Hash

一般翻譯做“散列”，也有直接音譯為“哈希”的，就是把任意長(zhǎng)度的輸入通過(guò)散列算法變換成固定長(zhǎng)度的輸出，該輸出就是散列值。這種轉(zhuǎn)換是一種壓縮映射，也就是，散列值的空間通常遠(yuǎn)小于輸入的空間，不同的輸入可能會(huì)散列成相同的輸出，所以不可能從散列值來(lái)確定唯一的輸入值。簡(jiǎn)單的說(shuō)就是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要的函數(shù)。(來(lái)源百度百科解釋)

Hash的特點(diǎn)

• 算法是公開(kāi)的
• 對(duì)相同數(shù)據(jù)運(yùn)算,得到的結(jié)果是一樣的
• 對(duì)不用數(shù)據(jù)運(yùn)算,如MD5得到的結(jié)果都是32個(gè)字符長(zhǎng)度的字符串
• 這玩意沒(méi)法逆運(yùn)算

Hash的運(yùn)用場(chǎng)景

通過(guò)它的這幾個(gè)特點(diǎn).我們可以談?wù)凥ash它的運(yùn)用場(chǎng)景了

登陸密碼加密

我們?cè)陂_(kāi)發(fā)的過(guò)程中首次登陸需要向服務(wù)器發(fā)送用戶(hù)密碼進(jìn)行賬戶(hù)驗(yàn)證.但是用戶(hù)的密碼是非常隱私的信息.所以一定要使用加密保護(hù).

直接使用Hash

那么目前最優(yōu)的解決方案就是使用密碼的Hash值進(jìn)行驗(yàn)證

客戶(hù)端直接將用戶(hù)輸入的密碼進(jìn)行Hash運(yùn)算,得到結(jié)果發(fā)送給服務(wù)器驗(yàn)證.因?yàn)镠ash算法無(wú)法逆運(yùn)算,所以就算Hash值泄露,用戶(hù)真實(shí)密碼也不會(huì)泄露.

服務(wù)端需要服務(wù)器配合,在用戶(hù)注冊(cè)的時(shí)候,服務(wù)端的數(shù)據(jù)庫(kù)中保存的就是用戶(hù)密碼的Hash值,而不是密碼本身(根據(jù)Hash的特點(diǎn),對(duì)相同的數(shù)據(jù)加密結(jié)果是一樣的).這樣就算服務(wù)器被攻克,用戶(hù)的隱私信息也能起到一定的保護(hù).

也就是現(xiàn)在為什么各類(lèi)產(chǎn)品只提供重置密碼的功能,而不再有找回密碼的功能了.因?yàn)榉?wù)端本身也不知道用戶(hù)的真實(shí)密碼.

特別說(shuō)明:用戶(hù)的密碼屬于非常隱私的信息.因?yàn)榇蠖鄶?shù)用戶(hù)有一個(gè)特點(diǎn).密碼喜歡使用重復(fù)的.如果你的APP泄露了用戶(hù)的密碼.那么很有可能,黑客利用用戶(hù)的手機(jī)號(hào)碼加上密碼,可以套出用戶(hù)的支付信息.這種后果是非常嚴(yán)重的!

再加一點(diǎn)東西

上面所說(shuō)的案例理論上已經(jīng)非常的"安全"了.因?yàn)榫退愫诳椭懒四愕腍ash值,也沒(méi)法逆運(yùn)算出用戶(hù)的密碼.但情況并不樂(lè)觀.我們眼見(jiàn)為實(shí)!

以MD5為例:在終端上演示一下(比如我的密碼是123456)

$md5 -s "123456"

MD5的結(jié)果是: e10adc3949ba59abbe56e057f20f883e

接下來(lái)隆重介紹一個(gè)網(wǎng)站腳本之家在線工具我們只需要將Hash值進(jìn)行反向的查詢(xún).

