一、先明確幾個(gè)基本概念

1、偽隨機(jī)數(shù)：pseudo-random number generators ，簡(jiǎn)稱(chēng)為：PRNGs，是計(jì)算機(jī)利用一定的算法來(lái)產(chǎn)生的。偽隨機(jī)數(shù)并不是假隨機(jī)數(shù)，這里的“偽”是有規(guī)律的意思，就  是計(jì)算機(jī)產(chǎn)生的偽隨機(jī)數(shù)既是隨機(jī)的又是有規(guī)律的。怎樣理解呢？產(chǎn)生的偽隨機(jī)數(shù)有時(shí)遵守一定的規(guī)律，有時(shí)不遵守任何規(guī)律；偽隨機(jī)數(shù)有一部分遵守一定的規(guī)律；另一部分不遵守任何規(guī)律。比如“世上沒(méi)有兩片形狀完全相同的樹(shù)葉”，這正是點(diǎn)到了事物的特性，即隨機(jī)性，但是每種樹(shù)的葉子都有近似的形狀，這正是事物的共性，即規(guī)律性。從這個(gè)角度講，你大概就會(huì)接受這樣的事實(shí)了：計(jì)算機(jī)只能產(chǎn)生偽隨機(jī)數(shù)而不能產(chǎn)生絕對(duì)隨機(jī)的隨機(jī)數(shù)。

2、真隨機(jī)數(shù)：true random number generators ，簡(jiǎn)稱(chēng)為：TRNGs，是利用不可預(yù)知的物理方式來(lái)產(chǎn)生的隨機(jī)數(shù)。

3、明文：原始密碼，未經(jīng)過(guò)任何算法加密的密碼。

4、密文：原始密碼經(jīng)過(guò)某種算法加密后，形成的密碼。

二、C# salt+hash加密規(guī)則

規(guī)則：salt偽隨機(jī)值+原始密碼，即salt偽隨機(jī)值與原始密碼組合成明文，然后經(jīng)過(guò)hash算法形成密文，如：

      假設(shè)salt產(chǎn)生的偽隨機(jī)數(shù)為：9de74893-0b41-4f4e-91dc-06f62241b8bc

      原始明文為：admin

      組合規(guī)則：原始明文+salt偽隨機(jī)值，即admin9de74893-0b41-4f4e-91dc-06f62241b8bc

      hash加密后密文：urfFO/IWz912E2GXL4KiCzbosuZ6TdLpMk7lDRVVdYk=

      數(shù)據(jù)庫(kù)表結(jié)果如下：

三、C# salt產(chǎn)生偽隨機(jī)數(shù)原理

   第一步：引入命名空間 using System;

   第二步：調(diào)用結(jié)構(gòu)體Guid的NewGuid()方法；

   第三步：代碼表示 string strSalt = Guid.NewGuid().ToString(); 

   注釋?zhuān)寒?dāng)然，也可以調(diào)用類(lèi)Random下的方法來(lái)產(chǎn)生偽隨機(jī)數(shù)。

四、hash原理

hash是一種不可逆加密算法，C# HASH算法比較多，列舉幾種如下：

   1、MD5

   2、SHA家族：這里順便提一下，美國(guó)政府以前廣泛采用SHA-1算法，在2005年被我國(guó)山東大學(xué)的王小云教授發(fā)現(xiàn)了安全漏洞，所以現(xiàn)在比較常用SHA-1加長(zhǎng)的變種，比如SHA-256。在.NET中，可以使用SHA256Managed類(lèi)

