多数的C-S架构中,数据通信采用的是互联网方式载体,互联网是一个开放的数据载体,怎么能在这个载体中保护好自己的“纯洁”?
“许多数据资源能够依靠网络来远程存取,而且越来越多的通讯依赖于公共网络公共网络(如Internet),而这些环境并不保证实体间的安全通信,数据在传输过程可能被其它人读取或篡改。”通信数据加密由此而来,把自己的信息保护着,然后放在互联网中传输,是一种主流的设计做法,当然,像政府相关单位可能走专线的,相当于私网了。
先来认识下常见的加密方式,之后再转入RSA的讨论。
1. Base64(伪加密)
2. Sha(Secure Hash Algorithm) (非对称加密)
3. MD5(Message Digest Algorithm 5)(非对称加密)
4. RSA(非对称加密)
5. DES(Data Encryption Standard)(对称加密)
6. 3DES(Triple DES)(对称加密)
7. AES(Advanced EncryptionStandard)(对称加密)
我们首先官方性地解读下:
1. DES(DataEncryptionStandard):数据加密标准,速度较快,适用于加密大量数据的场合;
2. 3DES(TripleDES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;
3. RSA:由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件快的长度也是可变的;
4. AES(AdvancedEncryptionStandard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前AES 标准的一个实现是Rijndael 算法;
5. MD5(MessageDigestAlgorithm 5):是RSA数据安全公司开发的一种单向散列算法,MD5被广泛使用,可以用来把不同长度的数据块进行暗码运算成一个128位的数值;
6. SHA(SecureHashAlgorithm)这是一种较新的散列算法,可以对任意长度的数据运算生成一个160位的数值;
我们再来简单地“翻译”下:
Base64不是加密手段,所以称为伪加密,只是一种常见的文本转换方式,解决传输中原始数据在特殊场景下无法使用的情况。
SHA类的,和MD5是相似的,不可逆加密,常用于明文数据存储保护和签名校验使用。其中SHA1\MD5目前是属于非安全的加密方式,可碰撞。
AES\DES类的,属于密钥加密,就是需要同一把钥匙才能解开,这就有风险了,我要想在C端加密,那在C端也要放一把钥匙,很容易就被人拿走。
最后就是RSA了,这是一种基于签名的加密算法,RSA分公钥和私钥(只是一种约定俗成的定义),常规情况下是公钥进行加密,私钥用于解密。最新有“RSA的公钥和私钥到底哪个才是用来加密和哪个用来解密?”之争,其实没有必要,简单地理一下,只要想着“既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密,可得出公钥负责加密,私钥负责解密;同理,既然是签名,那肯定是不希望有人冒充我发消息,只有我才能发布这个签名,所以可得出私钥负责签名,公钥负责验证。”其实本质是一样的,只是更多人愿意把公钥认定为Public(公开的),在不涉及文件保密情况下,用私钥签名也是无所谓的。
怎么做到既签名了又加密了?很有意思的问题,你可以“用自己的私钥加密,再用对方的公钥加密;对方接收后用自己的私钥解密后,再用我的公钥解密”,问题就解决了啊。且在在局域网不可信的情况下,这个方法可以对抗被动的搭线攻击,但是不能防御中间人和重放攻击。
回到C-S通信数据加密上来,如用户注册的场景,将用户输入的信息按序列化打包,并通过RSA公钥加密,传输到S端,S端保留有私钥,进行解密完成数据库的交互处理,返回注册成功的内容。这就是典型的适用场景,也是技术选型中常用的加密方案。
好了,结束了,你是不是也想去加密了?