面向大學(xué)城的“WE”拼車(chē)平臺(tái)安全功能的設(shè)計(jì)

劉風(fēng)雪

摘要：網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為一個(gè)社會(huì)問(wèn)題和政治問(wèn)題，它在許多方面都影響著人們的生活。當(dāng)學(xué)生使用拼車(chē)軟件時(shí)，總會(huì)擔(dān)心個(gè)人信息泄露以及銀行卡信息泄露等一系列問(wèn)題，這些擔(dān)心多數(shù)都?xì)w因于網(wǎng)絡(luò)技術(shù)的漏洞。因此，為防止此類事件再次發(fā)生以及為減緩學(xué)生使用軟件時(shí)的擔(dān)憂。因此主要圍繞拼車(chē)市場(chǎng)中的網(wǎng)絡(luò)安全現(xiàn)狀、拼車(chē)過(guò)程中群眾的擔(dān)憂以及存在的問(wèn)題，討論了大學(xué)城“WE”拼車(chē)平臺(tái)安全問(wèn)題的解決對(duì)策。

關(guān)鍵詞：網(wǎng)絡(luò)安全;大學(xué)拼車(chē);防范策略;信息泄露;安全技術(shù)

中圖分類號(hào)：TP393? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）18-0020-03

Abstract： Network security has become a social and political issue， which affects people's lives in many ways. When students use carpooling software， they always worry about a series of problems， such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore， in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore， around the current situation of network security in the carpooling market， the concerns of the masses and the existing problems in the carpooling process， this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.

Key words： network security; collegiate carpooling; prevention strategy; information leakage; security technology

1 背景

隨著生活水平的提高，我國(guó)人民對(duì)于出行的質(zhì)量要求越來(lái)越高，且由于對(duì)經(jīng)濟(jì)問(wèn)題的考慮，拼車(chē)已經(jīng)成為人們出行的一大選擇。但隨之而來(lái)更引人關(guān)注的是拼車(chē)的“安全”問(wèn)題，大學(xué)生失聯(lián)事故偶有發(fā)生，個(gè)人信息泄露等問(wèn)題都讓消費(fèi)者對(duì)拼車(chē)產(chǎn)生焦慮。而造成這些問(wèn)題的主要原因就是網(wǎng)絡(luò)安全問(wèn)題無(wú)法得到保障。

2016年11月7日，我國(guó)頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，習(xí)近平主席在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話中強(qiáng)調(diào)“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)。正所謂“聰者聽(tīng)于無(wú)聲，明者未見(jiàn)于形”，感知網(wǎng)絡(luò)安全態(tài)勢(shì)是最基礎(chǔ)的工作。

校園“we”拼車(chē)是一款只為大學(xué)生設(shè)計(jì)的拼車(chē)app系統(tǒng)，它將學(xué)號(hào)與個(gè)人信息聯(lián)系起來(lái)，防止社會(huì)上的閑雜人等混入其中。且由于學(xué)號(hào)等條件的限制，乘客“拼”到的車(chē)友都是學(xué)生身份，大大地降低了危險(xiǎn)發(fā)生的可能性。

2 拼車(chē)軟件存在的安全問(wèn)題

目前的拼車(chē)軟件的安全問(wèn)題總體上可以概括為以下四點(diǎn)：

1）信息泄露。此類主要表現(xiàn)為信息被竊聽(tīng)而不被竊取，且這種不破壞信息傳輸?shù)木W(wǎng)絡(luò)侵犯者被稱為消極侵犯者。例如用戶身份信息泄露或者銀行卡信息泄露。

2）信息被篡改。這種被稱為純粹的信息破壞，其破壞作用最大，破壞者截取信息包，使之消失或失效，或添加對(duì)自己有利的信息，誤導(dǎo)使用者，這種破壞者被稱為積極侵犯。例如用戶自身信息被篡改，影響自身效益，或有非法廣告入侵，造成虛假宣傳，影響用戶使用感受。

