基于AES-256算法的Windows個(gè)人口令管理系統(tǒng)

侯旭日 ，孫 越 ，路秀華 ，2

（1.廊坊師范學(xué)院，河北廊坊 065000；2.廊坊市數(shù)學(xué)生態(tài)模型重點(diǎn)實(shí)驗(yàn)室，河北廊坊 065000）

基于AES-256算法的Windows個(gè)人口令管理系統(tǒng)

侯旭日1，孫 越1，路秀華1，2

（1.廊坊師范學(xué)院，河北廊坊 065000；2.廊坊市數(shù)學(xué)生態(tài)模型重點(diǎn)實(shí)驗(yàn)室，河北廊坊 065000）

針對(duì)人們的生活需要越來(lái)越多的用戶(hù)名及口令來(lái)注冊(cè)并登陸各種各樣的系統(tǒng)，以便享受全方位的網(wǎng)絡(luò)服務(wù)

這一現(xiàn)實(shí)需求，設(shè)計(jì)了基于Windows系統(tǒng)的個(gè)人口令管理系統(tǒng)。通過(guò)SQL Server實(shí)現(xiàn)了軟件的基本功能，通過(guò)AES-256算法和hash函數(shù)增強(qiáng)了數(shù)據(jù)庫(kù)的安全性，結(jié)果顯示性能良好，能夠完成賬戶(hù)管理的基本需求。

個(gè)人口令管理；Windows系統(tǒng)；AES-256算法；hash函數(shù)

1 概述

隨著互聯(lián)網(wǎng)信息時(shí)代的快速發(fā)展，我們的生活需要接觸各大銀行系統(tǒng)、各類(lèi)購(gòu)物網(wǎng)站、多種郵箱系統(tǒng)和不同的即時(shí)交互軟件。為了減少口令泄露的風(fēng)險(xiǎn)，增強(qiáng)個(gè)人賬戶(hù)的安全性，我們需要設(shè)置復(fù)雜多變的用戶(hù)登錄口令，并遵循一賬戶(hù)一口令的原則。在保證賬戶(hù)安全的同時(shí)，我們也不得不面對(duì)繁雜的口令管理問(wèn)題。在此背景下，個(gè)人口令管理系統(tǒng)的開(kāi)發(fā)，有著強(qiáng)烈的市場(chǎng)需求。

現(xiàn)有的個(gè)人口令管理系統(tǒng)有KeePass，LastPass和1Password，其中1Password是KeePass和LastPass的結(jié)合，它的iOS系統(tǒng)和Android系統(tǒng)版本在基本功能方面免費(fèi)，但Mac和Windows系統(tǒng)版本是收費(fèi)的，而且1Password的Windows系統(tǒng)和Android系統(tǒng)版本不支持中文。

本文借鑒已有軟件系統(tǒng)，以AES-256加密算法為基礎(chǔ)，設(shè)計(jì)免費(fèi)的、更安全的、支持中文的、適用于Windows環(huán)境的個(gè)人口令管理系統(tǒng)。

2 系統(tǒng)關(guān)鍵技術(shù)

本系統(tǒng)的關(guān)鍵技術(shù)包括以下兩個(gè)方面：

（1）關(guān)于系統(tǒng)基本功能的實(shí)現(xiàn)，涉及到SQL Server數(shù)據(jù)庫(kù)[1]的設(shè)計(jì)和實(shí)施方法，包括在SQL Server上創(chuàng)建、管理數(shù)據(jù)庫(kù)及其對(duì)象、查詢(xún)與統(tǒng)計(jì)數(shù)據(jù)、管理數(shù)據(jù)表數(shù)據(jù)（合并數(shù)據(jù)表中的數(shù)據(jù)，將數(shù)據(jù)抽取到另一個(gè)表中，以及維護(hù)數(shù)據(jù)表數(shù)據(jù)）、數(shù)據(jù)庫(kù)設(shè)計(jì)、創(chuàng)建與管理數(shù)據(jù)庫(kù)、創(chuàng)建與管理表、實(shí)施數(shù)據(jù)完整性。

