应用插件实现匿名验证保护隐私的研究与探索

2022-11-24舒玉坤孙章旺成义坤赵楚舒李根

电脑知识与技术 2022年28期

舒玉坤，孙章旺，成义坤，赵楚舒，李根

（1.湖北师范大学物理与电子科学学院，湖北黄石 435002；2.湖北师范大学数学与统计学院，湖北黄石 435002）

1 前言

互联网设计之初是为了方便人们进行信息交流，但在资源共享的同时，对信息安全的保护却稍显薄弱。计算机技术飞速发展的同时，也给互联网带来了许多安全问题，比如恶意病毒的攻击，以及系统漏洞等一系列问题。这些主要威胁使得互联网显示出的优越性，互联性以及共享性，成了不法分子获利的渠道。

本文基于对“隐私保护功能的应用插件”进行研究，采用问卷调查法、经验分享法、查找文献法等多种方法开展理论研究，研究结果不只停留在数据方面，同时还对应用插件的未来市场进行了广泛的预测，针对匿名保护这一功能做出翔实的分析。

2 研究目的

为了解人们日益增长的网络安全需求，通过问卷的形式，寻找到困扰群众的主要问题：网站或软件登录验证时，私人信息会最大限度地暴露。从而进行大胆的构想，希望通过植入安全的通用验证插件，来取代传统短信验证方式，从而网络用户不需要频繁输入私人信息，各类账号密码以及私人手机号码、身份证号码也会同时被有效地保护起来，最终讨论可行性。

3 研究意义

在普通人眼中，互联网只是一个信息共享的平台，但是在不法分子的手中，互联网便成了一个谋取利益的渠道。比如曾出现过一种名为“勒索病毒”的电脑病毒，它可以通过邮件和网页在全网络中传播，而网络用户的文件一旦被感染，就会被立刻锁定，解锁的唯一办法就是付费，这相当于一种变相的“勒索”，侵犯了公民的基本利益。可见，维护网络信息安全尤为重要。我国目前在大数据、5G网络等一系列互联网领域上具有明显优势，社会也向着信息化的方向发展[1]。

4 项目研究内容

本着科学性、有效性、全面性的原则，通过缩小摸排取点抽样，在周边学校及地区进行线上线下问卷调查，再通过网络搜索专业文献，取证核实，辅助分析，了解各年龄段用户在网络安全方面的认知与需求，最后小组成员给出可行性建议，针对项目实施过程中出现的问题及分析数据遇到的难关讨论解决措施，并根据市场情况，结合法律条件、技术条件提出设想。

4.1 项目实施的基础性条件

调查信息公开化：所有的调查都是基于真实公开的原则，不弄虚作假，不随意敷衍，每一份资料都会让用户可见，被调查用户不会受诱导填写信息，网络渠道搜集上来的信息官方有效，专业权威，且多方核实不会大相径庭，出现错误。

数据信息安全化：用户不会填写个人隐私且不会出现姓名住址等问题，也保证一切搜集上来的数据均用作项目研究不作他用，网络文献格式规范，标明出处，选择合法渠道。

4.2 各阶段研究方法及分析

4.2.1 周边及相联学校问卷调查

本次问卷调查采用了线上线下全覆盖的模式，既考虑到了本地各年龄段的用户群体，也对部分周边高校的大学生进行了统计。

(1)用户在使用应用市场上的App的过程中最容易遇到哪些手机隐私安全问题？

(2)用户最担心的是哪些手机隐私安全问题？(3)用户对于手机隐私防护软件有哪些要求？(4)手机隐私防护软件应该针对什么年龄段，或是哪种类型的用户群体？

带着这些疑问，团队成员分别在线上线下投放了1000份试探性问卷，团队全体成员分散进行了为期五天的问卷发放工作。在共发放的1000份问卷中，线上占412份，线下占588份，在后期数据的处理过程中发现有效问卷共有987份，有效率较高。

