ASP550具有动态口令认证机制的网上投票系统.docVIP

ASP550具有动态口令认证机制的网上投票系统 P2.5动态口令认证技术BR动态口令技术是对传统的静态口令技术的改进，它采用双因子认证的原理，即用户既要拥有一些东西（something you have），如系统颁发的Token（令牌），又要知道一些东西（something you know），如启用Token的口令。当用户要网上投票登录系统时，首先要输入启用Token的口令，其次还要将Token上所显示的数字作为系统的口令输入。Token上的数字是不断变化的，而且与认证服务器同步，因此用户登录到系统的口令也是不断地变化的（即所谓的“一次一密”）。BR双因子认证比基于口令的认证方法增加了一个认证要素，攻击者仅仅获取了用户口令或者仅仅拿到了用户的令牌访问设备，都无法通过系统的认证。而且令牌访问设备上所显示的数字式不断地变化，这使得攻击变得非常困难。因此，这种方法比基于口令的认证方法具有更好的安全性，在一定程度不同上解决了基于静态口令的认证方法所面临的威胁。BR动态口令认证技术具体的实现即是验证码。BR所谓验证码，是将一串随机产生的数字或符号，生成一幅图片， 图片里加上一些干扰象素（防止OCR），由用户肉眼识别其中的验证码信息，输入表单提交网站验证，验证成功后才能使用某项功能。验证码可防止大规模匿名操作的发生，如某些用户利用软件自动注册、登录、投票等不公正行为。而加上随机的验证码之后,软件不可能计算出一样的验证码,因此就无法投票了。/P P2.5.1验证码起源BR因为攻击者会使用有害程序注册大量的Web服务帐户（如Passport）。攻击者可以使用这些帐户为其他的用户制造麻烦，如发送垃圾邮件或通过同时反复登录多个帐户来延缓服务的速度。在大多数情况下，自动注册程序不能识别此图片中的字符。简单的说呢，就是防止攻击者编写程序，自动注册，重复登录暴力破解密码。验证码技术应运而生。/P P2.5.2验证码实现流程BR服务器端随机生成验证码字符串，保存在内存中，并写入图片，发送给浏览器端显示，浏览器端输入验证码图片上字符，然后提交服务器端，提交的字符和服务器端保存的该字符比较是否一致。一致就继续，否则返回提示。攻击者编写的robot程序，很难识别验证码字符，顺利的完成自动注册，登录。而用户可以识别填写，所以这就实现了阻挡攻击的作用。而图片的字符识别，就是看图片上的干扰强度了。就实际的效果来说，验证码只是增加攻击者的难度，而不可能完全的防止。BR2.5.3网上投票系统中的验证码的作用BR因为WEB站有时会碰到客户机恶意攻击，其中一种很常见的攻击手段就是身份欺骗它通过在客户端脚本写入一些代码，然后利用其客户机在网站反复登陆，或者攻击者创建一个HTML窗体，其窗体如果包含了注册窗体或投票窗体等相同的字段,然后利用“http-post”传输数据到服务器,服务器会执行相应的创建帐户，提交垃圾数据等操作，如果服务器本身不能有效验证并拒绝此非法操作，它会很严重耗费其系统资源，降低网站性能甚至使程序崩溃。BR而现在流行的判断访问WEB程序是合法用户还是恶意操作的方式，就是采用动态口令技术。本网上投票系统采用的方法是为用户提供一个包含随即字符串的图片，用户必须读取这些字符串，然后随登陆窗体或者投票窗体等用户创建的窗体一起提交。因为人的话，可以很容易读出图片中的数字，但如果是一段客户端攻击代码，通过一般手段是很难识别验证码的。这样可以确保当前访问是来自一个人而非机器。BR3 数据库的搭建BR3.1 E-R图BRE-R如下：/P PBRnbsp;BR图3-1 E-R图BR数据库连接程序：BRlt;%BRSet conn = Server.Createobject(ADODB.Connection)BRconn.open Driver={SQL Server};server=(local);uid=sa;pwd=;database=a;BR%gt;BR3.2数据库的设计BR3.2.1用户信息BR在用户注册时，用于存储“用户帐号”“用户密码”“用户真实姓名”“用户电话”“用户电子邮件”“用户地址”“用户备注”等相关信息。BR表3-1 用户信息表（userinfo）BR列名nbsp;数据类型nbsp;说明BRidnbsp;char(6)nbsp;用户帐号（主键）BRpwdnbsp;char(6)nbsp;用户密码/P PBR具有动态口令认证机制的网上投票系统的设计BR摘nbsp; 要BR随着网络技术的迅速发展，传统的投票方式已经不能满足人们的需要。而网上投票系统除了能够完成传统的功能之外，更具有时效高和范围广的优点，更符合现代社会的需要。BR具有动态口令认证机制的网上投票系统的设计是采用ASP和SQL Serve