应用系统Url交互之数据加密

最新推荐文章于 2023-01-13 16:07:30 发布
最新推荐文章于 2023-01-13 16:07:30 发布
阅读量1.7k 收藏
点赞数
分类专栏: 系统设计 文章标签: 系统交互 消息安全传递 加密算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cassaba/article/details/48708021
版权


应用系统在通过url交互的时候,通常对传递的数据有一定的安全性要求,采用加密算法是比较常见的实现途径。

下面从通用角度,介绍我们的设计方法。


一. 建立注册中心

   1)  注册中心为各个系统建立登记信息,定义系统名称,并且分配APIKey。系统使用这个APIKey来调用注册中心的服务,获取AccessToken.

   2) 建立两两系统间的访问控制关系,数据加密采用AES算法,为它们动态分配密钥。A, B系统各自保存APIKey, 系统名称,密钥(Base64编码后)。

注:密钥可以由guid 动态生成,guid字符串去掉短横线,变成32个字符,对应256 bit的密钥长度,然后进行Base64编码,方便Url传输。

Base64 编码长度为 (32+1)/3 *4 = 44, 去掉末尾的补充的=号,则长度为43。 解码的时候,补充等号,还原成原来的32个字符。


Base64编码说明

  Base64编码要求把3个8位字节(3*8=24)转化为4个6位的字节(4*6=24),之后在6位的前面补两个0,形成8位一个字节的形式。 如果剩下的字符不足3个字节,则用0填充,输出字符使用'=',因此编码后输出的文本末尾可能会出现1或2个'='。转换后的字符串理论上将要比原来的长1/3

  为了保证所输出的编码为可读字符,Base64制定了一个编码表,以便进行统一转换。编码表的大小为2^6=64,这也是Base64名称的由来。

        标准的Base64并不适合直接放在URL里传输,因为URL编码器会把标准Base64中的“/”和“+”字符变为形如“%XX”的形式,而这些“%”号在存入数据库时还需要再进行转换,因为ANSI SQL中已将“%”号用作通配符
       为解决此问题,可采用一种用于URL的改进Base64编码,它在末尾填充'='号,并将标准Base64中的“+”和“/”分别改成了“-”和“_”,这样就免去了在URL编解码和数据库存储时所要作的转换,避免了编码信息长度在此过程中的增加,并统一了数据库、表单等处对象 标识符 的格式。
       另有一种用于 正则表达式 的改进Base64变种,它将“+”和“/”改成了“!”和“-”,因为“+”,“*”以及前面在IRCu中用到的“[”和“]”在正则表达式中都可能具有特殊含义。
       此外还有一些变种,它们将“+/”改为“_-”或“._”(用作编程语言中的标识符名称)或“.-”(用于XML中的Nmtoken)甚至“_:”(用于XML中的Name)。

二. 访问流程

下面以系统A访问系统B为例子,说明整个交互过程。

术语及说明

  1) msg 为要传递的数据


  2) EncodingAESKey用于消息体的加密,长度固定为43个字符,从a-z, A-Z, 0-9共62个字符中选取,采用Base64解码后即为32字节长的AESKey。

AESKey=Base64_Decode(EncodingAESKey + “=”)


  3) msg_encrypt 是加密后的消息体。按照下面的算法生成

       Base64_Encode( AES_Encrypt[random(16B) + msg_len(4B) + msg + systemNameA] ),是对明文消息msg加密处理后的Base64编码。

       其中random为16字节的随机字符串;

       msg_len为4字节的msg长度,网络字节序;

       msg为消息体明文;

       systemNameA/B为注册的系统名称


  4) msg_signature是签名,用于验证调用者的合法性。按照下面的算法生成

msg_signature=sha1(sort(accessToken、timestamp、nonce、systemNameA, msg_encrypt))。

sort的含义是将参数按照字母字典排序,然后从小到大拼接成一个字符串。

timestamp 为消息产生的时间戳,可以用1970-1-1以来的秒数表示

nonce 为16字节的随机字符串


A访问B的完整过程描述 

  1) A访问注册中心的API, 通过APIKey,A系统名,B系统名,换取AccessToken

  2) 产生timestamp, nonce, 加密消息,然后签名生成msg_signature

  3) 将accessToken、timestamp、nonce, systemNameA, msg_encrypt,msg_signature传递到SystemB

