面向大學城的“WE”拼車平臺安全功能的設計

劉風雪

摘要：網絡安全問題已經成為一個社會問題和政治問題，它在許多方面都影響著人們的生活。當學生使用拼車軟件時，總會擔心個人信息泄露以及銀行卡信息泄露等一系列問題，這些擔心多數都歸因于網絡技術的漏洞。因此，為防止此類事件再次發生以及為減緩學生使用軟件時的擔憂。因此主要圍繞拼車市場中的網絡安全現狀、拼車過程中群眾的擔憂以及存在的問題，討論了大學城“WE”拼車平臺安全問題的解決對策。

關鍵詞：網絡安全;大學拼車;防范策略;信息泄露;安全技術

中圖分類號：TP393? ? ?文獻標識碼：A

文章編號：1009-3044（2019）18-0020-03

Abstract： Network security has become a social and political issue， which affects people's lives in many ways. When students use carpooling software， they always worry about a series of problems， such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore， in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore， around the current situation of network security in the carpooling market， the concerns of the masses and the existing problems in the carpooling process， this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.

Key words： network security; collegiate carpooling; prevention strategy; information leakage; security technology

1 背景

隨著生活水平的提高，我國人民對于出行的質量要求越來越高，且由于對經濟問題的考慮，拼車已經成為人們出行的一大選擇。但隨之而來更引人關注的是拼車的“安全”問題，大學生失聯事故偶有發生，個人信息泄露等問題都讓消費者對拼車產生焦慮。而造成這些問題的主要原因就是網絡安全問題無法得到保障。

2016年11月7日，我國頒布了《中華人民共和國網絡安全法》，習近平主席在網絡安全和信息化工作座談會上的講話中強調“維護網絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發生風險。正所謂“聰者聽于無聲，明者未見于形”，感知網絡安全態勢是最基礎的工作。

校園“we”拼車是一款只為大學生設計的拼車app系統，它將學號與個人信息聯系起來，防止社會上的閑雜人等混入其中。且由于學號等條件的限制，乘客“拼”到的車友都是學生身份，大大地降低了危險發生的可能性。

2 拼車軟件存在的安全問題

目前的拼車軟件的安全問題總體上可以概括為以下四點：

1）信息泄露。此類主要表現為信息被竊聽而不被竊取，且這種不破壞信息傳輸的網絡侵犯者被稱為消極侵犯者。例如用戶身份信息泄露或者銀行卡信息泄露。

2）信息被篡改。這種被稱為純粹的信息破壞，其破壞作用最大，破壞者截取信息包，使之消失或失效，或添加對自己有利的信息，誤導使用者，這種破壞者被稱為積極侵犯。例如用戶自身信息被篡改，影響自身效益，或有非法廣告入侵，造成虛假宣傳，影響用戶使用感受。

3）非法使用網絡資源。非法用戶登錄系統進行資源使用，造成資源浪費，損害合法用戶的效益。例如此款app只針對學生使用，非學生身份使用app損害合法利益，對合法用戶是不公平的舉措。

4）人為安全因素。無論系統功能多么強大，如果管理人員不按照要求管理，造成的后果是難以想象的，此類主要表現在安全意識薄弱，安全措施不完善以及管理人員的失誤操作等。

3 拼車軟件安全問題的原因分析

1）受技術人員的工作經驗，能力水平以及系統環境的限制，技術人員無法做到面面俱到，百無漏洞，且軟件在使用過程中遇到的各種問題是無法通過預想而進行判斷的。

2）目前一些計算機網絡系統使用的硬件、軟件都是從國外進口而來的，當前技術無法對其進行改進升級和相關自我信息保護。

3）權限設置不明確，導致部分用戶獲取無權查看的內容且個人信息安全受到威脅。

4）軟件經上線時間起，隨著用戶的增加以及上線時間的增長，將會暴露出越來越多的缺點以及網絡漏洞，這些都是無法避免的。且網絡安全漏洞并不是修復完就不存在了，它還會隨著用戶的使用出現新的漏洞，一直不斷的“存在”。

5）人才市場短缺，信息人才遠遠滿足不了市場需求，且開發人員年輕化，經驗得不到傳承，導致網絡安全常見問題重復出現。

4 校園“we”拼車APP的安全策略

4.1 加強技術防范

4.1.1 安全技術

1）虛擬網技術

虛擬網技術是基于近年發展的局域網交換技術，使虛擬網外的節點難以直接訪問虛擬網內的節點，從而以防止入侵。由于互聯網是由很多個網絡節點組成的，而每一個網絡節點在網上想要被人找到實際上都需要一個IP地址，但是這個地址暴露出去就有被攻擊的風險，所以很多時候需要組建一個局域網就像自己家里用的路由器一樣，在局域網里有很多節點，每個節點的IP都是自己定義的。這樣就可以隱藏真正的服務地址了。例如在此系統中，主要利用虛擬網技術中的隧道技術對數據進行二次打包，將加密過后的數據通過網絡傳輸，以保證數據更加安全、完整的完成傳輸。

