任務詳情
- 上週任務完成情況(程式碼連結,所寫文件等)
- 本週計劃
上週任務完成情況
- 將上學期電子公文傳輸系統重新除錯透過
- 雜湊儲存使用者口令並且加鹽,能夠切換雜湊演算法
- 使用國密證書
任務 | 完成情況 |
---|---|
啟動系統 | 成功 |
雜湊口令並加鹽 | 成功 |
使用國密證書 | 失敗 |
上週任務詳情
1. 重新除錯透過上學期的系統
上學期做的系統主要採用的方法是html形式的,無法很好滿足這學期的任務需求。於是重新將原來的html形式的改為python形式。
2. 雜湊口令並加鹽
已經有雜湊和鹽了,可以把雜湊演算法換為sha256或者SM2
加鹽後資料庫示意圖(無明文密碼)
完成登入加鹽
相關程式碼截圖
$hashed_password = sha1($password . $salt);
// 檢查雜湊值是否匹配
if ($row["password"] == $hashed_password) {
// 密碼匹配
$realname = $row["realname"];
$role = $row["role"];
echo $row["password"];
// 將真實姓名和角色儲存到 $_SESSION 變數中
session_start();
$_SESSION['realname'] = $realname;
$_SESSION['role'] = $role;
程式碼詳情
3.使用國密證書
經過具體的嘗試,但是失敗了
過程和原因歸納如下:
國密證書需要符合國密標準的伺服器,但是伺服器基於centos 7 ,需要配置一臺新的主機(或者雲伺服器or虛擬機器),工程量太大,並且需要根據其裝置要求進行完整的配置,短期難以實現。
上週撰寫的文件
- Core.Software.Security.Security.at.the.Source.CN.軟體安全.從源頭開始》&《The.Security.Development.Lifecycle.CN.軟體安全開發生命週期》讀書報告*5(一人一份);
- 《加固計劃書》一份;
- 系統安全性設計報告一份。
下週計劃
根據釋出的任務要求,提出下週的修改計劃
- 使用商用密碼演算法
- 完善通訊加密/儲存加密
詳細計劃路徑
現在有一部分演算法使用的還不是商用密碼演算法,如雜湊儲存口令還有sha256演算法,與伺服器認證過程中有RSA演算法。下週計劃使用數字信封形式,替代掉認證過程中的非商用密碼演算法。同時完善通訊加密/儲存加密。
written by 20211108俞振陽