【推荐阅读】微服务还能火多久?>>> 数据结构与算法之美_21_哈希算法(上):如何防止数据库中的用户信息被脱库?-LMLPHP

2011 年发生了 CSDN 的“脱库”事件。当时,CSDN 网站被黑客攻击,超过 600 万用户信息的注册邮箱和密码明文被泄露。如果你是 CSDN 的一名工程师,你会如何存储用户密码这么重要的数据吗?仅仅 MD5 加密以下存储就够了吗?想要搞清楚这个问题,就要先弄明白哈希算法。

哈希算法历史悠久,业界著名的哈希算法有很多,比如 MD5、SHA 等。在我们平时的开发中,基本上都是拿现成的直接用。那在实际的开发中,我们该如何用哈希算法解决问题?

什么是哈希算法?

哈希算法也叫散列算法,它就是将任意长度的二进制值串映射为固定长度的二进制值串,这个映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值。

但是,要想设计一个优秀的哈希算法并不容易,需要满足几点要求:

  • 从哈希值不能反向推导出原始数据(哈希算法也叫做单向哈希算法);
  • 对输入数据非常敏感,哪怕原始数据只修改了一个 Bit,最后得到的哈希值也大不相同;
  • 散列冲突的概率要很小,对于不同的原始数据,哈希值相同的概率非常小;
  • 哈希算法的执行效率要尽量高效,针对较长的文本,也能快速地计算出哈希值。

我们拿 MD5 这种哈希算法来具体说明一下。

分别对“今天我来将哈希算法”和“jiajia”这两个文本,计算 MD5 哈希值,得到两串看气力啊毫无规律的字符串(MD5 的哈希值是 128 位的 Bit 长度,为了方便表示,把它转化成了 16 进制编码)。可以看出,无论要哈希的文本有多长、多短,通过 MD5 哈希之后,得到的哈希值的长度都是相同的,而且得到的哈希值看起来像一堆随机数据,完全没有规律。

MD5("今天我来讲哈希算法") = bb4767201ad42c74e650c1b6c03d78fa
MD5("jiajia") = cd611a31ea969b908932d44d126d195b

再看两个非常相似的文本,“我今天讲哈希算法!”和“我今天讲哈希算法”。这两个文本只有一个感叹号的区别。如果用 MD5 哈希算法分别计算它们的哈希值,会发现,尽管只有一字之差,得到的哈希值也是完全不同的。

MD5("我今天讲哈希算法!") = 425f0d5a917188d2c3c3dc85b5e4f2cb
MD5("我今天讲哈希算法") = a1fb91ac128e6aa37fe42c663971ac3d

通过哈希算法得到的哈希值,很难反向推导出原始数据。比如上面的例子,我们很难通过哈希值“a1fb91ac128e6aa37fe42c663971ac3d”反推出出对应的文本“我今天讲哈希算法”。

哈希算法要处理的文本可能是各种各样的。比如,对于非常长的文本,如果哈希算法的计算时间很长,那就只能停留在理论研究的层面,很难应用到实际的软件开发中。比如,把 4000 多汉子的文章,用 MD5 计算哈希值,用不了 1ms 的时间。

哈希算法的应用非常多,最常见的有:安全加密(信息摘要)、唯一标识、数据校验、散列函数、负载均衡、数据分片、分布式存储。

应用一:安全加密

最常用于加密的哈希算法是 MD5(MD5 Message-Digest Algorithm,MD5 消息摘要算法)和 SHA(Secure Hash Algorithm,安全散列算法)。

除了这两个之外,还有其他加密算法,比如 DES(Data Encryption Standard,数据加密标准)、AES(Advanced Encryption Standard,高级加密标准)。

哈希算法的四点要求中,对于用于加密的哈希算法来说,有两点格外重要。第一点是很难根据哈希值反向推导出原始数据,第二点是算列冲突的概率要很小。

第一点,加密的目的就是防止原始数据泄露,所以很难通过哈希值反向推导原始数据,这是一个最基本的要求。

第二点,实际上,不管是什么哈希算法,我们只能尽量减少哈希冲突的概率,理论上是没有办法做到完全不冲突的。

这里就基于组合数据中一个非常基础的理论,鸽巢原理(也叫抽屉原理)。这个原理本身很简单,它是说,如果有 10 个鸽巢,有 11 只鸽子,那肯定有 1个鸽巢中的鸽子数量多于 1 个,换句话说,肯定有 2 只鸽子在一个鸽巢内。

为什么哈希算法无法做到零冲突?

