侯旭日 ，孫 越 ，路秀華 ，2

（1.廊坊師范學院，河北廊坊 065000；2.廊坊市數(shù)學生態(tài)模型重點實驗室，河北廊坊 065000）

基于AES-256算法的Windows個人口令管理系統(tǒng)

侯旭日1，孫 越1，路秀華1，2

（1.廊坊師范學院，河北廊坊 065000；2.廊坊市數(shù)學生態(tài)模型重點實驗室，河北廊坊 065000）

針對人們的生活需要越來越多的用戶名及口令來注冊并登陸各種各樣的系統(tǒng)，以便享受全方位的網(wǎng)絡服務

這一現(xiàn)實需求，設計了基于Windows系統(tǒng)的個人口令管理系統(tǒng)。通過SQL Server實現(xiàn)了軟件的基本功能，通過AES-256算法和hash函數(shù)增強了數(shù)據(jù)庫的安全性，結果顯示性能良好，能夠完成賬戶管理的基本需求。

個人口令管理；Windows系統(tǒng)；AES-256算法；hash函數(shù)

1 概述

隨著互聯(lián)網(wǎng)信息時代的快速發(fā)展，我們的生活需要接觸各大銀行系統(tǒng)、各類購物網(wǎng)站、多種郵箱系統(tǒng)和不同的即時交互軟件。為了減少口令泄露的風險，增強個人賬戶的安全性，我們需要設置復雜多變的用戶登錄口令，并遵循一賬戶一口令的原則。在保證賬戶安全的同時，我們也不得不面對繁雜的口令管理問題。在此背景下，個人口令管理系統(tǒng)的開發(fā)，有著強烈的市場需求。

現(xiàn)有的個人口令管理系統(tǒng)有KeePass，LastPass和1Password，其中1Password是KeePass和LastPass的結合，它的iOS系統(tǒng)和Android系統(tǒng)版本在基本功能方面免費，但Mac和Windows系統(tǒng)版本是收費的，而且1Password的Windows系統(tǒng)和Android系統(tǒng)版本不支持中文。

本文借鑒已有軟件系統(tǒng)，以AES-256加密算法為基礎，設計免費的、更安全的、支持中文的、適用于Windows環(huán)境的個人口令管理系統(tǒng)。

2 系統(tǒng)關鍵技術

本系統(tǒng)的關鍵技術包括以下兩個方面：

（1）關于系統(tǒng)基本功能的實現(xiàn)，涉及到SQL Server數(shù)據(jù)庫[1]的設計和實施方法，包括在SQL Server上創(chuàng)建、管理數(shù)據(jù)庫及其對象、查詢與統(tǒng)計數(shù)據(jù)、管理數(shù)據(jù)表數(shù)據(jù)（合并數(shù)據(jù)表中的數(shù)據(jù)，將數(shù)據(jù)抽取到另一個表中，以及維護數(shù)據(jù)表數(shù)據(jù)）、數(shù)據(jù)庫設計、創(chuàng)建與管理數(shù)據(jù)庫、創(chuàng)建與管理表、實施數(shù)據(jù)完整性。

此外，創(chuàng)建與管理視圖（了解視圖的概念及對視圖的各種操作）、創(chuàng)建與管理存儲過程（存儲過程的概念以及對存儲過程的各種操作）、創(chuàng)建及管理觸發(fā)器（觸發(fā)器的各種操作）、創(chuàng)建與使用游標（游標的創(chuàng)建及綜合應用）、處理事務與鎖（事務與鎖的使用）、以及對SQL Server數(shù)據(jù)庫進行日常管理與維護，也是很重要的一個方面。

（2）關于數(shù)據(jù)庫的安全性，采用AES-256算法[2]對數(shù)據(jù)進行加密操作。AES算法是美國國家標準與技術研究院在全世界公開征集的用來替代DES的新一代數(shù)據(jù)加密標準，具有強安全性、高性能、高效率等優(yōu)勢。AES算法的密鑰長度有三個可選項：128，192和256位。和DES相比，AES的128位密鑰比DES的56位密鑰強1021倍。192和256位的AES算法，具有更強的安全性保障。我們選擇了安全強度最高的AES-256算法，在這個算法加密的文檔破譯中，能夠找到解密密鑰的幾率是1/2256，這幾乎是可以忽略的。

