我們知道，現(xiàn)在網(wǎng)絡(luò)上一般的網(wǎng)站，稍微完善一點(diǎn)的，往往都需要用戶先注冊(cè)，提供諸如電子郵件、賬號(hào)、密碼等信息以后，成為網(wǎng)站欄目的注冊(cè)用戶，才可以享受網(wǎng)站一些特殊欄目提供的信息或者服務(wù)，比如免費(fèi)電子郵件、論壇、聊天等，都需要用戶注冊(cè)。而對(duì)于電子商務(wù)網(wǎng)站，比如igo5等大型電子商務(wù)網(wǎng)站，用戶需要購(gòu)買商品，就一定需要詳細(xì)而準(zhǔn)確的注冊(cè)，而這些信息，往往是用戶很隱秘的信息，比如電話、電子郵件、地址等，所以，注冊(cè)信息對(duì)于用戶和網(wǎng)站都是很重要的資源，不能隨意透露，更加不能存在安全上的隱患。

如果我們也設(shè)計(jì)一個(gè)需要用戶注冊(cè)的網(wǎng)站，根據(jù)現(xiàn)在的常用技術(shù)實(shí)現(xiàn)方法，可以在數(shù)據(jù)庫(kù)中建立一個(gè)用于存放用戶信息的表，這個(gè)表中至少包括用戶賬號(hào)字段：UserAccount和用戶密碼字段：Password，當(dāng)然，實(shí)際應(yīng)用中一個(gè)用戶信息表不可能就只有這些信息，往往根據(jù)網(wǎng)站服務(wù)要求，會(huì)適當(dāng)增加一些其他的信息，以方便網(wǎng)站提供更加完善的服務(wù)。一般的，一個(gè)用戶信息占用這個(gè)用戶信息表的一行也就是一個(gè)數(shù)據(jù)記錄，當(dāng)用戶登錄或者提交資料的時(shí)候，程序?qū)⒂脩籼顚懙男畔⑴c表中的信息對(duì)照，如果用戶賬號(hào)和密碼都準(zhǔn)確無(wú)誤，那么說(shuō)明這個(gè)用戶是合法用戶，通過(guò)注冊(cè)；反之，則是非法用戶，不許通過(guò)。

然而，是不是這樣就安全了了？是不是這樣就能滿足網(wǎng)站的注冊(cè)要求了呢？仔細(xì)想想，我們一般將用戶資料直接保存在數(shù)據(jù)庫(kù)中，并沒(méi)有進(jìn)行任何的保密措施，對(duì)于一些文件型數(shù)據(jù)庫(kù)比如Access等，如果有人得到這個(gè)文件，豈不是所有的資料都泄露無(wú)疑？更加重要的是，如果一個(gè)不負(fù)責(zé)任的網(wǎng)管，不需要任何技術(shù)手段，就可以查看網(wǎng)站中的任何資料，如果我們的用戶信息在數(shù)據(jù)庫(kù)中沒(méi)有加密，對(duì)于網(wǎng)管而言，查看這些信息是太簡(jiǎn)單了。所以，為了增加安全性，我們有必要對(duì)數(shù)據(jù)庫(kù)中的資料進(jìn)行加密，這樣，即使有人得到了整個(gè)數(shù)據(jù)庫(kù)，如果沒(méi)有解密算法，也一樣不能查看到數(shù)據(jù)庫(kù)中的用戶信息。但是，在考慮數(shù)據(jù)庫(kù)是否安全之前，我們有必要對(duì)我們的數(shù)據(jù)是否真的那么重要進(jìn)行考慮，如果數(shù)據(jù)只是簡(jiǎn)單的一些文件資料，沒(méi)有保密的必要，顯然，沒(méi)有必要對(duì)這些數(shù)據(jù)進(jìn)行加密而浪費(fèi)系統(tǒng)資源、加重程序負(fù)擔(dān)，如果這些數(shù)據(jù)具有一定的隱私性，當(dāng)然就有必要進(jìn)行加密。所以，在考慮加密以前，我們可以對(duì)需要加密的數(shù)據(jù)做適當(dāng)?shù)倪x擇，以免浪費(fèi)系統(tǒng)資源。


