4W2H之加密簽名

stackfing 發布于2019-08-16 13:35 / 3120人閱讀

摘要：從上面的介紹中可以看出，加密主要是用來使數據無法被識別，而簽名主要是用來確保數據未被修改。又被稱為非對稱加密，擁有一個公鑰和一個私鑰，公鑰可以交給對方，私鑰自己保存。公鑰用作加密使用，而私鑰用于簽名。

what 什么是加密和簽名

??加密，用某種特殊的方式對數據進行處理，使其他人或者機器無法正常處理。如常用的rsa非對稱加密，MD5,des和aes對稱加密等等。
??簽名，在傳輸數據前先對數據 "a" 進行處理得到數據 ‘b’，這部分操作被稱為簽名。然后將a 和 b發送給接受者，接受者獲得數據后對數據 "b" 進行解簽得到數據 ‘c’,如果數據‘c’和數據‘a’一樣，則認為數據沒有被修改。
??從上面的介紹中可以看出，加密主要是用來使數據無法被識別，而簽名主要是用來確保數據未被修改。

when 哪些場景使用

??在安全為重中之重的支付領域，常常會采用加密和加簽的方式來確保數據的安全性。由于RAS這種加密方式不容易被破解，因此通常使用它確保安全。
??RAS又被稱為非對稱加密，擁有一個公鑰和一個私鑰，公鑰可以交給對方，私鑰自己保存。公鑰用作加密使用，而私鑰用于簽名。
??首先，商戶會生成一對公私鑰，公鑰交給銀行。而銀行同樣也會將生成的公鑰交給商戶。商戶向銀行發送支付報文時，先用自身的私鑰對支付需要的參數進行簽名生成sign這個字段，接著將sign這個字段值和之前的參數用銀行的公鑰加密，接著通過某些傳輸協議發送給銀行。
??銀行得到報文后，用自身的私鑰進行解密，如果不能解開，證明不是商戶發的。如果解密成功，再用商戶的公鑰對sign進行解簽，與數據進行對比判斷。

why 為什么 為什么不用Des，Aes或者Md5。

??Des這些對稱加密，需要的是一個key。這些key在一定條件下可以被暴力破解，MD5同樣也是如此。

為什么不用公鑰加簽，私鑰加密?

??假設用私鑰加密，公鑰加簽。那么在商戶發給銀行的過程中，銀行需要用公鑰解密，由于公鑰是被暴露在外面的，如果被非銀行的人拿到，數據被解密后就能看到了，雖然他不能確定這些數據有沒有被修改過。而如果用公鑰加密，私鑰是掌握在銀行手中。

where 哪些地方需要注意

不一定Md5只能用來加密，同樣可以用來加簽。

RAS雖然安全，但是會給開發帶來難度。

How to use 加簽

       Map map=new HashMap<>();
        map.put("client_id", AppConstant.APPID);
        map.put("method","user.baseinfo");
        map.put("access_token",accessToken);
        map.put("timestamp",String.valueOf(System.currentTimeMillis()));
        map.put("client_secret",AppConstant.APPSECRET);
        String sign= MD5.md5Sign(map);
        map.put("sign",sign);
        
        /**md5加簽**/
        public static String md5Sign(Map params){
            String[] keys = params.keySet().toArray(new String[0]);
            Arrays.sort(keys);
            // 第二步：把所有參數名和參數值串在一起
            StringBuilder query = new StringBuilder();
            for (String key : keys) {
                String value = params.get(key);
                query.append(key).append(value);
            }
            // 第三步：md5加密
        return DigestUtils.md5Hex(query.toString());
    }

這段代碼用的是md5方式進行加簽，在這邊應該可以看出來加簽只是加密的一種運用。

GPU云服務器云服務器 http加密簽名電子簽名數字簽名之字形系列之

文章版權歸作者所有，未經允許請勿轉載,若此文章存在違規行為，您可以聯系管理員刪除。

轉載請注明本文地址：http://m.specialneedsforspecialkids.com/yun/71980.html

愛加密安全分析系列之某打車軟件apk

摘要：最近發現打車軟件的非常的火，并聽說他們進行了非常嚴密的防護，防止用戶進行二次打包。經過嚴密的分析發現司機版主要的防護在兩個地方。最近發現打車軟件的apk非常的火，并聽說他們進行了非常嚴密的防護，防止用戶進行二次打包。今天我們來分析一下他的安全性到底如何（以司機版為例）。經過嚴密的分析發現：司機版主要的防護在兩個地方。第一個是：登錄過程中，通過傳遞context對象到so庫中的方...

zhkai 2019-08-14 11:47 評論0 收藏0
BREW SDK 九大功能之安全服務

摘要：中的安全服務是指應用程式使用提供的來實現安全性的功能。同時，提供了非對稱算法加密。非對稱算法加密過程如下發送方對明文使用加密算法和公開密鑰進行加密，得到密文接收方對密文使用解密算法和私人密鑰進行解密，得到明文。 BREW中的安全服務是指應用程式使用BREW提供的API來實現安全性的功...

sixleaves 2021-11-22 14:44 評論0 收藏0
Swoole 源碼分析——Server模塊之OpenSSL (上)

摘要：另一方比如小明得到公鑰之后，雙方就可以通信。然而，中間人還是可能截獲公鑰，然后自己弄一對秘鑰，然后告訴小明說是小紅的公鑰。這樣，小亮在簽署小紅的身份證的時候，可以在小紅身份證后面附上自己的身份證。一般來說，自簽名的根身份證用于公司內部使用。前言自從 Lets Encrypt 上線之后，HTTPS 網站數量占比越來越高，相信不久的未來就可以實現全網 HTTPS，大部分主流瀏覽器也對 ...

ky0ncheng 2019-07-01 12:31 評論0 收藏0