   3、關(guān)鍵代碼如下：

 protected void btnRegister_Click(object sender, EventArgs e)
 {
  //用戶(hù)名和密碼
  string userName = this.TextBoxUserName.Text;
  string userPwd = this.TextBoxPWD.Text;
  //salt
  string strSalt= Guid.NewGuid().ToString();
  //SHA256加密
  byte[] pwdAndSalt = Encoding.UTF8.GetBytes(userPwd + strSalt);
  byte[] hashBytes = new SHA256Managed().ComputeHash(pwdAndSalt);
  string hashStr = Convert.ToBase64String(hashBytes);
  StringBuilder strBuid = new StringBuilder();
  strBuid.Append("INSERT INTO userInfo(");
  strBuid.Append("userName,userPassword,salt) values(");
  strBuid.Append("@userName,@hashStr,@strSalt)");
  SqlParameter[] sqlpara = {
      new SqlParameter("@userName",SqlDbType.NVarChar,50),
      new SqlParameter("@hashStr",SqlDbType.NVarChar,50),
      new SqlParameter("@strSalt",SqlDbType.NVarChar,50)
     };
  sqlpara[0].Value = this.TextBoxUserName.Text;
  sqlpara[1].Value = hashStr;
  sqlpara[2].Value = strSalt;
  //獲取連接字符串
  string sqlConStr = ConfigurationManager.ConnectionStrings["conStr"].ConnectionString;
  using (SqlConnection con=new SqlConnection(sqlConStr))
  {
  con.Open();
  SqlCommand cmd = new SqlCommand(strBuid.ToString(),con);
  cmd.Parameters.AddRange(sqlpara);
  if (cmd.ExecuteNonQuery()>0)
  {
   Response.Write("<script>alert('注冊(cè)成功！')</script>");
  }
  else
  {
   Response.Write("<script>alert('注冊(cè)失??！')</script>");
  }
   
  }
 }

五、C#常見(jiàn)加密算法

MD5加密、SHA家族加密、RSA加密、DES加密，目前主流加密為RSA，如數(shù)字簽名等，在本篇博客中，就不論述，以后會(huì)對(duì)這四類(lèi)算法作詳細(xì)論述。

六、常見(jiàn)密碼破解算法（引用//www.jb51.net/article/102918.htm）

最簡(jiǎn)單、常見(jiàn)的破解方式當(dāng)屬字典破解（Dictionary Attack）和暴力破解（Brute Force Attack）方式。這兩種方法說(shuō)白了就是猜密碼。

字典破解和暴力破解都是效率比較低的破解方式。如果你知道了數(shù)據(jù)庫(kù)中密碼的哈希值，你就可以采用一種更高效的破解方式，查表法（Lookup Tables）。還有一些方法，比如逆向查表法（Reverse Lookup Tables）、彩虹表（Rainbow Tables）等，都和查表法大同小異?，F(xiàn)在我們來(lái)看一下查表法的原理。

查表法不像字典破解和暴力破解那樣猜密碼，它首先將一些比較常用的密碼的哈希值算好，然后建立一張表，當(dāng)然密碼越多，這張表就越大。當(dāng)你知道某個(gè)密碼的哈希值時(shí)，你只需要在你建立好的表中查找該哈希值，如果找到了，你就知道對(duì)應(yīng)的密碼了。

七、為什么使用hash來(lái)加密（引用//www.jb51.net/article/102918.htm）

如果你需要保存密碼（比如網(wǎng)站用戶(hù)的密碼），你要考慮如何保護(hù)這些密碼數(shù)據(jù)，象下面那樣直接將密碼寫(xiě)入數(shù)據(jù)庫(kù)中是極不安全的，因?yàn)槿魏慰梢源蜷_(kāi)數(shù)據(jù)庫(kù)的人，都將可以直接看到這些密碼。

解決的辦法是將密碼加密后再存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù)，比較常用的加密方法是使用哈希函數(shù)（Hash Function）。哈希函數(shù)的具體定義，大家可以在網(wǎng)上或者相關(guān)書(shū)籍中查閱到，簡(jiǎn)單地說(shuō)，它的特性如下：

（1）原始密碼經(jīng)哈希函數(shù)計(jì)算后得到一個(gè)哈希值

（2）改變?cè)济艽a，哈希函數(shù)計(jì)算出的哈希值也會(huì)相應(yīng)改變

（3） 同樣的密碼，哈希值也是相同的

（4） 哈希函數(shù)是單向、不可逆的。也就是說(shuō)從哈希值，你無(wú)法推算出原始的密碼是多少

有了哈希函數(shù)，我們就可以將密碼的哈希值存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù)。用戶(hù)登錄網(wǎng)站的時(shí)候，我們可以檢驗(yàn)用戶(hù)輸入密碼的哈希值是否與數(shù)據(jù)庫(kù)中的哈希值相同。

由于哈希函數(shù)是不可逆的，即使有人打開(kāi)了數(shù)據(jù)庫(kù)，也無(wú)法看到用戶(hù)的密碼是多少。

那么存儲(chǔ)經(jīng)過(guò)哈希函數(shù)加密后的密碼是否就是安全的了呢？參照六、發(fā)現(xiàn)并不安全，只有加上salt才安全，因?yàn)閟alt是隨機(jī)生成的。

以上就是本文的全部?jī)?nèi)容，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助，同時(shí)也希望多多支持我們！