●MD5加密算法簡(jiǎn)單介紹

在現(xiàn)階段，我們一般認(rèn)為存在兩種加密方式，單向加密和雙向加密。雙向加密是加密算法中最常用的，它將我們可以直接理解的明文數(shù)據(jù)加密為我們不可直接理解的密文數(shù)據(jù)，然后，在需要的時(shí)候，可以使用一定的算法將這些加密以后的密文解密為原來(lái)可以理解的明文。雙向加密適合于隱秘通訊，比如，我們?cè)诰W(wǎng)上購(gòu)物的時(shí)候，需要向網(wǎng)站提交信用卡密碼，我們當(dāng)然不希望我們的數(shù)據(jù)直接在網(wǎng)上明文傳送，因?yàn)檫@樣很可能被別的用戶“偷聽(tīng)”，我們希望我們的信用卡密碼是通過(guò)加密以后，再在網(wǎng)絡(luò)傳送，這樣，網(wǎng)站接受到我們的數(shù)據(jù)以后，通過(guò)解密算法就可以得到準(zhǔn)確的信用卡賬號(hào)。

單向加密剛好相反，只能對(duì)數(shù)據(jù)進(jìn)行加密，也就是說(shuō)，沒(méi)有辦法對(duì)加密以后的數(shù)據(jù)進(jìn)行解密?？赡芪覀兞⒓淳蜁?huì)想，這樣的加密有什么用處？不能解密的加密算法有什么作用呢？在實(shí)際中的一個(gè)應(yīng)用就是數(shù)據(jù)庫(kù)中的用戶信息加密，當(dāng)用戶創(chuàng)建一個(gè)新的賬號(hào)或者密碼，他的信息不是直接保存到數(shù)據(jù)庫(kù)，而是經(jīng)過(guò)一次加密以后再保存，這樣，即使這些信息被泄露，也不能立即理解這些信息的真正含義。

MD5就是采用單向加密的加密算法，對(duì)于MD5而言，有兩個(gè)特性是很重要的，第一是任意兩段明文數(shù)據(jù)，加密以后的密文不能是相同的；第二是任意一段明文數(shù)據(jù)，經(jīng)過(guò)加密以后，其結(jié)果必須永遠(yuǎn)是不變的。前者的意思是不可能有任意兩段明文加密以后得到相同的密文，后者的意思是如果我們加密特定的數(shù)據(jù)，得到的密文一定是相同的。

MD5CyptoServiceProvider類是.NET中System.Security.Cryptography名字空間的一個(gè)類，提供專門用于MD5單向數(shù)據(jù)加密的解決方法，也是本文中我們用來(lái)加密數(shù)據(jù)庫(kù)中密碼的類。在真正進(jìn)行數(shù)據(jù)加密之前，我們首先來(lái)了解MD5CyptoServiceProvider類中的主要方法：ComputeHash，它將輸入的明文數(shù)據(jù)數(shù)組使用MD5加密以后輸出加密后的密文數(shù)據(jù)數(shù)組。現(xiàn)在，我們就來(lái)看一個(gè)具體的實(shí)例：

'要加密的明文字符串

Dim strPlainText as String = "Encrypt me!"


'用于存放明文字符串的數(shù)組

Dim hashedDataBytes as Byte()


Dim encoder as New UTF8Encoding()


'建立MD5CryptoService實(shí)例

Dim md5Hasher as New MD5CryptoServiceProvider()


'加密運(yùn)算

hashedDataBytes = md5Hasher.ComputeHash(encoder.GetBytes(strPlainText))


看完以上的具體實(shí)例以后，我們知道，ComputeHash方法只能接受數(shù)組作為加密對(duì)象，輸出的密文也是數(shù)組，因此，在對(duì)字符串加密之前，我們必須首先將這些字符串轉(zhuǎn)化為數(shù)組，這就要用到UTF8Encoding類的GetBytes方法，將字符串轉(zhuǎn)化為數(shù)組，而加密以后的結(jié)果也是使用數(shù)組輸出。

以上我們大致了解了MD5的具體加密實(shí)現(xiàn)方法，下面，我們結(jié)合數(shù)據(jù)庫(kù)來(lái)看看MD5的實(shí)際使用。


