RSA密碼傳輸加密方案對(duì)應(yīng)的【魯能集團(tuán)泰山度假俱樂(lè)部產(chǎn)品展示系統(tǒng)安全功能初測(cè)觀察報(bào)告】中的（5，6）互聯(lián)網(wǎng)的發(fā)展史上，安全性一直是開(kāi)發(fā)者們相當(dāng)重視的一個(gè)主題，為了實(shí)現(xiàn)數(shù)據(jù)傳輸安全，我們需要保證數(shù)據(jù)來(lái)源（非偽造請(qǐng)求）、數(shù)據(jù)完整性（沒(méi)有被人修改過(guò)）、數(shù)據(jù)私密性（密文，無(wú)法直接讀?。┑?。雖然現(xiàn)在已經(jīng)有SSL/TLS協(xié)議實(shí)現(xiàn)的HTTPS協(xié)議，但是因在客戶端上依賴瀏覽器的正確實(shí)現(xiàn)，而且效率又很低，所以一般的敏感數(shù)據(jù)（如交易支付信息等）還是需要我們使用加密方法來(lái)手動(dòng)加密。雖然對(duì)于一般的WEB開(kāi)發(fā)人員來(lái)說(shuō)，大可不必深入了解一些安全相關(guān)的底層技術(shù)，但學(xué)習(xí)加密基礎(chǔ)知識(shí)，使用現(xiàn)有加密相關(guān)工具卻十分必要。由于工作需要，自己看了些加密相關(guān)文章，結(jié)合自己的使用經(jīng)歷，完成此文。RSA加密算法是一種非對(duì)稱加密算法。在公鑰加密標(biāo)準(zhǔn)和電子商業(yè)中RSA被廣泛使用。RSA是1977年由羅納德李維斯特（RONRIVEST）、阿迪薩莫爾（ADISHAMIR）和倫納德阿德曼（LEONARDADLEMAN）一起提出的。當(dāng)時(shí)他們?nèi)硕荚诼槭±砉W(xué)院工作。RSA就是他們?nèi)诵帐祥_(kāi)頭字母拼在一起組成的。加密基礎(chǔ)學(xué)習(xí)如何使用加密之前，我們需要了解一些加密相關(guān)的基礎(chǔ)知識(shí)。加密算法一般分為兩種對(duì)稱加密算法和非對(duì)稱加密算法。對(duì)稱加密對(duì)稱加密算法是消息發(fā)送者和接收者使用同一個(gè)密匙，發(fā)送者使用密匙加密了文件，接收者使用同樣的密匙解密，獲取信息。常見(jiàn)的對(duì)稱加密算法有DES/AES/3DES對(duì)稱加密算法的特點(diǎn)有速度快，加密前后文件大小變化不大，但是密匙的保管是個(gè)大問(wèn)題，因?yàn)橄l(fā)送方和接收方任意一方的密匙丟失，都會(huì)導(dǎo)致信息傳輸變得不安全。非對(duì)稱加密與對(duì)稱加密相對(duì)的是非對(duì)稱加密，非對(duì)稱加密的核心思想是使用一對(duì)相對(duì)的密匙，分為公匙和私匙，私匙自己安全保存，而將公匙公開(kāi)。公鑰與私鑰是一對(duì)，如果用公鑰對(duì)數(shù)據(jù)進(jìn)行加密，只有用對(duì)應(yīng)的私鑰才能解密；如果用私鑰對(duì)數(shù)據(jù)進(jìn)行加密，那么只有用對(duì)應(yīng)的公鑰才能解密。發(fā)送數(shù)據(jù)前只需要使用接收方的公匙加密就行了。常見(jiàn)的非對(duì)稱加密算法有RSA/DSA非對(duì)稱加密雖然沒(méi)有密匙保存問(wèn)題，但其計(jì)算量大，加密速度很慢,有時(shí)候我們還需要對(duì)大塊數(shù)據(jù)進(jìn)行分塊加密。數(shù)字簽名為了保證數(shù)據(jù)的完整性，還需要通過(guò)散列函數(shù)計(jì)算得到一個(gè)散列值，這個(gè)散列值被稱為數(shù)字簽名。其特點(diǎn)有無(wú)論原始數(shù)據(jù)是多大，結(jié)果的長(zhǎng)度相同的；輸入一樣，輸出也相同；對(duì)輸入的微小改變，會(huì)使結(jié)果產(chǎn)生很大的變化；加密過(guò)程不可逆，無(wú)法通過(guò)散列值得到原來(lái)的數(shù)據(jù)；常見(jiàn)的數(shù)字簽名算法有MD5,HASH1等算法。PHP的OPENSSL擴(kuò)展OPENSSL擴(kuò)展使用OPENSSL加密擴(kuò)展包，封裝了多個(gè)用于加密解密相關(guān)的PHP函數(shù)，極大地方便了對(duì)數(shù)據(jù)的加密解密。常用的函數(shù)有對(duì)稱加密相關(guān)STRINGOPENSSL_ENCRYPTSTRINGDATA,STRINGMETHOD,STRINGPASSWORD其中DATA為其要加密的數(shù)據(jù)，METHOD是加密要使用的方法，PASSWORD是要使用的密匙，函數(shù)返回加密后的數(shù)據(jù)；其中METHOD列表可以使用OPENSSL_GET_CIPHER_METHODS來(lái)獲取，我們選取其中一個(gè)使用，METHOD列表形如ARRAY0AES128CBC,/AES加密1DESECB,/DES加密2DESEDE3,/3DES加密其解密函數(shù)為STRINGOPENSSL_ENCRYPTSTRINGDATA,STRINGMETHOD,STRINGPASSWORD非對(duì)稱加密相關(guān)OPENSSL_GET_PUBLICKEYOPENSSL_PKEY_GET_PUBLIC/從證書(shū)導(dǎo)出公匙