摘要:互联网技术的快速发展在一定程度上改变了人们的生活方式,但随之产生的网络安全问题已成为社会关注的热点问题。基于此,本文首先阐述了网络密码安全现状,进而分析了网络密码消息的加密思路,并基于安全模型重点探讨了网络密码加密算法,以期为提升网络密码安全水平提供借鉴。
关键词:网络安全; 密码; 加密算法;
Network Password Security Analysis
ZHENG Shiqin
Beijing Institute of Information Technology
Abstract:The rapid development of Internet technology has changed people's way of life to a certain extent, but the resulting network security issues have become a hot issue of social concern. Based on this, this paper first describes the current situation of network password security, and then analyzes the encryption ideas of network password message, and focuses on the network password encryption algorithm based on the security model, in order to provide reference for improving the level of network password security.
0 引言
进入21世纪以来,互联网技术的普及给人们的生活带来了极大的便利,例如:QQ、微信、微博等通讯新手段提升了通信的便捷性;京东、天猫等网购平台的出现丰富了人们的购物渠道。人们在使用各种网络账号提升生活质量的同时,各种网络账号密码的设置以及安全问题同样给人们带来了困扰[1,2,3]。可以说,在网络信息时代,每一个人都必然需要和各种网络账号密码打交道,各种形式的通信手段、邮箱、网络游戏等,都需要用户通过账号与密码进行登录,开放式的网络必然存在着潜在威胁,木马、计算机病毒严重影响着网络账号的安全,不仅会导致网络账号被盗,甚至还会被一些不法分子利用。因此,对网络密码安全进行分析具有重要的现实意义。
1 网络密码安全现状
1.1 常见个人密码设置
在信息时代,每一个人都或多或少拥有网络账户,大多数人为了便于记忆,常常将各种账户设置成相同或类似的密码,无形中增加了网络安全隐患。下面是一些不安全的网络密码设置习惯:(1)用户的所有网络账户均采用相同的密码;(2)在登录网络服务器时,选择默认记忆密码或自动登录;(3)网络账户密码与个人信息关联性太大;(4)密码设置过于简单,位数太短。笔者在某高校进行的一次调查共获取555个有效样本,设置的网络账户密码特征如表1所示。
表1 网络账户密码的特征
从表1可以看出,在收集的555个样本中,有404个样本具有明显的特征,达到72.19%。从上述分析中可以得出,大多数网络用户在设置密码时,往往采用一些容易记忆的内容作为密码。
1.2 常用的传输和保存方法
用户在使用账户与密码登录网络服务器时,大多数网站依然采用明文存储密码的形式,存在较大的安全隐患。例如,CSDN网站账号被盗事件就是由于采用了明文形式存储用户密码。目前,很多网站为了提升用户密码的安全性,会采取一定的加密处理措施,但这些加密技术仍然可以采用暴力破解法攻破,为有效地防范字典攻击,一些网站采用MD5加密算法中的加盐值(SALT)进行加密。
2 网络消息的加密思路
在实践中,如果素数长度过长,则会影响运算速度,因此为有效地规避该问题,需要采用动态加解密思路。具体过程如下:在传输消息的过程中,首先随机使用加密函数对消息进行加密处理,然后利用RSA算法对生成的动态密码源进行加密,最后基于MD5对加密后的动态密码源进行再次加密后生成加密信息。从上述分析可以得出,只需要确保动态密码源的安全性,就可以达到提升加密强度的目的。
3 安全模型涉及的理论
第一,Logistic映射。Logistic序列具有对初始值敏感、类随机与可重复性等特性,进入混沌状态后具有分布均匀、迭代公式简单、数字化实现容易等优点。Logistic序列所映射生成的混沌序列具有较强的统计学特性,这也间接说明混沌动力系统具有一定的确定性,其生成的随机序列能够满足需求。第二,大素数测试方法。生成的大素数是使用RSA算法的关键内容,采用Miller Rabin概率对素数进行判断,为确保素数的判断效率更快,使用筛选法过滤偶数与个位为5的数值。
4 网络密码加密算法分析与验证
20世纪中期,美国学者Claude Elwood Shannon在《保密系统的通信理论》中提出一种基于私钥的流密码体制模型,但随着网络环境变化,该模型显然已经不能适应时代发展要求。通过前述网络密码加密算法研究,常常采用如图1所示的网络密码安全模型。
首先将静态M输入系统中,并通过Clients前端通信模块向Server发出连接请求,并将当前日期时间转换成纯数值T,之后将T传输至混沌序列生成器,并将T作为初始值X0,并生成混沌序列集合H,把H传输至模型中的编码生成器,产生一个大素数整数集Z,利用RSA密钥流生成器对Z进行处理,产生公钥k1与私钥k2以及动态因子s1。Clients在接收公钥与私钥后,利用公钥集对生成的动态密码源进行加密,并将加密处理后的密文使用MD5进行计算,使用Server对密文进行校验、解密,并做身份验证。
如前文所述,模型的安全性取决于密钥变换过程的时间,所以在分析模型的安全性时只需要对密钥生成的随机性、速度以及加密速度进行测试即可。(1)速度分析。在验证过程中,选择使用8位素数(p、q)作为实验对象。素数p、q的值均是随机产生的,且素数变换速度较快,以秒为单位进行计算。(2)模型加密速度验证。基于安全模型加密思想,在对模型加密速度进行验证时,选择使用6、8、10位素数进行测试,可以得出模型加密速度会受到素数(p、q)取值的影响。
接着,可对生成的素数做单独的RSA加密测试,加密时间分别为0.738、1.186、3.553 s,由此可知,模型的加密速度不受加密次数的影响。单独RSA加密方法的密钥长度在超过1 024位时才具有较强的安全性,目前主流配置终端在破解1 024位密钥时,需要花费的时间可能超过1年,即使破解64~256位的弱密钥同样需要花费几个小时,不可能达到秒级。本文提出的安全模型密钥是一种动态密钥,且其随着时间的改变而变化,同时具有较快的加密速度,能够在密码时效内有效防御各种形式的攻击。
5 结语
用户网络账户的密码安全不仅需要用户的努力,同样离不开网站的支持,网站需要基于服务器的安全、程序的安全等方面出发,尽可能规避漏洞。同时,对于不同安全需求的系统应该采取不同的防范措施,例如对于常用的支付宝而言,在设置登录密码、支付密码的同时,还应采取其他保护措施。
参考文献
[1]廖渊,李北川.基于金融行业支付场景的安全态势感知模型研究[J].信息安全研究,2020,6(3):235-243.
[2]袁露,黄辰林,李韵,等.一种基于TrustZone的硬件密码资源主动发现与安全使用方法[J].信息网络安全,2020,20(8):47-54.
[3]刘冬兰,刘新,张昊,等.基于大数据业务场景的数据安全分析及防泄露技术研究[J].山东电力技术,2020,47(9):7-13,30.