●使用MD5存儲(chǔ)密碼

在前面的介紹中，我們提到網(wǎng)站往往將用戶的賬號(hào)、密碼等信息使用非加密的方式保存到數(shù)據(jù)庫(kù)，比如賬號(hào)使用類型為VarChar的UserCount字段，同樣，密碼也是采用類型為VarChar的Password字段。但是，如果我們打算采用MD5加密方式存儲(chǔ)密碼信息，就必須改變密碼字段PassWord的類型為16為二進(jìn)制方式，這個(gè)其實(shí)我們也不難理解，因?yàn)樵谇懊娴慕榻B中，我們知道加密以后的輸出，是使用二進(jìn)制數(shù)組的，所以，這里必須做相應(yīng)的改變。

當(dāng)用戶注冊(cè)成功，正式建立一個(gè)賬號(hào)的時(shí)候，數(shù)據(jù)庫(kù)中就必須為這個(gè)用戶增加一條記錄。以下的程序代碼實(shí)現(xiàn)了建立一個(gè)賬號(hào)的功能，在頁(yè)面中，程序要求用戶輸入賬號(hào)、密碼等信息，然后，將這些信息作為賬號(hào)信息存入名為UserCount的數(shù)據(jù)表，在這個(gè)表中，用戶密碼是使用MD5加密保存的。下面就是實(shí)現(xiàn)以上頁(yè)面的具體代碼：

<%@ Import Namespace="System.Security.Cryptography" %>

<%@ Import Namespace="System.Text" %>

<%@ Import Namespace="System.Data" %>

<%@ Import Namespace="System.Data.SqlClient" %>

<script runat="server" language="VB">

Sub CreateAccount(sender as Object, e as EventArgs)

'1. 建立數(shù)據(jù)庫(kù)連接

Const strConnString as String = "connection string"

Dim objConn as New SqlConnection(strConnString)


'2. 建立Command對(duì)象

Dim strSQL as String = _

"INSERT INTO UserAccount(Username,Password) " & _

"VALUES(@Username, @Password)"

Dim objCmd as New SqlCommand(strSQL, objConn)


'3. SQL參數(shù)

Dim paramUsername as SqlParameter

paramUsername= New SqlParameter("@Username", SqlDbType.VarChar, 25)

paramUsername.Value = txtUsername.Text

objCmd.Parameters.Add(paramUsername)


'加密用戶密碼

Dim md5Hasher as New MD5CryptoServiceProvider()


Dim hashedBytes as Byte()

Dim encoder as New UTF8Encoding()


hashedBytes=md5Hasher.ComputeHash(encoder.GetBytes(txtPwd.Text))


Dim paramPwd as SqlParameter

paramPwd = New SqlParameter("@Password", SqlDbType.Binary, 16)

paramPwd.Value = hashedBytes

objCmd.Parameters.Add(paramPwd)


'加入數(shù)據(jù)庫(kù)

objConn.Open()

objCmd.ExecuteNonQuery()

objConn.Close()


End Sub

</script>


<form runat="server">

<h1>建立一個(gè)賬號(hào)</h1>

用戶名：<asp:TextBox runat="server" id="txtUsername" />

<br />密碼：

<asp:TextBox runat="server" id="txtPwd" TextMode="Password" />

<p><asp:Button runat="server" Text="建立用戶賬號(hào)"

OnClick="CreateAccount" /></p>

</form>


在以上程序?qū)崿F(xiàn)的頁(yè)面中，“用戶名”和“密碼”輸入框要求用戶輸入自己的賬號(hào)和密碼，用戶輸入自己的信息以后，按“建立用戶賬號(hào)”按鈕，就可以建立一個(gè)賬號(hào)并且存入數(shù)據(jù)庫(kù)。我們同時(shí)需要特別注意，因?yàn)橐陨系某绦蚴褂玫搅薓D5加密和數(shù)據(jù)庫(kù)等功能，所以，在代碼最開(kāi)頭，我們引入了幾個(gè)稍微特別一點(diǎn)的名字空間，這是不可缺少的。
我們可以看到，PassWord字段的信息是二進(jìn)制方式保存的，即使數(shù)據(jù)庫(kù)被人取得，也不可能知道密碼具體是什么意思。當(dāng)然，密碼也就不會(huì)泄露。