；OPENSSL_GET_PRIVATEKEYOPENSSL_PKEY_GET_PRIVATE/從證書(shū)導(dǎo)出私匙；它們都只需要傳入證書(shū)文件（一般是PEM文件）；OPENSSL_PUBLIC_ENCRYPTSTRINGDATA,STRINGSIGNATURE_ALG為簽名要使用的算法，其算法列表可以使用OPENSSL_GET_MD_METHODS得到，形如ARRAY0MD5,1SHA1,2SHA256,驗(yàn)簽函數(shù)與簽名函數(shù)相對(duì)，只不過(guò)它要傳入與私匙對(duì)應(yīng)的公匙；其結(jié)果為簽名驗(yàn)證結(jié)果，1為成功，0為失敗，1則表示錯(cuò)誤；加密流程傳輸流程傳輸過(guò)程中RSA加密用戶名和口令，MD5密鑰加密用戶名和口令和驗(yàn)證碼，對(duì)比的時(shí)候是把傳輸?shù)腞SA解密加上驗(yàn)證碼，再進(jìn)行MD5驗(yàn)證JS加密代碼VARPUBLIC_KEY“VARPUBLIC_LENGTH“0X10001“FUNCTIONDO_ENCRYPTVARRSANEWRSAKEYRSASETPUBLICPUBLIC_KEY,PUBLIC_LENGTHVARRESRSAENCRYPTUSERNAMEUSERNAMEVALVARRES_CAPIFCAPTCHAVALRES_CAPRSAENCRYPTCAPTCHAVALIFRESVARRESULTHEX2B64RESDATAVALRESULTCAPTCHA_HIDDENVALHEX2B64RES_CAPLOGINFORMSUBMITRETURNTRUE服務(wù)端生成一組公鑰與私鑰，將公鑰發(fā)送給客戶端進(jìn)行密碼加密，在使用密鑰進(jìn)行解密，相關(guān)代碼RSAPHPCLASSRSA/OPENSSL生成秘鑰時(shí)的E的值PUBLICRSAE/OPENSSL生成的MODULUS,十六進(jìn)制數(shù)據(jù)PUBLICRSA_MODULESPUBLICFUNCTION_CONSTRUCTTHISRSAE0X10001THISRSA_MODULESBB3DC79A95B19C104EE49F592EBA635A3FA6CC6380F8CFF8D2A65E04724AE9C4ACB8E6CDA15B75BC5B94B21CBD6F433B7396E1B52D32F5B610453C49AFD7F39355086250695698B0281032DEADDCA3938AF8590DE6458FAD597DB1C3D9F53D5171968FCF2EE042D99B57414BF376793979A4951DEDBD80E84679EC5CDDAC3C65/PARAMDATA要加密的字符串PARAMPRIVATE_KEY公鑰RETURNMIXED加密的結(jié)果/PUBLICFUNCTIONPUBLICDECRYPTDATA,PUBLIC_KEYPUBLIC_KEYFILE_GET_CONTENTSPUBLIC_KEYPUB_KEYOPENSSL_PKEY_GET_PUBLICPUBLIC_KEYOPENSSL_PUBLIC_ENCRYPTDATA,ENCRYPTED,PUB_KEYENCRYPTEDBASE64_ENCODEENCRYPTED/因?yàn)榧用芎笫莵y碼,所以BASE64一下RETURNENCRYPTED/PARAMDATA要解密的字符串PARAMPRIVATE_KEY私鑰RETURNMIXED解密的結(jié)果/PUBLICFUNCTIONPRIVATEDECRYPTDATA,PRIVATE_KEYENCRYPTEDBASE64_DECODEDATAPRIVATE_KEYFILE_GET_CONTENTSPRIVATE_KEYPI_KEYOPENSSL_PKEY_GET_PRIVATEPRIVATE_KEYOPENSSL_PRIVATE_DECRYPTENCRYPTED,DECRYPTED,PI_KEYRETURNDECRYPTED控制器實(shí)現(xiàn)THISLOADLIBRARYRSARSANEWRSACAPTCHAREQUEST_POSTCAPTCHADECRYPT_CAPRSAPRIVATEDECRYPTCAPTCHA,THIS_CONFIGRSA_PRIVATE_KEYIFSTRTOLOWERTHISSESSIONUSERDATACAPTCHASTRTOLOWERDECRYPT_CAPTHISMESSAGE驗(yàn)證碼不正確,SITE_URLTHISSITECLASS/THISSITEMETHOD,2DECRYPT_DATARSAPRIVATEDECRYPTTHISINPUTPOSTDATA,TRUE,THIS_CONFIGRSA_PRIVATE_KEYIFDECRYPT_DATATHISSYSTEMLOG信息驗(yàn)證錯(cuò)誤，請(qǐng)重新登錄,0,4SENDMAIL_WINDOWSTHISDATAWEBSETADMIN_EMAIL,有管理員有登錄異常操作,管理員登錄時(shí)簽名信息被篡改，請(qǐng)檢查，登錄時(shí)間DATEYMDHISTHISJUMP信息錯(cuò)誤，請(qǐng)重新登錄,SITE_URLADMINCP/LOGIN,2PARSE_STRDECRYPT_DATA,FORM_DATAUSERNAMETRIMFORM_DATAUSERNAMEPASSWORDTRI