互聯網信息系統的賬戶密碼安全技術研究

鄭士芹

（北京信息職業技術學院，北京 100081）

0 引 言

21世紀被稱為信息時代。與眾多新技術一樣，互聯網技術給人們生活帶來極大便利的同時，也帶來了隱私信息泄露的安全隱患。就目前來說，互聯網技術已經深入到人們生活的方方面面，成為社會生產和生活中不可或缺的部分。但是，由于因特網基礎協議沒有充分考慮到信息安全因素，因此互聯網信息系統安全問題愈加突出。網絡賬號密碼盜取、黑客入侵以及假冒網站等互聯網安全問題嚴重影響著互聯網技術的應用，成為制約互聯網服務安全的主要因素。同時，用戶信息泄露或被盜取事件時有發生，如索尼用戶信息的泄露、愛普生公司用戶信息的泄露以及美國銀行卡擁有者信息遭到泄露等。因此，利用信息安全理論，采取安全防護技術，提升互聯網使用安全性成為社會焦點問題。

1 賬戶密碼安全現狀調查

現階段，人們的生活中擁有各種互聯網商業網站。人們可以使用這些商業網站進行購物、通信以及溝通等，提升了人們的生活質量。但用戶在使用這些商業網站滿足各種服務需求的同時，也在這些商業網站中留下了私密信息，如用戶的購買記錄、消費習慣以及好友范圍等。如果用戶的這些隱私信息被泄露，那么不法分子會利用用戶的隱私信息獲取不法利益，從而對用戶的生活造成不利影響[1]。在2011年，我國出現了系列網站賬號庫集中泄露事件，一定程度上反映出我國商業網站對用戶賬號密碼等隱私信息的儲存保護存在漏洞。為充分了解賬戶密碼安全現狀，2012年調查了30家知名商業網站的賬號密碼安全性。接受調查的網站基本上是目前我國網絡用戶常用的網站，涵蓋了生活、招聘、交友以及影音等各個方面。調查通過監控用戶注冊賬號和用戶登錄過程，來查看這些商業網站是否采取了一定的安全技術來保證用戶登錄賬號與密碼安全。結果顯示，29家網站沒有采取任何的保護措施保護用戶所提交的賬戶與密碼，其中26家網站沒有采取任何防護措施保護客戶的登錄認證過程，3家網站服務商采用的是明文密碼數據庫[2]。在2018年度對上述30家商業網站賬號密碼進行安全性復查時，絕大多數網站已經采用了安全防護措施，如采用HTTPS安全協議對網站注冊與登錄信息做了加密封裝，提升了信息安全性，但仍然存在極少數網站未進行任何安全防護升級[3]。

2 互聯網信息系統的賬戶密碼安全問題分析

綜合來看，用戶在登錄某一個網站時，可能會遭到的系統賬戶密碼安全問題包括DNS劫持、XSS漏洞竊取用戶信息數據以及密碼的存儲安全等問題[4]。網站訪問結構如圖1所示。

2.1 DNS劫持

DNS是網站服務器運行維護中的一項重要內容，當一個用戶使用某一個瀏覽器訪問百度搜索引擎時，用戶所使用的瀏覽器會首先通過DNS服務器找出百度搜索引擎的IP地址，然后通過IP地址訪問服務器[5]。簡單來說，用戶通過瀏覽器訪問到的目標信息是IP地址所在服務器提供的。域名解析流程如圖2所示。

從圖2中可以看出，用戶在使用互聯網獲取目標信息的過程中，如果DNS將一個不存在的虛假IP地址傳輸至用戶，那么用戶會在不知情的情況下點擊進入不法分子所設置的虛假網站，而且這個虛假網站不容易被用戶發覺。這種提供虛假IP地址，讓用戶在使用互聯網時不知情地掉入不法分子陷阱的情況就是DNS劫持。目前，一些小型的運營商，通常會通過使用DNS劫持技術強制將用戶訪問目標網站的請求劫持到運營商的服務器上[6]。例如，在工作中常常見到的彈窗廣告等，就是通過截獲用戶賬戶密碼信息來給用戶計算機推送廣告的，此外在青島出現的聯通運營商劫持百度搜索事件也是通過DNS劫持實現的。針對DNS劫持事件，需要借助政府力量，增強對運營商的監管力度。

2.2 XSS漏洞

XSS攻擊又叫做跨站腳本攻擊，是利用Web安全漏洞所進行的一種網絡信息賬號密碼攻擊[7]。安全漏洞的出現使得攻擊者可以利用惡意代碼侵入Web用戶使用者。當用戶點開攻擊者所發送的URL時，用戶計算機就會遭受到惡意代碼攻擊。資料顯示，XSS漏洞是目前互聯網中最多的漏洞之一，且自21世紀初期，XSS漏洞逐年上升，已經成為當下一種較大范圍網站所遭受到的問題。按照XSS漏洞的攻擊特性，可以將XSS漏洞分為持久性與非持久性兩種。

