XOR算法原理

　　從加密的主要方法看，換位法過于簡單，特別是對于數(shù)據(jù)量少的情況很容易由密文猜出明文，而替換法不失為一種行之有效的簡易算法。

　　從各種替換法運算的特點看，異或運算最適合用于簡易加解密運算，這種方法的原理是：當(dāng)一個數(shù)A和另一個數(shù)B進(jìn)行異或運算會生成另一個數(shù)C，如果再將C和B進(jìn)行異或運算則C又會還原為A。

相對于其他的簡易加密算法，XOR算法的優(yōu)點如下。

(1)算法簡單，對于高級語言很容易能實現(xiàn)。

(2)速度快，可以在任何時候、任何地方使用。

(3)對任何字符都是有效的，不像有些簡易加密算法，只對西文字符有效，對中文加密后再解密無法還原為原來的字符。

XOR算法實現(xiàn)

　　上一部分介紹了如何使用XOR運算進(jìn)行加密/解密的原理，本節(jié)將使用其加密用戶的登錄信息。根據(jù)上一小節(jié)介紹的XOR加密算法的原理，不難寫出以下的加密解密函數(shù)。首先列出加密算法。

以下為引用的內(nèi)容：

1 ＜!--encrypy_xor:簡單使用XOR運算的加密函數(shù)-----------------------＞

2 ＜?php

3 //加密函數(shù)

4 function myEncrypt($string, $key)

5 {

6 for($i=0; $i＜STRLEN($STRING); p $i++)<>

7 {

8 for($j=0; $j＜STRLEN($KEY); p $j++)<>

9 {

10 $string[$i] = $string[$i]^$key[$j];

11 }

12 }

13 return $string;

14 }

　　第4行定義了加密函數(shù)myEncrypt()，輸入?yún)?shù)$string為明文，而$key為密鑰；輸出為使用$key作為密鑰并使用XOR加密算法產(chǎn)生的密文。

　　第6～12行的外層for循環(huán)對明文字符串的每一個字符進(jìn)行循環(huán)，而內(nèi)層的for循環(huán)(第8～11行)對明文的每一字符循環(huán)與密鑰的每一位做異或運算。其原理已經(jīng)在上一小節(jié)中介紹，不再重述。

　　同樣，與加密函數(shù)類似，可以寫出下面的解密函數(shù)。

以下為引用的內(nèi)容：

1 //解密函數(shù)

2 function myDecrypt($string, $key)

3 {

4 for($i=0; $i＜STRLEN($STRING); p $i++)<>

5 {

6 for($j=0; $j＜STRLEN($KEY); p $j++)<>

7 {

8 $string[$i] = $key[$j]^$string[$i];

9 }

10 }

11 return $string;

12 }

13 ?＞

　　第4行定義了解密函數(shù)myDecrypt ()，輸入?yún)?shù)$string為密文，而$key為密鑰;輸出為使用$key作為密鑰并使用XOR解密算法產(chǎn)生的明文。下面，通過一個應(yīng)用示例來進(jìn)一步說明加密函數(shù)的功能。

以下為引用的內(nèi)容：

1 //示例

2 $my_password="chair";

3 echo "my_password = $my_password";

4 $my_key="1234567890";

5 $my_password_en=myEncrypt($my_password,$my_key);

6 echo "my_password_en = $my_password_en";

7 $my_password_de=myDecrypt($my_password_en,$my_key);

8 echo "my_password_de = $my_password_de";

　　第3行首先定義了一個明文$my_password，然后在第4行定義密鑰$my_key。

　　第5、6行分別調(diào)用加密函數(shù)生成密文并輸出;反過來，又在第7、8行將密文解密。上面示例的運行結(jié)果如下。

以下為引用的內(nèi)容：

my_password = chair

my_password_en = RYPXC

my_password_de = chair

用XOR算法實現(xiàn)身份驗證

　　上兩部分分別介紹了使用XOR運算進(jìn)行信息加密/解密的原理和實現(xiàn)，下面，將使用這一方法來對用戶的登錄密碼進(jìn)行加密。本例中，為了保護(hù)用戶的密碼，系統(tǒng)想要達(dá)到的目的如下。

