Web應用開發(fā)中的安全算法的使用途徑研究

劉儒香

（亳州學院，安徽 毫州236800）

Web應用開發(fā)中的安全算法的使用途徑研究

劉儒香

（亳州學院，安徽 毫州236800）

近年來，網絡技術飛速發(fā)展，Web已經應用于各個領域，為社會生產與發(fā)展帶來了很大的便利，改變著人們的生活。本文主要對Web應用開發(fā)中安全算法的使用途徑進行了分析，希望能夠幫助更多的開發(fā)者，使其了解Web應用中的安全問題及其解決措施。

Web應用開發(fā)；安全算法；使用途徑

在 CSDN 舉行的互聯(lián)網安全沙龍活動上，安天實驗室反病毒引擎研發(fā)中心程序員童志明發(fā)表了題為《Web應用開發(fā)中的安全算法使用策略》的主題演講。在這個信息化時代，網絡信息技術的應用已經深入到各個領域，社會上沒有哪一個網站能夠絕對的保證自己數(shù)據(jù)庫的安全。在這樣的情況下，我們最需要探討的問題就是如何利用好現(xiàn)有的安全算法，以提高網絡信息的安全保障。

1 Web使用過程中面臨的安全威脅

1.1 系統(tǒng)方面的安全問題

系統(tǒng)上的問題是網絡中最容易出現(xiàn)的問題，近年來隨著Web應用程序的增加，系統(tǒng)出現(xiàn)的問題也越來越多，帶來的漏洞開始嚴重的影響著用戶信息的安全。在服務方面，很多用戶為了方便都會設置默認口令或是默認設置，包括數(shù)據(jù)庫系統(tǒng)，這樣使得很多使用的人能夠直接打開就用，沒有對默認的口令和賬號等進行修改和保密，這就容易導致惡意人員故意利用默認密碼和口令來發(fā)動攻擊，造成系統(tǒng)安全漏洞的出現(xiàn)，使重要的信息或財務被盜取和破壞。

1.2 遠程控制和運維的風險

由于工作的需求，很多人除了在公司遠程運維之外，還可能選擇在家中進行遠程運維，在這個過程中，用戶的信心可能會遭到泄露，受到木馬等的攻擊，產生安全風險。在家里進行遠程控制和遠程運維的時候，其PC不如在企業(yè)中安全，很多企業(yè)中CP采取了安全措施，不容易出現(xiàn)安全問題，而家里不同，可能隨時都會受到木馬或病毒的入侵。當木馬侵入電腦之后，入侵者就會獲取你的賬號密碼、口令等，以此來登錄用戶的服務器，盜取用戶的信息。

1.3 備份的安全風險

用戶在遠程運維中，一般需要將數(shù)據(jù)進行備份，如果在備份的時候沒有設置相應的密碼，或是權限分配不當，那么明文數(shù)據(jù)很可能被分配到服務器上面，這主要是由于備份人員的安全意識不夠，這種情況很可能導致數(shù)據(jù)信息的泄露。如果是備份的數(shù)據(jù)信息被盜，那么盜取者可能會利用這些信息做其他的嘗試，拿到口令之后將其作為新的有效信息來登錄其他的相關網站。

1.4 較為嚴重的口令風險

在泄密門事件發(fā)生以后，網絡上市場出現(xiàn)各種各樣的疑問，有人提出為什么有明文的口令，卻不做HASH？這個提議實際上是有道理的，但還不夠全面，這表明人們知道HASH具有單向性。也有人提出課將MD5應用到口令的設計中，這就大大的提高了系統(tǒng)的安全性和可靠性。但實際上，我們設計HASH算法的目的并不是保存口令，而是需要完成較一個完整性的驗證。因此，用HASH而不是原文解決驗證問題的原因之一就是，HASH值在一般的場景下比需要驗證的更短。

