密码学：基础篇

网络开发原则

1. 在网络上不允许传输用户的明文隐私数据

2. 在本地不允许保存用户的明文隐私数据

分类

基于密钥的算法,按照密钥的特点分为以下三种：

1. 哈希（散列）函数

• MD5
• SHA1
• SHA256/512

2. 对称加密算法 - 传统加密算法

• DES - 数据加密标准(用的比较少,因为强度不够).
• 3DES - 使用3个密钥,对相同的数据执行三次加密,强度增强.
• AES - 高级加密标准,目前美国国家安全局使用AES加密,苹果的钥匙串访问就是使用

3. 非对称加密算法 - 现代加密算法

• RSA
• 公钥\私钥
• 用公钥加密,私钥解密
• 用私钥加密,公钥解密

哈希（散列）函数

特点：

1. 算法公开的.
2. 对相同的数据加密,得到的结果是一样的.
3. 对不同的数据加密,得到的结果是定长的,MD5对不同的数据进行加密,得到的结果都是32个字符.
4. 信息摘要,信息"指纹",是用来做数据识别的.
5. 不能反算的.

MD5 加密

用途：

• 密码 - 服务器是不需要知道用户的真实密码的!在用户注册的时候服务器就对密码进行了加密处理,然后保存在数据库!
• 搜索 - 百度关键词搜索
• 版权 - 不同的数据 MD5 之后差别是非常大的!!

基本安全：

1. 加"盐" - 早期使用！因为后期修改“盐”数据，成本比较大，牵扯到老用户可能不更新App，就会损失大部分用户。另一方面，程序员掌握“盐”，如果对“盐”数据做出修改，则会造成灾难性损失。
2. HMAC - 近一两年,在国内开始使用增多! 给定一个密钥,对明文进行密钥拼接,并且做"两次散列" -> 得到32位结果!

HMAC :

- 用户在注册的那一刻,向服务器索取 密钥(key)!!
- 客户端拿到KEY的这一刻,就将KEY保存在本地!!
- 切换了新的设备(换手机登录,登录新的已有账号!) -- 重新找服务器获取!!

密码具有时效性

//如何避免
一种情况! 如果黑客 模拟你的网络请求..不需要拿到真实密码!用加密后的信息,也可以获得登录之后的权限!!
//让我们的密码具有时效性!! 也就是 加密过后的密码 有时间限制!!

客户端:
    UserID = hank
    Pass == (123456+KEY)HMAC == e9cdab82d48dcd37af7734b6617357e6
    KEY
发送:UserID :  (Pass + '201702102020')md5

服务器:
    KEY
    UserID = hank
    密码 = Pass == e9cdab82d48dcd37af7734b6617357e6


对比: 只要服务器当前时间或者上一分钟 加密后的字符相等!就返回登录成功!!
    (Pass + '201702102020')md5 != (Pass + '201702102021')md5
    (Pass + '201702102020')md5 == (Pass + '201702102020')md5

钥匙串访问

1. 苹果的"生态圈",从 iOS7.0.3 版本开放给开发者!
2. 功能:在Mac上能够动态生成复杂密码,帮助用户记住密码!
3. 如果用户访问网站,记住密码,我们还可以看到记住的密码明文!明文记录
4. 本身的所有接口都是 C 语言的.借助三方库
5. 采用的加密方式是 AES 加密!