云服务中使用的AK/SK简单介绍

原创 已于 2025-02-17 03:27:29 修改 · 1.3w 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#云计算 #安全

于 2023-01-30 19:15:41 首次发布
本文介绍了AK(AccessKeyId)和SK(SecretAccessKey)的概念及其在客户端和服务端的应用原理。AK用于标识用户身份,而SK作为密钥用于生成签名以确保数据传输的安全性。通过非对称加密技术,确保了传输过程中的安全性。

AK 和 SK 是什么?

  • AK (Access Key Id):用于标识用户,通常是一个公开的字符串。
  • SK (Secret Access Key):是用户用于加密认证字符串和验证认证字符串的密钥。SK 必须保密,只能由用户(客户端)保存。

AK/SK 的获取

客户端通常会提供下载 AK/SK 的功能,服务端会保存 AK 和 AK 对应的 domainIDuserID 等信息。

使用原理(签名、验签、非对称加密)

客户端流程:
  1. 构建 HTTP 请求:请求中包含 Access Key
  2. 生成签名
    • 使用原始报文进行哈希算法计算,得到摘要。
    • 使用 SK 对摘要进行加密,生成签名(signature)。
  3. 发送请求:将请求体发送给服务端,请求体包括 AK、原始报文和签名。
服务端流程:
  1. 查找用户信息:根据客户端发送的 Access Key,在数据库中查找对应的 AK 和用户信息。
  2. 验证签名
    • 使用上面步骤2相同的hash算法对原始报文进行计算,得到摘要1。
    • 使用 AK 对客户端发送的签名进行解密(非对称加密知识,公钥加密私钥解密,私钥加密公钥解密/验签),得到摘要2。
    • 比较摘要1 和摘要2,如果相同则认证通过。

http://image.huawei.com/tiny-lts/v1/images/6dc91e18b41f63de87c4fa01a4b897b9_500x276.png@900-0-90-f.png

优点

  • AK/SK是随机生成的,相比账号密码,不存在人为设置弱密码的风险,基本排除被暴力破解的可能性。
  • 在通信的过程中,SK是不会暴露在传输通道的,账号密码的方式是会暴露在传输通道中的(即使做了加密)。所以使用AK/SK在某些场景也是可以使用HTTP协议进行传输的(请求体不包含SK,即使不使用加密传输问题也不大)
  • 相较于账号密码,AK/SK本身可以用来做权限的划分(待补充)
  • 为不同的 AK 分配不同的权限:例如,一个 AK 只能读取数据,另一个 AK 可以读写数据。
  • 基于角色的权限控制:将 AK 与角色绑定,角色定义了一组权限,从而实现对用户操作的精细控制。
  • 临时 AK/SK:可以为临时用户生成具有有限权限和有效期的 AK/SK,适用于临时访问场景。