AES算法加密過程包括以下四個核心操作：

①字節(jié)代替變換

這是一個關于字節(jié)的非線性變換，它將狀態(tài)中的每一個字節(jié)非線性地變換為另一個字節(jié)。具體操作分兩步完成：首先，將一個字節(jié)變換為有限域中的乘法逆元素，規(guī)定00變換為其自身；然后，對有限域上的乘法逆元素做特定的仿射變換。

②行移位變換

行移位變換對一個狀態(tài)的每一行循環(huán)左移不同的位移量：第一行保持不變，第二行循環(huán)左移一個字節(jié)，第三行循環(huán)左移兩個字節(jié)，第四行循環(huán)左移三個字節(jié)。

③列混合變換

列混合變換將一個狀態(tài)的每一列視為有限域上的一個多項式，逐列進行混合。

④圈密鑰加法變換

圈密鑰加法變換將一個圈密鑰按位異或到一個狀態(tài)上。圈密鑰的長度為十六個字節(jié)，按順序取自擴展密鑰。擴展密鑰的長度為二百四十個字節(jié)，由原始密鑰擴展而來。

2007年，劉珍楨對AES算法進行了優(yōu)化設計[3]，采用查表法優(yōu)化處理了字節(jié)代替變換、列混合變換和密鑰擴展算法。優(yōu)化以后的AES算法整體結構如圖1所示。

圖1 優(yōu)化的AES算法整體結構

目前AES-256算法沒有明顯的漏洞，唯一的問題就是如何安全地分發(fā)密鑰。為了解決密鑰分發(fā)問題，我們引入了hash函數(shù)[2]。Hash函數(shù)是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。消息摘要可以視為消息的指紋信息，和消息具有事實上的一一對應關系。由于王小云等人對MD4、MD5、SHA0和SHA1的一系列攻擊[4-7]，我們選擇SHA3作為hash函數(shù)的實例化，計算用戶名和系統(tǒng)登錄口令的hash值，作為數(shù)據(jù)庫加解密算法的密鑰使用。由此加解密算法的密鑰能夠做到一用戶一密鑰，且密鑰無需保存和分發(fā)。即便是攻擊者繞過登錄系統(tǒng)進入數(shù)據(jù)庫，仍然會因為無法提供正確的用戶名和登錄口令，得不到數(shù)據(jù)庫的解密密鑰，也就無法獲得數(shù)據(jù)庫的敏感數(shù)據(jù)。

3 系統(tǒng)設計方案

本文借鑒王瑞娜基于Linux的智能家居系統(tǒng)設計[8]，采用C#[9]進行系統(tǒng)開發(fā)，設計的個人口令管理系統(tǒng)能夠管理用戶在各個網(wǎng)絡平臺的用戶名/登錄口令信息，以減少用戶的管理負擔、增強用戶賬戶信息的安全性。主要工作包括實現(xiàn)基本功能和保障安全性兩個方面的內容。

主界面的菜單欄包括文件、視圖和幫助。下方有刷新按鈕，可以快捷刷新界面，提高用戶體驗。主界面的左側包括所有項目按鈕，管理用戶添加的所有項目的信息。收藏夾按鈕方便用戶收集一些使用頻率高的信息。我們也設置了添加和刪除按鈕，用戶可以根據(jù)自己的需要進行添加和刪除項目信息操作。

登錄類型包括銀行卡類型、辦公類型和游戲類型。登錄信息按鈕記錄了登錄的賬號、登錄日期、登錄時間和電腦號，由此用戶能夠查閱自己的登錄信息，及時發(fā)現(xiàn)異常登陸情況，保障賬戶的安全性。

