实验三 电子传输系统安全-进展1
任务详情
- 上周任务完成情况(代码链接,所写文档等)
- 本周计划
上周任务完成情况
- 将上学期电子公文传输系统重新调试通过
- 哈希存储用户口令并且加盐,能够切换哈希算法
- 使用国密证书
| 任务 | 完成情况 |
|---|---|
| 启动系统 | 成功 |
| 哈希口令并加盐 | 成功 |
| 使用国密证书 | 失败 |
上周任务详情
1. 重新调试通过上学期的系统
上学期做的系统主要采用的方法是html形式的,无法很好满足这学期的任务需求。于是重新将原来的html形式的改为python形式。
2. 哈希口令并加盐
已经有哈希和盐了,可以把哈希算法换为sha256或者SM2
加盐后数据库示意图(无明文密码)
完成登录加盐
相关代码截图
$hashed_password = sha1($password . $salt);
// 检查哈希值是否匹配
if ($row["password"] == $hashed_password) {
// 密码匹配
$realname = $row["realname"];
$role = $row["role"];
echo $row["password"];
// 将真实姓名和角色存储到 $_SESSION 变量中
session_start();
$_SESSION['realname'] = $realname;
$_SESSION['role'] = $role;
代码详情
3.使用国密证书
经过具体的尝试,但是失败了
过程和原因归纳如下:
国密证书需要符合国密标准的服务器,但是服务器基于centos 7 ,需要配置一台新的主机(或者云服务器or虚拟机),工程量太大,并且需要根据其设备要求进行完整的配置,短期难以实现。
上周撰写的文档
- Core.Software.Security.Security.at.the.Source.CN.软件安全.从源头开始》&《The.Security.Development.Lifecycle.CN.软件安全开发生命周期》读书报告*5(一人一份);
- 《加固计划书》一份;
- 系统安全性设计报告一份。
下周计划
根据发布的任务要求,提出下周的修改计划
- 使用商用密码算法
- 完善通讯加密/存储加密
详细计划路径
现在有一部分算法使用的还不是商用密码算法,如哈希存储口令还有sha256算法,与服务器认证过程中有RSA算法。下周计划使用数字信封形式,替代掉认证过程中的非商用密码算法。同时完善通信加密/存储加密。
written by 20211108俞振阳
