加密算法中的加盐值

在应用中,出于到安全的考虑和数据的保密,需要使用到加密算法,有时候为了让加密的的结果更加扑朔迷离神鬼莫测一些,常常会给被加密的数据加点“盐”。说白了,盐就是一串数字,完全是自己定义的,不多说,上实例。

    /**
     * 获取当前用户盐
     *
     * @param string $extraKey 额外密钥
     * @return string
     */
    public function getSalt($extraKey = null)
    {
        // 今天凌晨5点以后~第二天凌晨5点前
        if (date('G') >= 5) {
            $dateString = date('md');
        }
        // 今天凌晨5点前
        // 日期标示符仍用昨天的
        else {
            $dateString = date('md', strtotime('-1 day'));
        }

        return md5('VoyageMobile:' . $dateString . ':' . $this->_uid . ':' . $extraKey);
    }

这就是我们程序中,使用的一个生成盐值的函数,这函数的返回值就是所谓的盐值,请注意这个函数的命名,哈哈。 函数的使用如下:

    /**
     * 加密
     *
     * @param string $content 待加密内容
     * @param string $extraKey 额外密钥
     * @return string
     */
    public function encrypt($content, $extraKey = null)
    {
        return Helper_Cryption_Rijndael::encrypt($content, $this->getSalt($extraKey));
    }

为什么我们要使用盐值。在回答这个问题之前,我们讨论一下加密算法,常用的加密算法大致分为两种:可逆和不可逆,如MD5()不可逆。RijnDael可逆。

在不可逆的加密算法中,加盐值通常是“锦上添花”,因为类似于Md5()这样的算法已经够用了,如果还担心的会被暴力破解的话,可加点盐。 如:

md5('VoyageMobile:' . $this->getSalt($extraKey));
重点是在可逆的算法中使用加盐值。

在我们的游戏中,我们需要对用户ID即UID使用可逆算法加密,为什么呢,如果不加密会很危险,例如,其它玩家获取到你的UID可以重复攻击你,或者改一下UID就可以攻击其他玩家,在造船厂,改一下船的ID,如果后台不验证,就可以随意造船了,这就是串号攻击。还有一个特殊的情况,如果我知道了一个装备的ID,如果这个装备恰好是赠品,不能在商店出售,我可以伪造一个URL请求购买,这个时候,后台判断这个商品确实存在(因为它是赠品),所以可能购买成功。

这个时候就要对ID加密了,而且还是可逆的,因为我需要知道你将要攻击谁,购买什么装备,对吧。这个时候或许加盐的必要性还是没有体现出来,因为我对ID加密就比较安全了,这样就可以防止串号了,何必还有一个加盐值。

请注意,会有这样的情况,在活动模块中,我得到一个装备,我虽然不知道itemId,当是我知道了这个装备ID加密后的一串数字。然后我就去拿这个数字去商店里面购买这个装备,而这个装备又是不能购买的。在数据库中,我们把不能购买的装备的价格设置为0,并且和能购买的装备放在一个表中。 注意,这样的设计导致我能够购买到这个装备,而且一毛钱不花!

怎样解决这个问题,我们就需要加盐了。思路就是,在活动模块中,给所有的装备加密使用盐值,在商店模块中,也给所有的装备加盐,使用不同的盐值。这样的结果就是同一个装备,在不同的模块itemId也是不同的。

在后台也需要加一个判断,这个装备是否能购买!

这就是加盐的一个好处。

需要注意点:

保证盐值的唯一行,在我们游戏中,通常会使用到玩家UID造盐,这样,不同的玩家看到的加密后的字符串也不一样。

保证盐值的时效性,这也是出于安全的考虑,经常换盐值,这样加密后的字符串也是变动的,不容易找到规律。



你可能感兴趣的:(加密算法中的加盐值)