加密算法分为对称加密算法和非对称加密算法。
对称加密
特点:
1、加密和解密使用相同的秘钥。
2、是可逆的。
3、计算量小、加密速度快、效率高。
对称加密算法有:
DES(Data Encryption Standard):数据加密标准。安全性不够,用的少。
3DES:只是使用3个密钥,对相同的数据执行三次加密,增强加密强度。DES的升级版。
AES(Advanced Encryption Standard):高级加密标准。美国国家安全局使用,苹果的钥匙串也使用。
加密模式:
ECB(Electronic CodeBook)电子密码本:加密前根据加密块大小(如AES为128位)分成若干块,然后对每一块进行独立加密。相同的明文得到的密文也相同。
CBC(Cipher-block chaining)密码块链:使用一个密钥和一个初始化向量(IV)对数据进行加密。每个明文块先与前一个密文块进行异或后,得到向量,再进行加密。在这种方法中,每个密文块都依赖于它前面的所有明文块。同时,为了保证每条消息的唯一性,在第一个块中需要使用初始化向量IV。
非对称加密(RSA)
特点:
1、用公钥加密,就用私钥解密;用私钥加密,就用公钥解密。公钥可以有多个,私钥只有一个。
2、加密强度高,但性能差。
hash哈希算法(散列函数)
特点:
1、算法公开。
2、对相同数据加密,得到的结果也相同。
3、对不同的数据加密,得到结果长度固定(MD5一般32位)。
4、不可逆。因为长度固定,所以加密的结果是有限个,反算之后会对应多个值。
哈希算法有:
MD5
SHA1/SHA256/SHA512
HMAC
MD5的应用(终端命令:md5 -s "123456"):
1、网络资源文件下载,验证MD5值。
2、用于验证文件是正版还是盗版。
3、百度云盘的秒传功能。
4、百度拆词搜索(对搜索的关键字进行拆词,将MD5值相加,结果相同)。
注册登录模块:
上面这个流程存在风险:在传输中,账号和加密后的密码被黑客截获了,可以暴力破解(MD5暴力破解网站)
早期的解决方案是:加盐。对盐的要求就是要足够复杂,比如"udsifiuitruierwuieoqutqiu940u595u9ut9eut930ut90[yt938-9489708978JSDAJFLJQHWUE^%%#^##$%()&*HSJKDFH56465sda35sg5a4fdd56as4f56asd4f35asd1fad"。
这样,发送给Server的数据是:原密码拼接上盐后,再计算MD5值。"MD5(123456+盐)"。
加盐的方案存在弊端:泄露风险,不能随意改动。
解决方案是:使用HMAC加密算法(做2次散列,是比较好的加密算法),然后Key从Server获取(采用随机盐方式)
注册流程:
登录流程:
上面这样登录验证还有个问题:每次登录发送 加密后的密码 都是一样的,如果中间被拦截请求,得到加密后的密码,便可以模拟App端登录,获得权限等。
解决方案:加入时间戳。
App端:
1、先从Server获取时间,精确到分钟数,得到时间戳字符串(比如:2018年7月24日09点01分,得到时间戳字符串"201807240901")
2、然后把 加密后的密码 和 时间戳字符串 拼接起来
3、把得到的结果求MD5值,再发送给Server端验证。格式:(HMAC(密码)+ "201807240901").MD5
Server端:
1、Server接收到数据后,取当前时间,按相同方法计算。
2、验证两个是否一致,如果一致,就通过。如果不一致,就计算前一分钟,再验证是否一致(因为有可能App获取的时间戳是上一分钟,然后加密后发送到Server时已经是下一分钟)。
参考:
iOS加密算法总结
iOS中的对称加密算法
iOS开发加密实现-Base64,MD5,SHA1,ECB,BCB,RSA等
最全加密算法之对称加密和非对称加密
