刘 虎,段元梅

(湖南科技学院 信息工程学院,湖南 永州 425199)

1 移动端网络信息传输安全技术分析的意义

随着互联网的日渐普遍以及移动通信网络的快速升级换代,移动通信网络开始出现了移动银行、电子商务等新兴高新技术业务,但是这些技术的背后埋藏了很多安全隐患,比如密码的安全完备性问题、密码存储的安全性问题以及设置加密的安全性问题。文章主要关注连接的安全性问题,连接的安全性问题事关用户安全以及透明性问题,是现代网络信息传输的重要研究部分之一,使重要信息得以良好的保护。

2 数据加密算法现状

数据加密即指一段明文数据通过加密算法转换成不可读数据(也称“密文”),使其只能通过相应解密手段后才能获得原来明文数据,通过数据加密,可进一步有效保证数据存储、数据传输等方面的安全性[1]。通过根据加密的结果是否可以解密,加密算法可被分为两大类:可逆加密和不可逆加密。

2.1 可逆加密

可逆加密即可通过密文逆向解密获得明文数据的加密,可通过密钥完成对明文/密文的加密/解密,可逆加密可根据密钥类型又可以分成对称加密和非对称加密。

(1)对称加密。通过单个密钥的加密算法,且这个密钥可同时用于数据的加密与解密,其具有加密速度快、计算量小、适用于大量数据加密等特点,不过其缺点也很明显,安全性低,密钥分配与管理任务会随着数据的增加而不断增加。常见的对称加密有:DES,3DES,AES,PBE 等。

(2)非对称加密。非对称加密只有单个密钥不同,非对称加密需要公钥和私钥两个密钥进行加密和解密,一般应用场景:客户端公钥加密数据,服务器私钥解密,服务器持有私钥进行数据签名,客户端公钥进行验证。由于私钥的存在,数据安全性得到了大大的增强,但是由于其加密算法复杂,非对称加密速度慢于对称加密。常见的非对称算法有:RSA,DSA,ECC 等。

2.2 不可逆加密

不同于可逆加密使用密钥完成对对明文/密文的加密/解密,不可逆加密不存在密钥,直接通过加密算法处理成密文,且加密后的密文无法被解密,如a+b=7,可以得知结果是7,却无法逆向得出a 与b 的值,由于数据无法被逆向破解,其数据安全保障进一步得到提升,近年来不可逆加密的应用领域正在逐渐增大,目前已知市面上黑客破解手段只有“字典穷举”和“彩虹表”两种方法。

常见的非对称算法有:MD5,SHA,HMAC 等。

3 信息安全系统设计

高校作为一个小型社会场所,在信息的传播方面有着多样的手段,如:黑板报、校园广播、班级会议、互联网等。作为信息的接收者学生,正流行的新的生活、学习方式。本文基于安卓手机系统的广泛应用范围,提出一种信息传播新方式——湘科院学生服务便利平台。

本团队开发了一款App,名叫掌上科院,掌上科院(湘科院学生服务便利平台App)是一款基于安卓平台的应用程序,以移动通信技术为基础,以手机、平板电脑等智能终端设备为载体,实现学校教学、科研、管理等信息资源和相关资讯收集、传输、共享的客户端软件。其对教师、学生、学校管理者之间进行有效的信息沟通具有重要作用。功能模块(可更新):校内动态、成绩查询、课程表、校内交流模块、备忘事项及提醒、新生导航、社团班级群管理。

3.1 检测模块

用于用户账号或数据的检测,当检测到异常时进行异常处理,一般与保护模块相关联。

(1)登录状态检查。账号异地登录、异常登录、异常操作等检查。

(2)数据异常检查。通常使用单变量异常检测方法,该方法可以把极端值当作异常值,涉及一些机器学习的算法,经常用到OneClassSVM 向量机,属于无监督的算法,它可以用来检测新的样本是否符合以前的数据分布,该算法主要有3 个参数。

第一,Kernel(核函数)和Degree(级别),这两个变量相关,经验来看,Kernel 默认应该为rbf,Degree 应为3。

第二,Gamma 是与rbf 相关的参数。建议是该值设置较低为好,且越低越好,通常为实例数的倒数和变量数倒数之间的最小值。它决定了模型是否应该符合某个精确的分布,区间为0 到1 的左开右闭区间,默认是0.5,但这个值并不是最优的,所以可以根据一个公式确定:nu_estimate=0.95∗outliers_fraction+0.05。

第三,通常outliers_fraction 的区间在0.02～0.1。

通过这些方法来把后台的数据异常检测部分搭设好,防止出现恶意数据以及其他不期望的数据存在。

(3)证书检查。证书检查可防止一些恶意攻击。

3.2 认证模块

(1)用户身份认证,通过一定的手段,完成对用户身份的确认。认证方法有很多,基本可以分为:基于公钥加密算法的认证、基于共享密钥的认证、基于生物学特性的认证。身份认证常用的认证形式有:认证工具、静态密码、智能卡、短信密码、动态密码、生物特征识别、双因素、云证书等[2]。

(2)登录认证。当一般用户登录成功后生成认证标志,类似于网站开发中的session。数据库设置一个状态位,并且保持访问状态,一旦转态位改变,就退出登录。

(3)权限认证。普通用户、特殊用户及管理员等不同账户之间有着不同的权限。普通用户只有登录认证的权限,特殊用户拥有查看部分后台开放信息的权利,而管理员拥有所有权限,但是由唯一的机器码以及标识ID 确定,也就是只有一个管理员能存在,且只能由指定机器使用。

3.3 保护模块

服务器方面写一些过滤的策略,防止服务器被侵入。客户方面限制部分机器权限,设置一定的过滤原则,禁止敏感端口以及权限。该模块需要一定的汇编能力编写,因为可能涉及一些比较底层的指令操作,否则用高级语言不太容易实现某些操作,因此系统只能做到利用工具进行保护。

(1)防火墙是系统自带的规则设置器,很好地利用系统自带的规则调用同样是很重要的安全手段,也是最基本的安全手段之一。设计人员可以利用防火墙做好服务端的安全防护,可以利用免费的服务器安全软件,例如网站安全狗[3]。

(2)服务器定期自我查杀可有效防止木马病毒的恶意破坏,可根据服务器质量、开发人员等定制查杀规则。

3.4 加密模块

利用加密标准进行加密操作,使用高级语言即可,该方面的算法一般涉及哈希的算法,这些算法的好处也就是通过一定的规则生成数据,还可以把数据进行二次封装,此处的二次封装是指按约定添加某些特定的字符再生成数据,因此也加大了反密码难度。由于本设计属于低成本系统,虽然一般人不会想到用有比较强大的计算能力的机器去破解,但是本设计将设置一个合适的阈值来限制尽可能发生的破解问题。

(1)传输加密。通过哈希算法加密和不对称加密相结合,组成一条比较可靠的数据传输通道。

(2)存储加密。用户密码通过明文密码经过md5加密后,得到一次密文后加随机盐再次进行md5 加密,经过第二次加密后得到的密文存储到数据库。当数据被窃取时,这种二次加密可有效防止“暴力穷举”和“彩虹表”等破解方式,这样用户密码的安全性能得到极大的提高。

3.5 数据备份模块

本文设置了一个任务计划,触发形式有两种,一种是以时间为函数关系,进行触发,即定时进行触发。还有一种即每当发生一个警告程度较高的操作的时候进行一次部分操作备份,借鉴了SQL 数据库管理的部分理论知识,该任务计划必须登录方可以查看,属于特殊用户的权限模块。该模块主要用于用户意外中断操作之后能重新回到上下文,代码难度较高。