3）非法使用網(wǎng)絡(luò)資源。非法用戶登錄系統(tǒng)進(jìn)行資源使用，造成資源浪費(fèi)，損害合法用戶的效益。例如此款app只針對(duì)學(xué)生使用，非學(xué)生身份使用app損害合法利益，對(duì)合法用戶是不公平的舉措。

4）人為安全因素。無(wú)論系統(tǒng)功能多么強(qiáng)大，如果管理人員不按照要求管理，造成的后果是難以想象的，此類主要表現(xiàn)在安全意識(shí)薄弱，安全措施不完善以及管理人員的失誤操作等。

3 拼車(chē)軟件安全問(wèn)題的原因分析

1）受技術(shù)人員的工作經(jīng)驗(yàn)，能力水平以及系統(tǒng)環(huán)境的限制，技術(shù)人員無(wú)法做到面面俱到，百無(wú)漏洞，且軟件在使用過(guò)程中遇到的各種問(wèn)題是無(wú)法通過(guò)預(yù)想而進(jìn)行判斷的。

2）目前一些計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)使用的硬件、軟件都是從國(guó)外進(jìn)口而來(lái)的，當(dāng)前技術(shù)無(wú)法對(duì)其進(jìn)行改進(jìn)升級(jí)和相關(guān)自我信息保護(hù)。

3）權(quán)限設(shè)置不明確，導(dǎo)致部分用戶獲取無(wú)權(quán)查看的內(nèi)容且個(gè)人信息安全受到威脅。

4）軟件經(jīng)上線時(shí)間起，隨著用戶的增加以及上線時(shí)間的增長(zhǎng)，將會(huì)暴露出越來(lái)越多的缺點(diǎn)以及網(wǎng)絡(luò)漏洞，這些都是無(wú)法避免的。且網(wǎng)絡(luò)安全漏洞并不是修復(fù)完就不存在了，它還會(huì)隨著用戶的使用出現(xiàn)新的漏洞，一直不斷的“存在”。

5）人才市場(chǎng)短缺，信息人才遠(yuǎn)遠(yuǎn)滿足不了市場(chǎng)需求，且開(kāi)發(fā)人員年輕化，經(jīng)驗(yàn)得不到傳承，導(dǎo)致網(wǎng)絡(luò)安全常見(jiàn)問(wèn)題重復(fù)出現(xiàn)。

4 校園“we”拼車(chē)APP的安全策略

4.1 加強(qiáng)技術(shù)防范

4.1.1 安全技術(shù)

1）虛擬網(wǎng)技術(shù)

虛擬網(wǎng)技術(shù)是基于近年發(fā)展的局域網(wǎng)交換技術(shù)，使虛擬網(wǎng)外的節(jié)點(diǎn)難以直接訪問(wèn)虛擬網(wǎng)內(nèi)的節(jié)點(diǎn)，從而以防止入侵。由于互聯(lián)網(wǎng)是由很多個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)組成的，而每一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)在網(wǎng)上想要被人找到實(shí)際上都需要一個(gè)IP地址，但是這個(gè)地址暴露出去就有被攻擊的風(fēng)險(xiǎn)，所以很多時(shí)候需要組建一個(gè)局域網(wǎng)就像自己家里用的路由器一樣，在局域網(wǎng)里有很多節(jié)點(diǎn)，每個(gè)節(jié)點(diǎn)的IP都是自己定義的。這樣就可以隱藏真正的服務(wù)地址了。例如在此系統(tǒng)中，主要利用虛擬網(wǎng)技術(shù)中的隧道技術(shù)對(duì)數(shù)據(jù)進(jìn)行二次打包，將加密過(guò)后的數(shù)據(jù)通過(guò)網(wǎng)絡(luò)傳輸，以保證數(shù)據(jù)更加安全、完整的完成傳輸。

2）防火墻技術(shù)

