返回
基于b-s架构的安全密码解决方案研究

基于b-s架构的安全密码解决方案研究

ID:23012070

大小:52.50 KB

页数:5页

时间:2018-11-02

基于b-s架构的安全密码解决方案研究_第1页
基于b-s架构的安全密码解决方案研究_第2页
基于b-s架构的安全密码解决方案研究_第3页
基于b-s架构的安全密码解决方案研究_第4页
基于b-s架构的安全密码解决方案研究_第5页
资源描述:

《基于b-s架构的安全密码解决方案研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、基于B/S架构的安全密码解决方案研究目前基于B/S架构和C/S架构的主流应用是采用由字母、数字、特殊字符组合而成的字符串作为登录或认证密码,但这类字符串密码存在信息含量少、易被监听、遭受重放攻击、难以记忆等缺点,针对这些缺点我们提出了以任意文件作为密码同时利用移动存储设备进行认证绑定的密码安全解决方案。关键词:B/S架构;安全;密码;文件引言  当前绝大多数B/S下密码是由字符(字母,数字或特殊符号)组成,这样的密码形式过于单一,易造成一系列的安全问题:信息泄露、窃听、假冒、授权侵犯等等。对此密码形式,入侵

2、者的攻击策略通常有三种:第一种,以木马形式盗取用户信息发送到攻击者信箱中;第二种方式,监听目的节点发出的报文,分析破解用户名和密码;第三种,采用常用用户名与常用的密码组合通过自动匹配进行暴力破解;第四种,侵入数据库,直接获取用户的用户名和密码,实施攻击。  针对当前密码形式暴露出的种种弊端,我们提出了一种新型密码形式--文件。文件作为一种复杂的信息单元,拥有比普通字符串更为丰富的信息,为我们提供了非常好的“物质基础”。本系统主要用来验证以文件作为密码形式这种新思路。1.本系统的研究方向  本系统主要是挖掘文

3、件作为密码相对于纯粹的字符串形式的密码所具备的优势。改变的只是密码的生成方式,但却能以此获取更安全的用户认证体制,获得更加可信的系统。  1、如何防止木马通过监听键盘获取密码  目前窃密手段主要是通过木马监听被攻击者键盘从而获取密码。而监听鼠标窃取密码的难度显然要比监听键盘的难度大很多,所以我们采用鼠标点击文件实现密码输入,从而降低被监听的风险。  2、如何解决密码长短的各种缺陷  为了平衡记忆难易和安全强度间的利弊,我们在客户端嵌入一个应用程序,让文件内容与属性值作为输入数据,程序负责对其取HASH值,将

4、32个十六进制数作为密码传回服务器端,服务器再对接收到的数据取MD5值,存入数据库,用于以后鉴别用户真伪。  3、如何发挥文件特有优势  充分利用文件属性中自动变化并能与文件完整的绑定在一起的属性。例如文件的最后访问时间、最后修改时间等,这些属性随着操纵文件而自动改变,从而导致文件不能被攻击者进行下一步攻击,以此提高密码安全性。  4、如何防止攻击者获取密钥文件后进行重放攻击  采用可移动磁盘作为密钥的存储工具,每个密钥文件与其相应的存储介质绑定在一起。验证用户的时候通过提取可移动磁盘唯一的GUID来判断密

5、钥文件的存储介质是否发生改变,从而检测密钥文件是否被非法获取,以此避免重放攻击。  5、如何由文件生成密码  采取将文件的内容与所提取的属性做hash,将hash后的hash值再经过MD5后存放在数据库中。但最理想的是采用文件本身的匹配,这种匹配将使得密钥安全性更高2.系统总体架构:  1、文件处理模块是在客户端使用JavaScript与JavaApplet对文件的内容属性,对移动介质序列号进行提取,让用户选择将要作为密码的文件和承载这个文件的移动介质。此操作必须经过用户的授权才能进行。在信息提取上,利用j

6、ava应用程序通过JNI技术调用D5算法。  3、页面模块采用Ajax,JavaScript,CSS来对页面做一个简单的处理,美化外观,使我们的条目井然有序。  4、后台模块主要功能:(1)保存用户注册的合法注册信息;(2)验证登陆用户的合法性,执行相应跳转。3.实现原理与技术  1、移动介质与密码文件绑定  移动介质具有小巧,易携带的特性,能够使用户能随身带在身上,随时使用密码文件。提取移动介质的序列号作为标识文件合法性的重要依据。在提取硬件的信息时,我们利用的是JNI技术调用编译好的DLL文件,通过D5

7、HASH算法具有单向性、抗冲突性、映射分布均匀性和差分分布均匀性。  3、SSL协议  SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSLRecordProtocol):它建立在可靠的传输协议之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSLHandshakeProtocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。  4、文件属性内容的提

8、取  文件属性与内容的提取是使用简单的java函数实现的,使用java构建一个20/30applet内嵌于页面中,在用户选择文件后便对文件进行相应的提取,在页面中使用的onclick事件来设置运行条件。4.总结  本系统验证了文件作为密码介质的可行性,为信息安全方面提供了新的加密工具。随着电子商务等X上交易的发展,人们对安全的提出了更高的标准,相信这种形式的加密方法的应用必将受到人们的亲睐,在未来的生活应用中将为

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。