncyCastleProvider;importorg.bouncycastle.util.encoders.Hex;importjava.math.BigInteger;importjava.security.SecureRandom;importjava.security.Security;/** * SM2工具类适配bcprov-jdk15to18:1.69修复底层参数错误 */publicclassSM2Utils{// 国密规范默认用户ID不可随意修改验签需一致privatestaticfinalStringDEFAULT_USER_ID31323334353637383132333435363738;// SM2标准椭圆曲线参数privatestaticfinalX9ECParametersEC_PARAMSGMNamedCurves.getByName(sm2p256v1);privatestaticfinalECParameterSpecEC_SPECnewECParameterSpec(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN());// 注册BouncyCastle加密提供者static{if(Security.getProvider(BouncyCastleProvider.PROVIDER_NAME)null){Security.addProvider(newBouncyCastleProvider());}}/** * 生成SM2密钥对Hex格式 */publicstaticKeyPairgenerateKeyPair(){ECKeyPairGeneratorgeneratornewECKeyPairGenerator();ECKeyGenerationParametersgenParamsnewECKeyGenerationParameters(newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()),newSecureRandom());generator.init(genParams);AsymmetricCipherKeyPairkeyPairgenerator.generateKeyPair();// 解析私钥BigInteger转HexECPrivateKeyParametersprivateKey(ECPrivateKeyParameters)keyPair.getPrivate();StringprivateKeyHexHex.toHexString(privateKey.getD().toByteArray()).trim();// 解析公钥压缩格式HexECPublicKeyParameterspublicKey(ECPublicKeyParameters)keyPair.getPublic();StringpublicKeyHexHex.toHexString(publicKey.getQ().getEncoded(true)).trim();returnnewKeyPair(privateKeyHex,publicKeyHex);}/** * SM2签名私钥签名 * param privateKeyHex 私钥Hex * param data 待签名数据 * return 签名结果Hex */publicstaticStringsign(StringprivateKeyHex,Stringdata){try{// 修复私钥解析参数错误问题byte[]privateKeyBytesHex.decode(privateKeyHex);BigIntegerprivateKeyDnewBigInteger(1,privateKeyBytes);ECPrivateKeyParametersprivateKeynewECPrivateKeyParameters(privateKeyD,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));// 初始化签名器SM2SignersignernewSM2Signer();ParametersWithIDsignParamsnewParametersWithID(newParametersWithRandom(privateKey,newSecureRandom()),Hex.decode(DEFAULT_USER_ID));signer.init(true,signParams);// 执行签名byte[]dataBytesdata.getBytes(UTF-8);signer.update(dataBytes,0,dataBytes.length);returnHex.toHexString(signer.generateSignature());}catch(Exceptione){thrownewRuntimeException(SM2签名失败e.getMessage(),e);}}/** * SM2验签公钥验签 */publicstaticbooleanverify(StringpublicKeyHex,Stringdata,StringsignHex){try{// 解析公钥byte[]publicKeyBytesHex.decode(publicKeyHex);org.bouncycastle.math.ec.ECPointecPointEC_PARAMS.getCurve().decodePoint(publicKeyBytes);ECPublicKeyParameterspublicKeynewECPublicKeyParameters(ecPoint,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));// 初始化验签器SM2SignersignernewSM2Signer();ParametersWithIDverifyParamsnewParametersWithID(publicKey,Hex.decode(DEFAULT_USER_ID));signer.init(false,verifyParams);// 