移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞絖第1頁
移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞絖第2頁
移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞絖第3頁
移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞絖第4頁
移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞絖第5頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、    移動(dòng)應(yīng)用中用戶密碼存儲(chǔ)與傳輸?shù)姆绞?#160;   王舒 李佳駿摘要:近年來隨著互聯(lián)網(wǎng)信息技術(shù)的高速發(fā)展,移動(dòng)應(yīng)用層出不窮,現(xiàn)如今的移動(dòng)應(yīng)用與人們的生活息息相關(guān),即時(shí)通訊、網(wǎng)上支付等功能在方便人們的同時(shí),帶來了不容小覷的網(wǎng)絡(luò)安全問題,本文通過當(dāng)今熱門應(yīng)用和互聯(lián)網(wǎng)環(huán)境中不同密碼存儲(chǔ)與傳輸?shù)姆绞竭M(jìn)行分析研究,探討如何選擇合適的移動(dòng)應(yīng)用程序用戶密碼存儲(chǔ)與傳輸?shù)姆绞健榱私o用戶帶來更好的體驗(yàn),越來越多的移動(dòng)應(yīng)用程序支持自動(dòng)登錄等功能,用以保持用戶會(huì)話,這就不得不將可以標(biāo)識(shí)用戶身份的重要信息存儲(chǔ)在終端設(shè)備中,如何保證這些數(shù)據(jù)的安全性成為首要問題。近年來信息安全漏洞日

2、益劇增,移動(dòng)應(yīng)用密碼泄露事件層出不窮,對公眾的隱私和財(cái)產(chǎn)都產(chǎn)生了或多或少的影響。網(wǎng)絡(luò)信息安全也成為人們關(guān)注的焦點(diǎn),而用戶密碼存儲(chǔ)與傳輸?shù)姆绞骄褪潜Wo(hù)用戶信息安全的第一道防線,作為開發(fā)者,我們有責(zé)任和義務(wù)探究密碼存儲(chǔ)與傳輸?shù)母鱾€(gè)環(huán)節(jié)可能出現(xiàn)的安全問題,并提出合理可靠的解決方案。關(guān)鍵詞:移動(dòng)應(yīng)用;密碼存儲(chǔ);密碼傳輸:tp311 :a :1009-3044(2018)23-0091-021 密碼存儲(chǔ)現(xiàn)狀1.1采取明文方式存儲(chǔ)密碼這是最原始也是最簡單的密碼存儲(chǔ)的方式,開發(fā)者將用戶的密碼直接存儲(chǔ)在文件系統(tǒng)或數(shù)據(jù)表中。這種方式最大的問題是一旦系統(tǒng)被入侵且入侵者獲得了系統(tǒng)管理員權(quán)限,用戶所有的密碼信息將直接

3、暴露給入侵者。1.2采取非明文方式存儲(chǔ)密碼1.2.1使用對稱或非對稱加密算法對密碼加密后存儲(chǔ)使用des等對稱加密算法或rsa等非對稱加密算法對明文密碼加密后存儲(chǔ)在文件系統(tǒng)或數(shù)據(jù)表中,使用密碼時(shí)采用密鑰進(jìn)行解密。對稱加密算法在加密和解密時(shí)使用同一個(gè)密鑰,非對稱加密算法在加密和解密時(shí)使用不同密鑰,不過都需要開發(fā)者將密鑰存儲(chǔ)在終端設(shè)備中。這種方式在一定程度上保證了用戶的安全,但一旦入侵者獲取到密鑰信息即可解密用戶數(shù)據(jù)。這種密碼存儲(chǔ)做法也出現(xiàn)在早期手機(jī)淘寶中。1.2.2使用哈希加密算法對密碼加密后存儲(chǔ)使用哈希算法對明文密碼進(jìn)行加密后存儲(chǔ)在文件系統(tǒng)或數(shù)據(jù)表中。哈希算法不能通過逆向運(yùn)算得出明文數(shù)據(jù),但入侵

4、者可以使用字典破解或彩虹表破解的方式對密文進(jìn)行破解得到用戶數(shù)據(jù)。1.2.3使用哈希加密算法對加鹽密碼加密后存儲(chǔ)隨機(jī)鹽(隨機(jī)字符串)與明文密碼拼接后使用哈希算法進(jìn)行加密后存儲(chǔ)在文件系統(tǒng)或數(shù)據(jù)表中。既避免了逆向運(yùn)算得出明文數(shù)據(jù),同時(shí)增加了使用彩虹表等方式對密文破解的難度,即使數(shù)據(jù)泄露,也可以將影響降至最低。linux系統(tǒng)正是使用這種方法存儲(chǔ)賬戶的密碼。以上的兩種方法都避免了入侵者逆向運(yùn)算從而得到用戶密碼等信息,但我們?nèi)圆幌M延脩粜畔⒅苯舆\(yùn)算得出的數(shù)據(jù)存儲(chǔ)在終端設(shè)備中,同時(shí)還希望用于表示用戶身份的數(shù)據(jù)能夠時(shí)刻變換,這樣才能盡可能保證用戶密碼等信息的安全。2 密碼傳輸現(xiàn)狀2.1傳輸安全協(xié)議現(xiàn)如今許多

