基于Yii2+sb2文件加解密管理系統的設計與實現

劉氫

（上海市國有資產信息中心 上海市 200000）

隨著單位信息化工作的持續開展，各類業務信息系統存儲了大量加密和非加密的基礎文件，要及時準確地獲取這些基礎數據，并安全的與相關單位進行數據交換并不容易。如何科學有效地管理文件加解密工作是問題的關鍵所在。

本文提出的基于Yii2+springboot2 的文件加解密管理系統，可以高效解決該問題，對相關單位企業有較高的參考價值。

1 系統架構設計與運行環境

1.1 系統架構設計

傳統系統設計流程包括數據庫表設計，業務邏輯設計，前端界面設計，后端接口設計等，流程中每一步都需要消耗大量的時間與精力，同時還需要兼顧程序代碼的規范性，可讀性與可擴展性,這樣會導致研發成本過高[1]。現代系統開發模式崇尚高效開發，減少重復造輪子的工作，我們可以在成熟的開發框架上進行二次開發。Yii2 和springboot2 就是兩個成熟的開發框架。

Yii2 是一個高性能、安全、專業的全棧開源Web 開發框架，可以用于快速開發各種使用 PHP 語言構建的中大型Web 應用。Yii2 框架實現了MVC 設計模式，每個應用都通過唯一的一個入口腳本web/index.php 文件接受Web 請求并創建控制器實例，該控制器實例創建相應的動作實例，在該請求通過系統驗證之后，則執行該動作實例[2]。Yii2 框架集成了用戶登錄系統及前端ui 系統，并采用模塊化的集成方式，所以在該框架上進行開發可以專注于業務邏輯的設計。

Springboot2 也是一個非常優秀的開發框架，其設計目的是用來簡化 web 應用的初始搭建及開發過程。借助Springboot2 框架可以快速實現后端的接口開發。

單就文件加解密管理系統而言，我們可以只采用兩個開發框架中的任何一個，都可以實現所有功能，但是我們嘗試結合兩個框架的優點，以期顯著提高開發效率和代碼質量。系統整體設計圖結構如圖1所示。

Yii2 框架的優點之一在于Yii2 有自動生成前端頁面的gii 工具，Yii2 的視圖模塊可以通過gii 工具一鍵生成，極高的節省了前端設計和開發的時間，所以把涉及到文件管理的部分放在Yii2 框架里完成。而Springboot2 框架的優點之一在于接口開發的快速，運用idea 工具生成springboot 項目文件之后，只需要在對應的類下寫好相應的路由和函數即可實現相關業務邏輯接口，同時考慮到java 版本的加解密算法庫比php 的加解密算法庫要更多更全面，所以把涉及到文件加解密的邏輯放在springboot2 框架下實現。

1.2 運行環境搭建

本系統運行環境搭建在Linux 操作系統上。因為Yii2 是基于php 語言的開發框架，而springboot2 是基于java 語言的開發框架，所以需要在Linux 上安裝php 和java 的執行環境，同時需要安裝web 服務器來保證網絡能對外提供訪問服務。

最后選用xampp 集成環境作為系統運行的承載方式。XAMPP的名稱來自以下技術的組合：X（支持跨平臺）、Apache、MySQL或 MariaDB、PHP、Perl。XAMPP 是一個把 Apache 網頁服務器與PHP、Perl 腳本語言及 MariaDB 數據庫集合在一起的安裝包，允許用戶可以在虛擬機上方便的建立網頁服務器環境。同時，系統采用jdk1.8 來支撐java 應用的執行。

2 系統總體設計

文件加解密管理系統的主要模塊包括：用戶管理模塊，文件管理模塊，文件加密模塊，文件解密模塊。其中，用戶管理模塊包括用戶注冊，登錄及權限管理；文件管理模塊包括文件上傳下載，文件crud（增刪改查），文件命名規范；文件加密模塊包括密鑰生成，對稱加密和非對稱公鑰加密；文件解密模塊包括獲取密鑰，對稱私鑰解密和非對稱私鑰解密。各模塊之間相互聯系，方便了在線管理文件加解密流程。如圖2所示。

圖1：系統整體設計圖

圖2：系統功能模塊

圖3：文件加解密流程圖

2.1 用戶管理模塊

文件加解密管理系統的用戶管理模塊涉及到用戶注冊，用戶登錄，及用戶的權限管理。其中用戶注冊和登錄模塊為Yii2 框架自帶功能，用戶的權限管理模塊則是通過兼容Yii2 框架的Yii2-admin插件來實現。Yii2 的初始訪問權限只區分了游客和管理員，如果需要擴展訪問權限，需要自己編寫代碼配合Yii2 自帶的rbac 組件去實現權限管理，而Yii2-admin 是將rbac 的管理可視化，只需要在可視化界面上操作就能設置好權限管理規則，并在數據庫的規則表里生成相關記錄。