执行验签byte[]dataBytesdata.getBytes(UTF-8);signer.update(dataBytes,0,dataBytes.length);returnsigner.verifySignature(Hex.decode(signHex));}catch(Exceptione){thrownewRuntimeException(SM2验签失败e.getMessage(),e);}}/** * SM2加密公钥加密 */publicstaticStringencrypt(StringpublicKeyHex,StringplainText){try{byte[]publicKeyBytesHex.decode(publicKeyHex);org.bouncycastle.math.ec.ECPointecPointEC_PARAMS.getCurve().decodePoint(publicKeyBytes);ECPublicKeyParameterspublicKeynewECPublicKeyParameters(ecPoint,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));SM2EngineenginenewSM2Engine(SM2Engine.Mode.C1C3C2);engine.init(true,newParametersWithRandom(publicKey,newSecureRandom()));byte[]plainBytesplainText.getBytes(UTF-8);returnHex.toHexString(engine.processBlock(plainBytes,0,plainBytes.length));}catch(Exceptione){thrownewRuntimeException(SM2加密失败e.getMessage(),e);}}/** * SM2解密私钥解密 */publicstaticStringdecrypt(StringprivateKeyHex,StringcipherHex){try{byte[]privateKeyBytesHex.decode(privateKeyHex);BigIntegerprivateKeyDnewBigInteger(1,privateKeyBytes);ECPrivateKeyParametersprivateKeynewECPrivateKeyParameters(privateKeyD,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));SM2EngineenginenewSM2Engine(SM2Engine.Mode.C1C3C2);engine.init(false,privateKey);byte[]cipherBytesHex.decode(cipherHex);byte[]plainBytesengine.processBlock(cipherBytes,0,cipherBytes.length);returnnewString(plainBytes,UTF-8);}catch(Exceptione){thrownewRuntimeException(SM2解密失败e.getMessage(),e);}}// 密钥对封装类publicstaticclassKeyPair{privatefinalStringprivateKey;privatefinalStringpublicKey;publicKeyPair(StringprivateKey,StringpublicKey){this.privateKeyprivateKey;this.publicKeypublicKey;}// getter方法publicStringgetPrivateKey(){returnprivateKey;}publicStringgetPublicKey(){returnpublicKey;}}// 测试入口publicstaticvoidmain(String[]args){// 生成密钥对KeyPairkeyPairgenerateKeyPair();System.out.println(私钥keyPair.getPrivateKey());System.out.println(公钥keyPair.getPublicKey());// 测试数据StringplainTextSM2国密算法测试-2026;// 加密解密StringcipherTextencrypt(keyPair.getPublicKey(),plainText);StringdecryptedTextdecrypt(keyPair.getPrivateKey(),cipherText);System.out.println(解密结果一致plainText.equals(decryptedText));// 签名验签Stringsignsign(keyPair.getPrivateKey(),plainText);booleanverifyResultverify(keyPair.getPublicKey(),plainText,sign);System.out.println(验签通过verifyResult);}}2Hutool简化调用Hutool封装了SM2的核心逻辑适合快速开发packagecom.css.cryapp.sm2;importcn.hutool.core.codec.Base64;importcn.hutool.core.util.HexUtil;importcn.hutool.crypto.SmUtil;importcn.hutool.crypto.asymmetric.KeyType;importcn.hutool.crypto.asymmetric.SM2;importjava.io.UnsupportedEncodingException;/** * Hutool快速实现SM2密钥生成、加解密、签名验签 */publicclassSM2HutoolDemo{// 国密规范默认用户ID必须与签名验签一致privatestaticfinalStringDEFAULT_USER_ID31323334353637383132333435363738;publicstaticvoidmain(String[]args)throwsUnsupportedEncodingException{// 1. 