成果分析：本次问卷调查共设置了14个问题，其中6个为决断性问题，剩余8个为辅助性问题，结合各年龄段，各收入水平的统计数据，分析得到以下结论。

(1)低收入水平或无收入水平的大学生及青年，比较注重手机隐私安全性问题，并且在使用手机App的时候，都很关注绑定邮箱、手机号、银行卡号等操作的安全性。

(2)在中年用户群体中，低收入的中年人普遍不太关注手机隐私信息，高收入的中年人格外关注手机隐私安全。

(3)老年人群体使用智能机的前提下，普遍不太关注手机隐私安全信息。

(4)各年龄段用户都有意愿尝试手机安全软（插）件来保护自己的身份证号码、银行卡号、手机号码等隐私信息。

4.2.2 网络相关资料搜索

前面进行问卷调查，得到了初步的调查成果，但是关于用户隐私及安全意识的问卷调查结果只是主观上研究的一种数据，所以在第二阶段采用文献法，从权威网站寻找到了理论依据，充分证实了调查数据的准确性及通过使用应用插件实现匿名验证的可行性。通过查阅得知：

(1)目前窃取隐私类的手机病毒表现行为包括可上传用户短信、手机照片、甚至网银密码、地理位置、手机型号等隐私信息，通过联网或者短信形式发到指定号码，危害极其严重,上述病毒皆可通过验证码链接进行传播[2]。

(2)互联网现状就是，所有用户在使用软件的时候，一切隐私都牢牢被软件开发公司所掌握，网络安全的专家指出，恶意软件开发人员窃取隐私，除极少数为满足自己或他人的猎奇心理，直接窥探隐私外，更多则是源于利益驱动[3]。

(3)大多不安全操作主要体现在用户服务端，其中由于App登录使用验证码导致的隐私泄露案件占比极大,在用户同意隐私使用协议的时候，往往没有耐心认真看完，所以一些隐私数据在用户不知情的情况但是又合法化的情况下被商家盗用[4]。

(4)利用Android系统安全漏洞，黑客能够获得Android系统和所有已安装应用的最高访问权限，获取用户移动终端的个人数据，造成严重的数据泄露[5]。

(5)短信验证码是用户注册或者App验证身份的最常见的方式，用户的手机号普遍都绑定了许多账号，绑定的账号越多，每个账号所携带的个人信息在网络上暴露的概率就越高，黑客或者不法商家一旦将之作为盈利信息出售，个人隐私安全就得不到保证[6]。

4.2.3 团队研究项目难关

结合问卷统计信息，确定了用户需求之后，又根据网络文献搜集到的相关论述材料，详细分析了团队目前构想的这款为实现免验证码登录的插件遭遇的技术难点。

(1)全面实现“信息安全”和“安全多重认证”两个环节。就好比做好垃圾短信、骚扰电话的识别和拦截，治标不治本。真正做到从源头上避免接收到此类的信息，必须实现上面说到的两个环节[7]。

学科核心素养是学生在学科课程学习过程中形成的，促进个体终身发展和社会适应的综合性品质。小学数学课程标准指出，小学数学课程是以培养学生数学核心素养为宗旨的数学启蒙课程。

(2)在SSH（专为远程登录会话和其他网络服务提供安全性的协议，利用SSH协议可以有效防止远程管理过程中的信息泄露）协议下[8]，实现口令的验证及密钥的验证。

图1 建立连接通讯

①客户端发送连接请求；

②服务器向客户端发送公钥；

③客户端用公钥将密码信息加密；

④服务器用密钥解密并验证信息，信息合法化则建立连接通信。

有时候人们受骗上当是因为输入账号密码却登录到了伪服务器，从而被不法分子套取电子现金，这就是由于用户只使用了口令登录带来的验证安全隐患。而免密登录则可以解决上述问题，原理如下。

