Web虎-b/s源代码加密,软件防盗版保护系统

站内搜索:

热搜: asp.net加密 php加密  

Java加密 ...
  选择Web虎的20个理由   免费赠送Web虎机器码版-网站授权保护系统   免费试用打包加密版Web虎   50套可免费打激光logo
  首页 | php加密 | asp.net加密 | flash保护 | Web虎网站(课件)保护 | 成功案例 | 公司动态 | 业界关注 | 客服| 下载| 关于| 付款方式| 注册
当前位置:业界关注

JS到PHP使用RSA算法进行加密通讯


时间:2011年6月29日  来源:互联网转载  关联产品/方案:网站授权保护

我们平时做用户登录表单提交,用户名密码都是明文直接POST到后端,这样很容易被别人从监听到。

 

注:包括使用MD5等哈希函数处理后的数据,这里也算做明文(现在MD5爆破网站已经很多了~)。

 

对安全性要求较高的网站,比如银行和大型企业等都会使用HTTPS对其进行加密通讯。

 

但是由于效率原因,使用HTTPS的代价是及其昂贵的,对于访问量稍大的网站就会造成严重的性能瓶颈。解决方法一般只能采用专门的SSL硬件加速设备如F5的BIGIP等。

 

所以很多网站选择了模拟SSL的做法,使用RSA来对密码等安全信息进行公钥加密,服务端用私钥解密。

 

通常是对密码进行加密,本文也拿密码加密为例。

 

网上相关信息太少,折腾了几天,终于有眉目了,先贴代码,关键部分后面说明。

 

首先加载三个RSA的js库文件,可以到这里下载 http://www.ohdave.com/rsa/

 

javascript部分代码(with jQuery)

 

view plaincopy to clipboardprint?

$(document).ready(function(){  

//十六进制公钥  

var rsa_n = "C34E069415AC02FC4EA5F45779B7568506713E9210789D527BB89EE46266

2A1D0E94285E1A764F111D553ADD7C65673161E69298A8BE2212DF8016787E2F4859C

D599516880D79EE5130FC5F8B7F69476938557CD3B8A79A612F1DDACCADAA5B6953E

CC4716091E7C5E9F045B28004D33548EC89ED5C6B2C64D6C3697C5B9DD3";  

      

$("#submit").click(function(){  

    setMaxDigits(131); //131 => n的十六进制位数/2+3  

    var key      = new RSAKeyPair("10001", '', rsa_n); //10001 => e的十六进制  

    var password = $("#password").val();  

    password = encryptedString(key, password); //不支持汉字  

    $("#password").val(password);  

    $("#login").submit();  

    alert(password); //test  

});  

});  

 

PHP加密部分代码

 

view plaincopy to clipboardprint?

/** 

 * 公钥加密 

 * 

 * @param string 明文 

 * @param string 证书文件(.crt) 

 * @return string 密文(base64编码) 

 */  

function publickey_encodeing($sourcestr, $fileName)  

{  

    $key_content = file_get_contents($fileName);  

    $pubkeyid    = openssl_get_publickey($key_content);  

      

    if (openssl_public_encrypt($sourcestr, $crypttext, $pubkeyid))  

    {  

        return base64_encode("".$crypttext);  

    }  

}  

/** 

 * 私钥解密 

 * 

 * @param string 密文(二进制格式且base64编码) 

 * @param string 密钥文件(.pem / .key) 

 * @param string 密文是否来源于JS的RSA加密 

 * @return string 明文 

 */  

function privatekey_decodeing($crypttext, $fileName, $fromjs = FALSE)  

{  

    $key_content = file_get_contents($fileName);  

    $prikeyid    = openssl_get_privatekey($key_content);  

    $crypttext   = base64_decode($crypttext);  

    $padding = $fromjs ? OPENSSL_NO_PADDING : OPENSSL_PKCS1_PADDING;  

    if (openssl_private_decrypt($crypttext, $sourcestr, $prikeyid, $padding))  

    {  

        return $fromjs ? rtrim(strrev($sourcestr), "\0") : "".$sourcestr;  

    }  

    return ;  

}  

//JS->PHP 测试  

$txt_en = $_POST['password'];  

$txt_en = base64_encode(pack("H*", $txt_en));  

$file = 'ssl/server.pem';  

$txt_de = privatekey_decodeing($txt_en, $file, TRUE);  

var_dump($txt_de);  