  • 示例场景

  1. 云存储服务

    • 用户通过 AK/SK 认证后,可以上传、下载或删除文件。
    • 不同的 AK 可以限制用户只能访问特定的存储桶或目录。

  2. API 网关

    • 客户端通过 AK/SK 认证后,可以调用特定的 API。
    • 不同的 AK 可以限制客户端只能调用某些 API 或限制调用频率。

  3. 微服务架构

    • 服务之间通过 AK/SK 进行认证和授权,确保只有合法的服务可以相互调用。

通过 AK/SK 机制,可以实现高效、安全的身份认证和权限管理,适用于各种分布式系统和云服务场景。

dsq_MaDing
关注
AK/SK与公钥私钥的对比——网络常识(学废了吗?)
qq_60018273的博客
03-12 822
AK/SK与公钥私钥的对比——网络常识(学废了吗?)
云主机秘钥泄露及利用
技术超强的网络安全平台
08-02 2855
云平台作为降低企业资源成本的工具,在当今各大公司系统部署场景内已经成为不可或缺的重要组成部分,并且由于各类应用程序需要与其他内外部服务或程序进行通讯而大量使用凭证或密钥,因此在漏洞挖掘过程中经常会遇到一类漏洞:云主机秘钥泄露。此漏洞使攻击者接管云服务器的权限,对内部敏感信息查看或者删除等操作。此篇文章围绕如何发现秘钥泄露、拿到秘钥后如何利用展开。云主机通过使用AccessKey Id / Secret Access Key加密的方法来验证某个请求的发送者身份。Access Key。
AK/SK 利用与云平台接管工具
最新发布
vortex5的博客
11-13 1008
AK/SK 是云上最危险的“万能钥匙”。一次泄露,可能导致全网资产失守。安全左移,从代码提交到 CI/CD 流水线,杜绝明文存储。快速验证资产枚举:ListCloud控制台接管多云管理:行云管家参考资料阿里云 RAM 安全最佳实践腾讯云 CAM 密钥管理Teamssix 云安全 Wiki。
渗透测试实战—云渗透(AK/SK泄露)
网安日记本的博客
08-02 3794
渗透测试实战思路分享:getshell方法及横向移动方法,云安全AK/SK泄露)
API 签名认证:AK(Access Key 访问密钥)和 SK(Secret Key 私密密钥)
祝你身体健康,美满幸福
08-10 7190
在当今的互联网时代,API作为服务与服务、应用程序与应用程序之间通信的重要手段,其安全性不容忽视。你是否遇到过需要在HTTP请求中加入访问密钥(ak)和私密密钥(sk)的情况?是不是担心这些敏感信息会被拦截或者泄露?本文将为你解答这些疑惑,并介绍一种有效的API签名认证方法。
什么是 AK/SK
CeciliaWang_的博客
02-19 3064
调用通过API网关开放的云服务API时,使用AK/SK签名认证方式。
精选资源
阿里云ak/sk漏洞利用工具
06-27
阿里云Access Key(AK)和Secret Key(SK)是阿里云用户身份验证的重要凭证,用于在API调用或SDK使用中验证用户权限。这些密钥相当于云服务的用户名和密码,因此保护它们的安全至关重要。然而,如果AK/SK被泄露或被...
AK/SK 与 API Key 鉴权方式对比分析
技术引领业务创新
06-20 1048
本文对比分析了AK/SK和API Key两种鉴权方式的差异。AK/SK采用双密钥对和数字签名,安全性更高但实现复杂,适用于云服务、金融等敏感场景;API Key使用单一密钥,简单易用但风险较大,适合开发者平台和内部服务。从安全性看,AK/SK可防篡改和重放攻击,API Key则易泄露;从性能看,API Key计算和网络开销更低。文章建议根据场景选择:高敏感用AK/SK,低风险用API Key,并给出了混合架构方案和安全升级路径,如外部API用AK/SK+HTTPS,内部服务用API Key+IP白名单。
ak sk认证java demo,【华为云微服务引擎】从代码机制看AK/SK认证问题
weixin_29972227的博客
03-29 1849
前言用户开发的微服务要想注册到华为云CSE的服务中心,就需要用到AK/SK认证。由于CSEJavaSDK提供了较多的配置方式,有时候容易出现错配和漏配的情况,本文从CSEJavaSDK读取AK/SK的关键代码入手进行分析,希望能够给大家提供一点AK/SK认证失败时的定位思路。(本文基于CSEJavaSDK-2.3.30进行说明)代码逻辑分析首先需要说明的是,AK/SK也是一个配置项,因此它可以配置...
AK/SK认证体系:云计算时代的身份安全基石
yinhezhanshen的专栏
03-07 1397
AK(Access Key ID)和SK(Secret Access Key)是云计算领域广泛使用的非对称密钥对,主要用于API请求的身份验证与权限控制。‌AK‌是全局唯一的用户标识符,用于公开传递身份信息,类似于用户名‌;‌SK‌是与AK绑定的加密密钥,需严格保密,用于生成请求的数字签名‌。这对密钥通过‌动态签名验证机制‌身份真实性‌:服务端通过比对签名确认请求来源的合法性‌;‌数据完整性‌:签名过程覆盖请求参数,防止传输过程中的篡改‌。
aksk的意思及用法
热门推荐
Lucky小黄人的博客
10-05 1万+
经常看到业务在鉴权的接口中使用aksk缩写,但是不太明白aksk的全称,上网搜索后特此记录一下 AK:Access Key Id,用于标示用户;SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密. 用法: 用户将ak 和 加密后的sk(加密后的sk一般被称为signature签名)放到接口的请求参数中,然后调用接口,服务端收到请求后...
AK/SK认证简介
2301_78006725的博客
09-23 9819
