起因
因为公司需要对私有云产品做一些限制,需要生成 license 对系统进行限制,研究了一些加密算法,自己摸索了一套 license 生成流程。今天总结一下。###
算法认识:
算法类型
数据的加密算法可以分为两大类:
-
对称加密
简单理解就是我需要有一个加密算法,一个对数据加密的 key ,然后用算法、key、和需要加密的数据进行加密。
拿到加密后的数据以后,我用相应的算法、key 能把它反解出来。
这就是所谓的对称 -
非对称加密
和上面的加密解密原理基本一样,但是 key 的话要分为两份,一个公钥一个私钥,公钥加密私钥解密,或者私钥加密公钥解密。两边的算法相同,但是相应的 key 不一样。两边加密解密的 key 不是对称的,所有这类算法叫做非对称算法。
比较特殊的事这种 MD5 这类加密算法,这个可以说是对称加密算法,但是严格的来说,MD5 没有解密的方法,应该叫做数据摘要算法。
数据摘要算法是密码学算法中非常重要的一个分支,它通过对所有数据提取指纹信息以实现数据签名、数据完整性校验等功能,由于其不可逆性,有时候会被用做敏感信息的加密。数据摘要算法也被称为哈希(Hash)算法、散列算法。
常见算法:
-
对称加密算法:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合;
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高;
RC2和 RC4:用变长密钥对大量数据进行加密,比 DES 快;
IDEA(International Data Encryption Algorithm)国际数据加密算法:使用 128 位密钥提供非常强的安全性;
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高,目前 AES 标准的一个实现是
Rijndael 算法;
BLOWFISH,它使用变长的密钥,长度可达448位,运行速度很快;
其它算法,如ElGamal、Deffie-Hellman、新型椭圆曲线算法ECC等特点
对称加密算法的特点是算法公开、计算量小、加密速度快、加密效率高。
不足之处是,交易双方都使用同样钥匙,安全性得不到保证。此外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。对称加密算法在分布式网络系统上使用较为困难,主要是因为密钥管理困难,使用成本较高。而与公开密钥加密算法比起来,对称加密算法能够提供加密和认证却缺乏了签名功能,使得使用范围有所缩小。在计算机专网系统中广泛使用的对称加密算法有DES和IDEA等。美国国家标准局倡导的AES即将作为新标准取代DES。 非对称加密算法
RSA、Elgamal、背包算法、Rabin、HD,ECC(椭圆曲线加密算法)。
使用最广泛的是RSA算法,Elgamal是另一种常用的非对称加密算法。
特点
非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
总结:
具体算法实现数学公式,没有详细了解有兴趣的可以谷歌相应的算法实现。
鱼与熊掌不能兼得,毕竟两种算法体系的存在是有原因的,对称速度快,安全性低,非对称速度慢,安全性高,中间的速度最多能差上1000倍。
因为我们是 license 所以不要求这么多,够安全就行。
生成 license 过程:
1、对 license 进行一次 DES 对称加密
2、我们生成一对公私钥,给用户生成一对公私钥
3、我们用用户的公钥对加密数据进行二次加密。
4、我们用我们的私钥对二次加密的数据进行签名
服务验证过程:
提供给用户融云的公钥、客户的私钥、加密后的 license 数据、签名数据
1、拿融云的公钥、加密后的 license 数据、签名数据进行签名验证
2、验证通过用客户的私钥对数据解密
3、DES 解密(key 写死在代码里)
4、解析 license 数据,对程序做限制
这应该是最大限度的保证license的安全,但是,如果不对代码做混淆的话,用户一旦读懂源码,还是可以绕过我们的验证的,这个基本无解
后面一章把代码贴出来。
