信息安全设计与实践-淘世界二手交易平台--商城篇.docxVIP

信息安全设计与实践 淘世界二手交易平台--商城篇  【摘要】：当今社会，科技的发展使人们的生活变得越来越便捷，随着网络的覆盖与普及，网上的一些交易也赢然而生。网购逐渐成为多数人选择的购物方式，网上商城也如雨后春笋般出现在大众的视野中。人们在方便的使用这些网购平台时，一些不法分子也渐渐的瞄准了网购平台，在网络安全意识普遍低下的情况下，他们通过网站的漏洞，盗取他人虚拟货币等一些违法行为。我们或多或少都听说过0元购等一些手段，但是还是有一些网站的安全机制不是非常的完善。 本次作品，我们通过模拟一个网购平台和一个网上银行的交互行为，来进行安全方面的认证，加密传输等。本次作品，我们的网上商城是网页版的，而网上商城是android端的，交易信息的传递通过android端扫描商城端生成的含有双重签名加密的二维码进行信息的加密传递。二维码方便快捷，可存储大量信息，是当前认证的主流方式。双重签名可以保证信息的加密传输，也能做身份的认证，防止他人生成恶意二维码。 创新性：将双重签名的信息应用于二维码传递信息，通过扫码，将信息从网页商城端安全的传递到手机网上银行端。二维码的信息易于传递，可以通过转发二维码来进行代付等其他操作，我们采用的加密和认证机制也非常的安全，保证了交易的安全性和完整性。 应用前景：电子商务越来越发达，网购平台的安全性需要得到保证，在保证安全的同时，也不能忽略了网上交易的便捷性。我们的项目在保证了信息传递的安全同时，也保留了网购的快捷属性，并且也方便大家进行代付等后续操作，实现了集快捷和安全于一身的较完整的安全加密和认证体系。 【关键词】：二维码，双重签名，RSA，Android，网上商城，网上银行 目录 1 作品概述1 1.1 应用背景2 1.1 作品简析2 1.1 作品前景3 2 系统简介4 2.1 系统概述5 2.2功能模块6 3 系统详细设计与实现7 3.1 开发环境8 3.2 安全网络通信10 3.3 注册和登陆验证13 3.4 用户支付认证14 4 商城端结果展示16 5 关键技术26 6 总结27  1 作品概述 1.1 应用背景 近年来，随着网络的急速发展，网上购物的方便和快捷使其成为了大多数用户的购物方式的选择。而一些网购平台在运营过程中，没有一套良好的安全认证机制和信息保护措施，是得用户的权益受到不同程度的侵害。世界上总是不缺少破坏者，他们利用网购商城的漏洞，对网购商城的商家或某个用户进行违规操作，使其利益受损。 这里简单介绍一些漏洞及利用： a. 网站本身存在sql注入，攻击者会利用注入点进行对数据库文件的越权读取，严重者可写入webshell，控制整个网站。 b. 零元购，这个大家应该会比较耳熟，所谓的零元购就是通过商城的交易漏洞，在订单处可修改自己的单价为0，这样将免费买到的商品，这个是之前某大网购平台出现的低级漏洞。 c. 负元购，商城没有验证用户填入的商品数量是否为负，导致恶意用户故意填入数量为负的数据，使自己的账户余额不减反增，同时对数据库的库存管理数据进行了数据污染。 以上简单的列举出了一些网购平台的常见漏洞及利用，通过具体的例子，我们发现，网购平台的安全性极其重要，此刻需要一套可靠的信息保护和身份认证机制来保护用户和商城的利益。 另一方面，为什么网购平台能够发展的如此迅速，主要的原因是他的便捷性，而在一些安全机制添加后，网购商城的便捷性受到了伤害，普通平台的其他服务，如他人代取也不是很安全。 针对以上问题，我们模拟了商城和网上银行之间的交互，保证了安全性和快捷性的结合，同时，在商城和银行分别与用户交互（注册，登陆等操作），我们进行了完善，使各处认证的安全达到滴水不漏。 1.2 作品简介 我这边做的是商城的系统，商城的安全认证需要很多方面，下面分几个方面来谈。 a. 用户的注册 这里采用邮箱注册，即用户需要输入正确的邮箱，商城向邮箱中发送验证码，用户通过邮箱中的验证码来完成注册验证，筛选出了一些非活跃用户（即，用户需要有效的邮箱来进行注册） b. 注册信息的数据库存储 这里采用用户在注册时，会随机生成一段盐，用来进行撞库混淆，用户注册后的密码会与随机盐拼接进行sha256哈希，然后一起存入到数据库中，保证了即使管理员或登录到数据库的恶意用户，无法反解出密码的明文信息。 c. 商城端与后台的信息传输加密 在每一个新的会话（session）的开始，都会通过rsa协商出一个des密钥，deskey的传播加密使用了rsa加密，保证deskey无法被截获后反解。在商量出deskey后，注册信息，登陆信息等重要信息的传递就都使用这个协商好的deskey进行信息的加密和解密。 d. 商城的安全限制 一些基本的安全限制，如当前用户购买商品数量不能为负数，数量