生成密钥对SM2sm2SmUtil.sm2();StringprivateKeyHexHexUtil.encodeHexStr(sm2.getPrivateKey().getEncoded());StringpublicKeyHexHexUtil.encodeHexStr(sm2.getPublicKey().getEncoded());// 2. 加密解密StringplainTextHutool SM2测试数据;StringencryptHexsm2.encryptHex(plainText,KeyType.PublicKey);// 公钥加密StringdecryptStrsm2.decryptStr(encryptHex,KeyType.PrivateKey);// 私钥解密System.out.println(解密结果一致plainText.equals(decryptStr));// 3. 签名验签byte[]signBytessm2.sign(plainText.getBytes(UTF-8),DEFAULT_USER_ID.getBytes());booleanverifyResultsm2.verify(plainText.getBytes(UTF-8),signBytes,DEFAULT_USER_ID.getBytes());System.out.println(验签通过verifyResult);}}四、SM2开发与使用注意事项1. 开发层面注意事项1依赖版本兼容BouncyCastle版本需与JDK适配如bcprov-jdk15to18:1.69适配JDK8Hutool版本建议≥5.8.0低版本存在SM2签名验签兼容问题避免同时引入多个版本的BouncyCastle会导致类加载冲突。2密钥处理规范私钥必须严格保密建议存储在加密机、KMS密钥管理系统中禁止硬编码公钥可公开但需确保传输过程中未被篡改密钥生成后建议做备份丢失私钥将无法解密数据/验证签名。3参数一致性要求签名验签的USER_ID必须与国密规范一致默认31323334353637383132333435363738否则验签失败加密模式需统一如C1C3C2不同模式的密文无法互通解密字符编码统一使用UTF-8避免因编码不一致导致加解密/验签失败。2. 业务层面注意事项1适用场景边界SM2适合小数据量加密如密钥、敏感字段大数据量加密建议结合SM4对称加密用SM2加密SM4密钥SM4加密数据签名验签优先用于关键数据如合同、公文避免对高频接口过度使用导致性能损耗。2合规性要求生产环境需使用具备《商用密码产品型号证书》的SM2实现如BouncyCastle合规版本、国密局认证的密码机政务/金融项目需通过密码应用安全性评估确保SM2使用符合《GM/T 0003-2012》规范。3性能优化密钥对生成耗时较长建议预生成并缓存避免高频生成验签操作可异步处理降低接口响应耗时批量数据签名验签建议使用连接池减少资源创建开销。3. 常见问题排查问题现象排查方向验签失败1. USER_ID是否一致2. 公钥/签名/原始数据是否篡改3. 字符编码是否为UTF-8解密失败1. 私钥是否匹配2. 加密模式C1C3C2/C1C2C3是否一致3. 密文是否完整依赖冲突1. 检查BouncyCastle版本2. 排除重复依赖3. 确认类加载顺序五、总结SM2作为国密体系的核心非对称加密算法是国产化替代和合规建设的必选方案。其优势在于高安全性、高性能和完全自主可控适用于数据加密、身份认证、防篡改等核心场景。在实际开发中需重点关注依赖兼容、密钥安全、参数一致性三大核心问题结合Hutool等工具简化开发同时遵循国密规范和最佳实践确保系统安全与合规。未来随着信创产业的深入推进SM2将在更多领域替代传统RSA算法掌握其原理与实战技巧是研发人员必备的核心能力。
国密SM2算法实战:原理、实战与最佳实践
发布时间:2026/5/24 23:48:52
国密算法SM2深度解析原理、实战与最佳实践在金融、政务、能源等关键领域的信息安全建设中国密算法已成为合规与安全的核心要求。SM2作为我国自主研发的非对称加密算法凭借更高的安全性和国产化适配优势逐步替代RSA成为核心加密标准。本文将从SM2的应用场景、核心用途、代码实战到避坑指南全方位解析这一关键算法。一、SM2算法核心认知1. 什么是SM2SM2全称为《GM/T 0003-2012 SM2椭圆曲线公钥密码算法》是我国自主设计的椭圆曲线加密ECC算法属于非对称加密体系。相比传统RSA算法SM2在同等安全强度下密钥长度更短256位 vs RSA 2048位加解密效率更高且完全规避了国外算法的知识产权和后门风险。2. 核心特性非对称加密基于椭圆曲线数学难题需公钥/私钥配对使用国密合规满足《中华人民共和国密码法》要求是政务、金融等领域的强制适配算法双功能支持同时支持“加密解密”和“签名验签”两大核心能力性能优势密钥生成、加解密速度远超同安全级别的RSA。二、SM2的典型应用场景与用途1. 核心应用场景场景分类具体用途数据加密传输金融交易报文加密、政务系统敏感数据传输、API接口敏感参数加密身份认证电子签章/电子合同验签、系统登录身份认证、设备接入鉴权数据完整性校验重要文件防篡改签名验签、日志数据防伪造、区块链交易确认国产化适配信创项目鲲鹏/麒麟系统密码组件适配、国产化数据库/中间件加密集成2. 核心用途拆解1加密解密保护数据机密性公钥加密发送方用接收方公钥加密敏感数据只有对应私钥能解密防止数据传输过程中被窃取典型场景用户手机号、身份证号、交易金额等敏感字段的传输加密。2签名验签保障数据完整性与不可抵赖性私钥签名数据所有者用私钥对数据签名证明数据归属公钥验签接收方用公钥验证签名确认数据未被篡改且确为签名方发出典型场景电子合同签章、政务公文签发、APP安装包防篡改。3密钥协商安全交换对称密钥SM2还支持密钥协商功能可在两端安全交换对称加密如SM4的密钥兼顾非对称加密的安全性和对称加密的高效性。三、SM2实战基于HutoolBouncyCastle实现1. 环境准备需引入核心依赖Maven!