论文 基于MD5二重加密的安全技术探讨.docVIP

2009年全国技工教育和职业培训 优秀教研成果评选活动参评论文 基于MD5二重加密的安全技术探讨 摘 要： MD5 加密算法由于高效、能跨平台使用，所以在数字签名、电子商务、信息加密等领域中被广泛应用，但已被提出若干破的算法。本文针对这个情况，提出并讨论了基于MD5的二重加密安全技术，通过对两个著名的在线网站的测试，证明了该技术用于各种基于ASP、PHP的Web应用程序中存储账户密码的优越性及安全性、简单可行性。 关键词: MD5；二重加密；安全 1 引言 随着计算机网络的高速发展和服务的日趋完善，网络上流通的信息量呈几何级数增加。其中就有：论坛、聊天室、内容管理系统等。为了有效地保护、存储、管理和使用网上的私有信息，MD5、SHA等数据加密技术被广泛应用于网络领域。但Wang Xiaoyun 等(2005)给出了MD5 能产生碰撞的一个充分条件集，并首次成功对MD5 进行了碰撞攻击。 本文要研究的是如何在原有MD5算法的基础上，使用简单易用的二重加密技术来充分发挥MD5的作用，同时大大提高信息的安全性。 2 基于MD5二重加密的安全技术的提出 2.1 MD5算法描述 MD5的全称是Message-digest Algorithm 5（信息-摘要算法），用于确保信息传输完整一致。在90年代初由Ronald L. Rivest提出。它的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”成一种必威体育官网网址的格式(就是把一个任意长度的字节串变换成一定长的大整数) 。 MD5的主要优点在于：MD5面向的是32位的电脑，其能单向、极难逆的字符串变换算法；原文的微小变化，得到的摘要将大相径庭。近年来，出现了若干MD5 破解算法，但多为概率性破解，算法只对部分信息集合适用，其实际影响要远小于它的理论意义，因此MD5仍是当前数字签名、加密等技术领域比较安全、有广泛应用的算法。 M D5是一种采用单向加密的不可逆加密算法，MD5算法的应用主要是针对用户的注册登录，用户在注册时所提交的信息（密码）是利用MD5算法加密之后再保存到数据库中，这样可以简单防止用户密码的泄露，有效地保护了系统的安全。在用户进行登录时，为了身份验证，必须对输入的密码重新进行MD5加密，然后再与数据库中的信息进行比对，相同便可进入系统。 2.2基于ASP、PHP的Web应用程序的安全现状 自从微软推出了ASP后，它以其强大的功能，简单易学的特点而受到广大Web开发人员的喜欢。ASP由于使用了组件对象模型即COM组件，所以它会变的十分强大，但是这样的强大由于Windows NT系统最初的设计问题而会引发大量的安全问题。只要在这样的组件或是操作中一不注意，那么外部攻击就可以取得相当高的权限而导致网站瘫痪或者数据丢失。由于PHP本身的代码开放所以它的代码在许多工程师手中进行了检测，同时它与Apache编译在一起的方式也可以让它具有灵活的安全设定。所以到现在为止，PHP具有了公认的安全性能。 而事实是该类网站极易被攻击，存在较大的安全隐患，先来看一组采集于2009年4月下旬的相关数据： 1、选取知名网站“中国被黑站点统计系统”（）如图1所示，从中看到共有纪录60067条，说明目前已被提交的被黑站点就有6万个，从中可以看出用ASP开发的网站占绝大多数，PHP次之，JSP少量。 图1 上最近的统计结果 2、在知名有哪些信誉好的足球投注网站引擎“谷歌”（）上以“ASP”作为关键字进行有哪些信誉好的足球投注网站，约有2,400,000,000项符合ASP的查询结果，有哪些信誉好的足球投注网站用时0.04秒。再以关键字“PHP”进行有哪些信誉好的足球投注网站，约有9,710,000,000 项符合PHP的查询结果，有哪些信誉好的足球投注网站用时0.04秒。而以关键字“JSP”进行有哪些信誉好的足球投注网站约有656,000,000项符合JSP的查询结果，有哪些信誉好的足球投注网站用时0.04秒。这些数据再次说明在目前的三大主流Web动态网站技术当中，ASP和PHP占据大量市场份额，实际情况亦是如此。ASP和PHP虽然应用广泛，而其安全性却相对较差。 在各种各样的动态网站中都存在着许多漏洞，比如：SQL注入、XSS、Access数据库被非法下载等。此类漏洞导致了许多的网站被入侵者攻破，从而数据库被盗取，这些数据库里面有着大量的敏感资料，其中就包括密码，目前这些密码绝大多数都是经MD5加密过一次的，这样入侵者即使得到数据库，也无法立即得出里面的密码，这时就需要对MD5进行破解，目前普遍采用的方法有两种，第一种是本地破解，另一种是在线破解，而具体的破解方式又主要包括暴力破解及字典破解。 2.3常见对单次MD5算法的攻击方法 常见对单次MD5的攻击方法有： (1) 穷举法。MD5的输出是一个128位的数。攻击者只知道这个输出结果，他要想得到输入m或另一个输出m′，使得H( m) = H( m′) (H为hash 函数)，用一台每秒运算达10