　　在用戶注冊時，用戶需要添寫用戶密碼表單。

　　除用戶本人之外，其他任何人都無法獲取其密碼信息，包括系統(tǒng)設(shè)計者和數(shù)據(jù)庫管理員。

　　系統(tǒng)能根據(jù)用戶輸入的密碼驗證用戶的合法性。

　　為了達(dá)到以上目的，使用XOR算法時可以選擇用戶名作為明文，而密鑰是用戶自定義的密碼，然后將加密后的用戶名存儲在數(shù)據(jù)庫中。

　　另外，在用戶登錄的時候，有以下兩種方式來驗證合法用戶。

　　(1)根據(jù)其提交的用戶名(明文)和密碼(密鑰)信息重新加密，并使用加密后的信息與數(shù)據(jù)庫中存儲的密碼信息進(jìn)行比較，如果相等，則用戶合法，否則，為非法用戶。

　　(2)根據(jù)數(shù)據(jù)庫中存儲的密碼信息(明文)和用戶輸入的密碼(密鑰)信息進(jìn)行解密，并把加密后的信息與用戶提交的用戶名進(jìn)行比較，如果相等，則用戶合法，否則，為非法用戶。

　　兩種方式都可以實現(xiàn)第3個目的，本例，將采用第2種方式。本例的實現(xiàn)代碼可在18.4.1節(jié)“用戶登錄”和18.4.2節(jié)&ldquo;檢查用戶”的實現(xiàn)基礎(chǔ)之上實現(xiàn)，其中“用戶登錄”頁面無需變化，“檢查用戶&rdquo;的實現(xiàn)參考如下。

以下為引用的內(nèi)容：

1 ＜?php

2 session_start(); //裝載Session庫，一定要放在首行

3 $user_name=$_POST["user_name"];

4 session_register("user_name&quot;); //注冊$user_name變量,注意沒有$符號

5

6 require_once("sys_conf.inc&quot;); //系統(tǒng)配置文件，包含數(shù)據(jù)庫配置信息

7 require_once("encrypy_xor.php"); //包含xor加密函數(shù)文件

8

9 //連接數(shù)據(jù)庫

10 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);

11 mysql_select_db($DBNAME); //選擇數(shù)據(jù)庫my_chat

12

13 //查詢是否存在登錄用戶信息

14 $str="select name,password from user where name =$user_name";

15 $result=mysql_query($str,$link_id); //執(zhí)行查詢

16 @$rows=mysql_num_rows($result); //取得查詢結(jié)果的記錄筆數(shù)

17 $user_name=$_SESSION["user_name"];

18 $password=$_POST["password"];

19 $password_en=myEncrypt($user_name,$password); //加密用戶信息

20

21 //對于老用戶

22 if($rows!=0)

23 {

24 list($name,$pwd)=mysql_fetch_row($result);

25 $password_de=myDecrypt($pwd,$password); //解密用戶信息

26

27 //如果密碼輸入正確

28 if($user_name==$password_de)

29 {

30 $str="update user set is_online =1 where name =$user_name and password=$password_en";

31 $result=mysql_query($str, $link_id); //執(zhí)行查詢

32 require("main.php"); //轉(zhuǎn)到聊天頁面

33 }

34 //密碼輸入錯誤

35 else

36 {

37 require("relogin.php");

38 }

39 }

40 //對于新用戶，將其信息寫入數(shù)據(jù)庫

41 else

42 {

43 $str="insert into user (name,password,is_online) values($user_name, $password_en,1)";

44 $result=mysql_query($str, $link_id); //執(zhí)行查詢

45 require("main.php"); //轉(zhuǎn)到聊天頁面

46 }

47 //關(guān)閉數(shù)據(jù)庫

48 mysql_close($link_id);

49 ?＞

　　第7行引入了加密函數(shù)文件encrypy_xor.php，包括上一小節(jié)介紹的兩個函數(shù)。

　　第19行，使用用戶提交的用戶名和密碼得到加密后的密碼值，并且對于新用戶，在第44行將這個加密后的值存儲在數(shù)據(jù)庫中。

　　另外，對于老用戶，在第24獲取數(shù)據(jù)庫中用戶名和加密后的密碼信息，并在25行利用這兩個值進(jìn)行解密，然后在第28行通過比較解密后的值與用戶提交的用戶名信息來檢查用戶的合法性。