我们知道,哈希算法的产生的哈希值的长度是固定的且有限的。比如前面的 MD5 例子,哈希值是固定的 128 位二进制串,能表示的数据是有限的,最多能表示 2^128 个数据,而我们要哈希的数据是无穷的。基于鸽巢原理,如果我们对 2^128+1 个数据求哈希值,就必然存在哈希值相同的情况。一般情况下,哈希值越长的哈希算法,算列冲突的概率越低。

2^128=340282366920938463463374607431768211456

下面的两个字符串经过 MD5 加密算法加密之后,产生的哈希值是相同的。

数据结构与算法之美_21_哈希算法(上):如何防止数据库中的用户信息被脱库?-LMLPHP

不过,即便哈希算法存在散列冲突的情况,但是因为哈希值的范围很大,冲突的概率极低,所以相对说还是很难破解的。像 MD5,有 2^128 个不同的哈希值,这个数据已经是一个天文数字了,所以哈希冲突的概率要小于 1/2^128。

如果我们哪一个 MD5 哈希值,希望通过毫无规律的穷举的方法,找到跟这个 MD5 值相同的另一个数据,那耗费的时间应该是一个天文数字。所以,即便哈希算法存在冲突,但是在有限的时间和资源下,哈希算法还是很难破解的。

除此之外,没有绝对安全的加密。越复杂、越难破解的加密算法,需要的计算时间也越长。比如 SHA-256 比 SHA-1 要更复杂、更安全,相应的计算时间就会比较长。密码学界也一直致力于找到一种快速且难破解的哈希算法。我们在实际开发过程中,也需要权衡破解难度和计算时间,来决定究竟使用哪种加密算法。

应用二:唯一标识

先举个例子。如果要在海量的图库中,搜索一张图是否存在,我们不能单纯地用图片的元信息(比如图片名称)来对比,因为有可能存在名称相同但图片内容不同,或者名称不同图片内容相同的情况。那我们该如何搜索呢?

我们知道,任何文件在计算中都可以表示成二进制码串,所以,比较笨的办法就是,拿药查找的图片的二进制码串与图库中的所有图片的二进制码串一一对比。如果相同,则说明图片在图库中存在。但是,每个图片小则几十 KB、大则几 MB,转换成二进制是一个非常长的串,比对起来非常耗时。

好一点的方法是我们给每一个图片取一个唯一标识,或者说信息摘要。比如,我们可以从图片的二进制码串开头取 100 个字节,从中间取 100 个字节,从最后再去 100 个字节,然后将这 300 个字节放到一起,通过哈希算法(比如 MD5),得到一个哈希字符串,用它作为图片的唯一标识。通过这个唯一标识来判定图片是否在图库中,这样就可以减少很多工作量。

如果还想继续提高效率,我们可以把每一个图片的唯一标识,和相应的图片文件在图库中的路径信息,都存储在散列表中。当要查看某个图片是否在图库中时,我们先通过哈希算法对这个图片取唯一标识,然后在散列表中查找是否存在这个唯一标识。

如果不存在,那就说明这个图片不在图库中;如果存在,我们再通过散列表中存储的文件路径,获取到这个已经存在的图片,与现在要插入的图片做全量的对比,看是否完全一样。如果一样,就说明已经存在;如果不一样,说明两张图片尽管唯一标识相同,但是并不是相同的图片。

应用三:数据校验

电炉这样的 BT 下载的原理是基于 P2P 协议的。我们从机器上并行下载一个 2GB 的电影,这个电影文件可能会被分割成很多文件块(比如可分成 100 块,每块大约 20MB)。等所有的文件块都下载完成之后,再组装成一个完整的电影文件就行了。

网络传输是不安全的,下载的文件块有可能是被宿主机恶意修改过的,又或者下载过程中出现了错误,所以下载的文件块可能不是完整的。如果我们没有能力检测这种恶意修改或者文件下载出错,就会导致最终合并后的电影无法观看,,甚至导致电脑中毒。现在的问题时,如何来校验文件块的安全、正确、完整呢?

