加密和验签

已于 2022-10-07 19:19:10 修改
阅读量2.6k 收藏 17
点赞数 3
分类专栏: ★ 后端技术 ★基础 文章标签: 安全 web安全
于 2022-08-09 14:04:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LyySwx/article/details/125663530
版权

一、加密与验签介绍

  大多数公共网络是不安全的,一切基于HTTP协议的请求/响应(Request or Response)都是可以被截获的、篡改、重放(重发)的。因此我们需要考虑以下几点内容:

  1. 防伪装攻击(案例:在公共网络环境中,第三方 有意或恶意 的调用我们的接口)
  2. 防篡改攻击(案例:在公共网络环境中,请求头/查询字符串/内容 在传输过程被修改)
  3. 防重放攻击(案例:在公共网络环境中,请求被截获,稍后被重放或多次重放)
  4. 防数据信息泄漏(案例:截获用户登录请求,截获到账号、密码等)

​ 区分签名与加密的概念

   ​   签名:目的是为了验证身份,检查篡改,防止重放,防止中间人假装自己对外发送假信息,不需要对数据进行加密处理,因此用私钥进行签名,用公钥进行解密验证。也有一些不可逆算法,两边生成签名之后比对结果

​      加密:目的是将明文变成密文进行传输,防止消息在传输中被别人破解,因此使用公钥加密,使用私钥解密

总结:公钥加密、私钥解密、私钥签名、公钥验签

加密算法我们整体可以分为:可逆加密和不可逆加密,可逆加密又可以分为:对称加密和非对称加密,不可逆算法不用于数据加密,常用于签名算法;可逆算法常用于消息加密算法 

比较推荐的几个加密算法有:

  • 不可逆加密:SHA256SHA384SHA512以及HMAC-SHA256HMAC-SHA384HMAC-SHA512
  • 对称加密算法:AES3DES
  • 非对称加密算法:RSA

可逆与不可逆算法,对称加密与非对称加密算法总结_柠檬不萌的技术博客_51CTO博客

面试官:说一下你常用的加密算法-阿里云开发者社区

二、签名算法也称摘要算法

  • 应用场景:检查报文正确性、验证身份,防止重放(可通过加时间戳的方式)
  • 方案:从报文文本中生成报文摘要
  • 常用:SHA或者MD5作为签名算法
  • 缺点:签名算法不是加密算法,不能用来加密

三、消息加密算法

一. 数字加密算法
数字加密算法中,通常可划分为对称加密和非对称加密。
1. 对称加密
     概念:加密和解密使用同一个密钥,所以叫做对称加密。
     常见的对称加密算法:DES,AES。

在这里插入图片描述

2. 非对称加密
      概念:加密和解密使用两个的密钥,一把作为公开的公钥(Public Key),另一把作为私钥(Private Key)。因为加密和解密使用的不是同一把密钥,所以这种算法称为非对称加密算法。
公钥和私钥成对存在,通常【公钥加密,私钥解密】;
公钥是基于私钥而存在的。通过私钥经过一系列算法是可以推导出公钥,但无法通过公钥反向推倒出私钥。
      常见的非对称加密算法:RSA,ECC。

在这里插入图片描述
3. 对称加密和非对称加密的区别
对称加密:加解密效率高。但在非安全信道中通讯时,密钥交换的安全性不能保障。
非对称加密:加解密效率低,但可以保证密钥安全性。
通常在实际的网络环境中,会将两者混合使用。两者混合使用的示例如下:

 在这里插入图片描述

四、接口验签实操

1. 实操说明

  接口加密与验签的方法有非常多,比如RSA(后期进行讲解),基于token等方式,而对于普通项目,我认为最重要的是防伪装攻击、防篡改攻击、防重放攻击。因为接下来的实操,主要围绕以下几点进行。

