通常,为了保护网站的敏感数据,应用需要对这些信息进行加密处理,信息加密技术可分为三类:单向散列加密、对称加密和非对称加密。
单向散列加密
单向散列加密是指通过对不同输入长度的信息进行散列计算,得到固定长度的输出,这个散列计算过程是单向的,即不能对固定长度的输出进行计算从而获得输入信息。
利用单向散列加密这个特性,可以进行密码加密保存,即用户注册时输入的密码不直接保存到数据库,而是对密码进行单向散列加密,将密文存入数据库,用户登录时,进行密码验证,同样计算得到输入密码的密文,并和数据库中的密文比较,如果一直,则密码验证成功。
为了加强单向散列的安全性,还会给散列算法加点盐(salt),salt相当于加密的秘钥,增加破解的难度。
优点:数据库中存储的是用户密码的密文,且不可逆计算得到明文,因此即使数据库被“拖库”,也不会泄漏用户的密码信息。
缺点:由于人们设置密码具有一定的模式,因此通过彩虹表(人们常用密码和对应的密文关系表)等手段可以进行猜测式破解。
常用算法:MD5、SHA等。
对称加密
对称加密是指加密和解密使用的是同一个秘钥(或者可以互相推算)。经常用于信息需要安全交换或存储的场合,如Cookie加密、通信加密等。
优点:算法简单,加解密效率高,系统开销小,适合对大量数据加密。
缺点:远程通信的情况下如何安全的交换秘钥是个难题,如果秘钥丢失,那么所有的加密信息也就没有秘密可言了。
常用算法:DES、RC等。
非对称加密
非对称加密和解密使用的秘钥不是同一秘钥,其中一个对外界公开,被称作公钥,另一个只有所有者知道,被称作私钥。用公钥加密的信息必须用私钥才能解开,反之,用私钥加密的信息只有用公钥才能解开。且理论上不能通过公钥计算获得私钥。
非对称加密经常用于信息安全传输,数字签名等场合。
信息安全传输:信息发送者A通过公开渠道获得信息接收者B的公钥,对提交信息进行加密,然后通过非安全传输通道将密文信息发送给B,B得到密文信息后,用自己的私钥对信息进行解密,获得原始的明文信息。即使密文信息在传输过程中遭到窃取,窃取者没有解密秘钥也无法还原明文。
数字签名:过程与安全传输相反,签名者用自己的私钥对信息进行加密,然后发送给对方,接受者用签名者的公钥对信息进行解密,获得原始明文信息,由于私钥只有签名者拥有,因此该信息不可作伪,具有签名的性质。HTTPS传输中浏览器使用的数字证书实质上是经过权威机构认证的非对称加密的公钥。
常用算法:RSA等。
在实际应用中,常常会混合使用非对称加密和对称加密。先使用非对称加密技术对对称秘钥进行安全传输,然后通过对称加密技术进行信息加解密和交换。这样既能够满足性能要求,也可以保证秘钥不被窃取。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