-- Hutool工具包简化SM2调用 --dependencygroupIdcn.hutool/groupIdartifactIdhutool-all/artifactIdversion5.8.20/version/dependency!-- BouncyCastle国密算法底层实现 --dependencygroupIdorg.bouncycastle/groupIdartifactIdbcprov-jdk15to18/artifactIdversion1.69/version/dependency2. 核心功能实现1工具类封装修复底层兼容问题SM2的底层实现依赖BouncyCastle但部分版本存在ECPrivateKeyParameters构造函数参数错误问题以下是优化后的工具类核心逻辑packagecom.css.cryapp.sm2;importcn.hutool.crypto.SmUtil;importcn.hutool.crypto.asymmetric.KeyType;importcn.hutool.crypto.asymmetric.SM2;importorg.bouncycastle.asn1.gm.GMNamedCurves;importorg.bouncycastle.asn1.x9.X9ECParameters;importorg.bouncycastle.crypto.AsymmetricCipherKeyPair;importorg.bouncycastle.crypto.engines.SM2Engine;importorg.bouncycastle.crypto.generators.ECKeyPairGenerator;importorg.bouncycastle.crypto.params.*;importorg.bouncycastle.crypto.signers.SM2Signer;importorg.bouncycastle.jce.spec.ECParameterSpec;importorg.bouncycastle.jce.provider.BouncyCastleProvider;importorg.bouncycastle.util.encoders.Hex;importjava.math.BigInteger;importjava.security.SecureRandom;importjava.security.Security;/** * SM2工具类适配bcprov-jdk15to18:1.69修复底层参数错误 */publicclassSM2Utils{// 国密规范默认用户ID不可随意修改验签需一致privatestaticfinalStringDEFAULT_USER_ID31323334353637383132333435363738;// SM2标准椭圆曲线参数privatestaticfinalX9ECParametersEC_PARAMSGMNamedCurves.getByName(sm2p256v1);privatestaticfinalECParameterSpecEC_SPECnewECParameterSpec(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN());// 注册BouncyCastle加密提供者static{if(Security.getProvider(BouncyCastleProvider.PROVIDER_NAME)null){Security.addProvider(newBouncyCastleProvider());}}/** * 生成SM2密钥对Hex格式 */publicstaticKeyPairgenerateKeyPair(){ECKeyPairGeneratorgeneratornewECKeyPairGenerator();ECKeyGenerationParametersgenParamsnewECKeyGenerationParameters(newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()),newSecureRandom());generator.init(genParams);AsymmetricCipherKeyPairkeyPairgenerator.generateKeyPair();// 解析私钥BigInteger转HexECPrivateKeyParametersprivateKey(ECPrivateKeyParameters)keyPair.getPrivate();StringprivateKeyHexHex.toHexString(privateKey.getD().toByteArray()).trim();// 解析公钥压缩格式HexECPublicKeyParameterspublicKey(ECPublicKeyParameters)keyPair.getPublic();StringpublicKeyHexHex.toHexString(publicKey.getQ().getEncoded(true)).trim();returnnewKeyPair(privateKeyHex,publicKeyHex);}/** * SM2签名私钥签名 * param privateKeyHex 私钥Hex * param data 待签名数据 * return 签名结果Hex */publicstaticStringsign(StringprivateKeyHex,Stringdata){try{// 修复私钥解析参数错误问题byte[]privateKeyBytesHex.decode(privateKeyHex);BigIntegerprivateKeyDnewBigInteger(1,privateKeyBytes);ECPrivateKeyParametersprivateKeynewECPrivateKeyParameters(privateKeyD,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));// 