PHP与Java之间AES/GCM/128加密解密的跨平台实现指南

1. AES/GCM加密模式简介

高级加密标准（AES）是一种广泛使用的对称加密算法。GCM（Galois/Counter Mode）是一种认证加密模式，它不仅提供数据的机密性（加密），还提供数据的完整性（防止篡改）和认证性（验证数据来源）。AES/GCM模式在实际应用中非常流行，特别是在TLS/SSL等协议中。在跨语言实现时，确保所有加密参数（如密钥、初始化向量IV、认证标签Tag的长度和处理方式）以及数据编码格式的一致性至关重要。

2. PHP 加密实现解析

首先，我们来看PHP端的加密实现。PHP使用openssl_encrypt函数进行AES/GCM加密，并自定义了输出数据的格式。

<?php
function aes_gcm_decrypt($content, $secret) {
    $cipher = 'aes-128-gcm';
    // Base64解码后得到二进制数据，再转换为十六进制字符串以便解析
    $ciphertextwithiv = bin2hex(base64_decode($content));
    // 从十六进制字符串中提取IV (24字符 = 12字节)
    $iv = substr($ciphertextwithiv, 0, 24);
    // 从十六进制字符串中提取Tag (32字符 = 16字节)
    $tag = substr($ciphertextwithiv , -32, 32);
    // 密文是IV和Tag之间的部分
    $ciphertext = substr($ciphertextwithiv, 24, strlen($ciphertextwithiv) - 24 - 32);
    // 密钥从十六进制字符串转换为二进制
    $skey = hex2bin($secret);

    // 使用openssl_decrypt进行解密
    return openssl_decrypt(hex2bin($ciphertext), $cipher, $skey, OPENSSL_RAW_DATA, hex2bin($iv), hex2bin($tag));
}

function aes_gcm_encrypt($data, $secret) {
  $cipher = 'aes-128-gcm';
  $string = is_array($data) ? json_encode($data) : $data;
  // 密钥从十六进制字符串转换为二进制
  $skey = hex2bin($secret);
  // 生成12字节的随机IV (AES/GCM/128的IV长度通常为12字节)
  $iv = openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher));

  $tag = NULL; // Tag将通过引用传递给openssl_encrypt
  // 执行加密，Tag会填充到$tag变量中
  $content = openssl_encrypt($string, $cipher, $skey, OPENSSL_RAW_DATA, $iv, $tag);

  // 组合IV、密文和Tag，全部转换为十六进制字符串，然后转换为二进制，最后进行Base64编码
  $str = bin2hex($iv) . bin2hex($content) . bin2hex($tag);
  return base64_encode(hex2bin($str));
}

// 示例用法
$content = 'Test text.{123456}';
$secret = '544553534B4559313233343536'; // 24个十六进制字符，对应12字节
$encryptStr = aes_gcm_encrypt($content, $secret);
print_r("encrypt -> $encryptStr \n");

$decryptStr = aes_gcm_decrypt($encryptStr, $secret);
print_r("decrypt -> $decryptStr \n");

PHP加密的关键点：

• 算法模式： aes-128-gcm，指定了AES-128位密钥和GCM模式。
• 密钥 ($secret) 处理： 原始 $secret 是一个十六进制字符串（例如'544553534B4559313233343536'），通过 hex2bin() 转换为二进制密钥。对于AES-128，密钥长度应为16字节。如果提供的十六进制字符串（如示例中的24字符）转换为二进制后不足16字节（12字节），openssl_encrypt可能会根据其内部实现进行零填充或密钥派生，使其达到16字节。
• IV（初始化向量）： openssl_random_pseudo_bytes(openssl_cipher_iv_length($cipher)) 生成，对于AES/GCM，标准IV长度为12字节。
• Tag（认证标签）： openssl_encrypt 函数通过引用参数 $tag 返回认证标签，默认长度为16字节（128位）。
• 输出格式： 最终的加密字符串是将IV、密文和Tag的二进制数据分别转换为十六进制字符串，然后拼接起来，再将拼接后的十六进制字符串转换为二进制，最后进行Base64编码。其结构为：Base64(Bin(Hex(IV) + Hex(Ciphertext) + Hex(Tag)))。

3. Java 解密问题分析

在Java中尝试解密PHP生成的密文时，常常会遇到 javax.crypto.AEADBadTagException: Tag mismatch! 异常。这通常意味着认证标签验证失败，表明解密过程中某个关键参数（如密钥、IV、Tag长度或密文结构）与加密时不一致。

Hotpot AI Background Remover

Hotpot.ai推出的图片背景移除工具

下载

立即学习“PHP免费学习笔记（深入）”；

初始的Java解密尝试代码可能存在以下问题：

import java.security.spec.KeySpec;
import java.util.Base64;
import java.util.Random;
import javax.crypto.*;
import javax.crypto.spec.*;

public class MyTest {

    public static void main(String[] args) throws Exception {
        String secret = "544553534B4559313233343536";
        String encryptStr = "Fun3yZTPcHsxBpft+jBZDe2NjGNAs8xUHY21eZswZE4iLKYdBsyER7RwVfFvuQ==";
        String decryptString = decrypt(encryptStr, secret, 16); // 这里的16是IV长度
        System.out.println("decryptString: " + decryptString);
    }

    private static String decrypt(String data, String mainKey, int ivLength) throws Exception {
        final byte[] encryptedBytes = Base64.getDecoder().decode(data.getBytes("UTF8"));
        final byte[] initializationVector = new byte[ivLength]; // IV长度被设置为16
        System.arraycopy(encryptedBytes, 0, initializationVector, 0, ivLength);
        // 密钥派生方式与PHP不一致，PHP直接将十六进制字符串转换为二进制密钥
        SecretKeySpec secretKeySpec = new SecretKeySpec(generateSecretKeyFromPassword(mainKey, mainKey.length()), "AES");
        // GCMParameterSpec的Tag长度128位正确，但IV长度不正确
        GCMParameterSpec gcmParameterSpec = new GCMParameterSpec(128, initializationVector);
        Cipher cipher = Cipher.getInstance("AES/GCM/NoPadding");
        cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, gcmParameterSpec);
        // 传入doFinal的数据包含密文和Tag，但IV长度错误会影响偏移量
        return new String(cipher.doFinal(encryptedBytes, ivLength, encryptedBytes.length - ivLength), "UTF8");
    }

    // 密钥派生函数，与PHP的hex2bin行为不一致
    private static byte[] generateSecretKeyFromPassword(String password, int keyLength) throws Exception {
        byte[] salt = new byte[keyLength];
        new Random(password.hashCode()).nextBytes(salt);
        SecretKeyFactory factory = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA256");
        KeySpec spec = new PBEKeySpec(password.toCharArray(), salt, 65536, 128);
        return factory.generateSecret(spec).getEncoded();
    }
}

导致 AEADBadTagException 的主要原因：

1. 密钥处理不一致： PHP通过 hex2bin() 将十六进制字符串直接转换为二进制密钥。而Java代码尝试使用PBKDF2从密码派生密钥。这两种密钥生成方式完全不同，导致Java无法使用正确的密钥进行解密。
2. IV 长度不匹配： PHP的AES/GCM模式默认IV长度为12字节。原始Java代码将IV长度设置为16字节，导致提取的IV不正确。
3. 数据解析不正确： PHP的输出格式是 Base64(Bin(Hex(IV) + Hex(Ciphertext) + Hex(Tag)))。这意味着Base64解码后得到的是 IV_BYTES | CIPHERTEXT_BYTES | TAG_BYTES 的原始字节流。