问题是:我有一个脚本(用PHP编写),能够获得命令,收集和发送私人数据(这只是备份脚本)。主服务器将要求脚本获取数据。
现在我有三个安全问题要解决:
- 我想禁止任何其他服务器请求私有数据(没有服务器,除了允许,可以执行任何命令)
- 我想加密请求-我将在其中发送私有数据(例如要传输的文件名,这被认为是私有的)
- 我想加密响应-脚本将输出私有数据(文件内容)。
有没有人知道如何实现这些点,或者在这个问题上有什么有趣的想法?
我的想法是:
- 在我将它部署到远程服务器之前,生成某种安全密码和加密脚本。我存储密码并在请求中传递它-它将解密脚本(这在PHP中很容易)。然后远程脚本可能会向主服务器发送请求,询问该命令是否被授权。另外,我可以检查服务器的IP。
- 我还将生成另一个安全密码,用于编码/解码请求中的所有敏感数据。
- 这里的想法是使用同样的编码/解码方法从2,但也不直接发送响应。脚本将向服务器发送请求并给出答案。(使用HTTPS)。这将不会让数据离开连接,也将确保我们使用HTTPS(我不知道远程服务器的状态,但我确信主服务器有强大的SSL)。
够了吗?你还要补充什么吗?你是怎么想的?
问候,Jakub Krol .
- 可以使用客户端证书认证。您将为每个客户端生成证书,然后您的服务器(即您正在谈论的脚本)将检查它是否知道给定的客户端。例如,在这里查看有关在PHP中使用客户端证书的信息。
- 由于您的客户端知道将数据发送给谁,因此您可以使用非对称加密。客户端使用服务器的公钥对请求进行加密。服务器将用它的私钥解密请求。在google/bing搜索
assymetric encryption in php - 与第2点类似,您的服务器可以使用它的公钥为给定客户端加密数据。