  4)  按照相同的算法计算签名dev_msg_signature,和传递过来的签名msg_signature进行对比。如果相同,则数据合法

      dev_msg_signature=sha1(sort(accessToken、timestamp、nonce、systemNameA, msg_encrypt))。

  5) SystemB通过自己的APIKey,加上 accessToken,systemNameA,SystemNameB调用注册中心的API验证访问是否合法

  6) 如果合法,则可以解密消息msg_encrypt 

  • 对密文BASE64解码:aes_msg=Base64_Decode(msg_encrypt)
  • 使用AESKey做AES解密:rand_msg=AES_Decrypt(aes_msg)
  • 验证解密后msg_len, systemNameA
  • 去掉rand_msg头部的16个随机字节,4个字节的msg_len,和尾部的systemNameA即为最终的消息体原文msg




Cassaba
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C# 用RSA加密实现Web登录密码加密传输(网页口令传输加密
06-11
八成网站登录口令“裸身待缚” 电商类全军覆没,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站,输入用户名和密码之后,从用户电脑传输到网站服务器,会经过口令传输口令存储认证等过程。而《报告》中显示,大部分样本网站在传输口令没有加密处理,直接将明文密码向服务端传输
HTTPS URL是否被加密
不太油腻的中年大叔
07-19 1万+
众所周知,HTTPS本质上就是HTTP+TLS的结合,将HTTP协议使用TLS进行加密。那么,在网络上传输的过程中,URL是否被加密呢?因为这关系着GET请求的参数是否会泄露。 答案: 是的,HTTPS对URL加密了。SSL连接建立在TCP层和HTTP层之间。客户端和服务器首先建立一个安全加密的TCP连接(通过SSL/TLS协议),然后客户端将通过该加密的TCP连接发送HTTP请求(GE...
怎么实现Web系统URL传输(表单提交)参数加密
hemudu的专栏
05-13 2359
网上很多人在问怎么实现Web系统URL传输(表单提交)参数加密。例如:要进行一个用户帐号编辑,要传递用户的ID,URL如下:http://localhost/mysystem/editAccounts.aspx?ID=2但又不想让别人知道这个用户的ID为2,恶意的使用者可能还会将2修改,改为别的用户ID。加密传递的参数值可以解决问题。以下是自己写的DEC加密、解密的基类。文件名:Security.
数据安全:通用的数据加密方法(AES、RSA、数字签名和数字证书)
weixin_39885962的博客
06-21 8716
在日常的接口交互中,数据安全性是优先考虑的问题之一。那么一般我们在实际工作中如何去保证数据安全呢?一般是通过数据加密的方式来处理。加密算法,如果按是否可以把密文还原成明文来划分的话,可以分为可逆加密和不可逆加密。......
JAVA开发(远程接口使用加密校验传输数据设计)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-13 642
微服务之间内部系统与外部系统进行接口数据通信需要进行身份认证和数据安全方面的考虑。这互相调用的接口就需要身份认证和加密传输。这里讲的是基于Feign的请求。
C# WinForm实现同使用formData和文件作为参数调用URL(源代码)
最新发布
03-18
在数字化代,高效的数据交互和文件传输成为许多应用程序的关键功能。为了满足这一需求,我们利用C#编程语言中的HttpClient类,精心打造了一款功能强大的URL调用程序。该程序不仅支持文件上传,还能够传递FormData...
vc++ 应用源码包_1
09-15
精灵系统,一套MFC渲染引擎,含2D/3D等渲染,效果看源码,IFEngine是整个引擎接口,IFSystem是硬件查询系统,IFApplication是应用程序对象基类。 FlashPlayer播放器4.0的VC++源代码 FreeBird2011最初版(模仿飞鸽,可...
CoverCMS内容管理系统
04-06
基于PHP+MYSQL设计,支持跨平台(Windows、Linus、Unix)应用。成就内容管理系统助您打造天然浑成的真正的综合门户。 100% 自定义文档模型,支持文章、组图(集)、视频(集)、下载(集)、交互信息等模型,自定义内容搜索...
招商基金java笔试题-beecloud-webhook:BeeCloud网络钩子
06-13
中设置接收端URL,不同应用可设置不同URL,同一应用能且仅能设置一个测试URL,一个生产URL 在控制台->应用设置->基本信息设置中获取"Master Secret". 处理POST请求报文,实现业务逻辑 服务器间的交互,不像页面跳转...
