面向大學城的“WE”拼車平臺安全功能的設計

劉風雪

摘要：網(wǎng)絡安全問題已經(jīng)成為一個社會問題和政治問題，它在許多方面都影響著人們的生活。當學生使用拼車軟件時，總會擔心個人信息泄露以及銀行卡信息泄露等一系列問題，這些擔心多數(shù)都歸因于網(wǎng)絡技術的漏洞。因此，為防止此類事件再次發(fā)生以及為減緩學生使用軟件時的擔憂。因此主要圍繞拼車市場中的網(wǎng)絡安全現(xiàn)狀、拼車過程中群眾的擔憂以及存在的問題，討論了大學城“WE”拼車平臺安全問題的解決對策。

關鍵詞：網(wǎng)絡安全;大學拼車;防范策略;信息泄露;安全技術

中圖分類號：TP393? ? ?文獻標識碼：A

文章編號：1009-3044（2019）18-0020-03

Abstract： Network security has become a social and political issue， which affects people's lives in many ways. When students use carpooling software， they always worry about a series of problems， such as personal information leakage and bank card information leakage. Most of these concerns are attributed to the loopholes in network technology. Therefore， in order to prevent the recurrence of such incidents and alleviate the worries of students when using software. Therefore， around the current situation of network security in the carpooling market， the concerns of the masses and the existing problems in the carpooling process， this paper discusses the countermeasures to solve the security problems of the "WE" carpooling platform in the University city.

Key words： network security; collegiate carpooling; prevention strategy; information leakage; security technology

1 背景

隨著生活水平的提高，我國人民對于出行的質(zhì)量要求越來越高，且由于對經(jīng)濟問題的考慮，拼車已經(jīng)成為人們出行的一大選擇。但隨之而來更引人關注的是拼車的“安全”問題，大學生失聯(lián)事故偶有發(fā)生，個人信息泄露等問題都讓消費者對拼車產(chǎn)生焦慮。而造成這些問題的主要原因就是網(wǎng)絡安全問題無法得到保障。

2016年11月7日，我國頒布了《中華人民共和國網(wǎng)絡安全法》，習近平主席在網(wǎng)絡安全和信息化工作座談會上的講話中強調(diào)“維護網(wǎng)絡安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險。正所謂“聰者聽于無聲，明者未見于形”，感知網(wǎng)絡安全態(tài)勢是最基礎的工作。

校園“we”拼車是一款只為大學生設計的拼車app系統(tǒng)，它將學號與個人信息聯(lián)系起來，防止社會上的閑雜人等混入其中。且由于學號等條件的限制，乘客“拼”到的車友都是學生身份，大大地降低了危險發(fā)生的可能性。

2 拼車軟件存在的安全問題

目前的拼車軟件的安全問題總體上可以概括為以下四點：

1）信息泄露。此類主要表現(xiàn)為信息被竊聽而不被竊取，且這種不破壞信息傳輸?shù)木W(wǎng)絡侵犯者被稱為消極侵犯者。例如用戶身份信息泄露或者銀行卡信息泄露。

2）信息被篡改。這種被稱為純粹的信息破壞，其破壞作用最大，破壞者截取信息包，使之消失或失效，或添加對自己有利的信息，誤導使用者，這種破壞者被稱為積極侵犯。例如用戶自身信息被篡改，影響自身效益，或有非法廣告入侵，造成虛假宣傳，影響用戶使用感受。

3）非法使用網(wǎng)絡資源。非法用戶登錄系統(tǒng)進行資源使用，造成資源浪費，損害合法用戶的效益。例如此款app只針對學生使用，非學生身份使用app損害合法利益，對合法用戶是不公平的舉措。

4）人為安全因素。無論系統(tǒng)功能多么強大，如果管理人員不按照要求管理，造成的后果是難以想象的，此類主要表現(xiàn)在安全意識薄弱，安全措施不完善以及管理人員的失誤操作等。

3 拼車軟件安全問題的原因分析

1）受技術人員的工作經(jīng)驗，能力水平以及系統(tǒng)環(huán)境的限制，技術人員無法做到面面俱到，百無漏洞，且軟件在使用過程中遇到的各種問題是無法通過預想而進行判斷的。

