您现在的位置是:福州网站建设 > 网站建设
安全登录网站的认证设计
福州网站建设2024-09-19 09:04:46【网站建设】7人已围观
简介 用户登录的安全性尤为重要,用户登录是任何一个应用系统的基本功能,特别是对于网上银行系统来说。如何设计一个网站的安全登录认证程序,是以下主要讨论的问题。静态密码存在着比较多的安全隐患,攻击者有很多手段
用户登录的安全安全性尤为重要,用户登录是登录任何一个应用系统的基本功能,特别是网站对于网上银行系统来说。如何设计一个网站的证设安全登录认证程序,是安全以下主要讨论的问题。
静态密码存在着比较多的登录安全隐患,攻击者有很多手段获得静态密码,网站管理密码也具有较高的证设成本,我在前文《网上银行系统安全性分析》中曾经论证过,安全使用硬件安全产品“动态密码锁”或者“USB Key”可以较好的登录解决这个问题,但是网站会带来加密锁的成本,在不增加硬件成本的证设情况下,我们也可以通过一些设计上的安全技巧和措施在一定程度上来保证登录者的身份。
一、登录网络传输上的网站安全
目前的网络协议通过HTTP协议进行通讯,存在很大的安全隐患,黑客可以通过SNIFFER工具进行抓包分析网络数据包,因此用户名和密码的传输应该使用非明文的方式传输,这里就用到了“公开密钥密码”的概念。
学过基本的“密码学”的人都应该知道“公开密钥算法(也叫非对称算法、双钥算法)”这个概念,即用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来。
加密的传输过程分为两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一部分为数据加密,用于数据的保密。这两部分功能都需要用到非对称加密技术。
先是身份认证,通讯的数据可以这样进行处理,将用户的信息(用户名、密码等)用该用户的私钥进行加密,然后再进行传输,而在服务器端会保存此用户的公钥,用此用户的公钥对传过来的信息进行解密,就可以得到正确的明文,这样就完成了一次安全的网络通讯。
Alice用自己的私钥对明文进行加密后传输到服务器,服务器上的用户(例如Bob)拥有很多用户的公钥,因此使用Alice的公钥对密文进行解密,如果密钥正确的话,就可以解密出明文,也就完成了对Alice的身份认证。
然后是数据加密,数据加密和数据认证正好相反,使用接收方的公钥对数据进行加密,传输的过程中,即使数据被黑客截获,也无法使用这些密文,接收方收到密文后,用自己的私钥对密文进行解密,从而完成了一次数据的加密传输。
Alice需要发给Bob一段加密的信息,因此Alice就用Bob的公钥对明文进行加密后传输给Bob,Bob收到信息后,使用自己的私钥对密文进行解密,就可以解密出明文,也就完成了对Alice的发来密文的解密过程。
目前的公开密钥算法主要有RSA和ECC,RSA是比较老的算法,基于大质数分解,速度较慢,ECC(椭圆曲线)是新的公钥加密算法,基于离散对数计算,速度比RSA快,安全性据说更高一些。
二、服务器端和客户端的安全
服务器端的安全,包括服务器自身的安全(系统漏洞等等)以及程序设计上的安全,我这里主要讲一下程序设计上的安全。基本的问题是,用户的密码不应该直接保存在服务器的数据库上,也不应该将密码用单钥算法加密后保存,基本的认证方式是通过单向散列函数对密码进行认证。在《软件加密技术和注册机制》一文中介绍了一些单向散列函数可以实现简单的认证。目前大多数网站都使用MD5函数进行登录认证,不过我推荐使用安全性更高的SHA1散列函数来进行登录认证。
客户端的安全,主要是用户密码本身的安全性(密码长度和复杂性等)以及用户电脑的安全性,包括用户电脑没有安装黑客木马软件,登录程序没有被第三方程序加载调试,用户录入框组织键盘Hook程序等等,通过一些代码即可解决。
深圳网站建设公司-沙漠风(www.szweb.cn.),拥有设计团队为企业提供FLASH网站设计,网页制作,多媒体触摸屏展示设计.
很赞哦!(9369)
上一篇: 借力百度知道做推广,推广效果事半功倍
下一篇: 优秀的建站公司需要看那些参考因素
站长推荐
友情链接
- 湘潭网站优化怎么提高用户对网站的信任度呢?
- 网站优化进阶内容:站内站设计
- 不同类型行业的SEO优化要怎么做?
- 武汉SEO优化如何提高网站流量?
- 网站操作过当被搜索引擎惩罚了怎么办,这几个方法可快速恢复!
- 实际操作中要如何去做SEO优化?
- 企业网站优化的技巧,影响网站排名的因素
- 长沙Seo优化该怎么做
- 深圳网站优化外链建设要做的那些不为人知的事儿
- 实际操作中要如何去做SEO优化?
- 一个佛山SEO站长可不只要掌握优化推广哟!
- 企业做SEO优化有哪些好处?
- 还能利用外链去做网站优化吗?要如何去做好外链呢?
- 网站标题如何写,这四个方法简单易懂
- 网站优化效果差是在哪些方面犯错了呢?
- 武汉SEO优化如何进行内容优化?
- seo网站优化之网站内链优化详解
- 警惕!!网站交换友情链接的反诈骗知识!
- 企业应该如何优化网站才能有效排名
- 一个长沙SEO站长可不只要掌握优化推广哟!