具体的 BT 协议很复杂,校验方法也有很多,我们说其中一个思路。

先通过哈希算法,对 100 个文件块分别取哈希值,并且保存在种子文件中。哈希算法对数据很敏感,只要文件块的内容有一丁点的改变,最后计算出的哈希值就会完全不同。所以,当文件块下载完成之后,我们可以通过相同的哈希算法,对下载好的文件块逐一求哈希值,然后跟种子文件中保存的哈希值比对。如果不同,说明这个文件不完整或者被篡改了,需要再重新从其他宿主机上下载这个文件块。

应用四:散列函数

散列函数也是哈希算法的一种应用。

散列函数是设计一个散列表的关键。它直接决定了散列冲突的概率和散列表的性能。不过,相对于哈希算法的其他应用,散列函数对于散列算法冲突的要求低很多。即便出现了个别散列冲突,只要不是过于严重,我们都可以通过开放寻址法或链表法解决。

不仅如此,散列函数对于散列算法计算得到的值,是否能反向解密也并不关心。散列函数中用到的散列算法,更加关注散列后的值是否能平均分布,也就是,一组数据是否能均匀地散列在各个槽中。除此之外,散列函数执行快慢,也会影响散列表的性能,所以,散列函数用的散列算法一般都比较简单,比较追求效率。

解决开篇

如何防止数据库中的用户信息被脱库?

我们可以通过哈希算法,对用户名密码加密之后再存储,不过最好选择相对安全的加密算法,比如 SHA 等(因为 MD5 已经号称被破解了)。不过仅仅这样加密之后就万事大吉了吗?

字典攻击听过吗?如果用户信息被脱库,黑客虽然拿到是加密之后的密文,但是可以通过“猜”的方式来破解密码,这是因为,有些用户的密码太简单。比如很多人习惯 00000、123456 这样的简单数字组合的密码,很容易就被猜中。

那我们就需要维护一个常用密码的字典表,把字典中的每个密码用哈希算法计算哈希值,然后拿哈希值跟脱库的密文比对。如果相同,基本上就可以认为,这个加密之后的密码对应的明文就是字典中的这个密码。(注意,这里说的是“基本上可以认为”,因为哈希算法存在散列冲突,也有可能出现,尽管密文一样,但是明文并不一样的情况。)

针对字典攻击,我们可以引入一个盐值(salt),跟用户的密码组合在一起,增加密码的复杂度。我们拿组合之后的字符串来做哈希算法加密,将它存储到数据库中,进一步增加破解的难度。

加salt,也可理解为为密码加点佐料后再进行hash运算。比如原密码是123456,不加盐的情况加密后假设是是xyz。

黑客拿到脱机的数据后,通过彩虹表匹配可以轻松破解常用密码。如果加盐,密码123456加盐后可能是12ng34qq56zz,再对加盐后的密码进行hash后值就与原密码hash后的值完全不同了。

而且加盐的方式有很多种,可以是在头部加,可以在尾部加,还可在内容中间加,甚至加的盐还可以是随机的。这样即使用户使用的是最常用的密码,黑客拿到密文后破解的难度也很高。

内容小结

这一讲讲了哈希算法的四个应用场景。

第一个应用是安全加密,我们讲到任何哈希算法都会出现哈希冲突,但是这个冲突概率非常小。越是复杂哈希算法越难破解,但同样计算时间也就越长。所以,选择哈希算法的时候,要权衡安全性和计算时间来决定用哪种哈希算法。比如 MD5、SHA 哈希算法。

第二个应用是唯一标识,哈希算法可以对大数据做信息摘要,通过一个较短的二进制编码来表示很大的数据。比如判断一张图片是否在图库中。

第三个应用是用于校验数据的完整性和正确性。比如基于 P2P 协议的 BT 下载。

第四个应用是散列函数。

课后思考

区块链是一个很火的领域,它被很多人神秘化,不过其底层的实现原理并不复杂。其中,哈希算法就是它的一个非常重要的理论基础。那区块链使用的是哪种哈希算法?是为了解决什么问题而使用的呢?

答:区块链是一块块区块组成的,每个区块分为两部分:区块头和区块体。

区块头保存着 自己区块体 和 上一个区块头 的哈希值。

因为这种链式关系和哈希值的唯一性,只要区块链上任意一个区块被修改过,后面所有区块保存的哈希值就不对了。

区块链使用的是 SHA256 哈希算法,计算哈希值非常耗时,如果要篡改一个区块,就必须重新计算该区块后面所有的区块的哈希值,短时间内几乎不可能做到。

04-17 06:19