基于移动终端的二维码商品防伪的毕业论文

基于移动终端的二维码商品防伪的毕业论文内容摘要：

ℓ𝒾𝒸ℯ签名了一个信息 ℳ，如果 Alice 发送 13 信息 ℳ和签名 𝒮给 Bob，然后 Bob 用 Alice 的公钥通过 ℳ = *𝒮+𝒜ℓ𝒾𝒸ℯ对签名进行验证。 然而，若信息 ℳ的长度非常大， ,ℳ𝒜ℓ𝒾𝒸ℯ的计算开销比较大。 假如 Alice 使用哈希函数 (ℳ)，不对文件 ℳ本身进行而对文件 ℳ的哈希 (ℳ)进行签名，签 名 (ℳ)比文件 ℳ本身小得多，如果 ℳ′ 与 ℳ有 1 bit的不同，那么签名 .ℳ′ /和 (ℳ)会相差非常大，平均会有一半的不同。 已知函数 ，Alice 能通过计算 𝒮 = , (ℳ)𝒜ℓ𝒾𝒸ℯ签名信息 ℳ，发送给 Bob 信息 ℳ和签名 𝒮，然后， Bob 通过 (ℳ) = *𝒮+𝒜ℓ𝒾𝒸ℯ进行验证。 对 消 息 M 进 行哈 希 h ( M )对 哈 希 h ( M )进 行 签 名S [ h ( M ) ]对 签 名 S [ h ( M ) ]进 行 验 证消 息M签 名 S [ h ( M ) ]密 码 生 成 器私 钥公 钥消 息M图 数字签名过程 对 (ℳ)签名而不是直接对 ℳ进行签名有什么好处呢。 假定 (ℳ)的计算是高效的，对哈希 (ℳ)用私钥进行签名比对整个 ℳ本身签名要高效得多，因为Alice 只需发送更少的附加内容给 Bob，这样也更节省空间和带宽。 哈希函数也有两种类型，密码哈希函数 (Cryptographic Hash Function)和非密码哈希函数 (Noncryptographic Hash Function)。 一些使用哈希函数的标准的应用包括认证（ Authentication），消息完整性验证（ Message Integrity）（一般用的是 HMAC），消息指纹（ Message fingerprint），脏数据检测（ Data Corruption Detection），和高效的数字签名。 认证 认证简介 访问控制主要分为认证（ Authentication）和授权（ Authorization）两个方面。 14 “认证（ Authentication）又可称作鉴别，它主要用来对用户的身份或者报文来源及内容进行验证和识别，以确保信息的真实性与完整性。 ” 认证技术的共同特性是对一些参数是否有效进行验证，检查参数是否能满足预期的关系，密码学通常可以认证技术提供一种较为好的安全认证，就目前来说，密码学是大部分认证方法的基础。 认证处理的问题是，是否用 户（或者其他实体）能够访问以一些特定的系统或者资源。 认证引起了许多相关的协议的出现，尤其当认证发生在网络上时，网络也是一个大部分机器与机器相互认证的环境。 按照定义，认证过的用户能够访问一些系统资源，但是认证过的用户也不能访问所有的资源，比如，也许我们仅仅能够允许一个合法的用户，像管理员，在系统上安装软件。 尽管认证是一个判断过程 —— 访问授权了还是没有授权，我们还是要限制认证过用户的一些行为，这就是认证领域要做的事。 访问控制经常作为认证的同义词，但是访问控制有它更广泛的定义，认证只是访问控制的一种，访问控制可以分为两个方面： 1) 认证：谁能干什么。 2) 授权：你被允许做这件事吗。 认证的方法： 认证通常基于下面几种情况的结合： 1) 你知道的一些东西 2) 你拥有的一些东西 3) 你是什么 密码认证是“你知道的一些东西”的例子，现在业界已经普遍接受这个观点，密码是整个安全系统最薄弱的环节。 银行卡或者智能卡的认证方式是“你拥有的一些东西”的实例。 而像手纹，虹膜等基于生物特征的认证方式则是“你是什么”的认证方式。 密码认证 一个比较理想的密码是一个只有你知道的，能够被系统验证的，并且别人无法猜测的密码。 然而，在现实中我们很难达到这个理想的标准。 15 毫无疑问，你熟悉自己的密码。 在当今，如果没有这些大量密码，去安全地使用计算机几乎是不可能。 一个重要的事实是，其他东西充当着我们的密码，当我们忘记登录密码时，就算你忘记了自己的密码，一个做得比较友好的网站就会基于你的社会身份来认证你，比如，网站会让你回答一些问题，“你妈妈的名字叫什么。 ”，“你的生日是哪一天。 ”，“你在哪里上得小学”„„通过正确回答这些问题来认证你，然而，很显然的是，这些 信息并不是只有你知道。 