此外，創(chuàng)建與管理視圖（了解視圖的概念及對(duì)視圖的各種操作）、創(chuàng)建與管理存儲(chǔ)過(guò)程（存儲(chǔ)過(guò)程的概念以及對(duì)存儲(chǔ)過(guò)程的各種操作）、創(chuàng)建及管理觸發(fā)器（觸發(fā)器的各種操作）、創(chuàng)建與使用游標(biāo)（游標(biāo)的創(chuàng)建及綜合應(yīng)用）、處理事務(wù)與鎖（事務(wù)與鎖的使用）、以及對(duì)SQL Server數(shù)據(jù)庫(kù)進(jìn)行日常管理與維護(hù)，也是很重要的一個(gè)方面。

（2）關(guān)于數(shù)據(jù)庫(kù)的安全性，采用AES-256算法[2]對(duì)數(shù)據(jù)進(jìn)行加密操作。AES算法是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院在全世界公開(kāi)征集的用來(lái)替代DES的新一代數(shù)據(jù)加密標(biāo)準(zhǔn)，具有強(qiáng)安全性、高性能、高效率等優(yōu)勢(shì)。AES算法的密鑰長(zhǎng)度有三個(gè)可選項(xiàng)：128，192和256位。和DES相比，AES的128位密鑰比DES的56位密鑰強(qiáng)1021倍。192和256位的AES算法，具有更強(qiáng)的安全性保障。我們選擇了安全強(qiáng)度最高的AES-256算法，在這個(gè)算法加密的文檔破譯中，能夠找到解密密鑰的幾率是1/2256，這幾乎是可以忽略的。

AES算法加密過(guò)程包括以下四個(gè)核心操作：

①字節(jié)代替變換

這是一個(gè)關(guān)于字節(jié)的非線性變換，它將狀態(tài)中的每一個(gè)字節(jié)非線性地變換為另一個(gè)字節(jié)。具體操作分兩步完成：首先，將一個(gè)字節(jié)變換為有限域中的乘法逆元素，規(guī)定00變換為其自身；然后，對(duì)有限域上的乘法逆元素做特定的仿射變換。

②行移位變換

行移位變換對(duì)一個(gè)狀態(tài)的每一行循環(huán)左移不同的位移量：第一行保持不變，第二行循環(huán)左移一個(gè)字節(jié)，第三行循環(huán)左移兩個(gè)字節(jié)，第四行循環(huán)左移三個(gè)字節(jié)。

③列混合變換

列混合變換將一個(gè)狀態(tài)的每一列視為有限域上的一個(gè)多項(xiàng)式，逐列進(jìn)行混合。

④圈密鑰加法變換

圈密鑰加法變換將一個(gè)圈密鑰按位異或到一個(gè)狀態(tài)上。圈密鑰的長(zhǎng)度為十六個(gè)字節(jié)，按順序取自擴(kuò)展密鑰。擴(kuò)展密鑰的長(zhǎng)度為二百四十個(gè)字節(jié)，由原始密鑰擴(kuò)展而來(lái)。

2007年，劉珍楨對(duì)AES算法進(jìn)行了優(yōu)化設(shè)計(jì)[3]，采用查表法優(yōu)化處理了字節(jié)代替變換、列混合變換和密鑰擴(kuò)展算法。優(yōu)化以后的AES算法整體結(jié)構(gòu)如圖1所示。

圖1 優(yōu)化的AES算法整體結(jié)構(gòu)

