0

我正在开发一个 SSO 解决方案,该解决方案必须接收 SAML2.0 断言来登录用户。这一直有效,直到断言需要加密数据。断言响应如下所示(删减了一些信息):

<samlp:Response IssueInstant="2013-07-09T21:00:22.884Z" ID="..." Version="2.0" xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol">
    <saml:Issuer xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">...</saml:Issuer>
    <samlp:Status>
        <samlp:StatusCode Value="urn:oasis:names:tc:SAML:2.0:status:Success"/>
    </samlp:Status>
    <saml:EncryptedAssertion xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion">
        <xenc:EncryptedData Type="http://www.w3.org/2001/04/xmlenc#Element" xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
            <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
            <ds:KeyInfo xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
                <xenc:EncryptedKey xmlns:xenc="http://www.w3.org/2001/04/xmlenc#">
                    <xenc:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#rsa-1_5"/>
                    <xenc:CipherData>
                        <xenc:CipherValue>BB9KCO...gRGc7w03zZ5Q==</xenc:CipherValue>
                    </xenc:CipherData>
                </xenc:EncryptedKey>
            </ds:KeyInfo>
            <xenc:CipherData>
                <xenc:CipherValue>kb/HpNix...TcvxjypM</xenc:CipherValue>
            </xenc:CipherData>
        </xenc:EncryptedData>
    </saml:EncryptedAssertion>
</samlp:Response>

如您所见,有一个加密的密钥和加密的数据。他们获得了一个证书,他们从中提取了用于加密的公钥。我的理解是我会使用我们的私钥来解密EncryptedKey,然后使用该密钥来解密EncryptedData。但解密继续失败。

我是这样测试的:

$data ='....'; //Contains the EncryptedKey cipherdata
$privateKey = '....'; //Contains the private key
$decrypted = null; //destination for decrypted data
$result = openssl_private_decrypt($data, $decrypted, $privateKey);

$result将为 FALSE 并且$decrypted为 NULL。我已经用公钥加密了数据并用私钥成功解密了它,所以我确信包含它们的 X.509 证书是有效的。有人可以对此有所了解吗?提前致谢。

4

1 回答 1

0

我在这里发现了问题。在解密之前,我需要对 cipherkey 和 cipherdata 进行 base64_decode。

于 2013-07-15T15:57:57.537 回答