数据安全:数据对称加密方案

2018-11-21 21:18 更新

1.26.1 对称加密和非对称加密

关于数据加密和安全这一块,只作简单说明。

首先,对称加密是指数据可以加密成密文也可以解密还原,共用同一个密钥,而非对称是则公钥和私钥,两者皆使用可逆加密算法。不可逆加密不存在密钥,只有salt,用来增加可变性和随机性,如md5。而在加密里面,又数块算法加密的方式最为完善,随附图一张:

05152

1.26.2 PHP的mcrypt加密扩展

在PhalApi中,同样也是使用了mcrypt作为底层的数据加密技术方案。请查看: PHP 手册 函数参考 加密扩展

1.26.3 加解密的使用

在单元测试中,我们可以快速找到加密和解密的使用,这里再简单举一例:

$mcrypt = new PhalApi_Crypt_Mcrypt('12345678');

$data = 'The Best Day of My Life';
$key = 'phalapi';

$encryptData = $mcrypt->encrypt($data, $key);
var_dump($encryptData);

$decryptData = $mcrypt->decrypt($encryptData, $key);
var_dump($decryptData);

上面将会输出(有乱码):

0215

1.26.4 更富弹性和便于存储的加密方案

上面看到,mcrypt下的加密在两点不足:

  • 1、有乱码,不能很好地永久化存储;
  • 2、只针对文本字符串的加密,不支持数组等,且无法还原类型;

为此, 我们提供了更富弹性和便于存储的加密方案,即:序列化 + base64 + mcrypt的多重加密方案。

以下是上面的示例-多重加密版:

$mcrypt = new PhalApi_Crypt_MultiMcrypt('12345678');

$data = 'The Best Day of My Life';
$key = 'phalapi';

$encryptData = $mcrypt->encrypt($data, $key);
var_dump($encryptData);

$decryptData = $mcrypt->decrypt($encryptData, $key);
var_dump($decryptData);

对应的输出(这里使用了文字结果输出,是因为没了乱码):

string(44) "rmFMdhvszAkHhOdzwt/APBACk/Mn/SqhV1Ahp1xT0Gk="
string(23) "The Best Day of My Life"

1.26.5 RSA的支持与超长字符串的应对方案

基于项目有使用RSA进行加密和解密的需求,这里特扩展对RSA的支持。同时针对到RSA对字符串长度的限制,提供了分段处理的方案。RSA加密模块的静态类结构UML如下:
rsa-PhalApi

(1)原生态的通信加密和解密

此部分只是简单地封装了openssl相关函数的操作,可以实现与其他语言和客户端下RSA的加密通信。
唯一需要注意的是,对于 “私钥加密,公钥解密”“公钥加密,私钥解密” 这两种情况下key的互换和对应问题。不要混淆。

(2)超长字符串的分段处理

这里重点说明一下超长字符串通信加密的问题。
解决方案主要涉及两点:一是分段的处理,二是中间层转换。分段是指将待加密的字符串分割成允许最大长度117(有用户反馈说是127)内的数组,再各自处理;中间层转换是为了稳定性、通用性和方便落地存储,使用了json和base64的结合编码。

虽然此方案解决了超长字符串的问题,但需要特别指出的是, 不能与其他语言、或者PHP其他框架和客户端进行原生态的RSA通信
我们突破了长度的限制,但失去了通用性。这里罗列一下各个场景和对应的处理方式:

支持:PhalApi项目A <--> PhalApi项目A

支持:PhalApi项目A <--> PhalApi项目B,PhalApi项目C,PhalApi项目D,...

不支持:PhalApi项目 <--> 非PhalApi项目的PHP项目

解决方案:将以下RSA模块相关的代码以包的形式拷贝到需要的PHP项目。

.
├── Crypt
│   └── RSA
│       ├── KeyGenerator.php
│       ├── MultiBase.php
│       ├── MultiPri2Pub.php
│       ├── MultiPub2Pri.php
│       ├── Pri2Pub.php
│       └── Pub2Pri.php
└── Crypt.php

不支持:PhalApi项目 <--> 非PHP语言的项目

解决方案:参考PhalApi对RSA超长字符串的处理,同步实现。

不支持:PhalApi项目 <--> 客户端(iOS/Android/Windows Phone, etc)

解决方案:参考PhalApi对RSA超长字符串的处理,同步实现。

(3)使用示例:2块2毛2和故事

这是一个有趣的故事,发生在我一个很好的朋友身上。

在去年暑假的时候,有位师妹通过几层关系找到我朋友,想他帮她支付回家的火车票。本着“调试”(调戏)的精神,我朋友爽快地答应了并让她把支付宝帐号发过来。然后,不一会,我朋友收到了一条有支付宝帐号的短信,立马打了2.22元过去,并附言: 别问我是谁,请叫我雷锋! 后来证实师妹没发来过短信,原来收到的那条是诈骗的短信。。。。你能想象得到骗子收到这2.22元和看到这条留言时的表情么,哈哈~~

以下测试代码,以上面故事为背景,并演示了RSA的使用示例:

    public function testDecryptAfterEncrypt()
    {
        $keyG = new PhalApi_Crypt_RSA_KeyGenerator();
        $privkey = $keyG->getPriKey();
        $pubkey = $keyG->getPubKey();

        DI()->crypt = new PhalApi_Crypt_RSA_MultiPri2Pub();

        $data = 'AHA! I have $2.22 dollars!';

        $encryptData = DI()->crypt->encrypt($data, $privkey);

        $decryptData = DI()->crypt->decrypt($encryptData, $pubkey);

        $this->assertEquals($data, $decryptData);
    }

1.26.6 建议

在上面的加密中,接口项目在开发时,需要自定义两个值:加密向量和私钥。

为了提高数据加密的安全度,建议:

  • 加密向量项目统一在./Config/app.php中配置;
  • 各模块业务数据加密所用的Key则由各业务点自定义;

这样,可以对不同的数据使用不同的加密私钥,即使破解了某一个用户的数据,也难以破解其他用户的。

1.26.7 扩展你的对称加密

尤其对于加密方案和算法,我们在项目开发决策时,更应该优先考虑使用现在行业内成熟公认的加密方案和算法,而不是自己去从头研发。

但如果你项目确实有此需要,或者需要在mcrypt的基础上再作一些变通,也是可以很快地实现和注册使用。

首先,请先实现下面的加密接口:

// $vim ./PhalApi/PhalApi/Crypt.php

interface PhalApi_Crypt {

    public function encrypt($data, $key);

    public function decrypt($data, $key);
}

然后,重新注册加密服务即可。

以上内容是否对您有帮助:
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号