目前AES-256算法沒(méi)有明顯的漏洞，唯一的問(wèn)題就是如何安全地分發(fā)密鑰。為了解決密鑰分發(fā)問(wèn)題，我們引入了hash函數(shù)[2]。Hash函數(shù)是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要的函數(shù)。消息摘要可以視為消息的指紋信息，和消息具有事實(shí)上的一一對(duì)應(yīng)關(guān)系。由于王小云等人對(duì)MD4、MD5、SHA0和SHA1的一系列攻擊[4-7]，我們選擇SHA3作為hash函數(shù)的實(shí)例化，計(jì)算用戶(hù)名和系統(tǒng)登錄口令的hash值，作為數(shù)據(jù)庫(kù)加解密算法的密鑰使用。由此加解密算法的密鑰能夠做到一用戶(hù)一密鑰，且密鑰無(wú)需保存和分發(fā)。即便是攻擊者繞過(guò)登錄系統(tǒng)進(jìn)入數(shù)據(jù)庫(kù)，仍然會(huì)因?yàn)闊o(wú)法提供正確的用戶(hù)名和登錄口令，得不到數(shù)據(jù)庫(kù)的解密密鑰，也就無(wú)法獲得數(shù)據(jù)庫(kù)的敏感數(shù)據(jù)。

3 系統(tǒng)設(shè)計(jì)方案

本文借鑒王瑞娜基于Linux的智能家居系統(tǒng)設(shè)計(jì)[8]，采用C#[9]進(jìn)行系統(tǒng)開(kāi)發(fā)，設(shè)計(jì)的個(gè)人口令管理系統(tǒng)能夠管理用戶(hù)在各個(gè)網(wǎng)絡(luò)平臺(tái)的用戶(hù)名/登錄口令信息，以減少用戶(hù)的管理負(fù)擔(dān)、增強(qiáng)用戶(hù)賬戶(hù)信息的安全性。主要工作包括實(shí)現(xiàn)基本功能和保障安全性?xún)蓚€(gè)方面的內(nèi)容。

主界面的菜單欄包括文件、視圖和幫助。下方有刷新按鈕，可以快捷刷新界面，提高用戶(hù)體驗(yàn)。主界面的左側(cè)包括所有項(xiàng)目按鈕，管理用戶(hù)添加的所有項(xiàng)目的信息。收藏夾按鈕方便用戶(hù)收集一些使用頻率高的信息。我們也設(shè)置了添加和刪除按鈕，用戶(hù)可以根據(jù)自己的需要進(jìn)行添加和刪除項(xiàng)目信息操作。

登錄類(lèi)型包括銀行卡類(lèi)型、辦公類(lèi)型和游戲類(lèi)型。登錄信息按鈕記錄了登錄的賬號(hào)、登錄日期、登錄時(shí)間和電腦號(hào)，由此用戶(hù)能夠查閱自己的登錄信息，及時(shí)發(fā)現(xiàn)異常登陸情況，保障賬戶(hù)的安全性。

具體的設(shè)計(jì)步驟如下：

首先深入分析個(gè)人口令管理系統(tǒng)的功能需求，完成新系統(tǒng)的整體框架設(shè)計(jì)，明確要實(shí)現(xiàn)的功能。

其次是分階段、分步驟完成系統(tǒng)的開(kāi)發(fā)。首先實(shí)現(xiàn)系統(tǒng)的基本功能，然后強(qiáng)化系統(tǒng)的安全性，保證系統(tǒng)的可用性和可靠性。

4 系統(tǒng)功能實(shí)現(xiàn)

系統(tǒng)的主要功能模塊如圖2所示。

圖2 系統(tǒng)功能

（1）實(shí)現(xiàn)基本功能

首先設(shè)置注冊(cè)、登錄入口，實(shí)現(xiàn)用戶(hù)注冊(cè)和登錄功能。由于系統(tǒng)安全級(jí)別要求非常嚴(yán)格，我們?cè)O(shè)置了兩級(jí)用戶(hù)。軟件初始化時(shí)，會(huì)指定一個(gè)高級(jí)別賬號(hào)，用于系統(tǒng)管理。高級(jí)別用戶(hù)可以創(chuàng)建低級(jí)別用戶(hù)，在保證賬戶(hù)安全的同時(shí)，方便多成員的賬號(hào)管理。此外，密碼只有3次輸入機(jī)會(huì)，如果第三次輸入密碼正確那么輸入機(jī)會(huì)重置，如果第三次輸入錯(cuò)誤系統(tǒng)鎖定用戶(hù)登錄。