Huiboshop购物系统免费版
01-26
慧博网上购物系统是一套自选网上商城精美模版,自主商品管理,自行网店经营的网上商城平台, 系统具有强大的商品管理、购物车、订单统计、会员管理等功能,同拥有灵活多变的商品管理、 新闻管理等功能,功能强劲...
url的概述及操作
ang__的博客
06-09 709
在WWW上,每一信息资源都有统一的且在网上唯一的地址,该地址就叫URL(Uniform Resource Locator,统一资源定位器),它是WWW的统一资源定位标志,就是指网络地址。
8 AES加密url编码
weixin_39563769的博客
07-08 337
AES
加密安全地在URL传递数据
cunchi8090的博客
07-20 788
摘要 (Summary) 在本文中,我概述了一种通过URL传递数据的方法,以替代SSL或MD5哈希或其他困难或不安全的方法。 它提供了一种方法,可以确保呈现供处理的URL来自公认的地址,并阻止黑客或搜索引擎使用“添加书签”的数据。 我在重新发明轮子吗? (Am I reinventing the wheel?) 多年来,我遇到了许多EE问题,其中有人希望能够通过URL传递数据,但担心安全性。 ...
如何设计一个短URL地址系统
张维鹏的博客
11-01 3376
一、短URL系统的原理: 短URL系统的核心是将长的 URL 转化成短的 URL;在访问系统,先使用短地址A访问短URL系统,由短URL系统映射到对应的长地址B,然后客户端再重定向(301或者302)到B网址,如下图所示: 二、短 URL 的好处: 1、链接变短,对于有长度限制的平台发文,可编辑的文字就变多了 2、短链接生成的二维码更易于识别,而长链接的二维码密集难识别 3、短链接更加简洁好看且安全,不暴露访问参数。 4、能规避关键词、域名屏蔽等手段 5、链接太长在...
你一定要知道的几种项目间数据交互方式
11-16 1203
不同的系统之间进行数据交互是可避免的,总的说来,可以总结为向第三方系统推送数据或从服务器拉回数据两种,下面我列举几种常见的系统数据交互方式,并给出架构设计应考虑的因素。 一、    ftp服务器共享方式。即建立一个ftp服务器,为不同的系统分配账号、密码、目录的操作权限等, 要交换数据的两个系统要约定好数据格式(比如:xml文件,excel文件,csv文件等)、文件命名方式、存放路径等规
javascript对URL中的参数进行简单加密处理
weixin_33709609的博客
11-15 1997
javascript的api本来就支持Base64,因此我们可以很方便的来进行编码和解码。 var encodeData = window.btoa("name=xiaoming&age=10")//编码 var decodeData = window.atob(encodeData)//解码。 下面来个具体的例子来说明如何对url中参数进行转码,并取得解码后的参数 假如要跳转...
sort排序详解
热门推荐
qq_43811879的博客
12-08 2万+
sort函数默认的排序方式是升序排序,即从小到大。 1.对简单的数组排序 简单来说就是sort(begin,end,cmp); sort函数中参数有三个(第三个可以省略) 其中begin是排序数组的起始地址 end是排序数组的结束地址(最后一位要排序元素的地址)这两个参数都是地址。 #include <iostream> #include<algorithm> using...
微信企业号开发之加密方案与全局返回码说明
iteye_14984的博客
01-12 845
本文包含了企业号回调企业加解密的详细方案、库和示例代码的下载,以及企业号api接口返回的错误码。 一、关于加解密方案的详细说明 1、术语及说明 开启回调模式,有以下术语需要了解: 1)msg_signature是签名,用于验证调用者的合法性 2)EncodingAESKey用于消息体的加密,长度固定为43个字符,从a-z, A-Z, 0-9共62个字符中选取,是AESKey的Base64编码。...
api签名
weixin_33946605的博客
12-03 68
当你提交以上信息,办公逸将发送GET请求到填写的URL,GET请求将携带四个参数, 参数描述是否必带 signature 办公逸签名,signature结合了企业填写的token,请求中的timestamp,nonce参数 是 timestamp 间戳 是 nonce 随机数 是 echostr 随机数 是 企业通过传递的参数进行验签,如果确认此次GET请...
juery 加密传输
09-20
jQuery本身并不能实现加密传输,但可以配合其他技术实现数据加密传输。 ...因此,在实际应用中,除了使用jQuery之外,还需要配置和管理服务器端的加密协议和证书等内容,以保证数据安全传输

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值