我们平时做用户登录表单提交,用户名密码都是明文直接POST到后端,这样很容易被别人从监听到。
注:包括使用MD5等哈希函数处理后的数据,这里也算做明文(现在MD5爆破网站已经很多了~)。
对安全性要求较高的网站,比如银行和大型企业等都会使用HTTPS对其进行加密通讯。
但是由于效率原因,使用HTTPS的代价是及其昂贵的,对于访问量稍大的网站就会造成严重的性能瓶颈。解决方法一般只能采用专门的SSL硬件加速设备如F5的BIGIP等。
所以很多网站选择了模拟SSL的做法,使用RSA来对密码等安全信息进行公钥加密,服务端用私钥解密。
通常是对密码进行加密,本文也拿密码加密为例。
网上相关信息太少,折腾了几天,终于有眉目了,先贴代码,关键部分后面说明。
首先加载三个RSA的js库文件,可以到这里下载 http://www.ohdave.com/rsa/
javascript部分代码(with jQuery)
view plaincopy to clipboardprint?
$(document).ready(function(){
//十六进制公钥
var rsa_n = "C34E069415AC02FC4EA5F457
$("#submit").click(function(){
});
});
PHP部分代码
view plaincopy to clipboardprint?
function publickey_encodeing($sourcestr, $fileName)
{
}
function privatekey_decodeing($crypttext, $fileName, $fromjs = FALSE)
{
}
//JS->PHP 测试
$txt_en = $_POST['password'];
$txt_en = base64_encode(pack("H*", $txt_en));
$file = 'ssl/server.pem';
$txt_de = privatekey_decodeing($txt_en, $file, TRUE);
var_dump($txt_de);
//PHP->PHP 测试
$data = "汉字:1a2b3c";
$config = Core::getInstance()->config;
$file1 = 'ssl/server.crt';
$file2 = 'ssl/server.pem';
$a = publickey_encodeing($data, $file1);
$b = privatekey_decodeing($a, $file2);
var_dump($b);
其中密钥的获取是关键(其他难点已经被从代码中解决)
由于密钥从x.509证书中获取,所以要先生成密钥及证书文件(本文中用的1024位密钥),具体生成方法可以参考我之前的那篇《Nginx下配置HTTPS(SSL)安全站点》
这里重点说一下怎么获取十六进制的密钥。
从文件中读取密钥之前尝试了很多方式,无论怎么都无法提取正确的十六进制密钥。网上查了发现数据是用ASN.1编码过的……汗~
最后无意中注意到linux下用openssl命令貌似可以从密钥文件(key或pem)提取。方式如下:
openssl asn1parse -out temp.ans -i -inform PEM < server.pem
显示结果如下:
从这里可以看到最终的16进制密钥。
个人感觉这种方法并不算模拟HTTPS,只是利用其用到的RSA非对称加密算法实现小数据量安全加密。若要较完全的模拟SSL通信,就需要用RSA对另一密钥加密,然后通过一系列握手流程再进行对称加密。
PHP中openssl扩展公私钥加密函数只支持小数据,加密时117字节,解密时128字节。若不然得自己循环加密后合并。
SSL本身也只是用RSA来进行密钥加密,数据加密则是利用这个加密的密钥进行对称加密,以保证速度。所以万不可将其用于大数据量加密!
最后总结下本方案几处优点:
1、安全性高。基于非对称的RSA算法加密数据,只要在私钥不被暴露的前提下,密钥长度足够长,短时间内基本是无法破解的。
2、使用方便。前端使用现成的JS库来实现加密,PHP端则可直接使用现成的openssl扩展,而不用RSA的PHP源码实现或自己开发扩展。
3、速度靠谱。由于RSA解密算法相当复杂,而该操作交由PHP端扩展来实现,效率上比网上的PHP代码要高许多。
4、便于升级。密钥是直接从linux下openssl工具生成的证书中获取,不仅不用其他密钥生成工具,也方便今后升级到真正的HTTPS。