RSA密碼傳輸加密方案對應(yīng)的【魯能集團泰山度假俱樂部產(chǎn)品展示系統(tǒng)安全功能初測觀察報告】中的（5，6）互聯(lián)網(wǎng)的發(fā)展史上，安全性一直是開發(fā)者們相當(dāng)重視的一個主題，為了實現(xiàn)數(shù)據(jù)傳輸安全，我們需要保證數(shù)據(jù)來源（非偽造請求）、數(shù)據(jù)完整性（沒有被人修改過）、數(shù)據(jù)私密性（密文，無法直接讀取）等。雖然現(xiàn)在已經(jīng)有SSL/TLS協(xié)議實現(xiàn)的HTTPS協(xié)議，但是因在客戶端上依賴瀏覽器的正確實現(xiàn)，而且效率又很低，所以一般的敏感數(shù)據(jù)（如交易支付信息等）還是需要我們使用加密方法來手動加密。雖然對于一般的WEB開發(fā)人員來說，大可不必深入了解一些安全相關(guān)的底層技術(shù)，但學(xué)習(xí)加密基礎(chǔ)知識，使用現(xiàn)有加密相關(guān)工具卻十分必要。由于工作需要，自己看了些加密相關(guān)文章，結(jié)合自己的使用經(jīng)歷，完成此文。RSA加密算法是一種非對稱加密算法。在公鑰加密標準和電子商業(yè)中RSA被廣泛使用。RSA是1977年由羅納德李維斯特（RONRIVEST）、阿迪薩莫爾（ADISHAMIR）和倫納德阿德曼（LEONARDADLEMAN）一起提出的。當(dāng)時他們?nèi)硕荚诼槭±砉W(xué)院工作。RSA就是他們?nèi)诵帐祥_頭字母拼在一起組成的。加密基礎(chǔ)學(xué)習(xí)如何使用加密之前，我們需要了解一些加密相關(guān)的基礎(chǔ)知識。加密算法一般分為兩種對稱加密算法和非對稱加密算法。對稱加密對稱加密算法是消息發(fā)送者和接收者使用同一個密匙，發(fā)送者使用密匙加密了文件，接收者使用同樣的密匙解密，獲取信息。常見的對稱加密算法有DES/AES/3DES對稱加密算法的特點有速度快，加密前后文件大小變化不大，但是密匙的保管是個大問題，因為消息發(fā)送方和接收方任意一方的密匙丟失，都會導(dǎo)致信息傳輸變得不安全。非對稱加密與對稱加密相對的是非對稱加密，非對稱加密的核心思想是使用一對相對的密匙，分為公匙和私匙，私匙自己安全保存，而將公匙公開。公鑰與私鑰是一對，如果用公鑰對數(shù)據(jù)進行加密，只有用對應(yīng)的私鑰才能解密；如果用私鑰對數(shù)據(jù)進行加密，那么只有用對應(yīng)的公鑰才能解密。發(fā)送數(shù)據(jù)前只需要使用接收方的公匙加密就行了。常見的非對稱加密算法有RSA/DSA非對稱加密雖然沒有密匙保存問題，但其計算量大，加密速度很慢,有時候我們還需要對大塊數(shù)據(jù)進行分塊加密。數(shù)字簽名為了保證數(shù)據(jù)的完整性，還需要通過散列函數(shù)計算得到一個散列值，這個散列值被稱為數(shù)字簽名。其特點有無論原始數(shù)據(jù)是多大，結(jié)果的長度相同的；輸入一樣，輸出也相同；對輸入的微小改變，會使結(jié)果產(chǎn)生很大的變化；加密過程不可逆，無法通過散列值得到原來的數(shù)據(jù)；常見的數(shù)字簽名算法有MD5,HASH1等算法。PHP的OPENSSL擴展OPENSSL擴展使用OPENSSL加密擴展包，封裝了多個用于加密解密相關(guān)的PHP函數(shù)，極大地方便了對數(shù)據(jù)的加密解密。常用的函數(shù)有對稱加密相關(guān)STRINGOPENSSL_ENCRYPTSTRINGDATA,STRINGMETHOD,STRINGPASSWORD其中DATA為其要加密的數(shù)據(jù)，METHOD是加密要使用的方法，PASSWORD是要使用的密匙，函數(shù)返回加密后的數(shù)據(jù)；其中METHOD列表可以使用OPENSSL_GET_CIPHER_METHODS來獲取，我們選取其中一個使用，METHOD列表形如ARRAY0AES128CBC,/AES加密1DESECB,/DES加密2DESEDE3,/3DES加密其解密函數(shù)為STRINGOPENSSL_ENCRYPTSTRINGDATA,STRINGMETHOD,STRINGPASSWORD非對稱加密相關(guān)OPENSSL_GET_PUBLICKEYOPENSSL_PKEY_GET_PUBLIC/從證書導(dǎo)出公匙；OPENSSL_GET_PRIVATEKEYOPENSSL_PKEY_GET_PRIVATE/從證書導(dǎo)出私匙；它們都只需要傳入證書文件（一般是PEM文件）；OPENSSL_PUBLIC_ENCRYPTSTRINGDATA,STRINGSIGNATURE_ALG為簽名要使用的算法