2 安全算法的使用方法

在泄密門事件發(fā)生以后，相關研究人員推出了新的開源項目，即APM，這種項目不是實現(xiàn)和創(chuàng)造了新的算法，而是在原來的基礎上利用開源包實現(xiàn)的。一用戶一鹽主要是包括個性化的量以及鹽表。此外還提供了還原模式，這種模式有站點的需求，需要原始密碼等，而新的APM項目提供了這種功能。那么，怎樣才算作安全，首先不能公開算法，還有就是不公開密鑰。在列出開源項目的時候，需要使用標準算法，這種算法是公開的，它的合理性是通過時間驗證，相關的數(shù)學家反復實驗過的，因此將其用于Web應用開發(fā)中是合理的。一般來說，攻擊者所采取的手段有三種：統(tǒng)計攻擊、反向查詢以及暴力破解。而這里的隨機的數(shù)據(jù)，與用戶設置的口令相結合才能開始運算。當用戶第一次提供密碼的時候，系統(tǒng)會自動的往密碼中加入一組隨機的數(shù)據(jù)，然后開始進行散列。用戶在登錄的時候，系統(tǒng)就就是隨機數(shù)據(jù)加散列，再通過對散列值得比較，確定用戶所輸入的密碼是否準確。而這里的用戶名，是為了起到鹽的作用。那么，加鹽的作用是什么？例如，攻擊者同時獲取了兩個網站的數(shù)據(jù)，且兩個網站站點的用戶名都是111，在這種情況下，如果兩個站點的密碼也是一樣，那么實際上這兩個站點的散列值就是一樣的，攻擊者仍然可以通過散列來查處站點的密碼。因此，在安全算法使用的過程中加入隨機數(shù)據(jù)，攻擊者就不容易獲取用戶的數(shù)據(jù)和信息。用戶可以通過外部服務器進行注冊，其用戶名、密碼和鹽會共同組成一個驗證密碼，這就大大的提高了Web應用的安全性，防止不法分子來攻擊網站而造成損失。

3 結束語

本文通過對開源項目APM的實現(xiàn)進行深入的討論，讓目前還在明文保存密碼的網站和使用相關算法策略并不合理(比如那些聯(lián)合使用HASH或者加入單一SALT的情況)的網站，能夠了解如何科學使用這些數(shù)學方法，降低安全應用的門檻，并希望打消那些中小網站試圖自己研究一個算法而努力嘗試的想法。

[1]]謝靈智.Web應用開發(fā)中的安全算法使用策略[J].信息安全與通信保密，2013，(2):32-34.

[2]劉明明.Web應用漏洞掃描器的設計與實現(xiàn)[D].電子科技大學，2014.

In the Web application development way to study of the use of security algorithm

LIU Ru-xiang

(Bozhou university Anhui Bozhou 236800)

In recent years， the network technology has achieved rapid development， the Web has been used in every field， changing people's life. In this paper， the security algorithm in Web application development using the way of analysis， hope to help developers， its understanding of Web application security problems and their solutions.

Web application development; Security algorithm; Use way

TP301.6

A

10.3969/j.issn.1672-7304.2016.05.017

1672–7304(2016)05–0035–02

校級質量工程項目（項目編號：BZSZJYXM201112）。

（責任編輯：廖建勇）

聲明：湖南城市學院學報（自然科學版）2015年第第24卷第2期第79頁發(fā)表的文章《湖南省醫(yī)學類院校實驗教師隊伍的現(xiàn)狀調查與分析》，作者范珍明等，遺漏課題[基金項目：湖南省高教學會實驗室管理專業(yè)委員會2014 年資助研究課題（項目編號：24）、 湖南省教育廳教學研究項目（項目編號 2014-678；2014-679；2015- 696）、湖南省教育科學“十二五”規(guī)劃2015年立項課題“基于能力導向的診斷學課程院校合作同步式實踐教學質量監(jiān)控的探討”(項目編號 : XJK015CGD071)]。

聲明：湖南城市學院學報（自然科學版）2016年第25卷第4期第218頁發(fā)表的文章《區(qū)域貿易協(xié)定與世貿組織管轄權競合與協(xié)調》，作者鐘立國，遺漏課題[基金項目：教育部人文社會科學研究規(guī)劃基金項目“區(qū)域貿易協(xié)定競爭政策研究——他國的實踐與中國的選擇”（項目編號：14YJA820034）；廣東財經大學法治與經濟發(fā)展研究所“區(qū)域貿易協(xié)定爭端解決機制研究——以中國為視角”]。

劉儒香（1978-），男，安徽蒙城人，講師，研究方向：web應用開發(fā)。