具體的設計步驟如下：

首先深入分析個人口令管理系統(tǒng)的功能需求，完成新系統(tǒng)的整體框架設計，明確要實現(xiàn)的功能。

其次是分階段、分步驟完成系統(tǒng)的開發(fā)。首先實現(xiàn)系統(tǒng)的基本功能，然后強化系統(tǒng)的安全性，保證系統(tǒng)的可用性和可靠性。

4 系統(tǒng)功能實現(xiàn)

系統(tǒng)的主要功能模塊如圖2所示。

圖2 系統(tǒng)功能

（1）實現(xiàn)基本功能

首先設置注冊、登錄入口，實現(xiàn)用戶注冊和登錄功能。由于系統(tǒng)安全級別要求非常嚴格，我們設置了兩級用戶。軟件初始化時，會指定一個高級別賬號，用于系統(tǒng)管理。高級別用戶可以創(chuàng)建低級別用戶，在保證賬戶安全的同時，方便多成員的賬號管理。此外，密碼只有3次輸入機會，如果第三次輸入密碼正確那么輸入機會重置，如果第三次輸入錯誤系統(tǒng)鎖定用戶登錄。

系統(tǒng)的核心是維護數(shù)據(jù)庫，包括以下幾個主要方面：

①建立數(shù)據(jù)庫，保存每個網(wǎng)絡平臺的名稱、用戶名/登錄口令，以及用戶名/登錄口令的生成規(guī)則。

②連接數(shù)據(jù)庫，打開公開連接，創(chuàng)建連接對象，允許應用程序及其他用戶訪問數(shù)據(jù)庫。

③設置數(shù)據(jù)庫操作權限，外來用戶只可讀取不可修改，提高了數(shù)據(jù)庫的安全性。

5. 統(tǒng)計學處理：資料采用 SPSS 13.0 醫(yī)學統(tǒng)計軟件進行處理。計量資料以均數(shù)±標準差表示，組間比較采用獨立樣本t檢驗，組內治療前后比較采用配對t檢驗。P<0.05表示差異有統(tǒng)計學意義。

（2）增強安全性

我們采取以下四個措施來提升系統(tǒng)的安全性。

①隨機化的網(wǎng)絡平臺登錄信息，引入隨機化算法[10]，在網(wǎng)絡平臺的信息生成規(guī)則下，隨機生成網(wǎng)絡平臺的用戶名/登錄口令，減少用戶名/登錄口令的規(guī)律性。權限也成為需要關心的主要目標，數(shù)據(jù)庫權限是我們設置的關鍵技術，防止非法用戶進入數(shù)據(jù)庫破壞數(shù)據(jù)。

②加密數(shù)據(jù)，采用AES-256算法對數(shù)據(jù)加密，增強密文的安全強度。加解密算法的密鑰采用用戶隱私信息的hash函數(shù)摘要信息，因此，加解密算法的密鑰能夠做到一用戶一密鑰，且密鑰無需保存。

③設置登錄日志，保存登錄日志，設置異常登錄提醒，方便用戶查詢登錄日志，及時發(fā)現(xiàn)潛在的異常登錄。高級別管理員可以隨時查看系統(tǒng)登錄情況，什么時間點、哪臺電腦使用了該系統(tǒng)，誰使用了該系統(tǒng)一目了然。

④備份數(shù)據(jù)庫，設置數(shù)據(jù)庫的定期自動備份，規(guī)避不可測事件，主要預防突發(fā)情況，例如：自然災害、火災、停電等狀況的發(fā)生。

5 系統(tǒng)的優(yōu)化空間

①鏈接網(wǎng)絡平臺，設置網(wǎng)絡平臺鏈接，點擊即可登錄網(wǎng)絡平臺。

②快速修改網(wǎng)絡平臺登錄信息，設置網(wǎng)絡平臺用戶信息鏈接，點擊即可修改網(wǎng)絡平臺登錄信息。

③跨平臺同步，實現(xiàn)數(shù)據(jù)庫的便攜性，滿足用戶隨時隨地的需求。隨著操作系統(tǒng)不斷增多，更新速度也非常快。由于用戶安裝的操作系統(tǒng)版本不統(tǒng)一，因此系統(tǒng)支持操作系統(tǒng)版本為xp及xp以上所有版本運行。

