毕业论文：WEB上用户口令安全传输的研究与实现.doc

PAGE 目录 引言………………………………………………………….1 网络安全…………………………………………………….2 加密技术…………………………………………………….5 MD5工作原理……………………………………………….8 MD5算法…………………………………………………….10 结束语…………………………………………………………………13 致谢……………………………………………………………………14 参考文献………………………………………………………………15 附录 源代码……………………………………………………….16 PAGE 2 WEB上用户口令安全传输的研究与实现 摘 要：主要阐述利用MD5加密算法来保证WEB上用户口令的安全传输。首先利用MD5对用户口令进行一次加密，然后再利用MD5对该密文和一个随机数组成的信息进行加密，形成网络上传输的用户口令，避免用户口令以明文的形式在WEB上进行传输，从而有效地提高认证系统中口令传输的安全性。 关键词：口令；MD5算法；网络安全 The study and implementation of the Secure Transfer of User’s Password on WEB School of Abstract: In this paper，we mainly expound how to transfer our password in security on WEB by means of MD5.Firstly，we encrypt the password with MD5 and add a random number to the encrypted password to form a new message. Then encrypt the message with MD5 again to have a new encrypted password that is to be transferred on WEB. Enhances the security of authentication system based on WEB effectively. Key words: password；MD5 algorithm ；network security 第一章 引言 随着计算机网络的发展，网络安全问题受到越来越大的关注。网络安全一直是Internet的一个薄弱环节，因为当初设计TCP/IP时并没有考虑网络的安全机制。如Telnet、Ftp、Email和基于WEB的应用系统等都是明文方式传输数据包，其中就有用户的帐号和口令等非常重要的数据。而这些数据包很容易被人通过特定的软件或硬件工具截取，通过分析数据包的内容，从而可以获得用户的帐号和口令，然后进行一些非法的活动。因此，用户ID和口令的安全传输的问题越来越受到人们的关注。 Web程序使用一种称为会话状态管理（session state management)的技术来跟踪浏览器与服务器之间的交互，正如超文本传输协议所规定的那样，每个浏览器的请求都独立于其他浏览器，一个Web程序必须使用一些技巧，如cookie,隐藏的表格字段，或URL重写，来识别其与特定的浏览器的特定的会话。大多数服务器端开发环境如ASP,PHP,ColdFusion等使用cookie。 使用会话状态管理的问题是从根本上说它是不安全的，一个黑客可以在服务器和用户浏览器之间截取用来管理会话状态的cookie,表格字段值，或是URL，一旦得手，他就可以利用这些信息来接管用户的会话。 大多数服务器端的脚本开发环境允许你减少这种危险，例如你可以指定cookie的极短失效时间，使用难预测的会话状态信息。然而最安全的还是使用安全套接层（SSL）,购买它后，你就可以不仅保护用户口令，还可以保护会话状态管理信息。 　　如果你不使用SSL，让用户在你的程序中的安全敏感页面中每次都重新认证是个好主意，但是从用户角度出发，这实在是太麻烦了。最后，你必须考虑你和你的用户究竟愿意承担多大的风险。如果密码口令被曝光的危险很高，还是用SSL来构建你的程序吧，如果你不能使用SSL，那么就使用基于MD5的登陆过程。这至少能保护你的用户的口令。此外，选择一种允许保护会话状态信息的服务器端脚本技术。 　　通常，当用户不使用SSL（即普通HTTP)登陆时，他（她）的口令从离开浏览器起至到达服务器为止始终是以明文状态暴露的。 　　然而，利用一种称为单向函数的数学函数的帮助，我们可以设计一种并不暴露用户口令的登陆计划。一个函数是一种将集合A的元素映射到集合B的方法，每个集合A中的元素都对应于集合B中的一个确定元素。而一个单向函数的作用就是