XOR算法原理

從加密的主要方法看，換位法過于簡單，特別是對(duì)于數(shù)據(jù)量少的情況很容易由密文猜出明文，而替換法不失為一種行之有效的簡易算法。

從各種替換法運(yùn)算的特點(diǎn)看，異或運(yùn)算最適合用于簡易加解密運(yùn)算，這種方法的原理是:當(dāng)一個(gè)數(shù)A和另一個(gè)數(shù)B進(jìn)行異或運(yùn)算會(huì)生成另一個(gè)數(shù)C，如果再將C和B進(jìn)行異或運(yùn)算則C又會(huì)還原為A。

相對(duì)于其他的簡易加密算法，XOR算法的優(yōu)點(diǎn)如下。

(1)算法簡單，對(duì)于高級(jí)語言很容易能實(shí)現(xiàn)。

(2)速度快，可以在任何時(shí)候、任何地方使用。

(3)對(duì)任何字符都是有效的，不像有些簡易加密算法，只對(duì)西文字符有效，對(duì)中文加密后再解密無法還原為原來的字符。

XOR算法實(shí)現(xiàn)

上一部分介紹了如何使用XOR運(yùn)算進(jìn)行加密/解密的原理，本節(jié)將使用其加密用戶的登錄信息。根據(jù)上一小節(jié)介紹的XOR加密算法的原理，不難寫出以下的加密解密函數(shù)。首先列出加密算法。

第4行定義了加密函數(shù)myEncrypt()，輸入?yún)?shù)$string為明文，而$key為密鑰;輸出為使用$key作為密鑰并使用XOR加密算法產(chǎn)生的密文。 
第6～12行的外層for循環(huán)對(duì)明文字符串的每一個(gè)字符進(jìn)行循環(huán)，而內(nèi)層的for循環(huán)(第8～11行)對(duì)明文的每一字符循環(huán)與密鑰的每一位做異或運(yùn)算。其原理已經(jīng)在上一小節(jié)中介紹，不再重述。 
同樣，與加密函數(shù)類似，可以寫出下面的解密函數(shù)。 

第4行定義了解密函數(shù)myDecrypt()，輸入?yún)?shù)$string為密文，而$key為密鑰;輸出為使用$key作為密鑰并使用XOR解密算法產(chǎn)生的明文。 
下面，通過一個(gè)應(yīng)用示例來進(jìn)一步說明加密函數(shù)的功能。 

第3行首先定義了一個(gè)明文$my_password，然后在第4行定義密鑰$my_key。 
第5、6行分別調(diào)用加密函數(shù)生成密文并輸出;反過來，又在第7、8行將密文解密。 
上面示例的運(yùn)行結(jié)果如下。 
my_password=chair 
my_password_en=RYPXC 
my_password_de=chair 
用XOR算法實(shí)現(xiàn)身份驗(yàn)證 
上兩部分分別介紹了使用XOR運(yùn)算進(jìn)行信息加密/解密的原理和實(shí)現(xiàn)，下面，將使用這一方法來對(duì)用戶的登錄密碼進(jìn)行加密。本例中，為了保護(hù)用戶的密碼，系統(tǒng)想要達(dá)到的目的如下。 
·在用戶注冊(cè)時(shí)，用戶需要添寫用戶密碼表單。 
·除用戶本人之外，其他任何人都無法獲取其密碼信息，包括系統(tǒng)設(shè)計(jì)者和數(shù)據(jù)庫管理員。 
·系統(tǒng)能根據(jù)用戶輸入的密碼驗(yàn)證用戶的合法性。 
為了達(dá)到以上目的，使用XOR算法時(shí)可以選擇用戶名作為明文，而密鑰是用戶自定義的密碼，然后將加密后的用戶名存儲(chǔ)在數(shù)據(jù)庫中。 
另外，在用戶登錄的時(shí)候，有以下兩種方式來驗(yàn)證合法用戶。 
(1)根據(jù)其提交的用戶名(明文)和密碼(密鑰)信息重新加密，并使用加密后的信息與數(shù)據(jù)庫中存儲(chǔ)的密碼信息進(jìn)行比較，如果相等，則用戶合法，否則，為非法用戶。 
(2)根據(jù)數(shù)據(jù)庫中存儲(chǔ)的密碼信息(明文)和用戶輸入的密碼(密鑰)信息進(jìn)行解密，并把加密后的信息與用戶提交的用戶名進(jìn)行比較，如果相等，則用戶合法，否則，為非法用戶。 
兩種方式都可以實(shí)現(xiàn)第3個(gè)目的，本例，將采用第2種方式。本例的實(shí)現(xiàn)代碼可在18.4.1節(jié)“用戶登錄"和18.4.2節(jié)“檢查用戶"的實(shí)現(xiàn)基礎(chǔ)之上實(shí)現(xiàn)，其中“用戶登錄"頁面無需變化，“檢查用戶"的實(shí)現(xiàn)參考如下。 

