51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

谁家的加密密钥,写死在代码里?

作者:架构师之路
网络 无线技术 数据安全
大部分人不了解协议的设计细节,更多使用已有协议进行应用层设计,但无论如何,了解协议设计的原则,对深入理解系统通信非常有帮助。

系统设计,协议先行。

大部分人不了解协议的设计细节,更多使用已有协议进行应用层设计,例如:

  • 使用HTTP,设计 get/post/cookie 参数,以及json包格式;
  • 使用dubbo,而不用去深究内部的二进制包头包体细节;

无论如何,了解协议设计的原则,对深入理解系统通信非常有帮助。

一、协议的分层设计

所谓“协议”,是双方共同遵守的规则,例如:离婚协议,停战协议。协议有语法、语义、时序三要素:

  • 语法,即数据与控制信息的结构或格式;
  • 语义,即需要发出何种控制信息,完成何种动作以及做出何种响应;
  • 时序,即事件实现顺序的详细说明;

画外音:后文主要讲语法设计。

协议设计通常分为三层:应用层协议、安全层协议、传输层协议。

图片

下面分别看下这三层的协议应该如何选型。

二、应用层协议设计

应用层协议选型,常见的有三种:文本协议、二进制协议、流式XML协议。

(1) 文本协议

文本协议是指“贴近人类书面语言表达”的通讯传输协议,典型的协议是HTTP协议,一个HTTP协议的请求报文样例如下:

GET / HTTP/1.1
User-Agent: curl
Host: musicml.net
Accept: */*

文本协议的特点是:

  • 可读性好,便于调试;
  • 扩展性较好,能通过key:value扩展;
  • 解析效率不高,一行一行读入,按照冒号分割,解析key和value;
  • 对二进制不友好 ,比如语音/视频等;

(2) 二进制协议

二进制协议即binary协议,典型是IP协议,以下是IP协议的一个图示:

图片

二进制协议一般包含:一般包含:

  • 定长包头;
  • 可扩展变长包体;
  • 一般每个字段有固定的含义,以IP协议为例,前4个bit表示协议版本号(Version);

二进制协议的特点是:

  • 可读性差,难于调试;画外音:打日志一般需要一个toString()函数增强可读性。
  • 扩展性不好,如果要扩展字段,旧版协议就不兼容了,所以设计时一般会有一个Version字段;
  • 解析效率超高,几乎没有解析代价,二进制流的每个字段表示固定含义;
  • 天然支持二进制流 ,比如语音/视频;

这是一个典型的16字节二进制定长包头的例子:

//sizeof(cs_header)=16
struct cs_header {
  uint32_t version;
  uint32_t magic_num;
  uint32_t cmd;
  uint32_t len;
  uint8_t data[];
}__attribute__((packed));

其中:

(1)前4个字节表示版本号version;

(2)接下来4个字节表示魔法数字magic_num,用来解决数据错位或丢包问题;

画外音:例如,约定好魔法数字是0x01020304,收到的报文,魔法数字匹配,认为是正常报文,否则认为是报文异常,断开连接。

(3)接下来4个字节表示命令号command,不同的命令号对应不同的变长包体;

(4)最后4个字节表示包体长度length,以确定变长包体有多少字节;

这是一个实际的二进制变长包体:

message CUserLoginReq {
  optional string username = 1;
  optional string passwd = 2;
}

message CUserLoginResp {
  optional uint64 uid =1;
}

它使用的是Google的Protobuf协议,容易看到:

  • 请求报文传入的是用户名与密码;
  • 响应包返回的是用户的uid;

PB是很流行的二进制变长包体协议,其优点为:

  • 通用,可以生成C++、Java、PHP等多语言代码;
  • 自带压缩功能;
  • 对二进制友好;
  • 在工业界已广泛应用;画外音:Google出品,必属精品。

流式XML协议流式XML似乎是文本协议的一个特例,亦可以单独作为一类。例如:xmpp就是典型的流式XML协议,下面是xmpp协议的一个典型报文:

<message
to=’romeo@example.net’
from=’juliet@example.com’
type=’chat’
xml : lang=’en’>
<body>Wherefore art thou, Romeo?</body>
</message>

从xml标签中大致可以判断这是一个romeo发给juliet的聊天消息。

XML协议有几个特点:

  • 可读性好,扩展性好,这是XML的特性;
  • 解析代价超高,需要进行dom树分析;
  • 有效数据传输率超低,有大量的标签;
  • 对二进制不友好 ,比如语音/视频等;

三、安全层协议设计

安全层协议设计,除了使用SSL,自行实现的话,常见的又有以下三种方案。

画外音:SSL秘钥管理是个问题。

(1) 固定密钥

服务端和客户端约定好一个密钥,同时约定好一个加密算法(例如:AES),每次客户端发送报文前,就用约定好的算法,以及约定好的密钥加密再传输,服务端收到报文后,用约定好的算法,约定好的密钥再解密。

画外音:安全性低,安全性基于程序员的职业操守。

(2) 一人一密

简单来说,就是一个人的密钥是固定的,但是每个人之间又不同。常见的实现方式是:

  • 固定加密算法;
  • 加密秘钥使用“用户的某一特殊属性”,比如用户uid、手机号、qq号、用户密码等;

(3) 一次一密

即动态密钥,一Session一密钥的安全性更高,每次会话前协商密钥。密钥协商的过程要经过2次非对称密钥的随机生成,1次对称加密密钥的随机生成,具体详情这里不展开。

四、传输层协议设计

可选的协议有TCP和UDP,现在基本都是使用TCP,有了epoll等技术后,多连接就不是瓶颈了,单机几十万链接没什么问题。

责任编辑:赵宁宁 来源: 架构师之路
协议通信加密
相关推荐
探索PKI—什么是加密密钥
安全地存储加密密钥不是一项选择题。事实上,它是许多行业和地区法规的要求。除非你愿意因数据泄露而支付数千或数百万美元的合规罚款、法律费用和诉讼解决费用,否则我们建议你引起足够的重视。

2023-10-27 07:20:11

PS3加密密钥泄漏
据Solidot报道,黑客组织TheThreeMusketeers在pastie.org上公开了索尼PS3主机的核心加密密钥LV0key,该密钥的泄漏将可以让黑客和改机者更容易绕过索尼的限制。

2012-10-24 16:34:46

Seahorse: Linux 中管理你密码和加密密钥
Seahorse是一个简洁的开源密码和加密密钥管理器,让我们来探讨一下它的功能和如何安装它。

2021-10-15 13:00:55

LinuxSeahorse加密密钥
云计算安全需要控制加密密钥
谁有权访问组织的加密密钥?这取决于组织的数据在云中是否安全。除非组织自己拥有对加密密钥的独占控制权,否则可能面临风险。不幸的是,情况并非如此,这也是很多组织收到电子邮件,得知数据其已被泄露的原因之一。

2019-05-06 10:21:09

加密密钥云安全云计算
谁家面试往问事务啊?
事务,指的是一组操作的集合,它是一个不可分割的工作单位,它会把这个集合中所有的操作作为一个整体一起向系统提交或撤销操作请求,即这些操作要么同时成功,要么同时失败。事务常常用于在需要操作多条记录或多张表的情况下,为了避免在执行过程中出现异常行为导致数据一致性被破坏,这时候我们就需要开启事务。

2023-09-26 08:24:34

数据一致性事务
谁家面试往问 Swagger 啊?
尽管在面试中不会过多考察Swagger这类工具,但作为开发者,养成良好的文档规范习惯是非常重要的,无论使用Swagger还是其他文档工具,编写清晰、详尽的API文档都应该是我们的素养之一。

2023-08-30 08:23:11

云计算加密密钥管理最佳实践
企业正在把比以往任何时候更多的数据迁往云计算,其中涵盖了多种不同的服务模式类型。在本文中,我们将探讨今时今日云计算加密密钥管理的一些状况。

