開發(fā)過程中遇到了一些數(shù)據(jù)傳輸安全性問題,一個很重要實(shí)際需求,客戶端加密的數(shù)據(jù)在服務(wù)端要解密回來還要進(jìn)行一些處理。
腦中立馬跳出幾種解決方法:
1、直接使用MD5進(jìn)行加密好了,可是MD5是不可逆的算法,而某些數(shù)據(jù)到達(dá)服務(wù)器端需要解密出來進(jìn)行一些處理。看來不滿足實(shí)際需求。
2、那可以嘗試下DES,3DES或者AES等一些對稱算法加密處理,想想挺好的,對稱算法的效率也挺快。可是密鑰該怎么從服務(wù)端安全的傳遞到客戶端呢,這個問題不解決,加密還是如同虛設(shè)。
3、最后一種方案那就是使用RSA非對稱算法,這個算法的好處就是服務(wù)器端自己維護(hù)私鑰,把公鑰開放給客戶端,有人在網(wǎng)絡(luò)上監(jiān)聽到公鑰和加密后的數(shù)
據(jù)也沒關(guān)系,因?yàn)榧用艿臄?shù)據(jù)需要私鑰才能解的開。也許大家都熟悉https協(xié)議,其實(shí)這種協(xié)議就是用RSA非對稱算法來實(shí)現(xiàn),但是大家肯定也有感受,用
https的時候網(wǎng)頁打開的速度會比http要慢很多。我也考慮到這點(diǎn),于是做了一個基準(zhǔn)測試,在服務(wù)端寫了個測試類,結(jié)果讓我大吃一驚,2g的cpu循
環(huán)100次用私鑰去解密竟然花了我50000多毫秒,那我循環(huán)10000次呢,靠,竟然花了幾分鐘。那如果采用這種方案去實(shí)現(xiàn)的話,應(yīng)用程序的性能會被這
些解密動作所拉下。沒辦法哦,又只能放棄此類方案。
4、山重水復(fù)疑無路,柳暗花明又一村。突然腦中又蹦出另外一種想法,還是使用對稱算法,關(guān)于密鑰的傳遞可以采用DiffieHellman協(xié)議。
于是乎,上網(wǎng)查了一些資料,發(fā)現(xiàn)java類似的算法還是可以查的到,但是單有java也不行,我要在客戶端加密,java端進(jìn)行解密,所以還需要有
JavaScript的類似算法。最后在enano-1.1.7這個php開源的電子商務(wù)網(wǎng)站內(nèi)找到了相關(guān)信息。無意間發(fā)現(xiàn)這個開源程序的一篇wiki,
詳細(xì)介紹了一套安全解決方案(http://enanocms.org/News:Article/2008/02/20/Diffie_Hellman_key_exchange_implemented)。
以上只是我的思路,但還沒有寫個應(yīng)用程序測試過。那么光有理論沒有實(shí)踐也不行,那就建個工程實(shí)現(xiàn)一下唄。嘿嘿。
case:用戶注冊。
case描述:客戶在客戶端填寫一些信息,提交之前通過密鑰把用戶名和密碼進(jìn)行加密,服務(wù)端需要把用戶名和密碼解密回來進(jìn)行進(jìn)行處理,一個很重要的
處理就是,給密碼加鹽值,然后進(jìn)行MD5加密,也許你會問,為什么這個動作不能在客戶端做呢,其實(shí)也是可以的,但是為了不想讓黑客知道我密碼加密的體制所
以放到服務(wù)端進(jìn)行。
case UML:
設(shè)計(jì)到的一些類和文件:
其中用到了base64,主要就是解決了中文亂碼問題。
實(shí)現(xiàn)過程中的一些總結(jié):
1、對于安全算法等一些總結(jié),我用到一些相關(guān)算法類都是可以單獨(dú)拿來用的。而jdk中也有支持的相關(guān)類,可以看看jca和jce。這兩個擴(kuò)展包其實(shí)并沒有真正的實(shí)現(xiàn),他們只是對這些安全問題的抽象。真正的實(shí)現(xiàn)有sunjce和Bouncy Castle。
2、對于算法本身定義的理解很重要,AES支持128,192,256位的密鑰,但每次被加密的一定要是128位的內(nèi)容,一般我們被加密的都是超過此長度的,那可以這么來處理:
把要加密的內(nèi)容進(jìn)行分組處理。解密也是類似。
最后的總結(jié):此次實(shí)踐只是模擬了一個場景,還可以運(yùn)用很多場景中,OpenSSL,OpenID都可以運(yùn)用。不是我說的,我也是看了找了相關(guān)的材
料,OpenSSL
java的項(xiàng)目還在建設(shè)中,php是有的,大家可以去找下,openid也是有用到的,這里推薦一個開源的項(xiàng)目openid4java,也可以去查查看,
有時間去看看里面的源碼還是不錯的。如果你也啥地方還不明白或者需要里面用到的一些代碼,可以和我溝通交
流,msn:yangpingyu@gmail.com.