自動生成密鑰

　　上一部分介紹了如何使用XOR加密算法進(jìn)行對用戶信息的加密，其中，用戶所輸入的口令信息實際上成為了加密算法中的密鑰，而用戶名作為明文使用，雖然這能很好地完成功能，但是在邏輯上，這種方法似乎有些不合理。

　　本文將介紹一種自動生成密鑰的技術(shù)，可以使用自動生成的密鑰對用戶提交的密碼明文加密，使邏輯更加合理一些。

本例，假設(shè)生成的密鑰為512位。代碼如下。

以下為引用的內(nèi)容：

1 ＜!--keygen.php:自動生成密鑰------------------------------------＞

2 ＜?php

3

4 //自動生成長度為$len的密鑰

5 function generate_key($len)

6 {

7 $lowerbound = 35 ;

8 $upperbound = 96 ;

9 $strMyKey = "";

10

11 for($i=1;$i<=$len;$i++)

12 {

13 $rnd=rand(0,100); //產(chǎn)生隨機數(shù)

14 $k = (($upperbound - $lowerbound) + 1) * $rnd + $lowerbound;

15 $strMyKey=$strMyKey.$k;

16 }

17 return $strMyKey;

18 }

19

20 //將密鑰寫入文件$file_name

21 function write_key($key,$file_name)

22 {

23 $filename="C:\key.txt";

24 $key=generate_key($key,512);

25

26 //使用添加模式打開$filename，文件指針將會在文件的末尾

27 if(!$handle=fopen($filename,w))

28 {

29 print"不能打開文件$filename";

30 exit;

31 }

32

33 //將$key寫入到我們打開的文件中。

34 if(!fwrite($handle,$key))

35 {

36 print"不能寫入到文件$filename";

37 exit;

38 }

39 fclose($handle);

40 }

41

42 //讀取密鑰文件中的密鑰

43 function get_key($file_name)

44 {

45 //打開文件

46 $fp = fopen ($file_name, "r");

47 $result="";

48 //逐行讀取

49 while (!feof($fp))

50 {

51 $buffer = fgets($fp, 4096);

52 $result=$result.$buffer;

53 }

54 return $result;

55 }

56

57 ///*

58 $KeyLocation = &quot;C:\key.txt"; //保存密鑰的文件

59 $key="123456";

60 write_key($key,$KeyLocation);

61 echo get_key($KeyLocation);

62 //*/

63 ?＞

代碼包括3個函數(shù)：

·generate_key($len):自動生成長度為$len的密鑰
·write_key($key,$file_name):將密鑰寫入文件$file_name
·get_key($file_name):讀取密鑰文件$file_name中的密鑰值

　　在使用時，當(dāng)用戶第一次登錄系統(tǒng)時，自動為其生成密鑰值，對于這個密鑰值，可以有兩種方式來處理。

　　(1)將其存入數(shù)據(jù)庫的某個字段中，這種方法的缺點是密鑰在數(shù)據(jù)庫中的安全性無法得到保證;

　　(2)將這個密鑰保存在用戶本地的文件中，這樣就可以避免密鑰被別人獲取，但這種方式的缺點是，當(dāng)用戶使用其他機器訪問系統(tǒng)時，就無法登錄。

　　本例中，將使用第2種方式。

　　具體地，上面代碼第11～18行通過生成隨機數(shù)的方式來不斷生成密鑰，并通過一個計算來增強其復(fù)雜性。其中的lowerbound和upperbound的數(shù)值其實就是你想使用來加密的ASCII字符范圍。下面是生成的一個密鑰文件示例。

以下為引用的內(nèi)容：

208123915925183361116049369344372701567

721435181102718332639307390344373445407

524316475863232913993383189547474747394

154915312639841226741894189965623523913

011164730113445201935692839710274127251

577929493941487145611337531549110895367

593586318332391170941272701152344371709

270125776235313540032267139933835677407

617384135696111239130732949469623520815

987524358635491542913374933524334454251

400327015367133759324537171709152357391

089524342514685239122673135531363151191

833412771743139654…

最后，需要把密鑰保存在服務(wù)器上一個安全的地方，然后就可以利用其和諸如XOR這樣的加密算法來對用戶信息進(jìn)行加密/解密了。如何在上一部分介紹的XOR中使用這個密鑰非常簡單，不再詳述。