Web应用开发中的安全算法的使用途径研究

刘儒香

（亳州学院，安徽 毫州236800）

Web应用开发中的安全算法的使用途径研究

刘儒香

（亳州学院，安徽 毫州236800）

近年来，网络技术飞速发展，Web已经应用于各个领域，为社会生产与发展带来了很大的便利，改变着人们的生活。本文主要对Web应用开发中安全算法的使用途径进行了分析，希望能够帮助更多的开发者，使其了解Web应用中的安全问题及其解决措施。

Web应用开发；安全算法；使用途径

在 CSDN 举行的互联网安全沙龙活动上，安天实验室反病毒引擎研发中心程序员童志明发表了题为《Web应用开发中的安全算法使用策略》的主题演讲。在这个信息化时代，网络信息技术的应用已经深入到各个领域，社会上没有哪一个网站能够绝对的保证自己数据库的安全。在这样的情况下，我们最需要探讨的问题就是如何利用好现有的安全算法，以提高网络信息的安全保障。

1 Web使用过程中面临的安全威胁

1.1 系统方面的安全问题

系统上的问题是网络中最容易出现的问题，近年来随着Web应用程序的增加，系统出现的问题也越来越多，带来的漏洞开始严重的影响着用户信息的安全。在服务方面，很多用户为了方便都会设置默认口令或是默认设置，包括数据库系统，这样使得很多使用的人能够直接打开就用，没有对默认的口令和账号等进行修改和保密，这就容易导致恶意人员故意利用默认密码和口令来发动攻击，造成系统安全漏洞的出现，使重要的信息或财务被盗取和破坏。

1.2 远程控制和运维的风险

由于工作的需求，很多人除了在公司远程运维之外，还可能选择在家中进行远程运维，在这个过程中，用户的信心可能会遭到泄露，受到木马等的攻击，产生安全风险。在家里进行远程控制和远程运维的时候，其PC不如在企业中安全，很多企业中CP采取了安全措施，不容易出现安全问题，而家里不同，可能随时都会受到木马或病毒的入侵。当木马侵入电脑之后，入侵者就会获取你的账号密码、口令等，以此来登录用户的服务器，盗取用户的信息。

1.3 备份的安全风险

用户在远程运维中，一般需要将数据进行备份，如果在备份的时候没有设置相应的密码，或是权限分配不当，那么明文数据很可能被分配到服务器上面，这主要是由于备份人员的安全意识不够，这种情况很可能导致数据信息的泄露。如果是备份的数据信息被盗，那么盗取者可能会利用这些信息做其他的尝试，拿到口令之后将其作为新的有效信息来登录其他的相关网站。

1.4 较为严重的口令风险

在泄密门事件发生以后，网络上市场出现各种各样的疑问，有人提出为什么有明文的口令，却不做HASH？这个提议实际上是有道理的，但还不够全面，这表明人们知道HASH具有单向性。也有人提出课将MD5应用到口令的设计中，这就大大的提高了系统的安全性和可靠性。但实际上，我们设计HASH算法的目的并不是保存口令，而是需要完成较一个完整性的验证。因此，用HASH而不是原文解决验证问题的原因之一就是，HASH值在一般的场景下比需要验证的更短。

2 安全算法的使用方法

在泄密门事件发生以后，相关研究人员推出了新的开源项目，即APM，这种项目不是实现和创造了新的算法，而是在原来的基础上利用开源包实现的。一用户一盐主要是包括个性化的量以及盐表。此外还提供了还原模式，这种模式有站点的需求，需要原始密码等，而新的APM项目提供了这种功能。那么，怎样才算作安全，首先不能公开算法，还有就是不公开密钥。在列出开源项目的时候，需要使用标准算法，这种算法是公开的，它的合理性是通过时间验证，相关的数学家反复实验过的，因此将其用于Web应用开发中是合理的。一般来说，攻击者所采取的手段有三种：统计攻击、反向查询以及暴力破解。而这里的随机的数据，与用户设置的口令相结合才能开始运算。当用户第一次提供密码的时候，系统会自动的往密码中加入一组随机的数据，然后开始进行散列。用户在登录的时候，系统就就是随机数据加散列，再通过对散列值得比较，确定用户所输入的密码是否准确。而这里的用户名，是为了起到盐的作用。那么，加盐的作用是什么？例如，攻击者同时获取了两个网站的数据，且两个网站站点的用户名都是111，在这种情况下，如果两个站点的密码也是一样，那么实际上这两个站点的散列值就是一样的，攻击者仍然可以通过散列来查处站点的密码。因此，在安全算法使用的过程中加入随机数据，攻击者就不容易获取用户的数据和信息。用户可以通过外部服务器进行注册，其用户名、密码和盐会共同组成一个验证密码，这就大大的提高了Web应用的安全性，防止不法分子来攻击网站而造成损失。

3 结束语

本文通过对开源项目APM的实现进行深入的讨论，让目前还在明文保存密码的网站和使用相关算法策略并不合理(比如那些联合使用HASH或者加入单一SALT的情况)的网站，能够了解如何科学使用这些数学方法，降低安全应用的门槛，并希望打消那些中小网站试图自己研究一个算法而努力尝试的想法。

[1]]谢灵智.Web应用开发中的安全算法使用策略[J].信息安全与通信保密，2013，(2):32-34.

[2]刘明明.Web应用漏洞扫描器的设计与实现[D].电子科技大学，2014.

In the Web application development way to study of the use of security algorithm

LIU Ru-xiang

(Bozhou university Anhui Bozhou 236800)

In recent years， the network technology has achieved rapid development， the Web has been used in every field， changing people's life. In this paper， the security algorithm in Web application development using the way of analysis， hope to help developers， its understanding of Web application security problems and their solutions.

Web application development; Security algorithm; Use way

TP301.6

A

10.3969/j.issn.1672-7304.2016.05.017

1672–7304(2016)05–0035–02

校级质量工程项目（项目编号：BZSZJYXM201112）。

（责任编辑：廖建勇）

声明：湖南城市学院学报（自然科学版）2015年第第24卷第2期第79页发表的文章《湖南省医学类院校实验教师队伍的现状调查与分析》，作者范珍明等，遗漏课题[基金项目：湖南省高教学会实验室管理专业委员会2014 年资助研究课题（项目编号：24）、 湖南省教育厅教学研究项目（项目编号 2014-678；2014-679；2015- 696）、湖南省教育科学“十二五”规划2015年立项课题“基于能力导向的诊断学课程院校合作同步式实践教学质量监控的探讨”(项目编号 : XJK015CGD071)]。

声明：湖南城市学院学报（自然科学版）2016年第25卷第4期第218页发表的文章《区域贸易协定与世贸组织管辖权竞合与协调》，作者钟立国，遗漏课题[基金项目：教育部人文社会科学研究规划基金项目“区域贸易协定竞争政策研究——他国的实践与中国的选择”（项目编号：14YJA820034）；广东财经大学法治与经济发展研究所“区域贸易协定争端解决机制研究——以中国为视角”]。

刘儒香（1978-），男，安徽蒙城人，讲师，研究方向：web应用开发。