2. 验签实操--HMAC-摘要加密算法-不可逆-需密钥

  入参sign字段-接口调用方按相同算法进行计算得出摘要

  提供方通过如下方式计算得出摘要,比如入参摘要和计算得出的摘要比对一致验签通过。

  验签通过的前提下,校验入参传入ts,时间戳若时间差超过5s则不通过。

    /**
     * 摘要验证
     * @param vo 带摘要的请求vo
     * @return
     */
    protected void verifyDigest(BaseDigestReqVO vo) {
        Assert.notBlank(vo.getSign(), "[接口回调] 入参有误,sign不能为空");

        Assert.notNull(vo.getTs(), "[接口回调] 入参有误,ts不能为空");

        // 获取HMAC对象,该对象本身不保证线程安全,每次都需要进行实例化
        //利用hutool工具类cn.hutool.crypto.SecureUtil
        //getKey()方法为获取密钥String字符串的方法,也可以写死,调用方和提供方使用的密钥相同:cn.hutool.crypto.KeyUtil生成密钥的工具类
        HMac hMac = SecureUtil.hmacSha256(getKey());
        // sign本身不参与签名
        String beforeStr = Arrays.stream(ReflectUtil.getFields(vo.getClass(), field -> ObjectUtil.notEqual(field.getName(), "sign")))
                // 按照字段名字典排序
                .sorted(Comparator.comparing(Field::getName))
                // 取出所有value
                .map(field -> ReflectUtil.getFieldValue(vo, field).toString())
                // 用&进行拼接
                .collect(Collectors.joining("&"));
        byte[] digest = hMac.digest(beforeStr);

        Assert.isTrue(hMac.verify(digest, HexUtil.decodeHex(vo.getSign())), "[接口回调] 入参有误,签名错误");
       //防止重放攻击-判断ts在5秒内误差
        Assert.isTrue(verifyTs(vo.getTs()), "[接口回调] 入参有误,ts不在有效的范围内");
    }

3.消息加密算法--可逆-生成私钥和公钥并用私钥加密原文实操举例

//生成密钥对的方式也可以使用hutool中的工具类cn.hutool.crypto.KeyUtil生成密钥的工具类,代码会更简洁

public class RsaDemo {
    public static void main(String[] args) throws Exception {
        String input = "读你千遍";
        // 算法
        String algorithm = "RSA";

        // 生成密钥对
        KeyPair keyPair = getPrivatePublicKey(algorithm);

        // 使用私钥对原文加密
        byte[] bytes = privateKeyEncrypt(input, algorithm, keyPair.getPrivate());

        // 使用私钥对原文解密,使用私钥加密必须用公钥解密
        privateKeyDecrypt(bytes, algorithm, keyPair.getPublic());
    }

    /**
     * 使用私钥对原文加密
     *
     * @param input
     * @param algorithm
     * @param privateKey
     */
    private static byte[] privateKeyEncrypt(String input, String algorithm, PrivateKey privateKey) throws Exception {
        // 创建加密对象
        Cipher cipher = Cipher.getInstance(algorithm);
        // 加密初始化:加密模式,想使用私钥进行加密
        cipher.init(Cipher.ENCRYPT_MODE, privateKey);
        // 使用私钥对原文加密
        byte[] bytes = cipher.doFinal(input.getBytes());
        System.out.println("加密:\n" + Base64.encode(bytes));
        return bytes;
    }

    /**
     * 使用私钥对原文解密
     *
     * @param input
     * @param algorithm
     * @param publicKey 使用私钥加密必须用公钥解密
     */
    private static void privateKeyDecrypt(byte[] input, String algorithm, PublicKey publicKey) throws Exception {
        // 创建加密对象
        Cipher cipher = Cipher.getInstance(algorithm);
        // 解密初始化:解密模式,想使用公钥进行解密
        cipher.init(Cipher.DECRYPT_MODE, publicKey);
        // 使用私钥对原文加密
        byte[] bytes = cipher.doFinal(input);
        System.out.println("解密:\n" + new String(bytes));
    }

