實驗三 電子傳輸系統安全-進展1

2111班小组發表於2024-05-15

任務詳情

  • 上週任務完成情況(程式碼連結,所寫文件等)
  • 本週計劃

上週任務完成情況

  1. 將上學期電子公文傳輸系統重新除錯透過
  2. 雜湊儲存使用者口令並且加鹽,能夠切換雜湊演算法
  3. 使用國密證書
任務 完成情況
啟動系統 成功
雜湊口令並加鹽 成功
使用國密證書 失敗

上週任務詳情

1. 重新除錯透過上學期的系統

上學期做的系統主要採用的方法是html形式的,無法很好滿足這學期的任務需求。於是重新將原來的html形式的改為python形式。

2. 雜湊口令並加鹽

已經有雜湊和鹽了,可以把雜湊演算法換為sha256或者SM2
image
加鹽後資料庫示意圖(無明文密碼)
完成登入加鹽
image
相關程式碼截圖

$hashed_password = sha1($password . $salt);

    // 檢查雜湊值是否匹配
    if ($row["password"] == $hashed_password) {
        // 密碼匹配
        $realname = $row["realname"];
        $role = $row["role"];
		echo $row["password"];
        // 將真實姓名和角色儲存到 $_SESSION 變數中
        session_start();
        $_SESSION['realname'] = $realname;
        $_SESSION['role'] = $role;

程式碼詳情

3.使用國密證書

經過具體的嘗試,但是失敗了
過程和原因歸納如下:
國密證書需要符合國密標準的伺服器,但是伺服器基於centos 7 ,需要配置一臺新的主機(或者雲伺服器or虛擬機器),工程量太大,並且需要根據其裝置要求進行完整的配置,短期難以實現。

上週撰寫的文件

  1. Core.Software.Security.Security.at.the.Source.CN.軟體安全.從源頭開始》&《The.Security.Development.Lifecycle.CN.軟體安全開發生命週期》讀書報告*5(一人一份);
  2. 《加固計劃書》一份;
  3. 系統安全性設計報告一份。

下週計劃

根據釋出的任務要求,提出下週的修改計劃
image

  1. 使用商用密碼演算法
  2. 完善通訊加密/儲存加密

詳細計劃路徑

現在有一部分演算法使用的還不是商用密碼演算法,如雜湊儲存口令還有sha256演算法,與伺服器認證過程中有RSA演算法。下週計劃使用數字信封形式,替代掉認證過程中的非商用密碼演算法。同時完善通訊加密/儲存加密。


written by 20211108俞振陽

相關文章