5、應(yīng)用已經(jīng)開始使用https(secure hypertext transfer protocol,安全超文本你傳輸協(xié)議)傳輸重要數(shù)據(jù),使用https可以有效防止數(shù)據(jù)在傳輸中途被竊取,同時(shí)數(shù)據(jù)在傳輸過程中不會(huì)被改變。2.2傳輸數(shù)據(jù)加密在用戶密碼傳輸這種安全性要求較高的過程中,通常會(huì)采用rsa非對稱加密算法對傳輸?shù)臄?shù)據(jù)進(jìn)行加密。以上做法對服務(wù)器資源的開銷較大,許多開發(fā)者不愿或不得不選用http協(xié)議以及其他的加密方式傳輸重要數(shù)據(jù),降低了服務(wù)器壓力但卻提升了用戶信息傳輸?shù)娘L(fēng)險(xiǎn)。3 移動(dòng)應(yīng)用用戶密碼存儲(chǔ)與傳輸?shù)恼w方案設(shè)計(jì)3.1服務(wù)端用戶信息解決方案3.1.1用戶密碼存儲(chǔ)方案使用base64算法將強(qiáng)隨機(jī)

6、數(shù)生成器生成的定長隨機(jī)byte轉(zhuǎn)換為隨機(jī)鹽,與用戶明文密碼進(jìn)行拼接,將拼接后的數(shù)據(jù)使用sha-512算法進(jìn)行加密,將密文和隨機(jī)鹽同時(shí)存入數(shù)據(jù)表。3.1.2用戶訪問標(biāo)識(shí)生成方案為了避免終端設(shè)備被木馬等惡意程序侵入并潛伏,故需要設(shè)計(jì)定期失效的用戶唯一標(biāo)識(shí)信息,當(dāng)系統(tǒng)檢測到用戶存在安全異常時(shí)立即刪除訪問標(biāo)識(shí),可以有效防止由于個(gè)別用戶賬戶存在安全風(fēng)險(xiǎn)影響其他用戶,同時(shí)受影響用戶不必升級客戶端或修改密碼,也可以保證用戶信息不被泄露。當(dāng)用戶首次登陸成功后,服務(wù)器將生成隨機(jī)鹽,并與用戶名進(jìn)行拼接,使用aes加密算法對拼接字符串進(jìn)行加密后存儲(chǔ),作為短期用戶標(biāo)識(shí)信息,同時(shí)存儲(chǔ)信息過期時(shí)間(根據(jù)軟件安全性需求定義

7、,通常為7天)、終端設(shè)備imei標(biāo)識(shí)。在用戶以后的登陸請求中使用aes密文進(jìn)行身份驗(yàn)證,從而避免終端設(shè)備存儲(chǔ)用戶信息,同時(shí)降低rsa解密給服務(wù)器帶來的壓力,也使用戶控制更加靈活。3.2移動(dòng)應(yīng)用程序用戶信息解決方案3.2.1用戶登錄解決方案移動(dòng)應(yīng)用程序不應(yīng)將用戶信息的明文數(shù)據(jù)進(jìn)行存儲(chǔ),而是將短期用戶唯一標(biāo)識(shí)進(jìn)行存儲(chǔ),使用3des加密算法對短期用戶唯一標(biāo)識(shí)加密并存儲(chǔ),當(dāng)標(biāo)識(shí)過期時(shí)清除標(biāo)識(shí)數(shù)據(jù)并要求用戶重新登錄,當(dāng)服務(wù)器因賬戶安全問題拒絕登錄時(shí),清除標(biāo)識(shí)數(shù)據(jù)同時(shí)提示用戶原因,建議用戶修改密碼并要求用戶重新登錄。移動(dòng)應(yīng)用程序應(yīng)該在啟動(dòng)時(shí)檢測當(dāng)前系統(tǒng)是否存在安全風(fēng)險(xiǎn)(例如android系統(tǒng)開放root權(quán)

8、限),當(dāng)存在風(fēng)險(xiǎn)時(shí)要求用戶重新登錄。3.2.2用戶信息傳輸解決方案針對用戶信息傳輸時(shí)務(wù)必要采用rsa-1024及以上位數(shù)的非對稱加密算法(推薦rsa-2048)進(jìn)行加密并使用https協(xié)議進(jìn)行傳輸,公共密鑰使用3des加密算法加密并存儲(chǔ)。4 結(jié)論用戶信息安全是不會(huì)被終結(jié)的話題,無論是開發(fā)移動(dòng)應(yīng)用程序還是網(wǎng)頁程序,作為開發(fā)者,都應(yīng)始終把用戶信息安全放在首要位置,根據(jù)應(yīng)用的需求選擇合適的安全性保障方案,既保證了用戶安全又能避免不必的資源開銷。隨著密碼學(xué)的不斷發(fā)展以及硬件設(shè)備的更新迭代,相信在不遠(yuǎn)的將來,會(huì)有更加理想的用戶密碼存儲(chǔ)與傳輸方案給更多的用戶提供更加可靠的安全網(wǎng)絡(luò)環(huán)境。參考文獻(xiàn):1 張儼娜,周珂.基于用戶身份鑒別的密碼存儲(chǔ)方式j(luò). 電腦知識(shí)與技術(shù),2007(9).2 屈曉,梁進(jìn)杰,莫秀玲,等.密碼存儲(chǔ)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論