防火墻是網(wǎng)絡(luò)訪問(wèn)控制設(shè)備，用于拒絕除了內(nèi)部準(zhǔn)許通過(guò)的其他所有數(shù)據(jù)，例如爬蟲(chóng)現(xiàn)象，就是指未被授權(quán)人員模仿正常用戶訪問(wèn)系統(tǒng)，竊取內(nèi)部信息，對(duì)于這一現(xiàn)象，就可以使用防火墻技術(shù)對(duì)此類現(xiàn)象進(jìn)行攔截。且防火墻可以定義一個(gè)關(guān)鍵點(diǎn)以防止外來(lái)入侵，還可以監(jiān)控網(wǎng)絡(luò)的安全并在異常情況下給出報(bào)警提示，提供網(wǎng)絡(luò)地址轉(zhuǎn)換功能，防火墻還可以查詢或登記Internet的使用情況，為客戶提供服務(wù)的理想位置。雖然在一定程度上防火墻也存在許多缺點(diǎn)，但是他可以有效地阻止非法用戶通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，進(jìn)而對(duì)客戶利益造成不必要的損害。

3）病毒防護(hù)技術(shù)

病毒一直以來(lái)都是威脅系統(tǒng)安全的主要問(wèn)題之一，若此系統(tǒng)進(jìn)入病毒的話，將會(huì)有可能造成系統(tǒng)癱瘓或?qū)蛻舻馁~戶安全產(chǎn)生威脅，甚至可能會(huì)對(duì)顧客的手機(jī)造成影響，對(duì)這一問(wèn)題要做的就是采取一定的技術(shù)手段來(lái)防止病毒對(duì)系統(tǒng)的傳染和破壞?？梢栽诜阑饓?、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過(guò)濾軟件。在桌面PC安裝病毒監(jiān)控軟件，使用防病毒軟件檢查和清除病毒。對(duì)病毒數(shù)據(jù)庫(kù)應(yīng)不斷更新升級(jí)，并下發(fā)到桌面系統(tǒng)。在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

4）認(rèn)證技術(shù)

認(rèn)證技術(shù)指的是確定使用軟件的是誰(shuí)或使用者是否對(duì)軟件有使用權(quán)限。也就是使用者的物理身份與數(shù)字身份是否相符和乘客是否具有學(xué)生身份，此技術(shù)還可以防止司機(jī)或?qū)W生查看他們無(wú)權(quán)查看的信息。對(duì)于驗(yàn)證，可以采用靜態(tài)密碼來(lái)進(jìn)行驗(yàn)證，也就是用戶在注冊(cè)時(shí)自己所設(shè)置的密碼。而假設(shè)用戶忘記自己所設(shè)置的密碼，還可以采用動(dòng)態(tài)驗(yàn)證來(lái)對(duì)用戶進(jìn)行驗(yàn)證，也就是對(duì)用戶在注冊(cè)時(shí)所綁定的手機(jī)號(hào)發(fā)送六位動(dòng)態(tài)數(shù)字，每分鐘發(fā)送一次動(dòng)態(tài)驗(yàn)證數(shù)字，數(shù)字有效性為一次。

5）加密技術(shù)

加密技術(shù)指的是信息在傳輸或者存儲(chǔ)過(guò)程中，根據(jù)一些算法進(jìn)行編碼，例如用戶的賬號(hào)密碼在數(shù)據(jù)庫(kù)中的存放方式就是加密的，假設(shè)用戶密碼是liufengxue，但是實(shí)際在數(shù)據(jù)庫(kù)中存的可能是agdyevduebsgsu。

6）安全掃描技術(shù)

安全掃描的原理是對(duì)網(wǎng)絡(luò)、主機(jī)對(duì)外開(kāi)放的端口、系統(tǒng)可能存在的錯(cuò)誤配置等安全漏洞，采取模擬黑客攻擊的形式來(lái)檢測(cè)存在的安全漏洞，這是一種極為有效的主動(dòng)防御技術(shù)，結(jié)合入侵檢測(cè)技術(shù)和防火墻技術(shù)，可以提供拼車(chē)系統(tǒng)的網(wǎng)絡(luò)全方位的防護(hù)。

