1. 国密SM4算法基础认知第一次接触国密算法时我也被各种专业术语绕晕了。简单来说SM4就像是给数据上锁的国产密码锁——它用128位的密钥相当于16个字符的密码把数据切成固定大小的块进行加密。比起国际通用的AES算法SM4在政府和企业系统中更常见特别是在金融、政务这些对数据安全要求高的领域。这里有个生活化的比喻假设你要寄贵重物品SM4就像是用特制的中国制造保险箱加密算法打包物品。ECB模式相当于把物品分成多个小件每个都用相同的钥匙单独锁进保险箱而PKCS7Padding则是给最后一个小箱子塞泡沫垫填充数据确保所有箱子大小一致。最近给某银行做数据接口开发时就强制要求使用SM4/ECB/PKCS7Padding组合这也是今天重点讲解的方案。2. 开发环境快速搭建2.1 Maven依赖配置用IDEA新建项目后在pom.xml里添加这两个关键依赖dependencies !-- 提供国密算法实现 -- dependency groupIdorg.bouncycastle/groupId artifactIdbcprov-jdk15on/artifactId version1.70/version /dependency !-- Base64编码工具 -- dependency groupIdcommons-codec/groupId artifactIdcommons-codec/artifactId version1.16.0/version /dependency /dependencies踩坑提醒去年接手老项目时发现加密异常排查半天才发现是Bouncy Castle版本过旧。建议版本不低于1.66新版修复了不少安全漏洞。如果遇到NoSuchAlgorithmException大概率是依赖没加载成功可以试试Security.addProvider(new BouncyCastleProvider())手动注册。2.2 算法提供者配置在Java代码的静态块中初始化加密提供者static { if (Security.getProvider(BC) null) { Security.addProvider(new BouncyCastleProvider()); } }实测发现不同JDK版本有差异Oracle JDK8需要手动添加而OpenJDK11可能已经内置。建议加上判断条件避免重复注册。3. 核心工具类实现3.1 密钥生成模块生成随机密钥的两种实用方法// 生成默认128位密钥 public static byte[] generateKey() throws Exception { KeyGenerator kg KeyGenerator.getInstance(SM4, BC); kg.init(128, new SecureRandom()); return kg.generateKey().getEncoded(); } // 生成指定长度密钥单位bit public static byte[] generateKey(int keySize) throws Exception { KeyGenerator kg KeyGenerator.getInstance(SM4, BC); kg.init(keySize, new SecureRandom()); return kg.generateKey().getEncoded(); }密钥管理经验谈在金融项目中我们采用主密钥会话密钥的双层体系。主密钥由硬件加密机保管会话密钥则用主密钥加密后传输。这里演示的生成方法适合临时密钥场景。3.2 加密解密核心方法完整工具类代码结构public class Sm4EcbUtils { private static final String ALGORITHM_NAME SM4; private static final String ALGORITHM_NAME_ECB_PADDING SM4/ECB/PKCS7Padding; // ECB模式加密 public static byte[] encryptEcb(byte[] key, byte[] data) throws Exception { Cipher cipher Cipher.getInstance(ALGORITHM_NAME_ECB_PADDING, BC); SecretKeySpec sm4Key new SecretKeySpec(key, ALGORITHM_NAME); cipher.init(Cipher.ENCRYPT_MODE, sm4Key); return cipher.doFinal(data); } // ECB模式解密 public static byte[] decryptEcb(byte[] key, byte[] cipherText) throws Exception { Cipher cipher Cipher.getInstance(ALGORITHM_NAME_ECB_PADDING, BC); SecretKeySpec sm4Key new SecretKeySpec(key, ALGORITHM_NAME); cipher.init(Cipher.DECRYPT_MODE, sm4Key); return cipher.doFinal(cipherText); } }性能优化点实际测试发现频繁创建Cipher实例会影响性能。在高并发场景下可以考虑使用ThreadLocal来缓存Cipher实例。4. 完整应用示例4.1 控制台演示案例public class Sm4Demo { public static void main(String[] args) throws Exception { // 生成密钥建议实际项目中使用固定密钥 byte[] key Sm4EcbUtils.generateKey(); System.out.println(生成密钥 Hex.toHexString(key)); String originalText 这是一段需要加密的敏感数据; System.out.println(原始文本 originalText); // 加密流程 byte[] encrypted Sm4EcbUtils.encryptEcb(key, originalText.getBytes(StandardCharsets.UTF_8)); String encryptedBase64 Base64.encodeBase64String(encrypted); System.out.println(加密结果(Base64) encryptedBase64); // 解密流程 byte[] decrypted Sm4EcbUtils.decryptEcb(key, Base64.decodeBase64(encryptedBase64)); System.out.println(解密结果 new String(decrypted, StandardCharsets.UTF_8)); } }4.2 常见问题调试填充异常遇到BadPaddingException时首先检查密钥是否正确。曾有个故障是因为前端传的密钥被URLDecode了一次导致长度变化。中文乱码加解密时务必统一字符编码推荐全程使用UTF-8。遇到过团队用GBK加密UTF-8解密的坑。数据截断ECB模式下加密结果长度原始数据长度16 - 原始数据长度%16。如果解密时长度不对可能是传输过程中丢失了部分数据。5. 生产环境实践建议5.1 安全增强方案密钥存储切忌硬编码在代码中推荐方案开发环境配置文件加密存储生产环境使用KMS或HSM硬件加密机模式选择虽然ECB实现简单但相同明文会生成相同密文。对安全性要求高的场景建议改用CBC模式示例public static byte[] encryptCbc(byte[] key, byte[] iv, byte[] data) throws Exception { Cipher cipher Cipher.getInstance(SM4/CBC/PKCS7Padding, BC); IvParameterSpec ivSpec new IvParameterSpec(iv); SecretKeySpec sm4Key new SecretKeySpec(key, SM4); cipher.init(Cipher.ENCRYPT_MODE, sm4Key, ivSpec); return cipher.doFinal(data); }5.2 性能优化技巧对象复用Cipher实例的创建成本较高可通过对象池复用批量处理大文件加密时采用分块处理避免内存溢出try (InputStream in new FileInputStream(input.txt); OutputStream out new FileOutputStream(encrypted.txt)) { Cipher cipher Cipher.getInstance(SM4/ECB/PKCS7Padding, BC); cipher.init(Cipher.ENCRYPT_MODE, secretKey); byte[] buffer new byte[8192]; int bytesRead; while ((bytesRead in.read(buffer)) ! -1) { byte[] output cipher.update(buffer, 0, bytesRead); if (output ! null) out.write(output); } byte[] output cipher.doFinal(); if (output ! null) out.write(output); }最近在数据中台项目中通过线程池Cipher对象池的方案将加密吞吐量从原来的1200QPS提升到了8500QPS。关键点是避免每次加密都创建新对象同时控制好并发线程数。