    /**
     * 生成密钥对
     *
     * @param algorithm
     * @return
     */
    private static KeyPair getPrivatePublicKey(String algorithm) throws Exception {
        // 创建密钥对
        KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance(algorithm);
        // 生成密钥对
        KeyPair keyPair = keyPairGenerator.generateKeyPair();
        PrivateKey privateKey = keyPair.getPrivate();
        PublicKey publicKey = keyPair.getPublic();

        byte[] privateKeyEncoded = privateKey.getEncoded();
        byte[] publicKeyEncoded = publicKey.getEncoded();

        System.out.println("私钥:\n" + Base64.encode(privateKeyEncoded));
        System.out.println("公钥:\n" + Base64.encode(publicKeyEncoded));
        return keyPair;
    }
}

输出结果

私钥:
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
公钥:
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAjocZhsKdnR0GAmR5MczuBFW9JX3+pf+yuKftc2RyygVXTOx3o5vhHRT3+wiX4uOHeSR2HGUnoLLCPG5vNLINbN/BfMnzZsmXXv9dWh9+dRxRKzamENynMBfLzhIPu2MJuD1XxdLgKC00eCgYMF8Lh1MhMPNFtAA3KWPE1UHt9TYyQVzSvUJbaEEY61Q1fDPXSZD9EJydrhFVOqzsiSIDMxZfgnRZpcpuQMgGRVsag7ZEm1YzLJPzeWKzE8zhIVD5LBLRbuE77/ay3ukfdtvOy2Nm+uGjkXNzj+NE+YPiSeGq7Jhu5TY71C/24ONw6tbpLW4zCUilpTs4iBgfWPTqXQIDAQAB
加密:
a1UuipQu38r5lTtBVA3JnGPjLqHrAbMwXacPjOl3pzKl9Vkv/1D3tjAJw4dKlt/VHD1kPJmlvjQG4op+JODR/MrwyhZCB6bpVG0HMkqCrk8RBiGQYrxAN0H6fuEx2KtoV9HjroU+hIXM1C7SD6Kx5ss26Wb82UXsSmuIx+aGr8794fsamK9SxGTcyKYiPRrKK+PnJHDif1+2FHKrPVmWFJPFR8gUSGXYsyGTyBZarFK1bXgKGBJBF6nZ6ju3uc4g7KWbxQLsj3U2Lzz2m3U+SHEqobtWi0ssoEWdAQJUWfKdLBcvghKEyGbzQyHUfyY7sW4HIbcCYFDEA4buYZqWgw==
解密:
读你千遍

4.数字签名-是非对称密钥加密技术与摘要算法的结合应用。

 

张三有俩好哥们A、B。由于工作原因,张三和 AB 写邮件的时候为了安全都需要加密。于是张三想到了数字签名:

  1. 加密采用非对称加密,张三有三把钥匙,两把公钥,送给朋友。一把私钥留给自己。
  2. A或者B写邮件给张三:A 先用公钥对邮件加密,然后张三收到邮件之后使用私钥解密。
  3. 张三写邮件给 A 或者 B:
    • 张三写完邮件,先用 hash 函数生成邮件的摘要,附着在文章上面,这就完成了数字签名,然后张三再使用私钥加密。就可以把邮件发出去了。
    • A 或者是 B 收到邮件之后,先把数字签名取下来,然后使用自己的公钥解密即可。这时候取下来的数字签名中的摘要若和张三的一致,那就认为是张三发来的,再对信件本身使用Hash函数,将得到的结果,与上一步得到的摘要进行对比。如果两者一致,就证明这封信未被修改过。