2）目前一些計算機網(wǎng)絡系統(tǒng)使用的硬件、軟件都是從國外進口而來的，當前技術無法對其進行改進升級和相關自我信息保護。

3）權限設置不明確，導致部分用戶獲取無權查看的內(nèi)容且個人信息安全受到威脅。

4）軟件經(jīng)上線時間起，隨著用戶的增加以及上線時間的增長，將會暴露出越來越多的缺點以及網(wǎng)絡漏洞，這些都是無法避免的。且網(wǎng)絡安全漏洞并不是修復完就不存在了，它還會隨著用戶的使用出現(xiàn)新的漏洞，一直不斷的“存在”。

5）人才市場短缺，信息人才遠遠滿足不了市場需求，且開發(fā)人員年輕化，經(jīng)驗得不到傳承，導致網(wǎng)絡安全常見問題重復出現(xiàn)。

4 校園“we”拼車APP的安全策略

4.1 加強技術防范

4.1.1 安全技術

1）虛擬網(wǎng)技術

虛擬網(wǎng)技術是基于近年發(fā)展的局域網(wǎng)交換技術，使虛擬網(wǎng)外的節(jié)點難以直接訪問虛擬網(wǎng)內(nèi)的節(jié)點，從而以防止入侵。由于互聯(lián)網(wǎng)是由很多個網(wǎng)絡節(jié)點組成的，而每一個網(wǎng)絡節(jié)點在網(wǎng)上想要被人找到實際上都需要一個IP地址，但是這個地址暴露出去就有被攻擊的風險，所以很多時候需要組建一個局域網(wǎng)就像自己家里用的路由器一樣，在局域網(wǎng)里有很多節(jié)點，每個節(jié)點的IP都是自己定義的。這樣就可以隱藏真正的服務地址了。例如在此系統(tǒng)中，主要利用虛擬網(wǎng)技術中的隧道技術對數(shù)據(jù)進行二次打包，將加密過后的數(shù)據(jù)通過網(wǎng)絡傳輸，以保證數(shù)據(jù)更加安全、完整的完成傳輸。

2）防火墻技術

防火墻是網(wǎng)絡訪問控制設備，用于拒絕除了內(nèi)部準許通過的其他所有數(shù)據(jù)，例如爬蟲現(xiàn)象，就是指未被授權人員模仿正常用戶訪問系統(tǒng)，竊取內(nèi)部信息，對于這一現(xiàn)象，就可以使用防火墻技術對此類現(xiàn)象進行攔截。且防火墻可以定義一個關鍵點以防止外來入侵，還可以監(jiān)控網(wǎng)絡的安全并在異常情況下給出報警提示，提供網(wǎng)絡地址轉換功能，防火墻還可以查詢或登記Internet的使用情況，為客戶提供服務的理想位置。雖然在一定程度上防火墻也存在許多缺點，但是他可以有效地阻止非法用戶通過外部網(wǎng)絡進入內(nèi)部網(wǎng)絡，進而對客戶利益造成不必要的損害。

3）病毒防護技術

病毒一直以來都是威脅系統(tǒng)安全的主要問題之一，若此系統(tǒng)進入病毒的話，將會有可能造成系統(tǒng)癱瘓或?qū)蛻舻馁~戶安全產(chǎn)生威脅，甚至可能會對顧客的手機造成影響，對這一問題要做的就是采取一定的技術手段來防止病毒對系統(tǒng)的傳染和破壞。可以在防火墻、代理服務器、SMTP服務器、網(wǎng)絡服務器、群件服務器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件，使用防病毒軟件檢查和清除病毒。對病毒數(shù)據(jù)庫應不斷更新升級，并下發(fā)到桌面系統(tǒng)。在防火墻、代理服務器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝。

4）認證技術

認證技術指的是確定使用軟件的是誰或使用者是否對軟件有使用權限。也就是使用者的物理身份與數(shù)字身份是否相符和乘客是否具有學生身份，此技術還可以防止司機或?qū)W生查看他們無權查看的信息。對于驗證，可以采用靜態(tài)密碼來進行驗證，也就是用戶在注冊時自己所設置的密碼。而假設用戶忘記自己所設置的密碼，還可以采用動態(tài)驗證來對用戶進行驗證，也就是對用戶在注冊時所綁定的手機號發(fā)送六位動態(tài)數(shù)字，每分鐘發(fā)送一次動態(tài)驗證數(shù)字，數(shù)字有效性為一次。

5）加密技術

加密技術指的是信息在傳輸或者存儲過程中，根據(jù)一些算法進行編碼，例如用戶的賬號密碼在數(shù)據(jù)庫中的存放方式就是加密的，假設用戶密碼是liufengxue，但是實際在數(shù)據(jù)庫中存的可能是agdyevduebsgsu。