而且，当用户选择自己的密码时，为了方便记忆，会选择一些“不好”的密码，比如，我们在网站注册时，就很有可能用我们的手机号码或者出生日期或者姓名信息作为我们的登录密码，这些密码很容易就被破解。 事实上，通过数学方面的论证，用这种密码在本质上是不安全的。 一个解决方案是，生成随机值代替密码，密码攻击者若要暴力破解这个随机值密码，就会疲于搜索。 这种解决方案的问题是人们必须要自己能记住这个随机密码。 但是我们还是一直在使用密码认证的方式，我们首先要理解为什么密码认证的方式这么流行，即，为什么“ 我所知道的一些东西”比“比我拥有的一些东西”和“我是什么”更加流行，什么时候后两种情况更加安全。 答案可能主要是成本因素，其次是便捷方面的考虑。 密码是免费的，智能卡和生物识别设备是要花钱的。 同样，对于一个工作负重的系统管理员来说，分发一个密码比发放智能卡要更方便。 现在来看一下为什么随机值比为了方便记忆有意义的密码值更容易破解，假如我是一个密码破解者，若加密算法本身是安全的，当面对一个 64位长度的随机密码，这有 264中可能性，要期望找到正确的密码，平均我需要尝试 263种可能的值。 假如我面对一个 8位长度的字符密 码，每一个字符有 256中可能，总共就有 2568 = 264种可能，这与 64位的二进制长度一样难以破解。 然而，用户并不喜欢选择随机密码，主要的原因是，用户必须记住这些密码，结果，用户更有可能选择这样一个 8 位长度的密码 Passw rd 而不是 e∗!dkamp。 𝑏 16 结果，一个聪明的密码破解者就只需做远远少于 263种猜测成功地找到正确的密码。 例如，一本字典的词汇量大概只有 1 000 000 ≈ 220，破解者只需在 262里一个子集去找寻，成功的概率提高了 264220 = 244 ≈ 17 000 000 000 000倍。 非随 机密码在根本上存有严重的安全性问题。 授权 授权是访问控制的一部分，主要处理的问题是，限制认证了的用户的行为，技术上，授权是访问控制的一个方面，认证 则 是另外一个方面。 传统上，授权处理这样一种情景，假如我们已经鉴别（或认证）了某一个用户，比如 Alice 的身份，我们想限制她的在只被允许的活动上。 尽管认证是一个二分选择 —— 是合法用户或者不是，而授权则没有这么简单。 Oauth 协议 Oauth 协议是一个安全的，开放的，免费并且简易的授权标准， Oauth 为客户端提供了一种以资源的拥有者去访问服务器资源的方案，也提供给终端客户在不共享证书的情况下，授权第三方去访问他服务器资源的流程。 跟以前的授权方式不同的地方是， Oauth 授权不会使得第三方触及用户的账户信息，比如用户名和密码，也就是说第三方在无需使用用户的用户名和密码就能够申请获取用户资源的授权，因为这个特点， Oauth 被认为是安全的。 任何第三方都可以使用 Oauth 的认证服务，服务提供商也能够实现自己的Oauth 认证服务，因此， Oauth 是开放的。 业界已经有了 Oauth 的各种语言的开发包，像 Java， Javascript， PHP， Ruby 等等，因此，使用 Oauth 变得简易。 Oauth 产生的背景 先看一个典型的案例： 假设用户，比如 Alice，使用了两项网络服务，第一项是图片在线存储服务A，第二项服务是图片在线打印的服务 B，如图 所示，两项服务是由两家不同的服务提供商支持的， Alice 在两家服务提供商的网站上分别 注册了两个不同的账户，拥有不同的密码。 如果 Alice 要使用 B服务在线打印存储在服务 A上的 17 图片，她该怎么办呢。 有两种方案可供选择。 图 在线储存和在线打印的问题 方案一： Alice 首先从服务器 A 下载要打印的图片，然后上传到服务器 B，使用服务B在线打印。 这种方案比较安全，但是也很繁琐，效率很低。 方案二： Alice 将自己在服务 A 上的账户和密码告诉服务 B，服务 B利用这个账户和密码登录服务 A，下载图片到服务器 B并打印。 这种方案非常高效，但是安全性极低，比如服务器 B可以利用 Alice 的账户和密码对服务 器 A上的图片进行篡改和删除。 