系統(tǒng)的核心是維護(hù)數(shù)據(jù)庫(kù)，包括以下幾個(gè)主要方面：

①建立數(shù)據(jù)庫(kù)，保存每個(gè)網(wǎng)絡(luò)平臺(tái)的名稱(chēng)、用戶(hù)名/登錄口令，以及用戶(hù)名/登錄口令的生成規(guī)則。

②連接數(shù)據(jù)庫(kù)，打開(kāi)公開(kāi)連接，創(chuàng)建連接對(duì)象，允許應(yīng)用程序及其他用戶(hù)訪問(wèn)數(shù)據(jù)庫(kù)。

③設(shè)置數(shù)據(jù)庫(kù)操作權(quán)限，外來(lái)用戶(hù)只可讀取不可修改，提高了數(shù)據(jù)庫(kù)的安全性。

5. 統(tǒng)計(jì)學(xué)處理：資料采用 SPSS 13.0 醫(yī)學(xué)統(tǒng)計(jì)軟件進(jìn)行處理。計(jì)量資料以均數(shù)±標(biāo)準(zhǔn)差表示，組間比較采用獨(dú)立樣本t檢驗(yàn)，組內(nèi)治療前后比較采用配對(duì)t檢驗(yàn)。P<0.05表示差異有統(tǒng)計(jì)學(xué)意義。

（2）增強(qiáng)安全性

我們采取以下四個(gè)措施來(lái)提升系統(tǒng)的安全性。

①隨機(jī)化的網(wǎng)絡(luò)平臺(tái)登錄信息，引入隨機(jī)化算法[10]，在網(wǎng)絡(luò)平臺(tái)的信息生成規(guī)則下，隨機(jī)生成網(wǎng)絡(luò)平臺(tái)的用戶(hù)名/登錄口令，減少用戶(hù)名/登錄口令的規(guī)律性。權(quán)限也成為需要關(guān)心的主要目標(biāo)，數(shù)據(jù)庫(kù)權(quán)限是我們?cè)O(shè)置的關(guān)鍵技術(shù)，防止非法用戶(hù)進(jìn)入數(shù)據(jù)庫(kù)破壞數(shù)據(jù)。

②加密數(shù)據(jù)，采用AES-256算法對(duì)數(shù)據(jù)加密，增強(qiáng)密文的安全強(qiáng)度。加解密算法的密鑰采用用戶(hù)隱私信息的hash函數(shù)摘要信息，因此，加解密算法的密鑰能夠做到一用戶(hù)一密鑰，且密鑰無(wú)需保存。

③設(shè)置登錄日志，保存登錄日志，設(shè)置異常登錄提醒，方便用戶(hù)查詢(xún)登錄日志，及時(shí)發(fā)現(xiàn)潛在的異常登錄。高級(jí)別管理員可以隨時(shí)查看系統(tǒng)登錄情況，什么時(shí)間點(diǎn)、哪臺(tái)電腦使用了該系統(tǒng)，誰(shuí)使用了該系統(tǒng)一目了然。

④備份數(shù)據(jù)庫(kù)，設(shè)置數(shù)據(jù)庫(kù)的定期自動(dòng)備份，規(guī)避不可測(cè)事件，主要預(yù)防突發(fā)情況，例如：自然災(zāi)害、火災(zāi)、停電等狀況的發(fā)生。

5 系統(tǒng)的優(yōu)化空間

①鏈接網(wǎng)絡(luò)平臺(tái)，設(shè)置網(wǎng)絡(luò)平臺(tái)鏈接，點(diǎn)擊即可登錄網(wǎng)絡(luò)平臺(tái)。

②快速修改網(wǎng)絡(luò)平臺(tái)登錄信息，設(shè)置網(wǎng)絡(luò)平臺(tái)用戶(hù)信息鏈接，點(diǎn)擊即可修改網(wǎng)絡(luò)平臺(tái)登錄信息。

③跨平臺(tái)同步，實(shí)現(xiàn)數(shù)據(jù)庫(kù)的便攜性，滿足用戶(hù)隨時(shí)隨地的需求。隨著操作系統(tǒng)不斷增多，更新速度也非常快。由于用戶(hù)安裝的操作系統(tǒng)版本不統(tǒng)一，因此系統(tǒng)支持操作系統(tǒng)版本為xp及xp以上所有版本運(yùn)行。