初始化签名器SM2SignersignernewSM2Signer();ParametersWithIDsignParamsnewParametersWithID(newParametersWithRandom(privateKey,newSecureRandom()),Hex.decode(DEFAULT_USER_ID));signer.init(true,signParams);// 执行签名byte[]dataBytesdata.getBytes(UTF-8);signer.update(dataBytes,0,dataBytes.length);returnHex.toHexString(signer.generateSignature());}catch(Exceptione){thrownewRuntimeException(SM2签名失败e.getMessage(),e);}}/** * SM2验签公钥验签 */publicstaticbooleanverify(StringpublicKeyHex,Stringdata,StringsignHex){try{// 解析公钥byte[]publicKeyBytesHex.decode(publicKeyHex);org.bouncycastle.math.ec.ECPointecPointEC_PARAMS.getCurve().decodePoint(publicKeyBytes);ECPublicKeyParameterspublicKeynewECPublicKeyParameters(ecPoint,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));// 初始化验签器SM2SignersignernewSM2Signer();ParametersWithIDverifyParamsnewParametersWithID(publicKey,Hex.decode(DEFAULT_USER_ID));signer.init(false,verifyParams);// 执行验签byte[]dataBytesdata.getBytes(UTF-8);signer.update(dataBytes,0,dataBytes.length);returnsigner.verifySignature(Hex.decode(signHex));}catch(Exceptione){thrownewRuntimeException(SM2验签失败e.getMessage(),e);}}/** * SM2加密公钥加密 */publicstaticStringencrypt(StringpublicKeyHex,StringplainText){try{byte[]publicKeyBytesHex.decode(publicKeyHex);org.bouncycastle.math.ec.ECPointecPointEC_PARAMS.getCurve().decodePoint(publicKeyBytes);ECPublicKeyParameterspublicKeynewECPublicKeyParameters(ecPoint,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));SM2EngineenginenewSM2Engine(SM2Engine.Mode.C1C3C2);engine.init(true,newParametersWithRandom(publicKey,newSecureRandom()));byte[]plainBytesplainText.getBytes(UTF-8);returnHex.toHexString(engine.processBlock(plainBytes,0,plainBytes.length));}catch(Exceptione){thrownewRuntimeException(SM2加密失败e.getMessage(),e);}}/** * SM2解密私钥解密 */publicstaticStringdecrypt(StringprivateKeyHex,StringcipherHex){try{byte[]privateKeyBytesHex.decode(privateKeyHex);BigIntegerprivateKeyDnewBigInteger(1,privateKeyBytes);ECPrivateKeyParametersprivateKeynewECPrivateKeyParameters(privateKeyD,newECDomainParameters(EC_PARAMS.getCurve(),EC_PARAMS.getG(),EC_PARAMS.getN()));SM2EngineenginenewSM2Engine(SM2Engine.Mode.C1C3C2);engine.init(false,privateKey);byte[]cipherBytesHex.decode(cipherHex);byte[]plainBytesengine.processBlock(cipherBytes,0,cipherBytes.length);returnnewString(plainBytes,UTF-8);}catch(Exceptione){thrownewRuntimeException(SM2解密失败e.getMessage(),e);}}// 密钥对封装类publicstaticclassKeyPair{privatefinalStringprivateKey;privatefinalStringpublicKey;publicKeyPair(StringprivateKey,StringpublicKey){this.privateKeyprivateKey;this.publicKeypublicKey;}// getter方法publicStringgetPrivateKey(){returnprivateKey;}publicStringgetPublicKey(){returnpublicKey;}}// 测试入口publicstaticvoidmain(String[]args){// 