很多公司都遇到过这种问题，包括业界很有名的 Google， Microsoft和 Yahoo都尝试提出自己的解决方案，这就促使了 Oauth项目组的诞生。 Oauth是由 Blaine Cook， Larry Halff， Chris Messina 和 David Recordon 共同发起的，目的是为API 访问授权提供一个开放的标准。 Oauth 的相关术语 在了解 Oauth 的流程之前，我们先看看 Oauth 的一些术语的定义： 表 Oauth相关的三个 URL 术语 名词解释 Request Token URL 获取未授权的 Request Token服务地址 User Authorization 获取用户授权的 Request Token服务地址 18 Access Token URL 用授权的 Request Token换取 Access Token的服务地址 表 Oauth相关参数的定义 术语 名词 解释 oauth_consumer_key 使用者 ID， Oauth服务的直接使用者是开发者开发出来的应用，该参数值的获取一般是要去 Oauth服务提供商出注册一个应用，再获取该应用的 oauth_consumer_key oauth_consumer_secret oauth_consumer_key对应的密钥 oauth_signature_memethod 请求串的签名方法，应用每次像 Oauth三个服务地址发送请求时，必须对请求进行签名。 签名的方法有 HMACSHA1，PLAINTEXT和 RSASHA1等三种 oauth_signature 用上面的签名方法对请求签名 oauth_timestamp 发起请求的时间戳，其值是 1970 00： 00） 00GMT的秒数，必须是大于 0的整数，本次请求的时间戳必须大于或者等于上次的时间戳 oauth_nonce 随机生成的字符串，用于防止请求的重复，防止外界的非法攻击 oauth_version Oauth的版本号，可选，其值必须为 Oauth Http 响应代码 HTTP 400 Bad Request 请求错误 19 表 请求出错类型 Unsupported parameter 参数错误 Unsupported signature method 签名方法错误 Missing required parameter 参数丢失 Duplicated OAuth Protocal Parameter 参数重复 HTTP 401 Unauthorized 未授权 表 HTTP 401错误 Invalid Consumer Key 非法 key Invalid/expired Token 失效或者非法的 token Invalid signature 签名非法 Invalid/used nonce 非法的 nonce Oauth 认证授权流程 弄清 Oauth 的相关术语之后，我们来看一下 Oauth 的认证授权流程。 Oauth的认证授权分为三个步骤： 1. 获取未授权 Request Token； 2. 获取用户授权的 Request Token； 3. 用授权的 Request Token 换取 Access Token。 S e r v i c e P r o v i d e rU s e r C o n s u m e r1 .请 求 服 务6 .服 务 该 用 户2 .请 求 访 问 用 户 资 源5 .获 得 授 权3 .可 以 访 问 你 的 资 源 吗。 4 . U s e r 授 权 访 问 20 图 Oauth授权 当应用拿到了 Access Token 之后，就能有权地访问用户授权资源了。 这三个步骤刚好对应 Oauth 的三个服务地址。 在三个步骤中，其中的每一步骤都请求一个 URL，并收到相关的信息，然后拿着上步的信息去请求下面的 URL，一直到拿到 Access Token 为止，具体步骤如图 ： 图 Oauth 授权详细流程图 （图片来自 Oauth 官方网站： 具体的执行过程解析： 1) Consumer（ 一般是第三方应用程序 ）向 Oauth 服务 提供商 请求未曾授权的 Request Token。 向 Request URL 提出请求，请求 需要 的参数如图 所示。 2) Oauth 服务提供商。