6）安全掃描技術

安全掃描的原理是對網(wǎng)絡、主機對外開放的端口、系統(tǒng)可能存在的錯誤配置等安全漏洞，采取模擬黑客攻擊的形式來檢測存在的安全漏洞，這是一種極為有效的主動防御技術，結合入侵檢測技術和防火墻技術，可以提供拼車系統(tǒng)的網(wǎng)絡全方位的防護。

首先，在拼車系統(tǒng)中，采用端口掃描技術，TCP connect掃描是最基本的TCP掃描方法，用操作系統(tǒng)提供的connect（）系統(tǒng)與拼車系統(tǒng)的端口進行連接，可檢測拼車系統(tǒng)的端口是否處于監(jiān)聽狀態(tài)。其次采用TCP SYN掃描，發(fā)送一個SYN數(shù)據(jù)包，若返回SYN}ACK數(shù)據(jù)包，則說明拼車系統(tǒng)端口處于監(jiān)聽狀態(tài)，需要再發(fā)送一個RST數(shù)據(jù)包來停止此操作。

上述操作可以探測端口的信息，但我們需要在這些信息的基礎上，具體問題具體分析，找到問題端口中的錯誤配置，網(wǎng)絡協(xié)議漏洞等系統(tǒng)漏洞。

7）入侵檢測技術

入侵檢測系統(tǒng)是一種用于檢測未授權訪問行為的軟件工具，此項工具應用于拼車系統(tǒng)，可以動態(tài)監(jiān)測訪問行為，作為防火墻動態(tài)監(jiān)測的補充。

在拼車系統(tǒng)中，應用入侵檢測技術，來對每一個訪問該系統(tǒng)的行為進行動態(tài)檢測，動態(tài)檢測主要采用特征檢測，因為特征檢測有檢測可靠和誤報率低的特點。在特征檢測中，通過識別訪問拼車系統(tǒng)的流量和應用數(shù)據(jù)模型來分辨訪問者是否存在非法的攻擊行為。

4.2 系統(tǒng)的安全設計

1）安全注冊

此模塊有司機注冊和學生乘客注冊，主要運用加密技術，將司機的信息和學生的信息進行編碼存儲進數(shù)據(jù)庫，且司機和乘客在注冊時也可設置登錄密碼來保證自己的個人信息不被泄露，用戶還可以通過密碼來設置自己的信息是否可以被別人查看以及哪些信息可以被查看。在注冊時司機需要輸入自己的用戶名，手機號以及設置的登錄密碼，注冊成功后，需要進入實名認證（需輸入真實姓名，性別，居住地信息，身份證圖片以及駕駛證圖片）和車輛認證（需輸入車輛的型號，顏色，車牌號，以及其他的相關基本信息）階段，認證成功后，才可以進行接單。學生乘客在注冊時也需要輸入自己的用戶名，手機號，學校的名稱和自己的學號以及設置的登錄密碼。在其他信息滿足要求的情況下，只需要驗證手機號即可，手機號驗證成功之后，就可以對app進行使用。

2）信息核實

信息核實主要運用防火墻技術和認證技術以及入侵檢測技術，防火墻用來控制內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的數(shù)據(jù)流，它可以有效地阻擋不滿足安全協(xié)議或系統(tǒng)結構的數(shù)據(jù)進入內(nèi)務網(wǎng)絡，也可以阻擋不法分子惡意的網(wǎng)絡攻擊，保護合法用戶的網(wǎng)絡安全。認證技術用來確定司機和學生乘客是否對軟件有使用權限，以及在司機或乘客在忘記自己設置的密碼時，該如何對軟件重新登錄繼續(xù)進行使用，在忘記密碼時主要采用對用戶發(fā)送驗證碼來確定登陸者身份是否屬實，入侵檢測技術用于檢測是否有穿越防火墻的或企圖對系統(tǒng)構成威脅的違反網(wǎng)絡安全策略的舉動，也可以快速地發(fā)現(xiàn)越權行為或不符合系統(tǒng)要求的異常現(xiàn)象。且開發(fā)人員對于最初注冊時的信息核實準備了雙重保障，一個是人工核實，另一個是系統(tǒng)核實，因此在后期會增加很多的客服人員。人工核實主要是核實司機提供的車輛信息和身份信息是否屬實，有無犯罪記錄以及車檢情況是否合格。系統(tǒng)核實主要核實學生的學校名稱和學號是否屬實。司機或?qū)W生的信息如若不符合要求，則需要被返回繼續(xù)更改，直至改到符合要求為止，司機才可以進行接單，學生才可進行對app的使用。