查詢(xún)結(jié)果圖

可能你會(huì)問(wèn),Hash既然不能反算為何這個(gè)網(wǎng)站能夠查詢(xún)出來(lái)?仔細(xì)看下網(wǎng)站的介紹不難發(fā)現(xiàn):其實(shí)它是一個(gè)巨大的數(shù)據(jù)庫(kù).利用明文和Hash的數(shù)據(jù)記錄,進(jìn)行反向查詢(xún).

網(wǎng)站介紹

當(dāng)然,提供哈希反向查詢(xún)服務(wù)的不僅僅只有這個(gè)網(wǎng)站,還有很多盈利性的公司提供有償服務(wù).

所以如果我們單純的直接使用Hash算法,用戶(hù)的密碼安全性會(huì)非常低.

早期的解決方案加鹽

//用戶(hù)密碼
NSString * pwd = @"123456";
//足夠復(fù)雜 足夠長(zhǎng)!!
static NSString * salt = @")@#(*URJ(@FJ_(@JF_(IJEFIOJ_@(IJWD{OIJW_(DIJ!W";
//先將明文拼接一個(gè)鹽
pwd = [pwd stringByAppendingString:salt];
//再進(jìn)行Hash算法
const char *str = pwd.UTF8String;
uint8_t buffer[CC_MD5_DIGEST_LENGTH];
CC_MD5(str, (CC_LONG)strlen(str), buffer);
NSMutableString *md5Str = [NSMutableString string];
for (int i = 0; i < CC_MD5_DIGEST_LENGTH; i++) {
        [md5Str appendFormat:@"%02x", buffer[i]];
 }

這種方式,對(duì)于反向查詢(xún)來(lái)說(shuō)就比較困難了.安全系數(shù)也相對(duì)較高.

HMAC(Hash-based Message Authentication Code)

對(duì)于簡(jiǎn)單的使用鹽的方式還是會(huì)有安全隱患,因?yàn)槿绻}被泄露了.那么整個(gè)項(xiàng)目將陷入被動(dòng).因?yàn)檫@種方式將鹽寫(xiě)死在程序里面了,要想今后換掉是非常難的.

那么接下來(lái)介紹一種加密方案HMAC.它使用一個(gè)密鑰,并且做了兩次散列!

注意:在開(kāi)發(fā)過(guò)程中,這個(gè)密鑰KEY是從服務(wù)器獲取的.并且一個(gè)用戶(hù)對(duì)應(yīng)一個(gè)KEY

廢話不多說(shuō),直接上代碼

//用戶(hù)密碼
NSStirng * pwd = @"123456";
//加密用的KEY,注意是從服務(wù)器獲取的
NSString * key = @"hmackey";
//轉(zhuǎn)成C串
const char *keyData = key.UTF8String;
const char *strData = pwd.UTF8String;
uint8_t buffer[CC_MD5_DIGEST_LENGTH];
//hmac加密
CCHmac(kCCHmacAlgSHA1, keyData, strlen(keyData), strData, strlen(strData), buffer);
NSMutableString *hmacStr = [NSMutableString string];
for (int i = 0; i < CC_MD5_DIGEST_LENGTH; i++) {
        [hmacStr appendFormat:@"%02x", buffer[i]];
 }

對(duì)于這種加密方案.就可以很好的保護(hù)用戶(hù)的隱私信息.因?yàn)榫退阈孤读薑EY.這個(gè)KEY也只是一個(gè)用戶(hù)的.不會(huì)污染整個(gè)項(xiàng)目.

如果拿到這個(gè)KEY,然后想反查詢(xún)出用戶(hù)的明文密碼.這個(gè)成本,除非這是馬云的賬戶(hù).

所謂安全,無(wú)法做到絕對(duì)安全.他們灰產(chǎn)有句話:只要錢(qián)到位,沒(méi)有什么不可能!我們要做到的就是相對(duì)安全.讓破解的成本大于破解的利潤(rùn).

登錄加密補(bǔ)充

今天寫(xiě)得開(kāi)心.所以再分享一點(diǎn)干貨.

剛才我們一直停留子在黑客想要拿到用戶(hù)的真實(shí)密碼.那么如果黑客換了一個(gè)思路.大哥就是想要拿到用戶(hù)的登錄權(quán)限呢?