2.3 密碼的存儲安全問題

用戶在進行網絡賬戶登錄的過程中，輸入的賬號和密碼等均存儲在網站數據庫服務器中。DBA和開發人員等可以輕易獲取這些信息，如果該網站在運營過程中出現了安全漏洞，那么這些漏洞一旦被不法分子獲取，將會對網站和用戶等造成嚴重的隱私信息泄露安全事件，而采用明文存儲方式存在較大的安全隱患[9]。例如，2011年出現的某知名IT網站6×106名用戶明文密碼被泄露。對用戶賬戶和密碼等信息進行加密處理，本質上是為了提升網絡信息系統的安全性。目前，大多數網站通常會采用不可逆散列算法MD5存儲用戶的賬號和密碼等信息。表1為原始密碼與MD5對應表，通過反查MD5之后的散列值就能夠查詢出原始密碼。

表1 原始密碼與MD5對應表

為有效增強用戶網絡賬戶密碼的安全性與破解難度，運營商開始通過增加鹽值的形式來增強用戶賬戶密碼等信息存儲的安全性。但通過增加鹽值并不表明用戶網絡賬戶密碼的安全性就萬無一失。資料顯示，網絡賬戶密碼使用率較高的密碼存在著較高的重合度，如數字123456789是用戶常用的排行前十的密碼。不法分子通過對MD5散列后密碼庫進行概率統計，并結合曝光出來的密碼庫，能夠較為容易地猜測出將那些采用使用率高的密碼作為自己賬戶密碼用戶的原始密碼[10]。因此，為提升用戶網絡賬戶密碼等信息儲存的安全性，一般不對原始密碼信息進行存儲。即使不同用戶采用的網絡賬號密碼是一致的，在數據庫中所呈現的儲存特征也不一樣，可通過增加字典破解難度提升安全性。

3 基于分布式多層結構密碼安全解決方案

3.1 分布式多層結構的工作模式

分布式多層結構是由傳統C/S與B/S模式演變而成的，結構如圖3所示。

圖3 結構示意圖

分布式多層結構的工作模式在安全性提升方面有著明顯效果，其中客戶端不能直接訪問數據服務器，因此使得攻擊者不能通過客戶端直接攻擊數據服務器。

3.2 系統密碼安全的實現流程

3.2.1 加密算法

分布式多層結構應用系統的客戶端用戶復雜，所以如果使用簽名機制算法不僅可以最大限度地提升密碼安全性，而且可以有效解決加密速度問題，因此常常使用RSA算法來對網絡用戶賬號密碼等信息作加密處理。RSA算法在實踐中存在著兩個明顯的缺點：一是受到素數產生影響，不能完全做到一次一秘；二是RSA算法中的密鑰長度過高，加密速度較慢。攻擊RSA的方法主要有選擇密文攻擊和公共模數攻擊兩種，其中選擇密文攻擊是攻擊者將攻擊信息通過一定的偽裝，采用欺騙的形式獲取實體簽署并獲取目標信息，而公共模數攻擊是將公共模數進行分解后通過計算獲取信息。在實踐中，為有效地規避RSA算法的缺點，常常通過以下方案進行優化[11]。一是實現隨機素數，將生成的大量素數存儲至系統數據庫，當需要生成密鑰時，隨機地在數據庫中抽取一個記作a，并在生成的密鑰端將硬件參數特征進行提取。二是產生較少的密鑰數據，這也就保證了密鑰長度過長時依然可以保持較高的加密速度。三是選擇密文攻擊，通過實體公鑰同時加密兩個信息數據，其中一個為實體需要的密碼數據，另一個為標識實體合法身份的信息數據。

3.2.2 實現流程

系統密碼主要包括網絡用戶登錄時發出的請求、用戶注冊或密碼變更以及權限的分配等。（1）用戶登錄請求。當用戶通過瀏覽器客戶端向網絡服務終端發出登錄請求后，應用服務器將從數據服務器中提取出一個特征素數，獲取相應的本地硬件參數，并將這些信息數據轉化成數字信息，基于數字信息計算得出距離最近的素數p和q,生成密鑰。其中公鑰傳輸至客戶端，并加密用戶的登錄賬號和密碼等身份信息，之后將加密處理后的信息傳輸至應用服務器進行校驗。（2）用戶權限分配。在身份信息校驗后，用戶才能夠獲取相應的授權。（3）用戶注冊及密碼變更。用戶通過瀏覽器客戶端向服務器終端發出注冊或者更換密碼請求信息，應用服務器從數據服務器中提取出一個特征素數，獲取相應的本地硬件參數，并將這些信息數據轉化成數字信息，基于數字信息計算得出距離最近的素數生成密鑰，對用戶身份信息進行加密，之后將加密處理后的信息傳輸至應用服務器進行解密處理，確認用戶身份信息。如果經確認用戶身份合法，那么更換使用其他算法進行注冊加密或密碼變更，然后將經加密處理后的信息依然存儲在數據服務器。在該過程中，為了最大限度地降低系統設計的復雜程度，在采用更換算法時不再使用簽名機制算法。

4 結 論

互聯網系統的開放性，導致眾多互聯網公司技術水平存在較大的差異。由于缺乏完全統一的安全標準，而且沒有專門的互聯網安全檢驗機構，導致用戶在使用互聯網技術時不可避免會遇到不安全現象。潛在的互聯網信息系統賬戶密碼安全問題不僅對每一個互聯網用戶產生了較大影響，而且還事關著每一個互聯網公司的自身安全，因此有必要研究互聯網信息系統的賬戶密碼安全技術，為互聯網安全保駕護航。