跨语言AES/GCM/128加解密指南：PHP与Java互操作实现-php教程-PHP中文网

跨语言aes/gcm/128加解密指南：php与java互操作实现

本文详细探讨了在PHP和Java之间实现AES/GCM/128加解密的互操作性问题，特别解决了Java端解密PHP加密内容时遇到的AEADBadTagException。文章深入分析了PHP加密过程中的密钥、IV和认证标签处理方式，并提供了经过修正的Java解密代码，确保了密钥格式、IV长度以及密文与标签解析的准确匹配，从而实现跨语言的安全数据交换。

1. AES/GCM 加密概述

AES (Advanced Encryption Standard) 是一种广泛使用的对称加密算法，而GCM (Galois/Counter Mode) 是一种认证加密模式，它在提供数据机密性的同时，也提供了数据完整性和认证功能。AES/GCM/128 表示使用128位的AES密钥，工作在GCM模式下。在跨语言实现加解密时，确保所有参数（如密钥、初始化向量IV、认证标签Tag、密文、填充模式等）在不同语言之间保持一致至关重要。

AES/GCM模式的主要组成部分包括：

密钥 (Key)：用于加密和解密的秘密信息。对于AES-128，密钥长度必须是16字节（128位）。
初始化向量 (IV)：一个随机的、不重复的数值，用于确保即使使用相同的密钥加密相同的数据，也能生成不同的密文。对于GCM模式，推荐的IV长度是12字节。
密文 (Ciphertext)：加密后的数据。
认证标签 (Authentication Tag)：由GCM模式生成，用于验证密文的完整性和真实性。通常为16字节（128位）。

2. PHP 加密过程分析

提供的PHP代码展示了如何使用openssl_encrypt函数进行AES-128-GCM加密。

<?php
function aes_gcm_encrypt($data, $secret) {
  $cipher = 'aes-128-gcm';
  $string = is_array($data) ? json_encode($data) : $data;
  // 1. 密钥处理：将十六进制字符串转换为二进制
  $skey = hex2bin($secret); 
  // 2. IV生成：生成12字节的随机IV
  $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher));

  $tag = NULL;
  // 3. 加密操作：生成密文和认证标签
  $content = openssl_encrypt($string, $cipher, $skey, OPENSSL_RAW_DATA, $iv, $tag);

  // 4. 数据拼接与编码：IV、密文、标签按顺序拼接，进行hex2bin后再base64编码
  $str = bin2hex($iv) . bin2hex($content) . bin2hex($tag);
  return base64_encode(hex2bin($str));
}
?>

登录后复制

从PHP代码中我们可以提取以下关键信息：

立即学习“PHP免费学习笔记（深入）”；

密钥 ($secret): 原始输入是一个十六进制字符串（例如544553544B4559313233343536），通过hex2bin转换为二进制密钥。需要注意的是，AES-128要求16字节密钥，而示例中的十六进制字符串对应12字节。openssl_encrypt可能内部对短密钥进行了处理（例如填充），Java端需要精确模拟或确保密钥长度匹配。
IV ($iv): 使用openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher))生成，对于aes-128-gcm，其长度为12字节。
认证标签 ($tag): openssl_encrypt在GCM模式下会自动生成认证标签，通常为16字节。
输出格式: PHP将IV、密文和认证标签的十六进制表示串联起来（bin2hex($iv) . bin2hex($content) . bin2hex($tag)），然后将这个完整的十六进制字符串转换为二进制，最后进行Base64编码。这意味着Base64解码后的数据将是 IV_bytes || Ciphertext_bytes || Tag_bytes 的二进制串。

3. Java 解密问题及分析

初始的Java解密代码在尝试解密PHP加密的内容时抛出了AEADBadTagException。这通常意味着认证标签不匹配，即解密过程中计算出的标签与接收到的标签不一致，这可能是由于密钥、IV、密文或标签本身处理不当造成的。

