当前位置：首页 > news >正文

AK/SK vs 公钥私钥：从原理到实战的深度解析（你真的懂了吗？）

news 2026/5/11 20:57:41

1. AK/SK：云服务API访问控制的守门人

第一次接触AK/SK是在调试阿里云OSS上传功能时。当时看着文档里"AccessKey Secret必须严格保密"的红色警告，我还纳闷：这不就是个密码吗？直到某天凌晨3点因为SK泄露导致服务器被恶意调用，才真正理解这对密钥的价值。

AK/SK本质上是一种数字身份证+签名工具的组合。AK（Access Key ID）相当于你的工牌号码，可以大大方方别在胸前；而SK（Secret Access Key）则是工牌里的指纹芯片，一旦被人复制就能冒充你的身份。实际工作中，我见过太多开发者把SK直接硬编码在客户端代码里，这就像把家门钥匙插在门锁上。

典型的工作流程是这样的：当你的程序要调用云服务API时，先用SK对请求内容（包括参数、时间戳等）进行加密签名，然后把AK和这个签名一起发给云平台。服务器端会根据AK找到对应的SK，用同样的算法重新计算签名。如果两个签名对得上，就证明"你是你"。这里有个细节很多人会忽略——时间戳参与签名能有效防止重放攻击，我建议签名时间窗口不要超过15分钟。

2. 公钥私钥：数学魔法构建的安全通道

2017年帮银行做支付系统改造时，第一次真正理解非对称加密的精妙。还记得当时技术总监拿着白板笔说："想象公钥是个特制的玻璃箱，任何人都能往里扔东西，但只有持私钥的人才能打开。"

非对称加密的核心在于两个数学特性：一是公钥加密的内容只有私钥能解密，二是私钥签名的数据能用公钥验证。这解决了安全通信的两个基本问题：HTTPS连接建立时，浏览器用网站的公钥加密临时生成的对称密钥；代码发布时，开发者用私钥签名，用户通过公钥验证包是否被篡改。

实际开发中我常用OpenSSL生成密钥对：

openssl genrsa -out private.pem 2048 openssl rsa -in private.pem -pubout -out public.pem

注意密钥长度至少要2048位，现在1024位已经不够安全。有个容易踩的坑是密钥文件权限设置，私钥应该设置成600权限，有次我们的Nginx突然报错就是因为私钥文件被其他用户读取了。

3. 原理对比：设计哲学的差异

去年给团队做内部分享时，我画了张对比图让大家瞬间理解本质区别。AK/SK像是公司门禁卡系统，重点在于验证你是合法员工；而公钥私钥更像保险箱机制，既要验证身份又要保护内容安全。

从数学基础上看，AK/SK通常采用HMAC-SHA系列算法，本质是对称加密的变种；而RSA/ECC等非对称算法基于大数分解或椭圆曲线难题。这导致几个关键差异：

特性	AK/SK	公钥私钥
密钥关系	派生关系	数学关联
计算速度	快（微秒级）	慢（毫秒级）
典型长度	40-64字符	RSA 2048位起
密钥轮换	可随时更换	更换成本高