一、引言：企业工商信息爬取的挑战与机遇

在大数据时代，企业工商信息已成为商业分析、风险控制和金融决策的重要数据源。国家企业信用信息公示系统作为官方权威平台，提供了企业注册、变更、行政处罚等关键信息。然而，该系统通过多重加密机制保护数据安全，给爬虫开发者带来技术挑战。本文将系统解析公示系统公告加密机制，提供可落地的Python爬虫解决方案。

1.1 公示系统技术架构解析

公示系统采用分布式架构，核心组件包括：

• 前端展示层：动态渲染的JavaScript页面
• 接口服务层：RESTful API接口（含加密参数）
• 数据存储层：Oracle/MySQL混合数据库
• 安全防护层：WAF防火墙、行为分析系统

系统通过动态token、参数签名、IP限频等机制防御爬虫。开发者需突破三重防护：前端JS混淆、接口参数加密、反爬策略识别。

1.2 爬虫技术演进路径

初级爬虫：requests+BeautifulSoup处理静态页面
中级爬虫：Selenium模拟浏览器交互
高级爬虫：逆向工程解析加密协议
本文聚焦高级爬虫实现，重点突破参数解密与动态请求模拟。

二、加密机制深度解析

2.1 请求参数加密特征

通过抓包分析发现，公示系统核心接口采用以下加密模式：

请求URL示例：
https://www.gsxt.gov.cn/affiche/queryAfficheList.jspx
参数示例：
_searchParams=eyJhZmZpY2hlVHlwZSI6IjEiLCJzdGFydERhdGUiOiIyMDIzLTAxLTAxIn0%3D
timestamp=1689876543210
sign=a1b2c3d4e5f6...

参数解密显示：

• _searchParams：Base64编码的JSON字符串，包含查询条件
• sign：MD5(timestamp+secretKey+params)的哈希值
• timestamp：13位毫秒级时间戳

2.2 动态令牌生成机制

系统通过以下步骤生成访问令牌：

1. 客户端首次访问获取seed值
2. 结合设备指纹生成动态key
3. 通过RSA非对称加密传输初始token
4. 后续请求使用AES-CBC模式加密数据

解密示例代码：

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
import base64
def decrypt_response(encrypted_data, key, iv):
    cipher = AES.new(key.encode(), AES.MODE_CBC, iv.encode())
    decrypted = unpad(cipher.decrypt(base64.b64decode(encrypted_data)), AES.block_size)
    return decrypted.decode('utf-8')

三、Python爬虫实现方案

3.1 环境准备与依赖安装

推荐技术栈：

Python 3.8+
Requests 2.28+
Selenium 4.3+
PyCryptodome 3.15+
Mitmproxy 8.1+

安装命令：

pip install requests selenium pycryptodome mitmproxy

3.2 核心破解流程

3.2.1 参数逆向工程

1. 使用Mitmproxy拦截请求：
   ```python
   from mitmproxy import http

def request(flow: http.HTTPFlow):
if “gsxt.gov.cn” in flow.request.url:
print(“捕获请求参数:”, flow.request.url)
with open(“request.log”, “a”) as f:
f.write(f”{flow.request.url}\n”)

2. 分析参数生成规律：
- 通过Fiddler对比正常请求与异常请求
- 定位关键JS文件（通常含`encrypt.js`、`sign.js`）
- 使用Chrome DevTools调试JS执行流程
### 3.2.2 动态签名模拟
实现签名生成算法：
```python
import hashlib
import time
import json
import base64
def generate_sign(params, secret_key):
    # 参数排序
    sorted_params = sorted(params.items(), key=lambda x: x[0])
    # 构造待签名字符串
    sign_str = f"{secret_key}" + "".join([f"{k}{v}" for k, v in sorted_params])
    # MD5哈希
    return hashlib.md5(sign_str.encode()).hexdigest()
# 示例使用
params = {"afficheType": "1", "startDate": "2023-01-01"}
secret = "your_secret_key"  # 需通过逆向获取
print(generate_sign(params, secret))