，其算法列表可以使用OPENSSL_GET_MD_METHODS得到，形如ARRAY0MD5,1SHA1,2SHA256,驗簽函數(shù)與簽名函數(shù)相對，只不過它要傳入與私匙對應(yīng)的公匙；其結(jié)果為簽名驗證結(jié)果，1為成功，0為失敗，1則表示錯誤；加密流程傳輸流程傳輸過程中RSA加密用戶名和口令，MD5密鑰加密用戶名和口令和驗證碼，對比的時候是把傳輸?shù)腞SA解密加上驗證碼，再進行MD5驗證JS加密代碼VARPUBLIC_KEY“VARPUBLIC_LENGTH“0X10001“FUNCTIONDO_ENCRYPTVARRSANEWRSAKEYRSASETPUBLICPUBLIC_KEY,PUBLIC_LENGTHVARRESRSAENCRYPTUSERNAMEUSERNAMEVALVARRES_CAPIFCAPTCHAVALRES_CAPRSAENCRYPTCAPTCHAVALIFRESVARRESULTHEX2B64RESDATAVALRESULTCAPTCHA_HIDDENVALHEX2B64RES_CAPLOGINFORMSUBMITRETURNTRUE服務(wù)端生成一組公鑰與私鑰，將公鑰發(fā)送給客戶端進行密碼加密，在使用密鑰進行解密，相關(guān)代碼RSAPHPCLASSRSA/OPENSSL生成秘鑰時的E的值PUBLICRSAE/OPENSSL生成的MODULUS,十六進制數(shù)據(jù)PUBLICRSA_MODULESPUBLICFUNCTION_CONSTRUCTTHISRSAE0X10001THISRSA_MODULESBB3DC79A95B19C104EE49F592EBA635A3FA6CC6380F8CFF8D2A65E04724AE9C4ACB8E6CDA15B75BC5B94B21CBD6F433B7396E1B52D32F5B610453C49AFD7F39355086250695698B0281032DEADDCA3938AF8590DE6458FAD597DB1C3D9F53D5171968FCF2EE042D99B57414BF376793979A4951DEDBD80E84679EC5CDDAC3C65/PARAMDATA要加密的字符串PARAMPRIVATE_KEY公鑰RETURNMIXED加密的結(jié)果/PUBLICFUNCTIONPUBLICDECRYPTDATA,PUBLIC_KEYPUBLIC_KEYFILE_GET_CONTENTSPUBLIC_KEYPUB_KEYOPENSSL_PKEY_GET_PUBLICPUBLIC_KEYOPENSSL_PUBLIC_ENCRYPTDATA,ENCRYPTED,PUB_KEYENCRYPTEDBASE64_ENCODEENCRYPTED/因為加密后是亂碼,所以BASE64一下RETURNENCRYPTED/PARAMDATA要解密的字符串PARAMPRIVATE_KEY私鑰RETURNMIXED解密的結(jié)果/PUBLICFUNCTIONPRIVATEDECRYPTDATA,PRIVATE_KEYENCRYPTEDBASE64_DECODEDATAPRIVATE_KEYFILE_GET_CONTENTSPRIVATE_KEYPI_KEYOPENSSL_PKEY_GET_PRIVATEPRIVATE_KEYOPENSSL_PRIVATE_DECRYPTENCRYPTED,DECRYPTED,PI_KEYRETURNDECRYPTED控制器實現(xiàn)THISLOADLIBRARYRSARSANEWRSACAPTCHAREQUEST_POSTCAPTCHADECRYPT_CAPRSAPRIVATEDECRYPTCAPTCHA,THIS_CONFIGRSA_PRIVATE_KEYIFSTRTOLOWERTHISSESSIONUSERDATACAPTCHASTRTOLOWERDECRYPT_CAPTHISMESSAGE驗證碼不正確,SITE_URLTHISSITECLASS/THISSITEMETHOD,2DECRYPT_DATARSAPRIVATEDECRYPTTHISINPUTPOSTDATA,TRUE,THIS_CONFIGRSA_PRIVATE_KEYIFDECRYPT_DATATHISSYSTEMLOG信息驗證錯誤，請重新登錄,0,4SENDMAIL_WINDOWSTHISDATAWEBSETADMIN_EMAIL,有管理員有登錄異常操作,管理員登錄時簽名信息被篡改，請檢查，登錄時間DATEYMDHISTHISJUMP信息錯誤，請重新登錄,SITE_URLADMINCP/LOGIN,2PARSE_STRDECRYPT_DATA,FORM_DATAUSERNAMETRIMFORM_DATAUSERNAMEPASSWORDTRI