●使用MD5鑒別是否合法用戶


既然用戶密碼是按照MD5加密以后保存在數(shù)據(jù)庫(kù)中的，我們知道，MD5是單次加密算法，所以，不可能將加密以后的信息轉(zhuǎn)為明文，也就是說(shuō)，已經(jīng)沒(méi)有辦法知道。這就出現(xiàn)一個(gè)問(wèn)題，如果用戶使用賬號(hào)、密碼登錄，怎么知道用戶提供的密碼是否準(zhǔn)確呢？

這就不得不提到我們前文說(shuō)到的MD5的特征，我們知道，任意一段明文數(shù)據(jù)，經(jīng)過(guò)加密以后，其結(jié)果必須永遠(yuǎn)是不變的，也就是說(shuō)，如果需要驗(yàn)證用戶密碼是否正確，只需要將用戶當(dāng)前提供的密碼使用MD5加密，然后和數(shù)據(jù)庫(kù)中保存的密碼字段比較就可以了。以下代碼就可以實(shí)現(xiàn)這個(gè)功能：

<%@ Import Namespace="System.Security.Cryptography" %>

<%@ Import Namespace="System.Text" %>

<%@ Import Namespace="System.Data" %>

<%@ Import Namespace="System.Data.SqlClient" %>

<script runat="server" language="VB">

Sub Login(sender as Object, e as EventArgs)

'1. 建立數(shù)據(jù)庫(kù)連接

Const strConnString as String = "connection string"

Dim objConn as New SqlConnection(strConnString)


'2. 建立Command對(duì)象

Dim strSQL as String = "SELECT COUNT(*) FROM UserAccount " & _

"WHERE Username=@Username AND Password=@Password"

Dim objCmd as New SqlCommand(strSQL, objConn)


'3. SQL參數(shù)

Dim paramUsername as SqlParameter

paramUsername = New SqlParameter("@Username", SqlDbType.VarChar, 25)

paramUsername.Value = txtUsername.Text

objCmd.Parameters.Add(paramUsername)


'加密密碼信息

Dim md5Hasher as New MD5CryptoServiceProvider()


Dim hashedDataBytes as Byte()

Dim encoder as New UTF8Encoding()


hashedDataBytes = md5Hasher.ComputeHash(encoder.GetBytes(txtPwd.Text))


Dim paramPwd as SqlParameter

paramPwd = New SqlParameter("@Password", SqlDbType.Binary, 16)

paramPwd.Value = hashedDataBytes

objCmd.Parameters.Add(paramPwd)


objConn.Open()

Dim iResults as Integer = objCmd.ExecuteScalar()

objConn.Close()


If iResults = 1 then

'正確

Else

'錯(cuò)誤

End If

End Sub

</script>


<form runat="server">

<h1>Login</h1>

用戶賬號(hào): <asp:TextBox runat="server" id="txtUsername" />

<br />密碼:

<asp:TextBox runat="server" id="txtPwd" TextMode="Password" />

<p><asp:Button runat="server" Text="Login" OnClick="登錄" />

</form>


●使用加密方式保存密碼到數(shù)據(jù)庫(kù)的限制

在決定是否使用加密方式保存密碼以前，我們還需要考慮一些問(wèn)題。因?yàn)镸D5是單次加密算法，加密以后的信息不可以解密，所以，如果用戶丟失密碼，任何人都很難找到用戶原來(lái)的密碼，這時(shí)候，網(wǎng)站也就相應(yīng)的失去一個(gè)很重要的功能，那就是用戶提供其他信息來(lái)取得忘記的密碼的功能，這不能不說(shuō)是網(wǎng)站的一個(gè)大缺陷。另外，采用這樣的加密方式，必須完全修改以前的用戶資料，要求用戶完全重新注冊(cè)，這也是這種方法比較困難的一個(gè)地方。


●總結(jié)

以上我們?cè)敿?xì)介紹了MD5加密用戶密碼的實(shí)現(xiàn)方法，同時(shí)，也介紹了采用加密密碼方式以后，用戶鑒別的實(shí)現(xiàn)。并討論了使用這種加密方式的應(yīng)用限制。在實(shí)際應(yīng)用中，我們可以將次方法做適當(dāng)?shù)男薷暮脱a(bǔ)充，以更加適合我們的應(yīng)用需要。