首先，在拼車(chē)系統(tǒng)中，采用端口掃描技術(shù)，TCP connect掃描是最基本的TCP掃描方法，用操作系統(tǒng)提供的connect（）系統(tǒng)與拼車(chē)系統(tǒng)的端口進(jìn)行連接，可檢測(cè)拼車(chē)系統(tǒng)的端口是否處于監(jiān)聽(tīng)狀態(tài)。其次采用TCP SYN掃描，發(fā)送一個(gè)SYN數(shù)據(jù)包，若返回SYN}ACK數(shù)據(jù)包，則說(shuō)明拼車(chē)系統(tǒng)端口處于監(jiān)聽(tīng)狀態(tài)，需要再發(fā)送一個(gè)RST數(shù)據(jù)包來(lái)停止此操作。

上述操作可以探測(cè)端口的信息，但我們需要在這些信息的基礎(chǔ)上，具體問(wèn)題具體分析，找到問(wèn)題端口中的錯(cuò)誤配置，網(wǎng)絡(luò)協(xié)議漏洞等系統(tǒng)漏洞。

7）入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)是一種用于檢測(cè)未授權(quán)訪問(wèn)行為的軟件工具，此項(xiàng)工具應(yīng)用于拼車(chē)系統(tǒng)，可以動(dòng)態(tài)監(jiān)測(cè)訪問(wèn)行為，作為防火墻動(dòng)態(tài)監(jiān)測(cè)的補(bǔ)充。

在拼車(chē)系統(tǒng)中，應(yīng)用入侵檢測(cè)技術(shù)，來(lái)對(duì)每一個(gè)訪問(wèn)該系統(tǒng)的行為進(jìn)行動(dòng)態(tài)檢測(cè)，動(dòng)態(tài)檢測(cè)主要采用特征檢測(cè)，因?yàn)樘卣鳈z測(cè)有檢測(cè)可靠和誤報(bào)率低的特點(diǎn)。在特征檢測(cè)中，通過(guò)識(shí)別訪問(wèn)拼車(chē)系統(tǒng)的流量和應(yīng)用數(shù)據(jù)模型來(lái)分辨訪問(wèn)者是否存在非法的攻擊行為。

4.2 系統(tǒng)的安全設(shè)計(jì)

1）安全注冊(cè)

此模塊有司機(jī)注冊(cè)和學(xué)生乘客注冊(cè)，主要運(yùn)用加密技術(shù)，將司機(jī)的信息和學(xué)生的信息進(jìn)行編碼存儲(chǔ)進(jìn)數(shù)據(jù)庫(kù)，且司機(jī)和乘客在注冊(cè)時(shí)也可設(shè)置登錄密碼來(lái)保證自己的個(gè)人信息不被泄露，用戶還可以通過(guò)密碼來(lái)設(shè)置自己的信息是否可以被別人查看以及哪些信息可以被查看。在注冊(cè)時(shí)司機(jī)需要輸入自己的用戶名，手機(jī)號(hào)以及設(shè)置的登錄密碼，注冊(cè)成功后，需要進(jìn)入實(shí)名認(rèn)證（需輸入真實(shí)姓名，性別，居住地信息，身份證圖片以及駕駛證圖片）和車(chē)輛認(rèn)證（需輸入車(chē)輛的型號(hào)，顏色，車(chē)牌號(hào)，以及其他的相關(guān)基本信息）階段，認(rèn)證成功后，才可以進(jìn)行接單。學(xué)生乘客在注冊(cè)時(shí)也需要輸入自己的用戶名，手機(jī)號(hào)，學(xué)校的名稱和自己的學(xué)號(hào)以及設(shè)置的登錄密碼。在其他信息滿足要求的情況下，只需要驗(yàn)證手機(jī)號(hào)即可，手機(jī)號(hào)驗(yàn)證成功之后，就可以對(duì)app進(jìn)行使用。

2）信息核實(shí)