2.2 文件管理模塊

文件管理模塊包含文件的上傳下載功能，文件的增刪改查功能及文件命名規范管理功能。

通過Yii2 框架里自帶的 yiiwebUploadedFile 類，再結合前端小部件和對應的模型類，就可以快速開發好安全的文件上傳功能。

文件下載則是通過訪問文件路徑實現直接下載。

文件的增刪改查主要是指文件路徑的增刪改查，文件管理模塊對應的表名為file，Yii2 框架通過gii 工具，可以為file 表創建對應的模型類，控制器類及對應的視圖文件。

文件命名主要由五個部分構成：

單位代碼_業務代碼_版本代碼_時間戳_32 位的唯一ID

其中時間戳由年月日和日期對應的時間戳前6 位組合而成，32 位唯一ID 則通過生成通用唯一識別碼(UUID:Universally Unique Identifier)算法得出。

UUID 生成的基礎原理就是采用md5 函數生成密碼字符串，然后用substr 函數在里面截取對應8-4-4-4-12 個字符，其中每個字符是 0-9 或 a-f 范圍內的一個十六進制的數字，這樣就可以拼出一個32 位的uuid。

2.3 文件加解密模塊

隨著時代的發展,信息安全已經成為不容忽視的問題。單一的密碼體制越來越不能滿足信息安全領域的需求,混合密碼體制將成為研究的重要趨勢。數字信封是一種通過公鑰密碼算法加密并分發對稱密碼算法密鑰的混合加解密方法[3]。

文件加解密管理系統里也用到了數字信封技術。在對稱加密中，數據發送方將明文（原始數據）和加密密鑰一起經過特殊加密算法處理后，使其變成復雜的加密密文發送出去。接收方收到密文后，若想解讀原文，則需要使用加密密鑰及相同算法的逆算法對密文進行解密，才能使其恢復成可讀明文。在對稱加密算法中，使用的密鑰只有一個，發收信雙方都使用這個密鑰對數據進行加密和解密[4]。

對稱加密算法的優點在于執行速度快，缺點在于密鑰的傳輸安全及管理情況，一旦對稱加密算法所用的密鑰在傳輸過程中被盜，則傳輸信息的安全性就無法得到保障。為了解決傳輸過程中的數據安全問題，業界提出了非對稱加密算法。

非對稱加密算法中使用到兩個密鑰，一個是可以公開傳輸的密鑰，簡稱公鑰，一個是自己保存的私鑰。非對稱加密算法的基本原理是：由數據傳輸的接收方根據特定的非對稱加密算法生成兩個密鑰，即公鑰和私鑰，然后把公鑰傳遞給數據傳輸的發起方，數據傳輸的發起方對要傳輸的數據用公鑰進行加密，數據接收方收到的是加密后的數據，再用開始生成的私鑰對該數據進行解密，就得到了原始的裸數據。非對稱加密算法的缺點在于算法的復雜度高，從而使得加解密速度沒有對稱加密算法的執行速度快。

數字信封技術綜合了對稱加密算法和非對稱加密算法的優點。顧名思義，數字信封就相當于把一把鑰匙放在信封里，公開傳遞的是信封（公鑰），這樣保證了鑰匙（私鑰）的安全性。

文件加密模塊主要包括生成對稱加密需要的私鑰key1，然后對原始文件A 進行加密處理，得到對稱加密后的文件B；獲取非對稱加密所需要的公鑰C，然后對對稱加密需要的私鑰key1 進行加密，得到非對稱加密后的私鑰,即數字信封。

文件解密模塊主要包括獲取非對稱加密算法所需的私鑰D，然后對數字信封進行解密，獲取對稱加密算法所需的密鑰key1，最后對用key1 對文件B 進行解密，得到最后的原始文件A。

3 結語

根據實際工作需要，設計與實現了基于Yii2+springboot2 的文件加解密管理系統，將之前需要零散手工處理的加解密工作，系統化集成到系統里，有序管理文件的上傳下載及加解密工作，極大的提升了工作效率。

用戶管理模塊和文件管理模塊采用的Yii2 框架技術，使整個系統的架構符合高內聚、低耦合的設計標準。

在文件加解密方面采用數字信封技術一方面解決了私鑰傳輸過程中的安全性問題，另一方面加解密算法執行效率也可以得到提升。采用springboot2 實現數字信封技術，可以很好的利用java 密碼庫完備的優勢，同時也兼顧了密碼算法的擴展性。

采用兩種成熟框架結合的開發方式可以在確保完成工作需求，保障代碼質量的前提下極大的提升開發效率，是值得推廣的一種開發模式。