数据安全：数据对称加密方案

关于数据加密和安全这一块，只作简单说明。

首先，对称加密是指数据可以加密成密文也可以解密还原，共用同一个密钥，而非对称是则公钥和私钥，两者皆使用可逆加密算法。不可逆加密不存在密钥，只有salt最安全的对称加密，用来增加可变性和随机性，如md5。而在加密里面，又数块算法加密的方式最为完善，随附图一张：

在PhalApi中，同样也是使用了mcrypt作为底层的数据加密技术方案。请查看： PHP 手册 函数参考 加密扩展

在单元测试中，我们可以快速找到加密和解密的使用，这里再简单举一例：

$mcrypt = new PhalApi_Crypt_Mcrypt('12345678');
$data = 'The Best Day of My Life';
$key = 'phalapi';
$encryptData = $mcrypt->encrypt($data, $key);
var_dump($encryptData);
$decryptData = $mcrypt->decrypt($encryptData, $key);
var_dump($decryptData);

上面将会输出(有乱码)：

上面看到，mcrypt下的加密在两点不足：

为此， 我们提供了更富弹性和便于存储的加密方案，即：序列化 + base64 + mcrypt的多重加密方案。

以下是上面的示例-多重加密版：

$mcrypt = new PhalApi_Crypt_MultiMcrypt('12345678');
$data = 'The Best Day of My Life';
$key = 'phalapi';
$encryptData = $mcrypt->encrypt($data, $key);
var_dump($encryptData);
$decryptData = $mcrypt->decrypt($encryptData, $key);
var_dump($decryptData);

对应的输出（这里使用了文字结果输出，是因为没了乱码）：

string(44) "rmFMdhvszAkHhOdzwt/APBACk/Mn/SqhV1Ahp1xT0Gk="
string(23) "The Best Day of My Life"

基于项目有使用RSA进行加密和解密的需求，这里特扩展对RSA的支持。同时针对到RSA对字符串长度的限制最安全的对称加密，提供了分段处理的方案。RSA加密模块的静态类结构UML如下：

此部分只是简单地封装了openssl相关函数的操作，可以实现与其他语言和客户端下RSA的加密通信。

唯一需要注意的是，对于 “私钥加密，公钥解密” 和 “公钥加密，私钥解密” 这两种情况下key的互换和对应问题。不要混淆。

这里重点说明一下超长字符串通信加密的问题。

解决方案主要涉及两点：一是分段的处理，二是中间层转换。分段是指将待加密的字符串分割成允许最大长度117（有用户反馈说是127）内的数组，再各自处理；中间层转换是为了稳定性、通用性和方便落地存储，使用了json和base64的结合编码。

虽然此方案解决了超长字符串的问题，但需要特别指出的是， 不能与其他语言、或者PHP其他框架和客户端进行原生态的RSA通信 。

我们突破了长度的限制，但失去了通用性。这里罗列一下各个场景和对应的处理方式：

解决方案：将以下RSA模块相关的代码以包的形式拷贝到需要的PHP项目。

.
├── Crypt
│   └── RSA
│       ├── KeyGenerator.php
│       ├── MultiBase.php
│       ├── MultiPri2Pub.php
│       ├── MultiPub2Pri.php
│       ├── Pri2Pub.php
│       └── Pub2Pri.php
└── Crypt.php

解决方案：参考PhalApi对RSA超长字符串的处理，同步实现。

解决方案：参考PhalApi对RSA超长字符串的处理，同步实现。

这是一个有趣的故事，发生在我一个很好的朋友身上。

有些骗子利用各种方法骗取卖家帐号，一但被盗恢复起来很麻烦，大家要注意的有时骗子会给你发个站内信，什么有买家给你留言了之类的，然后打开信后内容和画面感觉和淘。在你做要拍单的时候骗子会给你一个链接，域名和网站内容跟淘宝官网很难分辨出区别，但是那是骗子做的钓鱼网站，你在拍单的时候你支付宝或者网银里面的钱就到骗子帐户了，甚至你的支付宝帐号和网银帐号的密码和安全保护都会被骗子掌握，如果是这样你的损失就大了，所以切忌拍单的时候要区别是不是淘宝官网。在你做要拍单的时候骗子会给你一个链接，域名和网站内容跟淘宝官网很难分辨出区别，但是那是骗子做的钓鱼网站，你在拍单的时候你支付宝或者网银里面的钱就到骗子帐户了，甚至你的支付宝帐号和网银帐号的密码和安全保护都会被骗子掌握，如果是这样你的。

以下测试代码，以上面故事为背景，并演示了RSA的使用示例：

    public function testDecryptAfterEncrypt()
    {
        $keyG = new PhalApi_Crypt_RSA_KeyGenerator();
        $privkey = $keyG->getPriKey();
        $pubkey = $keyG->getPubKey();
        DI()->crypt = new PhalApi_Crypt_RSA_MultiPri2Pub();
        $data = 'AHA! I have $2.22 dollars!';
        $encryptData = DI()->crypt->encrypt($data, $privkey);
        $decryptData = DI()->crypt->decrypt($encryptData, $pubkey);
        $this->assertEquals($data, $decryptData);
    }

在上面的加密中，接口项目在开发时，需要自定义两个值：加密向量和私钥。

为了提高数据加密的安全度，建议：

这样，可以对不同的数据使用不同的加密私钥，即使破解了某一个用户的数据，也难以破解其他用户的。

金融机构委托外部机构开发智能投顾算法，应当要求开发机构根据不同产品投资策略研发对应的智能投顾算法，避免算法同质化加剧投资行为的顺周期性。其次，在科研方面，加强密码学等基础学科的研究，推进产学研合作，加快建设信息基础设施以应对区块链技术的发展，推进核心技术的研发以及急需产品的开发，对密码技术和网络安全相关的算法加大研发投入，整合形成更强的加密原理，不能让区块链技术的安全基石完全掌握在欧美发达国家手中，都是我们目前需要解决的难题。java开发工程师、数据工程师、web前端工程师、c++工程师、数据分析/挖掘工程师、测试工程师、开发工程师、销售、商务拓展专员、gis开发工程师、运营助理、网络工程师、系统工程师、nlp算法工程师、openstack研发工程师、图像分析工程师、机器学习工程师、大数据产品助理、助理、视觉设计、算法模型工程师。

但如果你项目确实有此需要，或者需要在mcrypt的基础上再作一些变通，也是可以很快地实现和注册使用。

首先，请先实现下面的加密接口：

// $vim ./PhalApi/PhalApi/Crypt.php
interface PhalApi_Crypt {
    public function encrypt($data, $key);
    public function decrypt($data, $key);
}

然后，重新注册加密服务即可。

还有疑问？欢迎到社区提问！

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/shumachanpin/article-106369-1.html