那么我們這種加密.無(wú)論你怎么玩.妥妥的都是給服務(wù)器一個(gè)Hash串進(jìn)行驗(yàn)證啊,也就是我只需要拿到你的Hash值.那么我只要模擬你客戶(hù)端進(jìn)行登錄是再簡(jiǎn)單不過(guò)了.

當(dāng)然,這樣的防護(hù)手段有很多.我介紹一種有效的防護(hù)方式.有更好的建議可以留言寫(xiě)在下面,一起交流,向您學(xué)習(xí).
注冊(cè)的過(guò)程注冊(cè)的過(guò)程還是一樣.服務(wù)器保存的還是一串HMAC加密之后的HASH值.進(jìn)行校驗(yàn).但是登錄時(shí)的驗(yàn)證做點(diǎn)修改.

客戶(hù)端

• 通過(guò)服務(wù)器的KEY進(jìn)行HMAC加密,得到HMAC的Hash串
• 將得到的Hash串拼接一個(gè)時(shí)間字符串@'201807102248'注意只到分(當(dāng)然根據(jù)你的情況可以到秒)
• 然后將這個(gè)拼接完成的串,再次Hash.將這個(gè)結(jié)果發(fā)給服務(wù)器驗(yàn)證

服務(wù)端服務(wù)器保存了hmac的Hash串,以同樣的算法,拼接服務(wù)器的時(shí)間,進(jìn)行運(yùn)算,然后校驗(yàn).比如時(shí)間是59秒99發(fā)送的請(qǐng)求.服務(wù)器正好跳過(guò)一個(gè)分鐘.過(guò)程如下:

• (服務(wù)器的Hash串+@"201807102249")Hash.這次不通過(guò)再來(lái)一次
• (服務(wù)器的Hash串+@"201807102248")Hash.和上一分鐘對(duì)比,一次通過(guò)算成功

 這樣的好處,可以做到每登錄發(fā)送給服務(wù)器的Hash值是不一樣的.黑客不能通過(guò)保存Hash值模擬登錄.

版權(quán)&文件識(shí)別

當(dāng)然Hash的作用除了用于登錄密碼加密以外.還有版權(quán)的運(yùn)用.

比如如何識(shí)別一段視頻或者一段音頻,這種數(shù)字文件是正版的.這個(gè)時(shí)候,我們使用肉眼是沒(méi)法判斷的.因?yàn)榉浀囊曨l和音頻文件幾乎看不出來(lái).但是,文件的二進(jìn)制不一樣,它的Hash值是不會(huì)欺騙群眾的.所以類(lèi)似YouTube這樣的網(wǎng)站,在你上傳視頻的時(shí)候,它會(huì)將文件的Hash值保存.當(dāng)其他的網(wǎng)站上傳這個(gè)視頻,那么看是否是正版,就是對(duì)比文件的Hash值.

既然可以識(shí)別文件.那么還有一個(gè)非常廣泛運(yùn)用的就是像百度云這樣的云端服務(wù).舉個(gè)例子:
很多小伙伴保留的視頻,經(jīng)常被"和諧".有的人將視頻的名稱(chēng)全部改為葫蘆兄弟,黑貓警長(zhǎng)但是還是被和諧了.
百度識(shí)別你的視頻文件,和你的文件名稱(chēng),以及文件后綴(有人改成.txt)沒(méi)有半毛錢(qián)關(guān)系.它只會(huì)看這個(gè)文件的Hash值.那么如果想要逃脫.你唯一的出路就是改變文件原有的二進(jìn)制.(翻錄\視頻格式轉(zhuǎn)換).

那么最簡(jiǎn)單的,就是一個(gè)壓縮包,全部搞定.(我是很?chē)?yán)肅的在討論技術(shù)... ...的運(yùn)用場(chǎng)景)

以上就是Hash算法示例應(yīng)用場(chǎng)景解延伸探究的詳細(xì)內(nèi)容，更多關(guān)于Hash算法應(yīng)用的資料請(qǐng)關(guān)注腳本之家其它相關(guān)文章！

最新評(píng)論