ak和sk是什么?
-
AK:Access Key Id,用于标示用户。
-
SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密,只能用户(客户端)进行保存。
AK/SK的获取
客户端一般会提供给用户下载AK/SK的功能,然后服务端会保存AK和AK对应的domainID,userID这些信息。
使用原理(签名,验签,非对称加密)
客户端:
1.构建http请求(包含 access key);
2.使用原始报文进行hash算法计算得到摘要,然后使用SK对摘要进行加密生成签名(signature);
3.将请求体发送给服务端(请求体 = AK + 原始报文 + 签名);
服务端:
1.根据客户端发送过来的access key 查找数据库得到对应的Ak和AK对应的用户信息
2.使用上面步骤2相同的hash算法对原始报文进行计算得到摘要1,然后再用AK对签名传过来的签名进行解密(非对称加密知识,公钥加密私钥解密,私钥加密公钥解密/验签)得到一个摘要2,比较摘要1和摘要2相同则认证通过。
优点
- AK/SK是随机生成的,相比账号密码,不存在人为设置弱密码的风险,基本排除被暴力破解的可能性。
- 在通信的过程中,SK是不会暴露在传输通道的,账号密码的方式是会暴露在传输通道中的(即使做了加密)。所以使用AK/SK在某些场景也是可以使用HTTP协议进行传输的(请求体不包含SK,及时不使用加密传输问题也不大)
- 相较于账号密码,AK/SK本身可以用来做权限的划分(待补充)
学习计划安排
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!
如果你对网络安全入门感兴趣,那么你需要的话可以
点击这里👉【整整282G!】网络安全&黑客技术小白到大神全套资料,免费分享!
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析