一、前提
背景: 项目的登录页面最初设计为使用前端 MD5 加密用户密码。后端服务通过匹配数据库中存储的 MD5 加密字符串来验证密码的正确性。
加固前 登录接口表单.png
安全漏洞: 安全审计报告指出,攻击者能够在局域网内嗅探网络流量,并捕获请求数据包。由于 MD5 加密算法的安全性不足,攻击者可以轻松解密并还原出明文密码。
密码 md5 加密后被还原.png
加固建议: 报告建议采用更安全的传输加密措施,例如使用 HTTPS 或升级至更安全的加密算法。建议的算法包括不可逆的 Hash 算法结合盐值、安全对称加密算法或非对称加密算法。
实施方案: 为了保证用户体验,决定保留现有的前端 MD5 加密逻辑。在此基础上,前端将对 MD5 加密后的密码字符串进行一次 RSA 加密,然后传输至后端。后端在验证密码前,将先对 RSA 加密的字符串进行解密。
加固后 登录接口表单.png
二、概念
非对称加密算法需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
通过分析,当前需求场景为发送者用接收者的公钥加密,接受者用自己的私钥解密。具体原理图如下:
非对称加密原理图.png
三、实践
使用到的工具类和第三方库
- 后端 C# RSACryptoServiceProvider 类
- 后端 NuGet 包 XC.RSAUtil
- 前端 jsencrypt.js 库
具体操作步骤
- 后端生成密钥:
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(2048))//2048 是指定密钥加密位数
{
// 公钥
string pubkey = rsa.ToXmlString(false);
// 私钥
string prikey = rsa.ToXmlString(true);
}
注意:
关于安全保留私钥,微软官方的建议是使用安全密钥容器。为了方便存储和读取,我偷懒把私钥和公钥都保存在了配置文件里。
-
前端接收公钥
前端新增一个获取公钥的接口,加载页面时自动获取 RAS 公钥。
注意:由于前端,接口输出的公钥需先在后端将格式 xml 转换为 Pkcs8 格式。进行数据格式转换后端需安装 NuGet 包 XC.RSAUtil 。
NuGet 程序包上的 XC.RSAUtil.png
//公钥XML格式转Pkcs8格式
RsaKeyConvert.PublicKeyXmlToPem(xmlPublicKeyString);
-
前端通过公钥加密
前端页面引入 jsencrypt.js 库,大家可以根据需要自行选择安装方式,我这里用的是比较简单的文件引入。
<script src="~/Content/js/jsencrypt.min.js"></script>
在登录接口中,使用在步骤 2 获取到的公钥,对登录参数进行一次 RSA 加密后,再传输到后端。
// publickey 公钥
// username 账号
// password 密码 md5 加密后字符串
const encrypt = new JSEncrypt();
encrypt.setPublicKey(publickey);
var encryptedUsername = encrypt.encrypt(username);
var encryptedPassword = encrypt.encrypt(password);
-
后端通过私钥解密
在后端登录验证方法中,读取在步骤 1 时保存于配置文件的私钥,先对登录参数进行一次 RSA 解密成明文,再验证登录信息。
using (var rsa = new RSACryptoServiceProvider(2048))// 2048 是指定密钥加密位数
{
try
{
rsa.FromXmlString(privateKey);// 导入私钥
var encrypted = Convert.FromBase64String(encryptedText);// encryptedText 加密的密文
var bytes = rsa.Decrypt(encrypted, false);
return Encoding.UTF8.GetString(bytes);
}
finally
{
rsa.PersistKeyInCsp = false;
}
}
辅助类
为方便使用,以上后端代码统一整理成了一个辅助类 RSAHelper.cs ,使用时注意修改命名空间
using System;
using System.Collections.Generic;
using System.Linq;
using System.Security.Cryptography;
using System.Text;
using XC.RSAUtil;
namespace xxxxxxx.Util
{
/// <summary>
/// 描 述:RSA 非对称加密和解密辅助类
/// </summary>
public class RSAHelper
{
/// <summary>
/// RSA 解密文本
/// </summary>
/// <param name="encryptedText">加密的密文</param>
/// <param name="privateKey">私钥</param>
/// <returns>未加密数据的字符串</returns>
public static string RSADecrypt(string encryptedText, string privateKey)
{
using (var rsa = new RSACryptoServiceProvider(2048))//2048是加密位数
{
try
{
rsa.FromXmlString(privateKey);
var encrypted = Convert.FromBase64String(encryptedText);
var bytes = rsa.Decrypt(encrypted, false);
return Encoding.UTF8.GetString(bytes);
}
finally
{
rsa.PersistKeyInCsp = false;
}
}
}
/// <summary>
/// RSA私钥生成 (XML字符串)
/// </summary>
public static ValueTuple<string, string> GenerateKey()
{
using (RSACryptoServiceProvider rsa = new RSACryptoServiceProvider(2048))//2048是加密位数
{
// 公钥
string pubkey = rsa.ToXmlString(false);
// 私钥
string prikey = rsa.ToXmlString(true);
return new ValueTuple<string, string>(pubkey, prikey);
}
}
/// <summary>
/// 公钥XML格式转Pkcs8格式
/// </summary>
/// <param name="xmlPublicKeyString">xml格式公钥字符串</param>
/// <returns>Pkcs8格式公钥字符串</returns>
public static string PublicKeyXmlToPem(string xmlPublicKeyString)
{
return RsaKeyConvert.PublicKeyXmlToPem(xmlPublicKeyString);
}
}
}