④可以采用Flash動態(tài)界面，美化系統(tǒng)界面。

6 總結

本文展示了個人口令管理系統(tǒng)的基本架構。系統(tǒng)在Windows環(huán)境下設計，基本功能借助SQL Server來完成，安全性能主要依賴于AES-256算法和安全的hash函數(shù)SHA3。系統(tǒng)的用戶體驗良好，實現(xiàn)了智能管理賬戶口令的目標。最后，給出了本系統(tǒng)可以繼續(xù)完善的方向。

［1］尹志宇.數(shù)據(jù)庫原理與應用教程：SQL Server 2008（第2版）［M］.北京：清華大學出版社，2017.

［2］陳魯生，沈世鎰.現(xiàn)代密碼學［M］.北京：科學出版社，2002.

［3］劉珍楨.AES加、解密算法的FPGA優(yōu)化設計［D］.成都：電子科技大學，2007.

［4］ Wang Xiaoyun，Lai Xuejia，F(xiàn)eng Dengguo，et al.Cryptanalysis of the Hash Functions MD4 and RIPEMD ［C］.Advances in cryptology—EUROCRYPT 2005，LNCS 3494，pp.1–18，Springer-Verlag，2005.

［5］ Wang Xiaoyun，Yu Hongbo，How to Break MD5 and Other Hash Functions［C］.Advances in cryptology—EUROCRYPT 2005，LNCS 3494，pp.19-35，Springer-Verlag，2005.

［6］ Wang Xiaoyun，Yu Hongbo，Yin Yiqun Lisa.Efficient Collision Search Attacks on SHA-0 ［C］.Advances in cryptology—CRYPTO 2005，LNCS 3621，pp.1 – 16，Springer，Berlin，2005.

［7］ Wang Xiaoyun，Yin Yiqun Lisa，Yu Hongbo.Finding Collisions in the Full SHA-1［C］.Advances in cryptology—CRYPTO 2005，LNCS 3621，pp.17–36，Springer，Berlin，2005.

［8］王瑞娜.基于嵌入式Linux的智能家居系統(tǒng)的研究與設計［J］.廊坊師范學院學報（自然科學版），2017，17（1）：34-38.

［9］本杰明·帕金斯.C#入門經(jīng)典（第 7版）［M］.北京：清華大學出版社，2016.

［10］斯托林斯.網(wǎng)絡安全基礎：應用與標準（第 4版）［M］.北京：清華大學出版社，2011.

Personal Password Management System on Windows Based on AES-256 Algorithm

HOU Xu-ri1，SUN Yue1，LU Xiu-hua1,2
（1.Langfang Teachers University,Langfang 065000,China；2.Laboratory of Mathematical Model for Ecology in Langfang,Langfang 065000,China）

In order to enjoy the full range of network services,people need more and more usernames and the corresponding passwords to register and login various systems.For personal password management convenience,this paper designs a personal password management system on Windows environment.The implementation process of the system is described from two aspects of the basic functions of software and the enhancement of security,the first part is based on SQL Server,and the second part is based on AES-256 algorithm and hash function.The results show that the performance is good and that the basic requirements for account management can be fulfilled.

personal password management；Windows system；AES-256 algorithm；hash function

TP317

A

1674-3229（2017）04-0021-03

2017-08-14

河北省大學生創(chuàng)新創(chuàng)業(yè)訓練計劃項目（201610100007）

侯旭日（1995-），男，廊坊師范學院數(shù)學與信息科學學院學生，研究方向：計算機應用技術。路秀華（1979-），女，廊坊師范學院數(shù)學與信息科學學院副教授，研究方向：信息安全與密碼學。