3.2.3 完整爬取示例

import requests
import json
from datetime import datetime
class GSXTScraper:
    def __init__(self):
        self.base_url = "https://www.gsxt.gov.cn"
        self.session = requests.Session()
        self.headers = {
            "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64)",
            "Referer": "https://www.gsxt.gov.cn/index.html"
        }
    def get_encrypt_params(self, query_params):
        # 实现参数加密逻辑（需根据实际逆向结果调整）
        encrypted = {
            "_searchParams": base64.b64encode(
                json.dumps(query_params).encode()
            ).decode(),
            "timestamp": str(int(time.time() * 1000)),
            "sign": self._generate_sign(query_params)
        }
        return encrypted
    def _generate_sign(self, params):
        # 实际项目中需替换为正确的签名算法
        secret = "real_secret_from_js"
        sorted_params = sorted(params.items())
        sign_str = secret + "".join([f"{k}{v}" for k, v in sorted_params])
        return hashlib.md5(sign_str.encode()).hexdigest()
    def fetch_affiche(self, query_params):
        encrypted_params = self.get_encrypt_params(query_params)
        url = f"{self.base_url}/affiche/queryAfficheList.jspx"
        response = self.session.get(url, params=encrypted_params, headers=self.headers)
        # 需处理响应解密（示例省略）
        return response.json()
# 使用示例
scraper = GSXTScraper()
results = scraper.fetch_affiche({
    "afficheType": "1",
    "startDate": "2023-01-01",
    "endDate": "2023-12-31"
})
print(results)

四、进阶优化策略

4.1 反爬策略应对

1. IP轮换：使用代理池（推荐亮度云、芝麻代理）
2. 请求头伪装：动态生成User-Agent、Referer
3. 行为模拟：随机延迟、鼠标轨迹模拟
4. 验证码识别：集成第三方OCR服务

4.2 性能优化方案

1. 异步请求：使用aiohttp实现并发
2. 数据缓存：Redis存储已爬取数据
3. 分布式架构：Celery任务队列
4. 增量爬取：基于时间戳的增量更新

4.3 法律合规要点

1. 遵守《网络安全法》第46条
2. 限制爬取频率（建议QPS<1）
3. 不得存储敏感个人信息
4. 仅用于合法商业用途

五、常见问题解决方案

5.1 签名失效问题

• 现象：返回{"code":403,"msg":"签名无效"}
• 原因：secret_key变更或时间戳超时
• 解决：定期更新密钥，同步服务器时间

5.2 参数加密更新

• 现象：突然无法获取数据
• 排查：对比新旧请求差异
• 应对：重新逆向JS加密逻辑

5.3 动态加载处理

• 现象：返回空数据或HTML片段
• 方案：结合Selenium渲染JS
  ```python
  from selenium import webdriver
  from selenium.webdriver.chrome.options import Options

options = Options()
options.add_argument(“—headless”)
driver = webdriver.Chrome(options=options)
driver.get(“https://www.gsxt.gov.cn“)

执行JS获取加密参数

element = driver.find_element_by_id(“encryptParam”)
print(element.get_attribute(“value”))
```

六、总结与展望

本文系统解析了企业信用公示系统的加密机制，提供了从参数逆向到完整爬取的解决方案。实际项目中需注意：

1. 持续跟踪系统更新（建议每月验证一次）
2. 建立完善的错误处理机制
3. 结合官方API（如有开放）进行数据补充

未来技术趋势：

• 加密算法持续升级（可能引入国密SM系列）
• 行为分析更加智能（基于设备指纹的精准识别）
• 官方数据开放程度提升（部分地区已提供结构化API）

开发者应保持技术敏感度，在合规框架内探索数据获取的创新方案。建议组建技术小组共同攻克加密难点，建立可持续的数据采集体系。