2015年全国大学生信息安全竞赛作品报告_图文.doc

2015年全国大学生信息安全竞赛作品报告 作品名称： 字块验证码及移动app应用 电子邮箱： 1437385583@ 提交日期： 2015年6月6日 填写说明 1. 所有参赛必须为一个基本完整的设计。方案 3. 作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除所有说明文字。(本页不删除) 4. 作品报告模板里已经列的内容仅供参考，作者可以在此基础上增加内容或对文档结构进行微调。 5. 为保证网评的公平、公正，作品报告中应避免出现作者所在学校、院系和指导教师等泄露身份的信息。 目 录 摘要 4 第一章 作品概述 5 第二章 作品设计与实现 7 2.1 研发app端 8 2.1.1 app软件开发的整体框架和思路 8 2.1.2 主要功能设计 8 2.1.3 app软件的大概界面的构思与设计 10 2.2 搭建服务器 12 2.2.1 创建实体类 12 2.2.2 创建数据库接口 12 2.2.3 mvc框架搭建 12 2.3 生成数据库 13 2.3.1 获取常用词汇 13 2.3.2 利用jsp存入数据库 13 第三章 作品测试与分析 14 3.1 移动app功能测试 18 3.1.1系统测试 18 3.1.2 用户实测 18 3.1.3 结果分析 19 3.2 移动app安全性测试 19 3.2.1 用户反馈结果与分析 19 3.2.2 安全性测试结果与分析 20 验证码安全测试 20 通信安全测试 23 第四章 创新性说明 26 第五章 总结 27 参考文献 28 摘要 第三方验证app是最近刚兴起的一种技术，意在更好的保护账户安全。此项技术首次应用于上海盛大网络发展有限公司的G家，尚且还在完善和补充功能，但是在账户认证方面用户反映良好。 验证码于2000年问世，刚一问世便被广泛的运用于网络。如今验证码的使用范围越来越广，广泛的涉及人们的生活领域，每天都会有上亿的人用到验证码来验证身份【1】，防止机器人的恶意的登陆、注册、发表文章等。现如今因验证码产生的安全问题却屡见不鲜，很多网站对目前流行的基于字符的视觉验证码进行改进，但是12306最新的图片验证也未能达到预期的效果（在一天后就有团队宣称其破解了该验证码）。 验证码的输入方式主要有输入字符、拖动图片或滑块等。目前主流的是通过观看图片、视频等验证码，在文本框里输入相应的字符，但是用户输入字符的时间平均需3-4秒【2】。 本文设计的基于字块验证码的移动app具有如下特点：1、验证形式简单：只需要点击验证四个汉字就能完成验证，平均用时在1秒左右。2、安全性高：验证码基于人的语言行为产生，破解率不足10%，并且在手机端难以获取验证码。3、具有一定的趣味性：验证模拟了人的语言行为，并在验证码中融入了丰富的词库。4、商业价值高：应用于第三方验证，十分适合电子商务、游戏等领域。 经过功能测试和安全性测试表明：产品可移植性较好、安全性较高、用户反馈评价良好。综上所述，产品具有推广的价值，可以做进一步的检测和推广。 关键字：第三方验证终端、字块验证码、三重DES加密、MVC框架、MySQL数据库 作品概述 1.1背景介绍 传统验证码的安全性并不高（基于成本考虑，大部分验证码是以字符形式出现的），验证往往需要3-4秒【2】。传统的验证码有纯字母纯数字字母数字组合等形式，，只要将图形准确解析就能破解验证码 说明：app访问服务器——服务器从数据库随机取得成语——数据加密— —json传送到app端——app端数据解密——app端将成语变成空心字， 生成图片，加上干扰线——显示在app界面上——用户操作，确定自己认 为正确的成语——验证数据加密传送到服务器——服务器验证是否正确 ——回传验证信息，通知用户。 2.1研发app端 2.1.1 app软件开发的整体框架和思路 字块验证码移动app需要和服务器两次交互，一次是获取验证码，一次是验证验证码。 获取：app端向服务器发送获取验证码的请求，服务器端生成两个冗余字和一个四字有效信息（成语或熟语等）组成的六位汉字验证码，加密发送到app端，app端再将经过解密、扰乱等操作后，将验证码呈现在手机界面上。