3）訂單安全

在訂單模塊里主要應用虛擬網(wǎng)技術，其技術通過公共網(wǎng)絡服務商搭建專業(yè)線路，可以快速地將用戶和相關信息結合起來，保證司機或乘客發(fā)送的數(shù)據(jù)信息高速流通以達到彼此共享，還可以數(shù)據(jù)傳輸?shù)陌踩浴Ｇ以谟唵文K里司機和學生乘客的界面也是不同的。司機界面具有隨機派單模式和自主接單模式。且當選擇隨機派單模式時司機還可以選擇隨機目的地和固定目的地。而選擇自主接單模式時則可以根據(jù)自己安排的時間來設定何時接單。不同的接單模式讓司機有了更多的選擇性，司機更是可以根據(jù)自己當天的狀態(tài)來選擇喜歡的模式進行工作。學生乘客的界面則分為正在進行的訂單子模塊和歷史訂單子模塊，點擊正在進行的訂單則可以查看到達目的地的距離以及導航路線。點擊歷史訂單則可以查看以往的訂單信息。

4）地圖導航模塊

利用GPS定位技術，定位司機所在位置與乘客所在位置以及乘客目的地位置，并為乘客匹配最佳路線，且在乘客用戶界面，會顯示司機電話以及車輛的顏色和車牌信息，方便與司機實時溝通，還會為乘客計算出司機到達的時間以及到達目的地的時間。

5）支付安全

在到達目的地后，司機點擊結束路程，app會根據(jù)行駛的公里數(shù)和價格標準表計算出乘客所需要支付的價錢。系統(tǒng)會根據(jù)乘客綁定的微信賬戶或者支付寶賬戶進行自動費用扣除。這一模塊也需要用到加密技術來保證用戶的賬戶安全。

6）數(shù)據(jù)備份

數(shù)據(jù)備份主要采用基于LAN的備份模式，數(shù)據(jù)通過LAN備份到磁帶中，且備份服務器作為控制中心控制所有的數(shù)據(jù)，這樣就可以集中的管理數(shù)據(jù)，方便人員操作，提高操作效率。這種模式的缺點是消耗內(nèi)存大，但由于此系統(tǒng)只限于學生用戶，產(chǎn)生的數(shù)據(jù)量小，所以不用擔心。

5 結束語

網(wǎng)絡安全問題是一個棘手的問題，需要全社會共同努力不斷開發(fā)新技術、制訂安全防范策略。因此在設計校園“we”拼車app的過程中應用了主流的安全技術，其安全問題是非常樂觀的。對大學生來說，它可以讓出行變得更方便、高效，不但可以結交到更多的朋友，還可以防止司機的坐地起價。對司機來說，可以減少途中盲目尋客，避免空車現(xiàn)象的產(chǎn)生，又能夠省時省油，提高收益。對社會來說，也可以避免社會資源的浪費，從而提高社會資源的利用率。

參考文獻：

[1] 劉文才， 孫苗， 鄧俊杰. 基于物聯(lián)網(wǎng)的智慧拼車[J]. 武昌： 武昌理工學院， 2014.

[2] 鄭琳琳. 校園智能交通信息系統(tǒng)APP設計研究——以沈航校園為例[D].沈陽： 沈陽航空航天大學， 2016.

[3] 羅宇皓. Android 軟件安全分析和系統(tǒng)安全增強研究[D]. 上海： 上海交通大學， 2013.

[4] 王曉飛. 軟件安全漏洞發(fā)掘技術研究[D].長沙： 國防科學技術大學， 2006.

[5] 王春蓮. 基于大數(shù)據(jù)分析技術的網(wǎng)絡安全系統(tǒng)軟件開發(fā)與設計[J]. 軟件工程， 2018， 21（7）： 50-52.

[6] 賀星光. 網(wǎng)絡安全掃描系統(tǒng)的設計與實現(xiàn)[D].哈爾濱： 哈爾濱工業(yè)大學， 2017.

[7] 王瑋. 入侵檢測系統(tǒng)的研究與實現(xiàn)[D].成都： 電子科技大學， 2013.

[8] 于赫. 網(wǎng)聯(lián)汽車信息安全問題及 CAN 總線異常檢測技術研究[D].長春： 吉林大學， 2016.

【通聯(lián)編輯：謝媛媛】