[TOC] ## 文獻：GBT 38674-2020信息安全技術 應用軟件安全編程指南  ## 問題01：什么是MD5？ MD5消息摘要算法（英語：MD5：?**Message-Digest Algorithm**），一種被廣泛使用的密碼散列函數，可以產生出一個128位（16字節,32個16進制）的散列值（hash value），用于**確保信息傳輸完整一致**。MD5由美國密碼學家羅納德·李維斯特（Ronald Linn Rivest）設計，于1992年公開，用以取代MD4算法。這套算法的程序在?RFC 1321?中被加以規范。 * [ ] 1. 不可逆 * [ ] 2. 壓縮性（簡化信息、定長結果） * [ ] 3. 抗碰撞性 * [ ] 4. 抗修改性 * [ ] 5. 易計算 ### 作用： > 1. 文件一致性校驗 > 2. 密碼加密 java.security.MessageDigest [https://docs.oracle.com/javase/8/docs/api/](https://docs.oracle.com/javase/8/docs/api/) ## 問題02：MD5的基本步驟？ 1. 初始化信息摘要 ``` MessageDigest md = MessageDigest.getInstance("SHA-256"); ``` 2. 使用字節數組更新信息摘要 ``` md.update(str.getBytes()); ``` 3. 完成信息摘要 ``` byte ss[] = md.digest(); ``` 4. 將字節數組轉為十六進制 ``` reStr = bytes2String(ss); ``` ## 問題03：利用MD5對用戶信息進行加密。  ``` //對密碼進行加密 password = Conver2MD5.getSHA256(password); ``` > 同一字符，加密后的16進制數是不變的，但自從出現彩虹表，可以反查數據 > 為了防止彩虹表反查，需要進行**加鹽**處理。 ``` Conver2MD5.getSHA256(username+password+"pzhu"); ``` ## 問題04：實現前后端加密。 * [ ] 雖然對數據庫進行了加密，但是在傳輸過程中并沒有加密 [http://jwci.pzhu.cn/jsxsd/xk/LoginToXk](http://jwci.pzhu.cn/jsxsd/xk/LoginToXk)  [http://218.6.132.25/aexp/](http://218.6.132.25/aexp/)   ## 問題05：實現防止網絡監聽。 * [ ] 1. 使用二次驗證 * [ ] 2. 混入時間令牌（一次一密）