2014-07-29 09:25:39

加密密钥管理云加密
16个加密密钥管理最佳实践
如果您的存储遇到错误或有人对其进行攻击,您必须具有恢复密钥的能力。无法恢复密钥可能会导致加密数据永久丢失。确保您拥有强大的备份,使您能够快速可靠地恢复丢失的密钥。

2024-01-19 07:49:27

对于安全云计算需要控制加密密钥
对于投资云计算或迁移到云计算的组织而言,糟糕的云安全状态必须必须是首要考虑的问题。由于其规模经济和易用性,各组织已迅速接受云计算。外包所需的基础设施要容易得多,特别是在多租户环境和中等市场企业中,这些企业很难为自己的基础设施融资。

2019-03-12 11:29:04

加密云安全密钥
超 100000 个 GitHub 代码库泄露了 API 或加密密钥
每天成千上万新的API或加密密钥通过GitHub项目泄露出去。六个月期间扫描GitHub公共代码库总数中13%的数十亿个文件后发现,超过100000个代码库泄露了API令牌和加密密钥,每天数千个新的代码库在泄露新的秘密内容。

2019-03-23 12:35:35

GitHub代码开发者
Heartbleed: OpenSSL密码与加密密钥泄露漏洞剖析
此次名为Heartbleed的OpenSSL漏洞引发了极其恶劣的影响,威胁全球用户的安全问题究竟源自怎样的代码纰漏

2014-04-10 18:52:22

云数据中心需要加密密钥解决方案
过去几年来,很多国家都制定了自己的数据驻留法,其中一些国家要求所有与其政府部门相关的数据必须存储在境内。欧盟各国以及俄罗斯、巴西和印度都是这种法律的主要支持者。

2017-11-16 15:42:07

加密密钥生命周期管理:工具和优秀实践
人们采用的加密密钥有多安全?需要探索和采用有效加密密钥管理的优秀工具和实践,以避免数据泄露。

2021-11-16 09:00:00

安全加密密钥工具
如何在Linux上最妥善地管理加密密钥?
存储SSH加密密钥和牢记密码可能是一件让人很头痛的事儿。不过遗憾的是,在如今恶意黑客和漏洞猖獗的年头,做好基本的安全防范措施是必不可少的做法。

2015-08-11 09:30:51

亚马逊增强AWS安全性 新增加密密钥管理
新推出的亚马逊云计算服务(AWS)安全功能包含一个加密密钥管理服务,旨在提高云计算安全性以及加强AWS对企业的吸引力。

2014-12-08 10:41:05

亚马逊AWS服务加密密钥管理服务
云计算风险:确保虚拟机上加密密钥管理安全
关于云安全,在它们在其他人的物理控制或者所有的情况下,可能确保虚拟机密钥安全吗?加密密钥管理在最有利的情况下是一种繁重的挑战。

2012-08-29 09:28:43

谷歌现在将让云计算客户自己保存加密密钥
Google昨天宣布,其IaaS(基础设施即服务)服务GoogleComputeEngine开始允许用户使用自己的密钥对数据进行加密。

2015-07-29 10:38:34

加密加密密钥
美国推全球首个量子计算机生成加密密钥服务
Quantinuum公司的量子增强型密码密钥QuantumOrigin将为Strangeworks公司的生态系统提供先进的密码功能。

2022-01-09 08:17:52

量子计算机美国加密密钥服务
Github突遭大规模恶意攻击,大量加密密钥可能泄露!
爆料者在推特上表示,目前已经向Github报告,并提醒各位不要安装奇奇怪怪的package。目前官方已删除大部分恶意clone。

2022-08-04 14:28:12

Github安全
小技巧:Linux下生成crypt加密密
当我们用红帽Kickstart脚本或useradd或其他方式写东西的时候,经常会需要用到crypt命令加密生成的密码格式。在Linux下,有很多方法可以生成这种加密格式的密码。本文就介绍了几个常用的,如mkpasswd,htpasswd,openssl等命令,以及几个常用脚本语言的实现方式。

2011-07-13 09:42:45

密码crypt
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服