生成密钥对KeyPairkeyPairgenerateKeyPair();System.out.println(私钥keyPair.getPrivateKey());System.out.println(公钥keyPair.getPublicKey());// 测试数据StringplainTextSM2国密算法测试-2026;// 加密解密StringcipherTextencrypt(keyPair.getPublicKey(),plainText);StringdecryptedTextdecrypt(keyPair.getPrivateKey(),cipherText);System.out.println(解密结果一致plainText.equals(decryptedText));// 签名验签Stringsignsign(keyPair.getPrivateKey(),plainText);booleanverifyResultverify(keyPair.getPublicKey(),plainText,sign);System.out.println(验签通过verifyResult);}}2Hutool简化调用Hutool封装了SM2的核心逻辑适合快速开发packagecom.css.cryapp.sm2;importcn.hutool.core.codec.Base64;importcn.hutool.core.util.HexUtil;importcn.hutool.crypto.SmUtil;importcn.hutool.crypto.asymmetric.KeyType;importcn.hutool.crypto.asymmetric.SM2;importjava.io.UnsupportedEncodingException;/** * Hutool快速实现SM2密钥生成、加解密、签名验签 */publicclassSM2HutoolDemo{// 国密规范默认用户ID必须与签名验签一致privatestaticfinalStringDEFAULT_USER_ID31323334353637383132333435363738;publicstaticvoidmain(String[]args)throwsUnsupportedEncodingException{// 1. 生成密钥对SM2sm2SmUtil.sm2();StringprivateKeyHexHexUtil.encodeHexStr(sm2.getPrivateKey().getEncoded());StringpublicKeyHexHexUtil.encodeHexStr(sm2.getPublicKey().getEncoded());// 2. 加密解密StringplainTextHutool SM2测试数据;StringencryptHexsm2.encryptHex(plainText,KeyType.PublicKey);// 公钥加密StringdecryptStrsm2.decryptStr(encryptHex,KeyType.PrivateKey);// 私钥解密System.out.println(解密结果一致plainText.equals(decryptStr));// 3. 签名验签byte[]signBytessm2.sign(plainText.getBytes(UTF-8),DEFAULT_USER_ID.getBytes());booleanverifyResultsm2.verify(plainText.getBytes(UTF-8),signBytes,DEFAULT_USER_ID.getBytes());System.out.println(验签通过verifyResult);}}四、SM2开发与使用注意事项1. 开发层面注意事项1依赖版本兼容BouncyCastle版本需与JDK适配如bcprov-jdk15to18:1.69适配JDK8Hutool版本建议≥5.8.0低版本存在SM2签名验签兼容问题避免同时引入多个版本的BouncyCastle会导致类加载冲突。2密钥处理规范私钥必须严格保密建议存储在加密机、KMS密钥管理系统中禁止硬编码公钥可公开但需确保传输过程中未被篡改密钥生成后建议做备份丢失私钥将无法解密数据/验证签名。3参数一致性要求签名验签的USER_ID必须与国密规范一致默认31323334353637383132333435363738否则验签失败加密模式需统一如C1C3C2不同模式的密文无法互通解密字符编码统一使用UTF-8避免因编码不一致导致加解密/验签失败。2. 业务层面注意事项1适用场景边界SM2适合小数据量加密如密钥、敏感字段大数据量加密建议结合SM4对称加密用SM2加密SM4密钥SM4加密数据签名验签优先用于关键数据如合同、公文避免对高频接口过度使用导致性能损耗。2合规性要求生产环境需使用具备《商用密码产品型号证书》的SM2实现如BouncyCastle合规版本、国密局认证的密码机政务/金融项目需通过密码应用安全性评估确保SM2使用符合《GM/T 0003-2012》规范。3性能优化密钥对生成耗时较长建议预生成并缓存避免高频生成验签操作可异步处理降低接口响应耗时批量数据签名验签建议使用连接池减少资源创建开销。3. 常见问题排查问题现象排查方向验签失败1. USER_ID是否一致2. 公钥/签名/原始数据是否篡改3. 字符编码是否为UTF-8解密失败1. 私钥是否匹配2. 加密模式C1C3C2/C1C2C3是否一致3. 密文是否完整依赖冲突1. 检查BouncyCastle版本2. 排除重复依赖3. 确认类加载顺序五、总结SM2作为国密体系的核心非对称加密算法是国产化替代和合规建设的必选方案。其优势在于高安全性、高性能和完全自主可控适用于数据加密、身份认证、防篡改等核心场景。在实际开发中需重点关注依赖兼容、密钥安全、参数一致性三大核心问题结合Hutool等工具简化开发同时遵循国密规范和最佳实践确保系统安全与合规。未来随着信创产业的深入推进SM2将在更多领域替代传统RSA算法掌握其原理与实战技巧是研发人员必备的核心能力。
—东方仙盟)
:测试如何提前在代码提交阶段发现 Bug?)
)