向上爬的小蜗牛
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
python rsa实现数据加密和解密、加密和验功能
09-18
为了使用这些类,你需要先调用`RsaEncrypt.rsa_generate()`生成密钥对,然后可以使用`RsaEncrypt`进行和验,使用`DataEncrypt`进行数据的加密和解密。 以下是一个简单的使用示例: ```python # 生成密钥对 ...
支付宝RSA加密验签工具
07-27
总之,支付宝RSA加密验签工具是保障支付安全的重要工具,通过合理的使用和管理,可以有效地防止数据被篡改和欺诈行为,确保交易的顺利进行。对于开发者和商家来说,理解和掌握RSA算法以及相关工具的使用方法是...
一下子讲清楚加密解密和验签
redspear119的博客
11-28 589
一下子讲清楚加密解密和验签 很多文章说的很多,但是都让人搞不清楚。其实名就是加密,只不过是加密后的处理方式不一样。 首先要明白有两组四个密钥: A的公钥(PUB_A),A的私钥(PRI_A); B的公钥(PUB_B),B的私钥(PRI_B)。 很多文章都笼统说公钥私钥,其实是不对的,要说清楚是谁的公钥和私钥。A的公钥和私钥配对,B的也是自己配对,他们相互之间是无法配对的! 所以,A的私钥加密的,只能用A的公钥解密, 所以双方要互相加解密的话,每一边都要有自己的私钥和对方的公钥。这两个不是一对的
加密、解密、加验签专题
qq_34350584的博客
08-16 1899
首先明确几个名词: 加密:发送方利用接收方的公钥对要发送的明文进行加密。 解密:接受方利用自己的私钥进行解密。 公钥和私钥配对的,用公钥加密的文件,只有对应的私钥才能解密。当然也可以反过来,用私钥加密,用对应的公钥进行解密。 名:发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,得到的就是这个报文对应的数字名。通常来说,发送方会把数字名和报文原文一并发送给接受者。 验签:接收方得到原始报文和数字名后,用同一个哈希函数从报文中生成摘要A,另外,用发送方
加密、解密、名、验签、数字证书、CA浅析
最新发布
Master Cui的博客
04-22 1344
加密、解密、名、验签、数字证书、CA浅析
JAVA实现RSA名、验签
Smilelfq的专栏
09-02 2651
生成名的时候将需要传递的参数bean通过BaseHelper.sortParamAll(bean)转成K=V&K1=V1......的形式,然后调用Rsa.sign()方法即可生成名。验签的时候获取到传递过来的参数json串(jsonParams),同样将业务参数通过BaseHelper.sortCheckParam(jsonParams)转成K=V&K1=V1......的形式(剔除sign参数),然后调用Rsa.doCheck()方法验证名是否通过。2、使用私钥进行名。3、使用公钥验证名。
谈谈自己对于数字和验的理解
NewBeeMu的博客
04-06 2508
数字名 因为在客户端和服务端的通信过程中,会遇到很多的安全问题,无法确认收到的信息是否是真实有效的,而不是中途被人掉包的。这个时候数字名就可以站出来,它的作用就是用来征明消息在通信过程中未被掉包,是真实有效的。就像我们以前上学请假的时候班主任或者辅导员在请假条上的名一样,用来征明这个请假条是真实有效的。 验签 验签,顾名思义,就是一个对数字名进行验证的操作。 以服务端S向客户端C发送一封邮件为例: 首先,服务端S将邮件使用双方约定好的某种算法进行运算,例如使用hash算法,生成一个名 然后把
RSA 名与验签
ID314846818的博客
12-04 3088
RSA 算法介绍,数字名以及加密算法,数字名与加密的对比。公钥用于加密,私钥用于解密;私钥用于名,公钥用于验签
加密验签的区别
qq_38384102的博客
12-21 3559
原文:http://www.cnblogs.com/pcheng/p/9629621.html 一、RSA加密简介   RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人...
RSA加密解密验签工具类
04-07
RSA加密解密验签工具类
RSA加密验签工具
02-20
RSA加密验签工具是一款专为IT专业人士设计的实用软件,尤其适用于那些需要处理安全通信、数据保护和数字名的用户。RSA,全称为Rivest-Shamir-Adleman,是一种非对称加密算法,是公钥密码学领域的基石之一。这...
各种加密解密名验证
06-15
支持DES,Base64,MD5,RSA加密解密,DSA名和名验证
加密名与验签
01-08
该代码实现了如下功能 1)密钥对生成与写文件 2)数据与文件加密 3)数据与文件名 4)数据与文件验签
SM2国密 加密,解密,名,验签 它们区别是什么?
weixin_42045136的博客
01-05 1057