信息核實(shí)主要運(yùn)用防火墻技術(shù)和認(rèn)證技術(shù)以及入侵檢測(cè)技術(shù)，防火墻用來(lái)控制內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流，它可以有效地阻擋不滿足安全協(xié)議或系統(tǒng)結(jié)構(gòu)的數(shù)據(jù)進(jìn)入內(nèi)務(wù)網(wǎng)絡(luò)，也可以阻擋不法分子惡意的網(wǎng)絡(luò)攻擊，保護(hù)合法用戶的網(wǎng)絡(luò)安全。認(rèn)證技術(shù)用來(lái)確定司機(jī)和學(xué)生乘客是否對(duì)軟件有使用權(quán)限，以及在司機(jī)或乘客在忘記自己設(shè)置的密碼時(shí)，該如何對(duì)軟件重新登錄繼續(xù)進(jìn)行使用，在忘記密碼時(shí)主要采用對(duì)用戶發(fā)送驗(yàn)證碼來(lái)確定登陸者身份是否屬實(shí)，入侵檢測(cè)技術(shù)用于檢測(cè)是否有穿越防火墻的或企圖對(duì)系統(tǒng)構(gòu)成威脅的違反網(wǎng)絡(luò)安全策略的舉動(dòng)，也可以快速地發(fā)現(xiàn)越權(quán)行為或不符合系統(tǒng)要求的異?，F(xiàn)象。且開(kāi)發(fā)人員對(duì)于最初注冊(cè)時(shí)的信息核實(shí)準(zhǔn)備了雙重保障，一個(gè)是人工核實(shí)，另一個(gè)是系統(tǒng)核實(shí)，因此在后期會(huì)增加很多的客服人員。人工核實(shí)主要是核實(shí)司機(jī)提供的車(chē)輛信息和身份信息是否屬實(shí)，有無(wú)犯罪記錄以及車(chē)檢情況是否合格。系統(tǒng)核實(shí)主要核實(shí)學(xué)生的學(xué)校名稱和學(xué)號(hào)是否屬實(shí)。司機(jī)或?qū)W生的信息如若不符合要求，則需要被返回繼續(xù)更改，直至改到符合要求為止，司機(jī)才可以進(jìn)行接單，學(xué)生才可進(jìn)行對(duì)app的使用。

3）訂單安全

在訂單模塊里主要應(yīng)用虛擬網(wǎng)技術(shù)，其技術(shù)通過(guò)公共網(wǎng)絡(luò)服務(wù)商搭建專業(yè)線路，可以快速地將用戶和相關(guān)信息結(jié)合起來(lái)，保證司機(jī)或乘客發(fā)送的數(shù)據(jù)信息高速流通以達(dá)到彼此共享，還可以數(shù)據(jù)傳輸?shù)陌踩?。且在訂單模塊里司機(jī)和學(xué)生乘客的界面也是不同的。司機(jī)界面具有隨機(jī)派單模式和自主接單模式。且當(dāng)選擇隨機(jī)派單模式時(shí)司機(jī)還可以選擇隨機(jī)目的地和固定目的地。而選擇自主接單模式時(shí)則可以根據(jù)自己安排的時(shí)間來(lái)設(shè)定何時(shí)接單。不同的接單模式讓司機(jī)有了更多的選擇性，司機(jī)更是可以根據(jù)自己當(dāng)天的狀態(tài)來(lái)選擇喜歡的模式進(jìn)行工作。學(xué)生乘客的界面則分為正在進(jìn)行的訂單子模塊和歷史訂單子模塊，點(diǎn)擊正在進(jìn)行的訂單則可以查看到達(dá)目的地的距離以及導(dǎo)航路線。點(diǎn)擊歷史訂單則可以查看以往的訂單信息。

