Web安全登录的研究与实现.doc

Web安全登录的研究与实现.doc Web安全登录的研究与实现.doc PAGE / NUMPAGES Web安全登录的研究与实现.doc Web安全登录的研究与实现 跟着互联网的迅速发展 , 特别是“互联网 +”观点的提出 , 加速了 Web 在社会 各个领域的应用 , 而 Web登录安全作为是整个 Web应用系统安全的首要环节 , 其作 用是至关重要的。传统的 Web登录方案往常采纳静态口令 , 静态口令拥有在必定 的时间间隔内是固定不变的、 可重复使用的特色。 静态口令身份认证方式有着简 单、易用而且具备必定安全性的长处 , 所以获取了宽泛的应用。 可是跟着网络的复杂化、攻击手段的多样化 , 静态口令技术的安全缺点也越 来越显然。为认识决静态口令的安全问题 , 人们提出了 OTP技术 , 即一次一密的 认证方式。在用户每次的登录信息中加入动向变化的要素 , 使得每次传输的用户 口令各不同样 , 进而提升登录过程安全性。 但是当前只是依赖 OTP技术已经不可以知足登录安全性的需要 ,Web登录安全 需要一个完好的安全登录方案来解决登录过程中存在安全问题。 本文经过对 Web 登录过程中存在的安全破绽、风险进行研究剖析 , 并联合当前市场存在的动向身 份认证方案 , 提出把 Web登录过程分为六个模块 , 分别是 : 客户端认证服务器模块、 用户登录模块、传输模块、考证模块、口令储存模块和智能辨别用户身份模块。 每个模块对应解决 Web登录过程中出此刻不一样阶段的安全问题。 依据各个模块的破绽剖析和安全需求提出一种以挑战 / 应答认证体制的方式 来实现客户端认证服务器 , 以哈希异或算法实现对口令加密、 传输 , 以 AES算法来 实现对口令加密储存 , 以 Web日记发掘智能辨别用户身份进行二次用户身份认证 的安全登录方案。此中为了防备攻击者经过窥伺或许其余方式获取口令冒充用户 登录 , 采纳经过 Web日记发掘的方式成立智能辨别用户身份功能模块。该模块功 能依据用户平时行为 , 智能辨别用户登录身份信息。 该方案剖析了登录过程各个模块中存在的安全问题 , 给出解决这些安全问题 的方法。实现了无需使用额外设施知足一般网站安全需求。