2）防火墻技術

防火墻是網絡訪問控制設備，用于拒絕除了內部準許通過的其他所有數據，例如爬蟲現象，就是指未被授權人員模仿正常用戶訪問系統，竊取內部信息，對于這一現象，就可以使用防火墻技術對此類現象進行攔截。且防火墻可以定義一個關鍵點以防止外來入侵，還可以監控網絡的安全并在異常情況下給出報警提示，提供網絡地址轉換功能，防火墻還可以查詢或登記Internet的使用情況，為客戶提供服務的理想位置。雖然在一定程度上防火墻也存在許多缺點，但是他可以有效地阻止非法用戶通過外部網絡進入內部網絡，進而對客戶利益造成不必要的損害。

3）病毒防護技術

病毒一直以來都是威脅系統安全的主要問題之一，若此系統進入病毒的話，將會有可能造成系統癱瘓或對客戶的賬戶安全產生威脅，甚至可能會對顧客的手機造成影響，對這一問題要做的就是采取一定的技術手段來防止病毒對系統的傳染和破壞。可以在防火墻、代理服務器、SMTP服務器、網絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監控軟件，使用防病毒軟件檢查和清除病毒。對病毒數據庫應不斷更新升級，并下發到桌面系統。在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經許可的控件下載和安裝。

4）認證技術

認證技術指的是確定使用軟件的是誰或使用者是否對軟件有使用權限。也就是使用者的物理身份與數字身份是否相符和乘客是否具有學生身份，此技術還可以防止司機或學生查看他們無權查看的信息。對于驗證，可以采用靜態密碼來進行驗證，也就是用戶在注冊時自己所設置的密碼。而假設用戶忘記自己所設置的密碼，還可以采用動態驗證來對用戶進行驗證，也就是對用戶在注冊時所綁定的手機號發送六位動態數字，每分鐘發送一次動態驗證數字，數字有效性為一次。

5）加密技術

加密技術指的是信息在傳輸或者存儲過程中，根據一些算法進行編碼，例如用戶的賬號密碼在數據庫中的存放方式就是加密的，假設用戶密碼是liufengxue，但是實際在數據庫中存的可能是agdyevduebsgsu。

6）安全掃描技術

安全掃描的原理是對網絡、主機對外開放的端口、系統可能存在的錯誤配置等安全漏洞，采取模擬黑客攻擊的形式來檢測存在的安全漏洞，這是一種極為有效的主動防御技術，結合入侵檢測技術和防火墻技術，可以提供拼車系統的網絡全方位的防護。

首先，在拼車系統中，采用端口掃描技術，TCP connect掃描是最基本的TCP掃描方法，用操作系統提供的connect（）系統與拼車系統的端口進行連接，可檢測拼車系統的端口是否處于監聽狀態。其次采用TCP SYN掃描，發送一個SYN數據包，若返回SYN}ACK數據包，則說明拼車系統端口處于監聽狀態，需要再發送一個RST數據包來停止此操作。

上述操作可以探測端口的信息，但我們需要在這些信息的基礎上，具體問題具體分析，找到問題端口中的錯誤配置，網絡協議漏洞等系統漏洞。

7）入侵檢測技術

入侵檢測系統是一種用于檢測未授權訪問行為的軟件工具，此項工具應用于拼車系統，可以動態監測訪問行為，作為防火墻動態監測的補充。

在拼車系統中，應用入侵檢測技術，來對每一個訪問該系統的行為進行動態檢測，動態檢測主要采用特征檢測，因為特征檢測有檢測可靠和誤報率低的特點。在特征檢測中，通過識別訪問拼車系統的流量和應用數據模型來分辨訪問者是否存在非法的攻擊行為。

4.2 系統的安全設計

1）安全注冊

此模塊有司機注冊和學生乘客注冊，主要運用加密技術，將司機的信息和學生的信息進行編碼存儲進數據庫，且司機和乘客在注冊時也可設置登錄密碼來保證自己的個人信息不被泄露，用戶還可以通過密碼來設置自己的信息是否可以被別人查看以及哪些信息可以被查看。在注冊時司機需要輸入自己的用戶名，手機號以及設置的登錄密碼，注冊成功后，需要進入實名認證（需輸入真實姓名，性別，居住地信息，身份證圖片以及駕駛證圖片）和車輛認證（需輸入車輛的型號，顏色，車牌號，以及其他的相關基本信息）階段，認證成功后，才可以進行接單。學生乘客在注冊時也需要輸入自己的用戶名，手機號，學校的名稱和自己的學號以及設置的登錄密碼。在其他信息滿足要求的情況下，只需要驗證手機號即可，手機號驗證成功之后，就可以對app進行使用。

