您现在的位置是:惠州网站建设 > 网站制作
安全登录网站的认证设计
惠州网站建设2024-09-20 21:36:05【网站制作】4人已围观
简介 用户登录的安全性尤为重要,用户登录是任何一个应用系统的基本功能,特别是对于网上银行系统来说。如何设计一个网站的安全登录认证程序,是以下主要讨论的问题。静态密码存在着比较多的安全隐患,攻击者有很多手段
用户登录的安全安全性尤为重要,用户登录是登录任何一个应用系统的基本功能,特别是网站对于网上银行系统来说。如何设计一个网站的证设安全登录认证程序,是安全以下主要讨论的问题。
静态密码存在着比较多的登录安全隐患,攻击者有很多手段获得静态密码,网站管理密码也具有较高的证设成本,我在前文《网上银行系统安全性分析》中曾经论证过,安全使用硬件安全产品“动态密码锁”或者“USB Key”可以较好的登录解决这个问题,但是网站会带来加密锁的成本,在不增加硬件成本的证设情况下,我们也可以通过一些设计上的安全技巧和措施在一定程度上来保证登录者的身份。
一、登录网络传输上的网站安全
目前的网络协议通过HTTP协议进行通讯,存在很大的安全隐患,黑客可以通过SNIFFER工具进行抓包分析网络数据包,因此用户名和密码的传输应该使用非明文的方式传输,这里就用到了“公开密钥密码”的概念。
学过基本的“密码学”的人都应该知道“公开密钥算法(也叫非对称算法、双钥算法)”这个概念,即用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来。
加密的传输过程分为两部分,一部分为身份认证,用户鉴别这个用户的真伪;另外一部分为数据加密,用于数据的保密。这两部分功能都需要用到非对称加密技术。
先是身份认证,通讯的数据可以这样进行处理,将用户的信息(用户名、密码等)用该用户的私钥进行加密,然后再进行传输,而在服务器端会保存此用户的公钥,用此用户的公钥对传过来的信息进行解密,就可以得到正确的明文,这样就完成了一次安全的网络通讯。
Alice用自己的私钥对明文进行加密后传输到服务器,服务器上的用户(例如Bob)拥有很多用户的公钥,因此使用Alice的公钥对密文进行解密,如果密钥正确的话,就可以解密出明文,也就完成了对Alice的身份认证。
然后是数据加密,数据加密和数据认证正好相反,使用接收方的公钥对数据进行加密,传输的过程中,即使数据被黑客截获,也无法使用这些密文,接收方收到密文后,用自己的私钥对密文进行解密,从而完成了一次数据的加密传输。
Alice需要发给Bob一段加密的信息,因此Alice就用Bob的公钥对明文进行加密后传输给Bob,Bob收到信息后,使用自己的私钥对密文进行解密,就可以解密出明文,也就完成了对Alice的发来密文的解密过程。
目前的公开密钥算法主要有RSA和ECC,RSA是比较老的算法,基于大质数分解,速度较慢,ECC(椭圆曲线)是新的公钥加密算法,基于离散对数计算,速度比RSA快,安全性据说更高一些。
二、服务器端和客户端的安全
服务器端的安全,包括服务器自身的安全(系统漏洞等等)以及程序设计上的安全,我这里主要讲一下程序设计上的安全。基本的问题是,用户的密码不应该直接保存在服务器的数据库上,也不应该将密码用单钥算法加密后保存,基本的认证方式是通过单向散列函数对密码进行认证。在《软件加密技术和注册机制》一文中介绍了一些单向散列函数可以实现简单的认证。目前大多数网站都使用MD5函数进行登录认证,不过我推荐使用安全性更高的SHA1散列函数来进行登录认证。
客户端的安全,主要是用户密码本身的安全性(密码长度和复杂性等)以及用户电脑的安全性,包括用户电脑没有安装黑客木马软件,登录程序没有被第三方程序加载调试,用户录入框组织键盘Hook程序等等,通过一些代码即可解决。
深圳网站建设公司-沙漠风(www.szweb.cn.),拥有设计团队为企业提供FLASH网站设计,网页制作,多媒体触摸屏展示设计.
很赞哦!(5924)
上一篇: 深圳营销网站建设的重点有哪些?
站长推荐
友情链接
- 网站被采集该怎么办
- 什么是O2O网站,O2O网站要怎么弄?
- 互联网营销策略
- 如何培养网页设计色感
- 关于网页引导用户的解析
- 搭建物流网站建设制作要注意什么呢?
- 深圳沙漠风网站建设解析网站打开很慢的原因有哪些
- 新站该如何寻找高质量的友情链接?有哪些方法?
- 企业网站导航应该如何设计?
- 苹果开始走下坡路的10个理由
- 企业网站建设各页面色彩布局搭配技巧
- 网站域名的重要性以及对网站的影响
- 何为轻便体贴的网页设计风格?
- 谷歌当前会优先开发Android
- 全屏网站怎么设计更有冲击力
- 关注就业歧视:国考状元因曾患病未被录取状告财政部
- 网站设计冷色的运用——深圳网站建设告诉你什么网站适合用冷色调
- 深圳网站制作,制造业在做网站建设时需要注意哪些问题?
- 总结WordPress安全设置的十大技巧
- 关于大型网站需要注意的问题