④可以采用Flash動(dòng)態(tài)界面，美化系統(tǒng)界面。

6 總結(jié)

本文展示了個(gè)人口令管理系統(tǒng)的基本架構(gòu)。系統(tǒng)在Windows環(huán)境下設(shè)計(jì)，基本功能借助SQL Server來(lái)完成，安全性能主要依賴(lài)于AES-256算法和安全的hash函數(shù)SHA3。系統(tǒng)的用戶(hù)體驗(yàn)良好，實(shí)現(xiàn)了智能管理賬戶(hù)口令的目標(biāo)。最后，給出了本系統(tǒng)可以繼續(xù)完善的方向。

［1］尹志宇.數(shù)據(jù)庫(kù)原理與應(yīng)用教程：SQL Server 2008（第2版）［M］.北京：清華大學(xué)出版社，2017.

［2］陳魯生，沈世鎰.現(xiàn)代密碼學(xué)［M］.北京：科學(xué)出版社，2002.

［3］劉珍楨.AES加、解密算法的FPGA優(yōu)化設(shè)計(jì)［D］.成都：電子科技大學(xué)，2007.

［4］ Wang Xiaoyun，Lai Xuejia，F(xiàn)eng Dengguo，et al.Cryptanalysis of the Hash Functions MD4 and RIPEMD ［C］.Advances in cryptology—EUROCRYPT 2005，LNCS 3494，pp.1–18，Springer-Verlag，2005.

［5］ Wang Xiaoyun，Yu Hongbo，How to Break MD5 and Other Hash Functions［C］.Advances in cryptology—EUROCRYPT 2005，LNCS 3494，pp.19-35，Springer-Verlag，2005.

［6］ Wang Xiaoyun，Yu Hongbo，Yin Yiqun Lisa.Efficient Collision Search Attacks on SHA-0 ［C］.Advances in cryptology—CRYPTO 2005，LNCS 3621，pp.1 – 16，Springer，Berlin，2005.

［7］ Wang Xiaoyun，Yin Yiqun Lisa，Yu Hongbo.Finding Collisions in the Full SHA-1［C］.Advances in cryptology—CRYPTO 2005，LNCS 3621，pp.17–36，Springer，Berlin，2005.

［8］王瑞娜.基于嵌入式Linux的智能家居系統(tǒng)的研究與設(shè)計(jì)［J］.廊坊師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2017，17（1）：34-38.

［9］本杰明·帕金斯.C#入門(mén)經(jīng)典（第 7版）［M］.北京：清華大學(xué)出版社，2016.

［10］斯托林斯.網(wǎng)絡(luò)安全基礎(chǔ)：應(yīng)用與標(biāo)準(zhǔn)（第 4版）［M］.北京：清華大學(xué)出版社，2011.

Personal Password Management System on Windows Based on AES-256 Algorithm

HOU Xu-ri1，SUN Yue1，LU Xiu-hua1,2
（1.Langfang Teachers University,Langfang 065000,China；2.Laboratory of Mathematical Model for Ecology in Langfang,Langfang 065000,China）

In order to enjoy the full range of network services,people need more and more usernames and the corresponding passwords to register and login various systems.For personal password management convenience,this paper designs a personal password management system on Windows environment.The implementation process of the system is described from two aspects of the basic functions of software and the enhancement of security,the first part is based on SQL Server,and the second part is based on AES-256 algorithm and hash function.The results show that the performance is good and that the basic requirements for account management can be fulfilled.

personal password management；Windows system；AES-256 algorithm；hash function

TP317

A

1674-3229（2017）04-0021-03

2017-08-14

河北省大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目（201610100007）

侯旭日（1995-），男，廊坊師范學(xué)院數(shù)學(xué)與信息科學(xué)學(xué)院學(xué)生，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。路秀華（1979-），女，廊坊師范學(xué)院數(shù)學(xué)與信息科學(xué)學(xué)院副教授，研究方向：信息安全與密碼學(xué)。