2015年全国大学生信息安全竞赛作品报告

2015年全国大学生信息安全竞赛作品报告作品名称：字块验证码及移动app应用电子邮箱：1437385583@qq.com提交日期：2015年6月6日填写说明1.所有参赛项目必须为一个基本完整的设计。作品报告书旨在能够清晰准确地阐述（或图示）该参赛队的参赛项目（或方案）。2.作品报告采用A4纸撰写。除标题外，所有内容必需为宋体、小四号字、1.5倍行距。3.作品报告中各项目说明文字部分仅供参考，作品报告书撰写完毕后，请删除所有说明文字。(本页不删除)4.作品报告模板里已经列的内容仅供参考，作者可以在此基础上增加内容或对文档结构进行微调。5.为保证网评的公平、公正，作品报告中应避免出现作者所在学校、院系和指导教师等泄露身份的信息。目录摘要....................................................................4第一章作品概述.........................................................5第二章作品设计与实现...................................................72.1研发app端......................................................82.1.1app软件开发的整体框架和思路..........................82.1.2主要功能设计..........................................82.1.3app软件的大概界面的构思与设计.......................102.2搭建服务器.....................................................122.2.1创建实体类...........................................122.2.2创建数据库接口.......................................122.2.3mvc框架搭建.........................................122.3生成数据库.....................................................132.3.1获取常用词汇.........................................132.3.2利用jsp存入数据库...................................13第三章作品测试与分析..................................................143.1移动app功能测试...............................................183.1.1系统测试...................................................183.1.2用户实测...................................................183.1.3结果分析...................................................193.2移动app安全性测试.............................................193.2.1用户反馈结果与分析.....................................193.2.2安全性测试结果与分析....................................203.2.2.1验证码安全测试......................................203.2.2.2通信安全测试........................................23第四章创新性说明......................................................26第五章总结............................................................27参考文献...............................................................28摘要第三方验证app是最近刚兴起的一种技术，意在更好的保护账户安全。此项技术首次应用于上海盛大网络发展有限公司的G家，尚且还在完善和补充功能，但是在账户认证方面用户反映良好。验证码于2000年问世，刚一问世便被广泛的运用于网络。如今验证码的使用范围越来越广，广泛的涉及人们的生活领域，每天都会有上亿的人用到验证码来验证身份【1】，防止机器人的恶意的登陆、注册、发表文章等。现如今因验证码产生的安全问题却屡见不鲜，很多网站对目前流行的基于字符的视觉验证码进行改进，但是12306最新的图片验证也未能达到预期的效果（在一天后就有团队宣称其破解了该验证码）。验证码的输入方式主要有输入字符、拖动图片或滑块等。目前主流的是通过观看图片、视频等验证码，在文本框里输入相应的字符，但是用户输入字符的时间平均需3-4秒【2】。本文设计的基于字块验证码的移动app具有如下特点：1、验证形式简单：只需要点击验证四个汉字就能完成验证，平均用时在1秒左右。2、安全性高：验证码基于人的语言行为产生，破解率不足10%，并且在手机端难以获取验证码。3、具有一定的趣味性：验证模拟了人的语言行为，并在验证码中融入了丰富的词库。4、商业价值高：应用于第三方验证，十分适合电子商务、游戏等领域。经过功能测试和安全性测试表明：产品可移植性较好、安全性较高、用户反馈评价良好。