Web前端加密算法的研究及解密程序的实现.docVIP

Web前端加密算法的研究及解密程序的实现 　　【 摘 要 】 如今，大部分网站使用Web前端加密技术以提高密码在传输过程中的安全性。文章首先阐述了加密技术的现状和加密技术在网站密码传输中的应用，然后测试某网站加密算法的安全性，用嗅探器捕获网页Post密码时的数据包并对数据包进行分析，研究该网站前端基于Javascript实现的加密算法，用Python编程实现对该网站密码的解密。最后，针对该网站的密码传输安全提出改进方案。 中国论文网 /8/view-7178065.htm 　　【 关键词 】 Web前端；加密；解密；Javascript；Python 　　1 引言 　　近年来，随着美国中央情报局前雇员爱德华“棱镜门”的披露，各个网络安全事件在互联网激发一场又一场的海啸，网络安全上升到国家安全层面，没有网络安全就没有国家安全。同时，网站被“脱库”泄露个人信息事件和密码“撞库”事件层出不穷，导致人们对网络社交中的个人信息安全也越来越关注。本文就某网站存在前端登录密码的弱加密算法问题举例，通过对该加密算法的研究、分析，编写出解密程序，望网站程序开发者和网站管理者以此警示，加强网站系统的安全性。 　　2 加密技术现状 　　加密技术是最常用的信息安全保密手段，通过加密技术把可读的敏感信息（明文）变为乱码（密文）传送，到达目的地后再用相同或不同的手段将密文还原（解密）为明文。加密技术通常分为两大类：对称加密和非对称加密。常见的对称加密算法有DES、3DES、AES、Blowfish、IDEA、RC5、RC6；常见的非对称加密算法有RSA、Elgamal、背包算法、Rabin、D-H、ECC（椭圆曲线加密算法）。 　　2.1 Web前端密码的加密技术 　　Web发展初期，互联网普及率低，网络安全在当初未能引起业界和用户的普遍重视，大部分网站开发者在编程时直接将明文密码传输至服务器进行身份验证，时至今日，仍有一部分网站采用明文密码传输。如今，随着网络技术的发展，互联网的普及率的提高，全球网络安全事件频发，网络安全越来越引起业界和用户的关注，网站开发者纷纷采用各式各样的安全保密措施。 　　例如，在Web前端，有的将明文密码经过Base64编码（Ascii编码、Unicode编码）后传输，有的将明文密码经过由程序员自行编写的专用加密方法加密（如雷池加密、MD5+Salt等）后传输，有的将明文密码经过对称加密（如AES、DES、RC5等）或非对称加密（如RSA、ECC、Elgamal等）后传输，还有的将明文密码经过哈希算法处理生成散列值（如MD5、SHA等）后传输。 　　3 数据包的捕获与分析 　　测试用例设计：打开Firefox浏览器，启用Firebug插件，打开网站的登录页面，输入账号、密码和验证码后点击“登录”按钮，收集所捕获的账号、密码密文和其他参数，如图1所示。 　　参照测试用例设计，所得测试用例结果如表1所示。 　　4 Web前端密码的加密算法 　　根据测试用例表1的结果，初步判断该网站的加密算法属于增强型凯撒加密算法，通过查看该网站的登录网页源代码，发现登录页面的密码密文是通过Web前端的Javascript编写的自定义可逆加密算法，将密码明文加密转换为密码密文后再将密码密文传输至服务器进行验证。该加密算法的关键加密源代码及注释如图2所示。 　　经过对加密算法的源代码的分析研究，将该加密算法画出流程图如图3所示。 　　5 解密程序编写 　　根据加密算法的流程图图3，通过对加密算法逆向分析，画出解密算法流程图，如图4所示。用Python编写出针对该加密算法的解密程序，此解密程序在Python2.7.9下正常运行，解密程序运行结果如图5所示。 　　该加密算法的解密源代码及注释如图6所示。 　　参照表1的数据，经过对解密程序进行解密测试，所得测试用例结果如表2所示。 　　6 网站密码传输安全改进方案 　　在应用层方面，将http网站升级为https网站。可在Web服务器设置局部https访问，将涉及提交密码的页面强制客户端浏览器使用https访问。假如不考虑开启SSL导致服务器性能的下降，可以在Web服务器配置全局https访问。 　　在网页源代码方面，一是在网页前端Javascript代码中，通过正则表达式强制用户使用高等级强度的密码，如密码字符多元化，提高密码长度的最小值等；二是在网页前端用Javascript代码使用自定义的加盐散列算法将明文密码转换成散列值后提交至服务端，服务端从数据库中取出散列值与接收到的散列值进行验证；三是在网页前端用Javascript代码使用基于RSA加密的算法对密码进行非对称加密后再提交至服务端，由服务端用私钥对密码密文解密后验证。 　　7 结束语 　　随着网络