基于IBC和移动终端的Web系统安全登录技术研究与实现

发布时间：2020-08-27 10:16

【摘要】：身份认证是信息安全中重要的组成部分,目前大多数Web系统采用基于用户名和口令的方式实现对用户的身份鉴别。为了避免用户在某一系统中口令被破解导致该用户在其他系统中账户受到威胁,用户通常需要为不同的Web系统设置不同的口令,由于复杂的口令不易于记忆,用户常会在口令中加入个人身份信息,如生日等,这种做法将导致此类口令易于受到口令攻击。总体而言,基于用户名和口令的身份鉴别方式易于实现,但一般应用于安全性要求较低的系统。对于安全性要求较高的系统,常使用公钥基础设施(Public Key Infrastructure,PKI)技术,但该技术在应用时与数字证书相关的操作需要用户手动参与,并需要针对不同浏览器开发不同的插件以实现客户端的密码运算。PKI技术中常使用便携式密码硬件设备如USB Key等实现密钥管理并实施密码运算,密码硬件设备与用户计算机常使用USB连接,身份认证数据将直接通过USB口传递给计算机,该方式的安全性较通过互联网进行传输的方式高,但实际应用中存在计算机USB连接口由于保密性等原因不允许使用的情形,因此适用性较低。同时密码硬件设备的购买需要用户额外的花费。针对以上问题,本文从基于标识的密码技术(Identity Based Cryptography,IBC)的基本实现原理入手,选用身份标识作为用户的身份鉴别数据,由于身份标识本身所具有的公开性,使得常见的口令攻击等网络入侵方式变得毫无用处,能有效地提高系统的安全性。同时,本方案允许用户使用相同的身份标识实现在不同Web系统的安全登录,不需要为不同的Web系统识记复杂繁多的密码,因此具有更高的用户友好性。本文选用移动终端替代USB Key实现密钥管理以及密码运算,支持使用数据网通过远程通讯的方式实现对移动终端中密码功能的调用,解决了USB Key存在的适用性较差的问题,同时避免了用户购买USB Key存在的额外花费。针对不同的应用需求,本文提出了三种Web系统安全登录方案,并分别对各方案具体内容和实现步骤进行阐述说明。本研究的创新点如下:(1)将IBC密码技术应用到Web系统的安全登录中,使用公开的身份标识作为用户公钥,避免了PKI技术中数字证书带来的用户不友好的问题。由于用户标识的公开性,用户不需要为不同的Web系统记忆不同的密码,能有效防止密码猜测攻击;(2)使用移动终端如手机等替代便携式密码硬件设备实现密码功能,方便用户携带并能避免移动密码硬件设备带来的额外花费;(3)针对不同的应用需求,提出了三种Web系统安全登录方案,在方案中避免使用浏览器插件,使得系统易于开发。
【学位授予单位】：武汉理工大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.09;TN918.1
【图文】：

拦截器,代码,推送

图 4-7 WebSocket 拦截器建立 HttpSession 与 WebSocketSession 关系代码MyHandler 类为具体处理类，实现了 WebSocketHandler 接口，其中实现了sendMessageToUser2 方法，通过遍历的方式利用指定的 HttpSession 的会话 id 找到对应的 WebSocketSession，从而实现将验证信息向相应的浏览器端的推送，sendMessageToUser2 方法的具体实现代码如图 4-8 所示。图 4-8 WebSocket 推送消息实现代码

推送,代码,消息,拦截器

启动界面,系统安全,安全性分析,系统测试

第 7 章系统测试与安全性分析7.1 系统功能测试7.1.1 基于本地代理的 Web 系统安全登录方案测试采用基于本地代理的 Web 系统安全登录方案时，用户首先启动本地代理并等待来自浏览器的解密请求，本地代理启动后界面如图 7-1 所示。

【相似文献】