第7行引入了加密函數(shù)文件encrypy_xor.php，包括上一小節(jié)介紹的兩個(gè)函數(shù)。 
第19行，使用用戶提交的用戶名和密碼得到加密后的密碼值，并且對(duì)于新用戶，在第44行將這個(gè)加密后的值存儲(chǔ)在數(shù)據(jù)庫中。 
另外，對(duì)于老用戶，在第24獲取數(shù)據(jù)庫中用戶名和加密后的密碼信息，并在25行利用這兩個(gè)值進(jìn)行解密，然后在第28行通過比較解密后的值與用戶提交的用戶名信息來檢查用戶的合法性。 
自動(dòng)生成密鑰 
上一部分介紹了如何使用XOR加密算法進(jìn)行對(duì)用戶信息的加密，其中，用戶所輸入的口令信息實(shí)際上成為了加密算法中的密鑰，而用戶名作為明文使用，雖然這能很好地完成功能，但是在邏輯上，這種方法似乎有些不合理。 
本文將介紹一種自動(dòng)生成密鑰的技術(shù)，可以使用自動(dòng)生成的密鑰對(duì)用戶提交的密碼明文加密，使邏輯更加合理一些。 
本例，假設(shè)生成的密鑰為512位。代碼如下。 

代碼包括3個(gè)函數(shù)。 
◆ generate_key($len):自動(dòng)生成長度為$len的密鑰 
◆ write_key($key,$file_name):將密鑰寫入文件$file_name 
◆ get_key($file_name):讀取密鑰文件$file_name中的密鑰值 
在使用時(shí)，當(dāng)用戶第一次登錄系統(tǒng)時(shí)，自動(dòng)為其生成密鑰值，對(duì)于這個(gè)密鑰值，可以有兩種方式來處理。 
(1)將其存入數(shù)據(jù)庫的某個(gè)字段中，這種方法的缺點(diǎn)是密鑰在數(shù)據(jù)庫中的安全性無法得到保證; 
(2)將這個(gè)密鑰保存在用戶本地的文件中，這樣就可以避免密鑰被別人獲取，但這種方式的缺點(diǎn)是，當(dāng)用戶使用其他機(jī)器訪問系統(tǒng)時(shí)，就無法登錄。 
本例中，將使用第2種方式。 
具體地，上面代碼第11～18行通過生成隨機(jī)數(shù)的方式來不斷生成密鑰，并通過一個(gè)計(jì)算來增強(qiáng)其復(fù)雜性。其中的lowerbound和upperbound的數(shù)值其實(shí)就是你想使用來加密的ASCII字符范圍。下面是生成的一個(gè)密鑰文件示例。 
208123915925183361116049369344372701567721435181102718332639307390344373445407 
524316475863232913993383189547474747394154915312639841226741894189965623523913 
011164730113445201935692839710274127251577929493941487145611337531549110895367 
593586318332391170941272701152344371709270125776235313540032267139933835677407 
617384135696111239130732949469623520815987524358635491542913374933524334454251 
400327015367133759324537171709152357391089524342514685239122673135531363151191 
833412771743139654… 
最后，需要把密鑰保存在服務(wù)器上一個(gè)安全的地方，然后就可以利用其和諸如XOR這樣的加密算法來對(duì)用戶信息進(jìn)行加密/解密了。如何在上一部分介紹的XOR中使用這個(gè)密鑰非常簡單，不再詳述。