C# salt+hash 加密

1   先明确几个基本概念

  (1)伪随机数：pseudo-random number generators ，简称为：PRNGs，是计算机利用必定的算法来产生的。伪随机数并非假随机

      数，这里的“伪”是有规律的意思，就  是计算机产生的伪随机数既是随机的又是有规律的。怎样理解呢？产生的伪随机数有时遵照必定的规律，有

      时不遵照任何规律；伪随机数有一部分遵照必定的规律；另外一部分不遵照任何规律。好比“世上没有两片形状彻底相同的树叶”，这正是点到了事

      物的特性，即随机性，可是每种树的叶子都有近似的形状，这正是事物的共性，即规律性。从这个角度讲，你大概就会接受这样的事实了：计算机

      只能产生伪随机数而不能产生绝对随机的随机数。

  (2)真随机数：true random number generators ，简称为：TRNGs，是利用不可预知的物理方式来产生的随机数。

  (3)明文：原始密码，未通过任何算法加密的密码。

  (4)密文：原始密码通过某种算法加密后，造成的密码。

2   C# salt+hash加密规则

   规则：salt伪随机值+原始密码，即salt伪随机值与原始密码组合成明文，而后通过hash算法造成密文，如：

           假设salt产生的伪随机数为：9de74893-0b41-4f4e-91dc-06f62241b8bc

           原始明文为：admin

           组合规则：原始明文+salt伪随机值，即admin9de74893-0b41-4f4e-91dc-06f62241b8bc

           hash加密后密文：urfFO/IWz912E2GXL4KiCzbosuZ6TdLpMk7lDRVVdYk=

           数据库表结果以下：

          

3   C# salt产生伪随机数原理

   第一步：引入命名空间 using System;

   第二步：调用结构体Guid的NewGuid()方法；

   第三步：代码表示 string strSalt = Guid.NewGuid().ToString();  

       注释：固然，也能够调用类Random下的方法来产生伪随机数。

4   hash原理

   hash是一种不可逆加密算法，C# HASH算法比较多，列举几种以下：

   (1)MD5

   (2)SHA家族：这里顺便提一下，美国政府之前普遍采用SHA-1算法，在2005年被我国山东大学的王小云教授发现了安全漏洞，因此如今比较常

       用SHA-1加长的变种，好比SHA-256。在.NET中，可使用SHA256Managed类

   (3)关键代码以下：

protected void btnRegister_Click(object sender, EventArgs e) { //用户名和密码
            string userName = this.TextBoxUserName.Text; string userPwd = this.TextBoxPWD.Text; //salt
            string strSalt= Guid.NewGuid().ToString(); //SHA256加密
            byte[] pwdAndSalt = Encoding.UTF8.GetBytes(userPwd + strSalt); byte[] hashBytes = new SHA256Managed().ComputeHash(pwdAndSalt); string hashStr = Convert.ToBase64String(hashBytes); StringBuilder strBuid = new StringBuilder(); strBuid.Append("INSERT INTO userInfo("); strBuid.Append("userName,userPassword,salt) values("); strBuid.Append("@userName,@hashStr,@strSalt)"); SqlParameter[] sqlpara = { new SqlParameter("@userName",SqlDbType.NVarChar,50), new SqlParameter("@hashStr",SqlDbType.NVarChar,50), new SqlParameter("@strSalt",SqlDbType.NVarChar,50) }; sqlpara[0].Value = this.TextBoxUserName.Text; sqlpara[1].Value = hashStr; sqlpara[2].Value = strSalt; //获取链接字符串
            string sqlConStr = ConfigurationManager.ConnectionStrings["conStr"].ConnectionString; using (SqlConnection con=new SqlConnection(sqlConStr)) { con.Open(); SqlCommand cmd = new SqlCommand(strBuid.ToString(),con); cmd.Parameters.AddRange(sqlpara); if (cmd.ExecuteNonQuery()>0) { Response.Write("<script>alert('注册成功！')</script>"); } else { Response.Write("<script>alert('注册失败！')</script>"); } } }

5   C#常见加密算法

     MD5加密、SHA家族加密、RSA加密、DES加密，目前主流加密为RSA，如数字签名等，在本篇博客中，就不论述，之后会对这四类算法做详细论述。

6   常见密码破解算法

     最简单、常见的破解方式当属字典破解（Dictionary Attack）和暴力破解（Brute Force Attack）方式。这两种方法说白了就是猜密码。

 

      字典破解和暴力破解都是效率比较低的破解方式。若是你知道了数据库中密码的哈希值，你就能够采用一种更高效的破解方式，查表法（Lookup Tables）。还有一些方法，好比逆向查表法（Reverse Lookup Tables）、彩虹表（Rainbow Tables）等，都和查表法大同小异。如今咱们来看一下查表法的原理。

     查表法不像字典破解和暴力破解那样猜密码，它首先将一些比较经常使用的密码的哈希值算好，而后创建一张表，固然密码越多，这张表就越大。当你知道某个密码的哈希值时，你只须要在你创建好的表中查找该哈希值，若是找到了，你就知道对应的密码了。

 

7   为何使用hash来加密

若是你须要保存密码（好比网站用户的密码），你要考虑如何保护这些密码数据，象下面那样直接将密码写入数据库中是极不安全的，由于任何能够打开数据库的人，都将能够直接看到这些密码。

解决的办法是将密码加密后再存储进数据库，比较经常使用的加密方法是使用哈希函数（Hash Function）。哈希函数的具体定义，你们能够在网上或者相关书籍中查阅到，简单地说，它的特性以下：

（1）原始密码经哈希函数计算后获得一个哈希值

（2）改变原始密码，哈希函数计算出的哈希值也会相应改变

（3） 一样的密码，哈希值也是相同的

（4） 哈希函数是单向、不可逆的。也就是说从哈希值，你没法推算出原始的密码是多少

有了哈希函数，咱们就能够将密码的哈希值存储进数据库。用户登陆网站的时候，咱们能够检验用户输入密码的哈希值是否与数据库中的哈希值相同。

因为哈希函数是不可逆的，即便有人打开了数据库，也没法看到用户的密码是多少。

那么存储通过哈希函数加密后的密码是否就是安全的了呢？参照6、发现并不安全，只有加上salt才安全，由于salt是随机生成的。

8   版权

 

• 感谢您的阅读，如有不足之处，欢迎指教，共同窗习、共同进步。
• 博主网址：http://www.cnblogs.com/wangjiming/。
• 极少部分文章利用读书、参考、引用、抄袭、复制和粘贴等多种方式整合而成的，大部分为原创。
• 如您喜欢，麻烦推荐一下；如您有新想法，欢迎提出，邮箱：2016177728@qq.com。
• 能够转载该博客，但必须著名博客来源。