// 原始Java解密代码片段
private static String decrypt(String data, String mainKey, int ivLength) throws Exception {
    final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes("UTF8"));
    final byte[] initializationVector = new byte[ivLength]; // 问题1：ivLength可能不正确
    System.arraycopy(encryptedBytes, 0, initializationVector, 0, ivLength);
    // 问题2：密钥生成方式与PHP不匹配，使用了PBKDF2
    SecretKeySpec secretKeySpec = new SecretKeySpec(generateSecretKeyFromPassword(mainKey, mainKey.length()), "AES");
    GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);
    Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
    cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);
    // 问题3：doFinal的偏移量和长度可能未正确处理密文和标签
    return new String(cipher.doFinal(encryptedBytes, ivLength, encryptedBytes.length - ivLength), "UTF8");
}
// 原始Java密钥生成函数
private static byte[] generateSecretKeyFromPassword(String password, int keyLength) throws Exception {
    // ... 使用PBKDF2WithHmacSHA256，这与PHP的hex2bin完全不同
}

登录后复制

分析发现，导致AEADBadTagException的主要原因包括：

云雀语言模型

云雀是一款由字节跳动研发的语言模型，通过便捷的自然语言交互，能够高效的完成互动对话

查看详情

密钥生成不匹配: Java代码通过generateSecretKeyFromPassword使用PBKDF2从密码派生密钥，这与PHP直接将十六进制字符串转换为二进制密钥的方式完全不一致。
IV长度不匹配: 原始Java代码中的ivLength是一个可变参数，如果设置为16（常见的AES模式IV长度），而PHP实际生成的是12字节的IV，则会导致错误。
数据解析不精确: 虽然Base64解码是正确的，但Java在提取IV后，将剩余的所有数据（密文和认证标签）都传递给了doFinal方法。GCMParameterSpec(128, initializationVector)已经告知Cipher期望的认证标签长度是128位（16字节），所以cipher.doFinal会正确地从传入的最后部分数据中解析出标签。因此，这个问题并非主要原因，关键在于前两点。

4. 修正后的Java解密实现

为了实现与PHP的兼容解密，Java代码需要进行以下修正：

统一密钥处理:
- PHP的密钥是十六进制字符串。Java需要一个函数将十六进制字符串转换为字节数组。
- PHP的aes-128-gcm需要16字节密钥。如果输入的十六进制字符串密钥不足16字节（例如示例中的12字节），Java端需要像PHP可能内部做的那样进行填充（通常是补零），或者截断超过16字节的部分，以确保密钥长度为16字节。
固定IV长度: 明确指定IV长度为12字节，与PHP的openssl_cipher_iv_length('aes-128-gcm')保持一致。
正确解析数据: Base64解码后，数据结构为 IV (12字节) || Ciphertext || Tag (16字节)。Java需要正确地从这个字节数组中提取IV，然后将剩余的密文和标签传递给Cipher.doFinal。

以下是修正后的Java解密代码：

import java.nio.charset.StandardCharsets;
import java.util.Base64;
import javax.crypto.*;
import javax.crypto.spec.*;

public class MyTest {

    public static final String ALGO = "AES";
    public static final String GCM_ALGO = "AES/GCM/NoPadding";
    public static final int IV_LENGTH = 12; // 明确指定IV长度为12字节

    public static void main(String[] args) throws Exception {
        String secret = "544553544B4559313233343536"; // PHP加密使用的十六进制密钥
        String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ=="; // PHP加密后的Base64字符串

        // 格式化密钥，确保其长度符合AES-128（16字节）
        secret = reformatSecret(secret);
        String decryptStr = decrypt(encryptStr, secret);

        System.out.println("encryptString: " + encryptStr);
        System.out.println("secret (formatted hex): " + secret);
        System.out.println("decryptString: " + decryptStr);
    }