具体来说,AKSK用于对API请求进行签名以确保请求的完整性和身份验证。在访问受保护的服务或资源时,需要提供有效的AKSK才能获得授权。AKSK的作用是保证只有授权用户才能访问特定的服务或资源,同时也提供了对用户操作的跟踪和审计能力。云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密。
云服务使用AK-SK简单介绍
Karka_的博客
03-17 3874
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
2.AK/SK鉴权
qq_22321199的专栏
04-07 2163
云服务中,AK(Access Key ID)和SK(Secret Access Key)是访问云服务API的关键凭证对,主要用于身份验证和授权。AK是用户访问云服务的身份标识,而SK则是用于加密和签名请求的重要密钥,用于证实请求确实来自于拥有该AK的合法用户。:类似于用户名,是一个全局唯一的字符串,对外公开,但本身不具备安全性,仅用于标识用户的访问密钥对。:类似于密码,是一个高度敏感的字符串,绝对不能公开,用于生成数字签名以验证请求的真实性。
AK/SK 简介
我在深圳的这些日子的博客
09-15 1万+
1、AK/SK 简介 AK:Access Key Id,用于标示用户; SK:Secret Access Key,是用户用于加密认证字符串和用来验证认证字符串的密钥,其中SK必须保密. 通过使用Access Key Id / Secret Access Key加密的方法来验证某个请求的发送者身份。 2、 AK/SK使用机制 云主机接收到用户的请求后,系统将使用AK对应的相同的SK和同样的认证机制生成认证字符串,并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行
AK/SK加密认证
m0_51935980的博客
03-15 2991
Access Key(AK):AK是一个全局唯一的字符串标识符,用于标识用户。它类似于用户名,但仅用于身份识别,并不包含任何秘密信息。 Secret Access Key (SK):SK则是一个高度保密的密钥,类似于密码,用于对发送至服务的请求进行签名。每个AK都有一个对应的SK,它们成对出现,共同完成安全认证过程。
AK/SK密钥管理机制
06-17
AK/SK(Access Key/Secret Key)是一种常见的身份认证机制,广泛用于云服务、API接口调用等场景。以下是关于AK/SK密钥管理机制的详细解答。 ### 什么是AK/SK? - **Access Key (AK)**: 公钥,用于标识用户身份。 - **Secret Key (SK)**: 私钥,用于签名生成,确保请求的完整性和真实性。 ### AK/SK的工作流程 1. 用户使用AKSK对请求进行签名。 2. 服务端接收到请求后,根据AK找到对应的SK,验证签名是否正确。 3. 如果签名正确,则处理请求;否则拒绝请求。 ### 示例代码:使用Python实现AK/SK签名机制 以下是一个简单AK/SK签名生成和验证的示例代码: ```python import hashlib import hmac import time # 签名生成函数 def generate_signature(secret_key, message): return hmac.new(secret_key.encode('utf-8'), message.encode('utf-8'), hashlib.sha256).hexdigest() # 验证签名函数 def verify_signature(access_key, secret_key, message, signature): expected_signature = generate_signature(secret_key, message) return hmac.compare_digest(signature, expected_signature) # 示例主程序 if __name__ == "__main__": # 假设的AKSK access_key = "example_access_key" secret_key = "example_secret_key" # 构造消息 timestamp = str(int(time.time())) method = "GET" endpoint = "/api/resource" message = f"{method}\n{endpoint}\n{timestamp}" # 生成签名 signature = generate_signature(secret_key, message) print(f"Generated Signature: {signature}") # 验证签名 is_valid = verify_signature(access_key, secret_key, message, signature) if is_valid: print("Signature is valid.") else: print("Signature is invalid.") ``` ### 上述代码解释 1. `generate_signature` 函数使用HMAC-SHA256算法生成签名。 2. `verify_signature` 函数通过对比生成的签名与传入的签名来验证请求的真实性。 3. 在主程序中,构造了一个包含时间戳、HTTP方法和API路径的消息,并生成了签名。 ### AK/SK安全性注意事项 1. **保护SK**: SK必须严格保密,避免泄露。 2. **定期轮换**: 定期更换AK/SK以减少因泄露导致的风险。 3. **IP白名单**: 限制只有特定IP可以使用AK/SK。 4. **过期机制**: 设置AK/SK的有效期,防止长期未使用的密钥被滥用。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值