近年来,互联网用户账户、口令等敏感数据泄露事件频繁发生,“泄密门”已经对网络用户造成了极大的心理恐慌,一旦网站用户的账号、口令等敏感信息泄露,不但会给网站用户造成经济损失甚至带来个人安全威胁,而且还会严重影响网站运营者的声誉和信用,轻则受到政府部门处罚,重则导致网站关闭。因此,保证互联网用户账号、口令的安全刻不容缓。
保证网站用户账号、口令等个人隐私信息的安全,不仅需要用户增强自身安全意识(如设置安全强度较高的口令、避免不同账号相似或相同口令等),更重要的是网站运营商须采取有效措施对用户账号、口令等个人信息进行安全保护,从根本上避免互联网用户个人信息泄露。
统计数据显示,目前大部分网站采用明文方式存储用户账号、口令,部分采用公开的MD5、SHA-1等算法进行加密存储,有些还采用添加SALT(加盐)的方式提高用户账号、口令的安全性,一旦SALT值和加盐算法泄露,账号、口令也同时失去了安全保护,这些方式已被公认并不安全。
另外,大部分互联网网站涉及的用户姓名、身份证号等个人敏感信息多以明文形式存储在数据库中,一旦数据库权限被黑客控制,个人隐私信息将完全暴露,用户个人信息同样存在泄露风险。
山东渔翁信息技术股份有限公司深入分析国内网站的业务特性、网络特点、管理要求,以具有自主知识产权的网站专用身份认证系统为核心,采用网站专用安全接入网关、网站后台数据库加密服务器等密码产品,结合WEB应用防火墙、网页防篡改系统等网站安全防护产品,提出多层次、立体式的网站安全整体解决方案,有效解决网站存在的安全短板、防护缺陷等问题,实现网站信息资源的可靠、可用、可管、可控、可审计,保证网站信息的机密性、完整性和操作行为的不可抵赖性。
本方案着眼于用户安全注册与登录、信息安全传输、信息安全存储等方面,采用国产密码技术实现对互联网用户信息的全方位安全防护。
账号口令信息安全保护设计
本方案采用国密SM3杂凑算法对网站用户注册的账号口令信息进行加密存储,即存储口令的哈希值。原理如下:
网站用户客户端通过IE浏览器安装安全控件,在网页登录对话框中输入账号、口令信息,安全控件通过与后台服务器建立的SSL安全通道对账号、口令信息进行加密传输,从而确保账号、口令在互联网传输过程中的安全。
网站服务器应用程序在获取到用户账号口令后,调用加密系统对网站用户账号口令信息进行加密存储。本方案结合随机盐原理,确保即使设置相同的口令,经加密后也不会出现相同的密文,从而降低口令被破解的风险。
帐号口令信息安全保护设计
针对公共服务平台类网站用户注册的姓名、身份信息、家庭住址、电话等个人隐私信息的保护与账号口令保护不同,账号口令保护无法还原信息原文,在具体应用中,直接通过口令密文验证即可。但个人隐私信息在特殊场景下需要还原信息原文,因此本方案采用高强度的国密SM1对称密码算法对个人隐私信息进行加密保护,在需要时,可将密文还原为信息原文,有效保证用户个人信息的安全。
网站用户客户端通过IE浏览器安装安全控件,在网页登录对话框中输入账号、口令信息,安全控件通过与后台服务器建立的SSL安全通道对账号、口令信息进行加密传输,从而确保账号、口令在互联网传输过程中的安全。
网站服务器应用程序在获取到用户账号口令后,调用加密系统对网站用户账号口令信息进行加密存储。本方案结合随机盐原理,确保即使设置相同的口令,经加密后也不会出现相同的密文,从而降低口令被破解的风险。
信息传输安全: 客户端通过安全控件,对用户注册时输入的账号、口令等各种敏感信息进行加密传输,确保数据传输安全。
密钥存储安全: 采用三级密钥管理体系,所有的密钥均以密文形式存储在硬件密码设备中,任何时刻不以明文形式出现在设备外部,确保密钥自身安全。
密码运算安全: 所有密码运算均在硬件密码设备内完成,杜绝运算过程中密钥泄漏的安全隐患。
应用访问安全: 实现了数据库用户和应用系统的绑定,将数据库用户授权给相应的应用系统,非法用户即使拥有了数据库账户的口令,也仅能得到密文信息,防止用户信息的批量泄露。
接口丰富、易用性强: 支持Windows、Linux、UNIX、AIX等主流操作系统平台,提供JAVA、C语言等各种开发接口,系统开发工作量少,易集成部署。
将传统的“账号口令”变成真正意义上的密码,有效保证用户账号口令的安全。
采用密码技术实现用户个人隐私数据的安全存储,有效降低信息泄露风险。
基于国产密码算法和硬件密码设备,有效提高网站用户信息保护方案的安全性。
构建互联网用户信息的安全防护体系,增强用户对互联网使用的信心,提高网站的信誉和市场竞争力。