    /**
     * 解密PHP加密的AES/GCM数据
     * @param data Base64编码的加密字符串
     * @param secret 格式化后的十六进制密钥字符串
     * @return 解密后的明文字符串
     * @throws Exception 加密异常
     */
    private static String decrypt(String data, String secret) throws Exception {
        // 1. Base64解码，得到 IV || Ciphertext || Tag 的字节数组
        final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes(StandardCharsets.UTF_8));

        // 2. 提取IV
        final byte[] initializationVector = new byte[IV_LENGTH];
        System.arraycopy(encryptedBytes, 0, initializationVector, 0, IV_LENGTH);

        // 3. 将十六进制密钥字符串转换为字节数组
        final byte[] keyBytes = parseHexStr2Byte(secret);
        SecretKeySpec secretKeySpec = new SecretKeySpec(keyBytes, ALGO);

        // 4. 初始化GCM参数，指定IV和认证标签长度（128位即16字节）
        GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);

        // 5. 获取Cipher实例并初始化为解密模式
        Cipher cipher = Cipher.getInstance(GCM_ALGO);
        cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);

        // 6. 执行解密。从IV_LENGTH偏移量开始，长度为总长度减去IV长度，这部分数据包含密文和认证标签。
        // Cipher会自动根据GCMParameterSpec中的标签长度从末尾提取标签。
        byte[] decryptedBytes = cipher.doFinal(encryptedBytes, IV_LENGTH, encryptedBytes.length - IV_LENGTH);

        // 7. 将解密后的字节数组转换为UTF-8字符串
        return new String(decryptedBytes, StandardCharsets.UTF_8);
    }

    /**
     * 格式化密钥：确保密钥是32个十六进制字符（16字节），不足则补零，超出则截断。
     * @param secret 原始十六进制密钥字符串
     * @return 格式化后的十六进制密钥字符串
     */
    public static String reformatSecret(String secret) {
        if (secret == null || secret.length() < 1) {
            return "";
        }
        int secretLen = secret.length();
        if (secretLen < 32) { // AES-128需要16字节密钥，即32个十六进制字符
            StringBuilder str = new StringBuilder(secret);
            while (secretLen < 32) {
                str.append("0"); // 补零
                secretLen = str.length();
            }
            return str.toString();
        } else {
            return secret.substring(0, 32); // 截断
        }
    }

    /**
     * 将十六进制字符串转换为字节数组
     * @param hexStr 十六进制字符串
     * @return 字节数组
     */
    public static byte[] parseHexStr2Byte(String hexStr) {
        int len = hexStr.length();
        byte[] data = new byte[len / 2];
        for (int i = 0; i < len; i += 2) {
            data[i / 2] = (byte) ((Character.digit(hexStr.charAt(i), 16) << 4) + Character.digit(hexStr.charAt(i+1), 16));
        }
        return data;
    }
}

登录后复制

运行结果:

encryptString: Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ==
secret (formatted hex): 544553544B45593132333435360000000000
decryptString: Test text.{123456}

登录后复制

5. 注意事项与最佳实践

在进行跨语言加密互操作时，需要特别注意以下几点：

密钥管理: 在生产环境中，密钥不应直接硬编码在代码中，而应通过安全的密钥管理系统进行存储和检索。
密钥长度与算法: 始终确保密钥长度与所选加密算法（如AES-128要求16字节）严格匹配。如果原始密钥不符合要求，需要明确定义填充或截断策略，并在所有互操作方保持一致。
IV生成与传输: IV必须是随机且不重复的，并且在每次加密时都重新生成。IV本身不需要保密，但必须与密文一起传输给解密方。本例中PHP将IV与密文和标签拼接在一起，并进行Base64编码传输，这是常见的做法。
认证标签: GCM模式下的认证标签是防止篡改的关键。解密时，如果标签不匹配，必须拒绝解密结果，并抛出异常（如AEADBadTagException），绝不能返回部分解密的数据。
字符编码:

以上就是跨语言AES/GCM/128加解密指南：PHP与Java互操作实现的详细内容，更多请关注php中文网其它相关文章！