4）地圖導(dǎo)航模塊

利用GPS定位技術(shù)，定位司機(jī)所在位置與乘客所在位置以及乘客目的地位置，并為乘客匹配最佳路線，且在乘客用戶界面，會(huì)顯示司機(jī)電話以及車(chē)輛的顏色和車(chē)牌信息，方便與司機(jī)實(shí)時(shí)溝通，還會(huì)為乘客計(jì)算出司機(jī)到達(dá)的時(shí)間以及到達(dá)目的地的時(shí)間。

5）支付安全

在到達(dá)目的地后，司機(jī)點(diǎn)擊結(jié)束路程，app會(huì)根據(jù)行駛的公里數(shù)和價(jià)格標(biāo)準(zhǔn)表計(jì)算出乘客所需要支付的價(jià)錢(qián)。系統(tǒng)會(huì)根據(jù)乘客綁定的微信賬戶或者支付寶賬戶進(jìn)行自動(dòng)費(fèi)用扣除。這一模塊也需要用到加密技術(shù)來(lái)保證用戶的賬戶安全。

6）數(shù)據(jù)備份

數(shù)據(jù)備份主要采用基于LAN的備份模式，數(shù)據(jù)通過(guò)LAN備份到磁帶中，且備份服務(wù)器作為控制中心控制所有的數(shù)據(jù)，這樣就可以集中的管理數(shù)據(jù)，方便人員操作，提高操作效率。這種模式的缺點(diǎn)是消耗內(nèi)存大，但由于此系統(tǒng)只限于學(xué)生用戶，產(chǎn)生的數(shù)據(jù)量小，所以不用擔(dān)心。

5 結(jié)束語(yǔ)

網(wǎng)絡(luò)安全問(wèn)題是一個(gè)棘手的問(wèn)題，需要全社會(huì)共同努力不斷開(kāi)發(fā)新技術(shù)、制訂安全防范策略。因此在設(shè)計(jì)校園“we”拼車(chē)app的過(guò)程中應(yīng)用了主流的安全技術(shù)，其安全問(wèn)題是非常樂(lè)觀的。對(duì)大學(xué)生來(lái)說(shuō)，它可以讓出行變得更方便、高效，不但可以結(jié)交到更多的朋友，還可以防止司機(jī)的坐地起價(jià)。對(duì)司機(jī)來(lái)說(shuō)，可以減少途中盲目尋客，避免空車(chē)現(xiàn)象的產(chǎn)生，又能夠省時(shí)省油，提高收益。對(duì)社會(huì)來(lái)說(shuō)，也可以避免社會(huì)資源的浪費(fèi)，從而提高社會(huì)資源的利用率。

參考文獻(xiàn)：

[1] 劉文才， 孫苗， 鄧俊杰. 基于物聯(lián)網(wǎng)的智慧拼車(chē)[J]. 武昌： 武昌理工學(xué)院， 2014.

[2] 鄭琳琳. 校園智能交通信息系統(tǒng)APP設(shè)計(jì)研究——以沈航校園為例[D].沈陽(yáng)： 沈陽(yáng)航空航天大學(xué)， 2016.

[3] 羅宇皓. Android 軟件安全分析和系統(tǒng)安全增強(qiáng)研究[D]. 上海： 上海交通大學(xué)， 2013.

[4] 王曉飛. 軟件安全漏洞發(fā)掘技術(shù)研究[D].長(zhǎng)沙： 國(guó)防科學(xué)技術(shù)大學(xué)， 2006.

[5] 王春蓮. 基于大數(shù)據(jù)分析技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)軟件開(kāi)發(fā)與設(shè)計(jì)[J]. 軟件工程， 2018， 21（7）： 50-52.

[6] 賀星光. 網(wǎng)絡(luò)安全掃描系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].哈爾濱： 哈爾濱工業(yè)大學(xué)， 2017.

[7] 王瑋. 入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[D].成都： 電子科技大學(xué)， 2013.

[8] 于赫. 網(wǎng)聯(lián)汽車(chē)信息安全問(wèn)題及 CAN 總線異常檢測(cè)技術(shù)研究[D].長(zhǎng)春： 吉林大學(xué)， 2016.

【通聯(lián)編輯：謝媛媛】