综上所述，产品具有推广的价值，可以做进一步的检测和推广。关键字：第三方验证终端、字块验证码、三重DES加密、MVC框架、MySQL数据库第一章作品概述1.1背景介绍传统验证码的安全性并不高（基于成本考虑，大部分验证码是以字符形式出现的），验证往往需要3-4秒【2】。传统的验证码有纯字母、纯数字、字母数字组合、声音等形式，验证能力十分有限，并且只要将图形准确解析就能破解验证码。提高安全性也往往只有将图片模糊的方式，降低了用户体验。传统验证码有着这样那样的问题，人们也在寻求各种各样的解决方案。在众多的验证码形式中，除了图片验证码和字符验证码较为通用以外，其他种类的验证码鲜有听闻。企业在验证方面往往更注重成本和效率，高成本的验证码也不一定具有较强的身份验证能力。凭借我们对语言文化的了解和长时间的思索研究中，我们发现将人们的语言习惯融入到验证码当中能够跳出这种怪圈。根据人的行为习惯来进行验证是当今信息安全领域被人认为最为安全的验证形式【3】，可惜的是如今只有这样的概念，实现尚且困难。基于字块验证码的移动app采用了字符验证的形式，验证形式十分简单，通过人类的语言行为来验证，有一部分行为验证的特征。近年来，随着验证码的运用越来越广泛，全球每年因为网络安全产生的财产损失高达4450亿美元【4】，第三方验证应运而生。第三方验证十分适合对于账户安全性要求较高的商业平台，如电子商务、游戏等。例如上海盛大网络有限公司的G家，如今市场反响良好，通过这款产品的启发我们发现验证码与app相结合的方式具有一定的价值和安全优势，能有效对账户进行保护。因此，我们产生了研发一个基于字块验证码的移动app的想法，并在后续工作中将其完成。1.2相关工作基于字块验证码的构思，本作品实现了字块验证码的移动app，并完成了app的性能和安全性的检测。使用者只需要通过点击字块就可以通过手机端app进行账号的验证，防止短信套取验证码、木马截取验证码等形式的非法验证，适用于企业的账户安全保护。实现字块验证码的移动app的工作：收集有效四字信息（人们耳熟能详）、用MySql创建数据库、通过JSP将数据录入数据库、用java搭建app。产品性能和安全性的检测：可移植性检测、系统测试、用户实测、验证码安全性检测、通信安全检测。1.3特色描述通过与传统验证码和非第三方验证形式对比，我们针对汉语语言习惯而创造出一种字块验证码，基于字块验证码我们实现了一款账户验证的终端app。基于字块验证码的移动app具有如下特色：1、验证码安全性高：字块验证码是根据汉语习惯产生的，拥有一定的语言行为特性，对其识别和破解具有一定难度。2、验证方式简单方便：用户只需要通过点击手机触屏即可实现验证，图片易于识别，用户体验良好。3、app性能良好：我们针对产品的性能和安全性进行了测试，并做了用户调查，测试结果和反映结果均较好。4、具有一定的商业价值：不仅app可以应用于用户的身份识别，字块验证码本身也可以融入一定的商业元素。5、易于推广、方便实现：本身的实现技术并不困难，维护和移植很方便，产品很容易在市场推广，经过小范围人群测试反响良好。1.4应用前景分析验证码与人们的生活息息相关，可以说所有的网民都会接触到验证码。在验证码的世界里，它的职责是区别人与机器。任何一个商业性质或是非商业性质的组织的信息和平台的安全都是至关重要的，一个好的验证码能够很大程度的保证帐号和平台的安全。随着验证码的使用越来越广泛，出现的问题也逐渐被人关注，通过验证码漏洞来获取不正当利益的人也越来越多，关于验证码的战争愈演愈烈。不少企业都想要产生变革，虽然看似复杂和多样的验证码变化，但是往往收效甚微。字块验证码与移动app相结合，很大程度提高了验证码的通用性和商业价值，相较其他第三方验证（目前据了解只有G家）提高了app的安全性和便捷性。主要应用在以下方面：1、嵌入手机客户端，用于唯一与手机号绑定的第三方验证软件。用户登陆运营商帐号时通过app获得验证码，再通过输入验证码来验证用户身份。优势：它可以完美取代短信验证和网页上的验证，运营商将app设计成为消息推送的平台就完全可以实现身份验证和消息推送的结合，杜绝短信诈骗和木马获取验证码。对于如今火爆的电商平台和游戏行业当它们通常会推出手机客户端，用户的帐号安全和财产安全就是它们的生命线，它们需要这种安全简易的验证方式，或者说是一种更完善的安全机制。2、网页验证也有五花八门的各种形式，现如今最广泛的也还是字符验证，对于大规模的推广肯定是简单易行，安全高效，技术并不高深（成本低）的验证码。我们的验证码也可以运用到网页验证，经过我们的安全性检测可以证明它是一种高效安全的验证码。它可以很快地大规模推广，有效杜绝恶意的验证，维护网络环境的安全。我们了解发现，许多企业针对身份认证安全问题的频发和诈骗的猖獗的问题都在寻求解决方案，因此无论是app还是验证码本身的应用前景都十分广阔。第二章作品设计与实现业务需求本产品主要的市场是对于账户安全有一定要求的企业，这些企业往往需要安全的身份验证机制来保障客户的账户安全。人们在生活中涉及的网上交易越来越多，每个声誉良好的公司都希望客户的合法财产得到最大限度的保护。在一个安全的环境下，人们才愿意去投入金钱，这也是很多企业的生命线。而且本款产品成本低廉、维护方便，适合于大部分的企业，可以很灵活的适应企业要求。架构设计：说明：app访问服务器——服务器从数据库随机取得成语——数据加密——json传送到app端——app端数据解密——app端将成语变成空心字，生成图片，加上干扰线——显示在app界面上——用户操作，确定自己认为正确的成语——验证数据加密传送到服务器——服务器验证是否正确——回传验证信息，通知用户。2.1研发app端2.1.1app软件开发的整体框架和思路字块验证码移动app需要和服务器两次交互，一次是获取验证码，一次是验证验证码。获取：app端向服务器发送获取验证码的请求，服务器端生成两个冗余字和一个四字有效信息（成语或熟语等）组成的六位汉字验证码，加密发送到ap