//PHP->PHP 测试  

$data = "汉字:1a2b3c";  

$config = Core::getInstance()->config;  

$file1 = 'ssl/server.crt';  

$file2 = 'ssl/server.pem';  

$a = publickey_encodeing($data, $file1);  

$b = privatekey_decodeing($a, $file2);  

var_dump($b);  

 

其中密钥的获取是关键(其他难点已经被从代码中解决)

 

由于密钥从x.509证书中获取,所以要先生成密钥及证书文件(本文中用的1024位密钥),具体生成方法可以参考我之前的那篇《Nginx下配置HTTPS(SSL)安全站点》

 

这里重点说一下怎么获取十六进制的密钥。

 

从文件中读取密钥之前尝试了很多方式,无论怎么都无法提取正确的十六进制密钥。网上查了发现数据是用ASN.1编码过的……汗~

 

最后无意中注意到linux下用openssl命令貌似可以从密钥文件(key或pem)提取。方式如下:

 

openssl asn1parse -out temp.ans -i -inform PEM < server.pem

 

显示结果如下:

 

 

 

从这里可以看到最终的16进制密钥。

 

个人感觉这种方法并不算模拟HTTPS,只是利用其用到的RSA非对称加密算法实现小数据量安全加密。若要较完全的模拟SSL通信,就需要用RSA对另一密钥加密,然后通过一系列握手流程再进行对称加密。

 

PHP中openssl扩展公私钥加密函数只支持小数据,加密时117字节,解密时128字节。若不然得自己循环加密后合并。

 

SSL本身也只是用RSA来进行密钥加密,数据加密则是利用这个加密的密钥进行对称加密,以保证速度。所以万不可将其用于大数据量加密!

 

最后总结下本方案几处优点:

 

1、安全性高。基于非对称的RSA算法加密数据,只要在私钥不被暴露的前提下,密钥长度足够长,短时间内基本是无法破解的。

 

2、使用方便。前端使用现成的JS库来实现加密,PHP加密端则可直接使用现成的openssl扩展,而不用RSA的PHP源码实现或自己开发扩展。

 

3、速度靠谱。由于RSA解密算法相当复杂,而该操作交由PHP端扩展来实现,效率上比网上的PHP加密代码要高许多。

 

4、便于升级。密钥是直接从linux下openssl工具生成的证书中获取,不仅不用其他密钥生成工具,也方便今后升级到真正的HTTPS。

 

相关业界关注:
JS到PHP使用RSA算法进行加密通讯(2011-6-29)

面向普通人的,PHP,加密(2011-6-25)

PHP,加密与解密的斗争(2009-11-30)

dezend-专门破解php加密(2009-11-14)

PHP界的大事:zend加密已经可以破解(2009-5-25)

深圳易用信息公司,一切以用户为中心

jar加密狗,php加密狗,ASP.NET加密狗,java加密狗,bs加密狗,asp加密狗,课件加密狗,flash加密狗,swf加密狗


地址:深圳市福田区深华科技园1栋6楼 | 邮编:518008 | 电话:0755-88865755,(0)138-2326-5258 | 传真:0755-83273525 | 电邮:leo-euse.cn
华东办:(0)186-5858-6527| 电邮:jacky-euse.cn | 关注咱们:
北京代理:中科神州(北京)信息技术有限公司|电话:(0)137-0124-0303|电邮:yubin_sinotech

  本网站版权归深圳市易用信息技术有限公司所有   |   粤ICP备09056668号-2  始自2003年


合作伙伴招募中:

上海,广州,杭州,宁波,南京,无锡,佛山,苏州,天津,成都,大连,济南,青岛,烟台,泉州,常州,东莞,武汉,沈阳,金华,南通,重庆,郑州,福州,温州,长沙,厦门,绍兴,西安,哈尔滨,合肥,珠海,包头,昆明,太原,湖州,汕头,惠州,广东,山东,江苏,浙江,河南,河北,辽宁,上海,四川,湖北,湖南,福建,北京,安徽,内蒙古,黑龙江,广西,陕西,吉林,天津,山西,江西,云南,重庆,新疆,贵州


友情连接: flash加密防盗版保护 seo工具 铁卷防泄密 纵横网络 软件项目交易网 深圳工作流系统 局域网管理软件 YCanPDF