报文签名处理
接入系统与XX特色前置的通讯报文采用报文体MAC签名,签名用来识别来源的合法性和报文体是否遭篡改或破坏。MAC签名值生成的步骤如下:
- 需要将报文体< body>…</body>(包括< body></body>字符串本身)使用MD5算法产生32位摘要信息(摘要信息中字母要求大写)。注:MD5算法为国际标准的摘要生成算法。
- 使用ZAK工作密钥对摘要信息进行加密,产生MAC签名串。ZAK密钥为双倍长度,使用附录的 MAC 算法。
- 将2返回的签名串以<signature>MAC签名串</signatrue>形式加入报文末尾,紧跟在</body>之后。
MAC算法
MAC算法说明:
1、 对数据MAB先按16字节分组,表示为D0~Dn,如果Dn不足16字节时,尾部以字节0x00补齐。
2、 按顺序用ZAK对前16字节进行SM4加密运算;
3、 将上一步的加密结果与下一分组异或,再进行第2步的加密运算。
4、 直至所有分组结束,对最后一组进行SM4密钥运算,得出16个字节的加密值
SM4算法加解密数据.JPG
实现:
经过咨询同事,公司crypt库中有现成的MD5加密方法;
果断复用!!!
[smartyd@localhost ~]$ bpm2
> local crypt = require("crypt"); for k,v in pairs(crypt) do print(k,v) ; end
md5file function: 0x10d1f090
md5asc function: 0x10d1f0f0
md5 function: 0x10d1f030
>
验证:将字符串“123456” 按标准md5算法 后应该是 E10ADC3949BA59ABBE56E057F20F883E
crypt库中与MD5相关的有3个:
验证1:--不一致
>
> print(crypt.md5("123456"));
9IV>
>
验证2: --一致可用
>
> print(crypt.md5asc("123456"));
E10ADC3949BA59ABBE56E057F20F883E
>
>
调用加密机SM4算法加解密数据
关键code
local sSndTemp="";
sSndTemp = sSndTemp .. string.char("00");
sSndTemp = sSndTemp .. string.char("86");
sSndTemp = sSndTemp .. "12345678WA2010001S"..G_HSM_KEY..G_HSM_KEYVALUE.."0016";
--对数据每两位进行字节压缩
for i=1,string.len(mddata),2 do
sSndTemp = sSndTemp .. string.char("0x"..string.sub(mddata,i,i+1));
--i=i+2;
end
--对压缩后的数据转为字节
local hexdata="";
for i=1,string.len(sSndTemp) do
hexdata = hexdata..string.format("%02x",string.byte(string.sub(sSndTemp,i,i))).." ";
end
--解码:获取的前16字节
local hsmRsphead="";
for i=1,16 do
--logdebug(i,buf:sub(i,i));
hsmRsphead = hsmRsphead..buf:sub(i,i);
i=i+1;
end
--解码:获取的前17-32字节转为byte
local hsmdata="";
for i=17,32 do
--logdebug(i,string.format("%02x",string.byte(buf:sub(i,i))):upper());
hsmdata= hsmdata..string.format("%02x",string.byte(buf:sub(i,i))):upper();
i=i+1;
end
总结理论:
- MD5算法是常用的一种加密算法,不可逆,但可以通过md5库来进行强力破解;
注意公司crypt库中使用MD5asc 而不是 MD5;
2.SM4加密运算是通过加密机实现的,通过G_HSM_KEY与G_HSM_KEYVALUE的分配设置,可以防止破解和冒充;