图2 免密登录原理图

①在A上创建一对密钥；

②将其中的公钥拷贝给B重命名为autho⁃rized_keys；

③A向B发送一个连接请求，信息包括用户名，IP等；

⑤B使用公钥对字符串加密后发送给A；

⑥接收B的信息，使用私钥进行解密，然后将解密后的字符串发送给B；

⑦接收解密后字符串，与最初生成的字符串比较，如果一致，则允许免密登录。

即：A要免密码登录到B，B首先要拥有A的公钥，然后B要做一次加密验证。对于非对称加密，公钥加密的密文不能公钥解开，只能私钥解开。

(3)匿名验证隐藏证书技术，避免攻击者通过收集用户的网络行为信息、利用数据分析等手段获取用户的敏感信息,安全有效地保护用户的隐私。

(4)CMPP短信接口协议、SMGP短信接口协议、SGIP接口协议，分别对应的移动网关、电信网关、联通网关接口协议也是需要重视的，通过接口三大运营商，包揽来自各大软件公司发来的未经安全检查的验证码，“消毒”好后再通过与用户的传输通道返还给用户。下面通过两幅对比图来直观阐释“指密”的作用：

对比图3和图4，应用服务器与用户直接接触导致用户隐私容易泄露，安全性低。而中转站既可以代替用户承受外来骚扰，也可以集中接收验证码，隐私度及安全性高。其实现流程如图4所示：

图3 验证码接入流程图

图4 改进后的验证码接入流程图

1)用户发送验证码的申请及代收请求。

2)“指密”接受用户请求，传递验证码的申请及新建接收站点。

3)应用服务器接收请求，向云通讯服务器发送请求。

4)第三方短信推入服务商接收请求，并发送验证码到接收站点，同时云通讯服务器向应用服务器回调通知。

5)“指密”接收验证码并向用户转发验证码。

5 思考与建议

5.1 信息安全与授权管理

本文所构思的插件应用与当下的智能手机指纹验证系统相似却又大不相同，因为本指纹验证系统的指纹信息并非依赖于当前所使用App或手机已有保存的指纹数据。因为手机系统和不同服务器中的指纹数据，只是一连串安全加密处理的数据而已，并不能作为个人身份的验证。而该系统的指纹验证插件是利用手机和服务器所保存的机密指纹数据去联网读取个人的安全身份信息，所以安全性更高，信息真实可靠，可信。

基于插件读取个人详细信息，该系统的服务器管理和后台安全隐私性要求更高，利用互联网将指纹采集装置、公安系统户籍身份证管理子系统终端及个人银行征信子系统终端构建统一的网络服务平台，该平台终端之间通过至少两条相互独立的网络连接,并对软件所需要的安全权限的协议内容进行划分[9]，故该系统的插件较为重要，在使用时的用户信息授权协议应当是与银行软件或公安系统的等级一致；同时系统将会在插件管理上考虑与每个省份公安部门合作，让其参与监管，这会增加后台安全程度，保护用户的隐私，也因为软件产品信息授权的特殊性，给公安部门的人口筛查带来便利。

5.2 账户安全双重保障

指纹支付已经是一个成熟的技术，用户已经逐步信任并广泛使用，该系统从中吸取大量的经验，完善插件管理，实现快捷，安全保护，所以当客户在非信任的移动终端上使用指纹验证信息时，系统会采用最基础的，也是相对考究后最安全的方式，向用户的安全信任手机发送一条经过加密的短信验证码，而这个验证码，将是本插件为确保账户安全而通过系统数据库获取发送的，用户的电话号码等私人信息并不会被其他第三方或商家获取。

5.3 更新维护身份信息库

依据插件的安全性，重要性，该系统的更新维护将会与其他软件的更新维护不同，系统将按照法律法规不时地对客户的信息进行检查核实，同时将会与国家安全机构，公安部门等合作方进行联网实时更新信息，同时系统的研发团队会使用最安全，最小众的加密方法不断完善系统的防火墙和用户信息加密设置，来理性保护客户信息，提升用户信任感。

在客户进行个人信息更改时，系统将会通过对接公安信息网，核查是否存在恶意篡改，身份信息造假等行为，并及时制止。