2）信息核實

信息核實主要運用防火墻技術和認證技術以及入侵檢測技術，防火墻用來控制內部網絡與外部網絡之間的數據流，它可以有效地阻擋不滿足安全協議或系統結構的數據進入內務網絡，也可以阻擋不法分子惡意的網絡攻擊，保護合法用戶的網絡安全。認證技術用來確定司機和學生乘客是否對軟件有使用權限，以及在司機或乘客在忘記自己設置的密碼時，該如何對軟件重新登錄繼續進行使用，在忘記密碼時主要采用對用戶發送驗證碼來確定登陸者身份是否屬實，入侵檢測技術用于檢測是否有穿越防火墻的或企圖對系統構成威脅的違反網絡安全策略的舉動，也可以快速地發現越權行為或不符合系統要求的異常現象。且開發人員對于最初注冊時的信息核實準備了雙重保障，一個是人工核實，另一個是系統核實，因此在后期會增加很多的客服人員。人工核實主要是核實司機提供的車輛信息和身份信息是否屬實，有無犯罪記錄以及車檢情況是否合格。系統核實主要核實學生的學校名稱和學號是否屬實。司機或學生的信息如若不符合要求，則需要被返回繼續更改，直至改到符合要求為止，司機才可以進行接單，學生才可進行對app的使用。

3）訂單安全

在訂單模塊里主要應用虛擬網技術，其技術通過公共網絡服務商搭建專業線路，可以快速地將用戶和相關信息結合起來，保證司機或乘客發送的數據信息高速流通以達到彼此共享，還可以數據傳輸的安全性。且在訂單模塊里司機和學生乘客的界面也是不同的。司機界面具有隨機派單模式和自主接單模式。且當選擇隨機派單模式時司機還可以選擇隨機目的地和固定目的地。而選擇自主接單模式時則可以根據自己安排的時間來設定何時接單。不同的接單模式讓司機有了更多的選擇性，司機更是可以根據自己當天的狀態來選擇喜歡的模式進行工作。學生乘客的界面則分為正在進行的訂單子模塊和歷史訂單子模塊，點擊正在進行的訂單則可以查看到達目的地的距離以及導航路線。點擊歷史訂單則可以查看以往的訂單信息。

4）地圖導航模塊

利用GPS定位技術，定位司機所在位置與乘客所在位置以及乘客目的地位置，并為乘客匹配最佳路線，且在乘客用戶界面，會顯示司機電話以及車輛的顏色和車牌信息，方便與司機實時溝通，還會為乘客計算出司機到達的時間以及到達目的地的時間。

5）支付安全

在到達目的地后，司機點擊結束路程，app會根據行駛的公里數和價格標準表計算出乘客所需要支付的價錢。系統會根據乘客綁定的微信賬戶或者支付寶賬戶進行自動費用扣除。這一模塊也需要用到加密技術來保證用戶的賬戶安全。

6）數據備份

數據備份主要采用基于LAN的備份模式，數據通過LAN備份到磁帶中，且備份服務器作為控制中心控制所有的數據，這樣就可以集中的管理數據，方便人員操作，提高操作效率。這種模式的缺點是消耗內存大，但由于此系統只限于學生用戶，產生的數據量小，所以不用擔心。

5 結束語

網絡安全問題是一個棘手的問題，需要全社會共同努力不斷開發新技術、制訂安全防范策略。因此在設計校園“we”拼車app的過程中應用了主流的安全技術，其安全問題是非常樂觀的。對大學生來說，它可以讓出行變得更方便、高效，不但可以結交到更多的朋友，還可以防止司機的坐地起價。對司機來說，可以減少途中盲目尋客，避免空車現象的產生，又能夠省時省油，提高收益。對社會來說，也可以避免社會資源的浪費，從而提高社會資源的利用率。

參考文獻：

[1] 劉文才， 孫苗， 鄧俊杰. 基于物聯網的智慧拼車[J]. 武昌： 武昌理工學院， 2014.

[2] 鄭琳琳. 校園智能交通信息系統APP設計研究——以沈航校園為例[D].沈陽： 沈陽航空航天大學， 2016.

[3] 羅宇皓. Android 軟件安全分析和系統安全增強研究[D]. 上海： 上海交通大學， 2013.

[4] 王曉飛. 軟件安全漏洞發掘技術研究[D].長沙： 國防科學技術大學， 2006.

[5] 王春蓮. 基于大數據分析技術的網絡安全系統軟件開發與設計[J]. 軟件工程， 2018， 21（7）： 50-52.

[6] 賀星光. 網絡安全掃描系統的設計與實現[D].哈爾濱： 哈爾濱工業大學， 2017.

[7] 王瑋. 入侵檢測系統的研究與實現[D].成都： 電子科技大學， 2013.

[8] 于赫. 網聯汽車信息安全問題及 CAN 總線異常檢測技術研究[D].長春： 吉林大學， 2016.

【通聯編輯：謝媛媛】