综上所述,SM2国密的加密和解密操作与和验操作使用不同的密钥,且具有不同的目的。加密和解密主要用于数据的安全传输,而和验主要用于验证数据的完整性和真实性。
加密
Kaiccy的博客
07-17 1162
就拿A给B发送经过加密信息来说: 1、A对信息名的作用是确认这个信息是A发出的,不是别人发出的; 2、加密是对内容进行机密性保护,主要是保证信息内容不会被其他人获取,只有B可以获取。也就是保证整个过程的端到端的唯一确定性,这个信息是A发出的(不是别人),且是发给B的,只有B才被获得具体内容(别人就算截获信息也不能获得具体内容)。这只是大概说了作用,具体说来,涉及到密钥相关的东西。密钥有公钥
前后端分离。前端实现参数名,后端实现接口验签
leo
11-26 3975
首先是后台实现的接口验签,这里放上我的代码地址 贴上核心代码 public class SignUtil { private static final String FIELD_SIGN = "sign"; private static final String FIELD_SIGN_TYPE = "sign_type"; private static final String TIMESTAMP = "timestamp"; private static final
公钥,私钥和数字名这样最好理解
热门推荐
无界编程
02-10 13万+
一、公钥加密 假设一下,我找了两个数字,一个是1,一个是2。我喜欢2这个数字,就保留起来,不告诉你们(私钥),然后我告诉大家,1是我的公钥。我有一个文件,不能让别人看,我就用1加密了。别人找到了这个文件,但是他不知道2就是解密的私钥啊,所以他解不开,只有我可以用数字2,就是我的私钥,来解密。这样我就可以保护数据了。我的好朋友x用我的公钥1加密了字符a,加密后成了b,放在网上。别人偷到了这个文件,但
验签过程
dj1540225203的博客
11-01 3718
1.双方进行验签; A端先调用公共方法生成sign;然后携带B端独有的参数来到B端; B端获取到传过来的数据,然后使用自己的特殊标识调用共用方法生成sign 比对传过来的sign是否一致 ...
对称加密、非对称加密验签
周星星_少年只有一个面的博客
03-18 604
对称加密通信,双方通信用同一个密钥对数据加密和解密。 +++++++++++++++++++++++++++++++++++++++++++++++++ A ----> 同一个密钥加密的数据 >---- B B 用同一个密钥解密 B ----> 同一个密钥加密的数据 >---- A A 用同一个密钥解密 +++++++++++++++++++++++++++++++++++++++++++++++++ 非对称加密有两个密钥公钥和私钥。 公钥只能加密不能解密,只有其对应私钥可用来解密。
java写一个SM2硬件加密方式验签
05-26
由于 SM2 算法是国密算法,需要使用国密芯片进行加密和验。因此,需要先获取 SM2 国密芯片的相关开发文档和 SDK。 以下是简单的 SM2 硬件加密方式验签的 Java 代码示例: ```java import com.sun.jna.Library; import com.sun.jna.Native; public interface Sm2Lib extends Library { Sm2Lib INSTANCE = (Sm2Lib) Native.loadLibrary("sm2", Sm2Lib.class); int sm2_verify(byte[] pubKey, byte[] message, int messageLen, byte[] signature, int signatureLen); } public class Sm2VerifyDemo { public static void main(String[] args) { // SM2 公钥、名和待验证数据 byte[] pubKey = new byte[]{}; byte[] signature = new byte[]{}; byte[] message = new byte[]{}; // 调用 SM2 校验接口进行验签 int result = Sm2Lib.INSTANCE.sm2_verify(pubKey, message, message.length, signature, signature.length); if (result == 0) { System.out.println("SM2验签成功"); } else { System.out.println("SM2验签失败"); } } } ``` 需要注意的是,上述代码中的 `sm2` 库是通过 JNA 调用动态链接库(DLL)实现的。在使用该代码时,需要将 SM2 国密芯片 SDK 中的动态链接库文件(.dll 或 .so 文件)添加到项目的运行时路径下。另外,上述代码的 `pubKey`、`signature` 和 `message` 需要根据实际情况进行替换。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值