密码存储与传输的安全性探讨

2023年7月31日发(作者：)

・２３２・　信息技术　密码存储与传输的安全性探讨　屈晓梁进杰莫秀玲刘泽平吴洵剑　（华南农业大学珠江学院，广东广州５１０９００）　摘要：近年来网络信息安全问题越来越受关注，密码安全也倍受重视，仔细探讨密码存储的几种方式及其安全性和密码传输过程　的安全性。　关键词：存储安全；传输安全；原始密码　用户密码从注册提交密码开始，密码的传输、存储各个环节都　这其中的每一步都有可能导致原始密码的泄露，但也有相应的　存在安全隐患。这就需要开发者对各环节的可能出现的安全问题进　应对方法应对：　行预判和提供解决方案。　２．１输入原始密码　在一个存储和传输每个环节都很安全的环境下，最危险的就是　１存储安全　密码存储按照安全性由低到高，有这样几种选择：　用户输入原始密码，下面就列举几种情况：　第一种：密码明文直接存储在系统中。　２．１．１密码值容易被偷看　第二种：密码经过对称加密后再存储用户密码。　正常情况下输入密码的字符明文用　号来代替，这种做法就是　第三种：密码经过非对称加密后再存储密码。　为了保证密码明文不被肉眼偷窥。不过这样，用户也不能直接看到　自己输入的密码正确与否。相应的，一般也要通过输入两遍密码来　第四种：密码经过哈希算法加密后再存储密码。　第五种：密码经过哈希加盐法加密后再存储密码。　保证。　使用第一种方法储存密码，系统管理员可以直接查看到所有用　２．１．２用木马程序记录键盘输入　户的密码。这意味着，当其他人通过其他手段获取到数据库后，同样　现在社交平台或网络游戏的盗号就常常用这种方式，可以通过　可以直接查看到用户的密码。使用第二种方法储存密码，对称加密　安装杀毒软件来防盗号，还可以用屏幕软键盘输入密码，这样木马　的密钥会同时用于加密和解密，所以它会直接出现在加密代码中，　就记录不了键盘事件，只能通过分析鼠标点击和当时屏幕图像来破　破解的难度也不高。使用第三种方法储存密码，密码明文经过公钥　解密码。如果再进一步，软键盘的字符布局每次都随机产生，那就加　加密，要还原明文，必须要知道私钥。但私钥一旦泄漏，解密就会易　重了分析破解的难度。　如反掌。　２．Ｉ．３模仿或感染应用程序　上述３种方法，都可以通过逆向运算得出明文密码，存在较大　直接得到内存中的密码值不管如何防范输入的过程，一旦密码　的安全隐患。所以，最好是使用不能还原明文的加密方式来存储密　到程序里，就会以明文的形式呈现在内存中，只要恶意软件模仿安　码。就是通过哈希算法加密明文密码，在登录验证密码时，通过对比　全程序（或模仿网站的外观）直接套取密码就轻而易举。现在出现的　加密后的密文来验证密码是否输入正确。这就是第四种储存密码的　假ＡＴＭ机诈骗也是这种手法的衍生。还有一种，不是替换或模仿　方法，利用哈希算法的单向和唯一结果的特性，使得系统既能验证　程序，而是用病毒感染原程序，将原程序内存中的值读到。要防范这　密码是否输入正确而又不知道密码的明文是什么。　种攻击，必须要对原程序的完整性和合法性进行验证，在验证通过　哈希算法由于能把不同长度的数据转化为１２８位的无序编码，　后，才能进行正常的登录交互操作。这个验证可以用数字签名来实　庞大的基数使得基于穷举法的暴力破解和字典破解成为理论可行。　现。所有微软的可执行文件都有自带的数字签名。在网站上则是　只要密码足够复杂，暴力破解所消耗的时间会使得破解失去意义，　ＨＴＩ￣Ｓ的验证。　而字典破解所占用的储存空间将会是一种无法提供的资源。　当然，人的判断也在其中涉及到，在社会工程学上，软件要配合　无论是暴力破解法或者字典法都是极端的破解方法，一个需要　些强制的措施，才能保证不会大意中招。例如浏览器在访问非信　很长很长的时间、一个需要很大很大的存储空间，对于哈希算法的　任机构签发的数字签名的Ｈ３３＂ＰＳ站点时，会阻止用户进行访问。　破解都没有起到很好的作用，直到出现了彩虹表。彩虹表很好地平　Ｗｉｎｄｏｗｓ　７现在所有的Ｄｒｉｖｅｒ也都必须要有微软的数字签名才能　衡了时间和储存空间，对一些弱密码的破解时间仅需数分钟。　运行。　第五种储存密码的方法，是第四种存密码的方法针对彩虹表进　２．２原始密码的转换　行的改进。针对彩虹表多次重复调用哈希　法函数的特征，在一次　原始密码要经过转换，才可以在线上传输。这类似储存密码，直　哈希加密后，把得到的密文加入了随机Ｓａｌｔ字符串混淆，然后再进　接传输明文密码肯定是最不安全的。而用简单的可逆变换，或者固　行第二次哈希加密，最后把二次加密后的密文和ｓａｌｔ值一起存储。　定密钥加密也只是增加了破解难度。如果每次服务器随机产生一个　这样一来，将无法使用已有的彩虹表进行破解。就算用户使用一样　密钥，给客户端进行密码加密，那就是最好的。　的密码，加入ｓａｌｔ混淆后得出的加密结果也是不一样的，这就大大　如果使用ＨＴＦＰＳ，那所有的通过ＳＳＬ通道的信息都是经过随机　地增大破解的难度。　密钥加密的。其中包括了密码。使用ＨＴＹＰＳ最大的问题是性能，而　最后两种加密方法都不可以还原密码的明文，这意谓着，就算　连接初始时密钥的协商是通过非对称加密的体系进行的，这会造成　是系统管理员也不知道密码原文。这也意谓着，这个世界上只有你　连接较慢（密钥协商好后的数据加密是纯耗ＣＰＵ的工作，在现在的　知道你自己的密码了。　硬件条件下，这个并不是什么大问题）。大多数金融在线系统是必定　一２传输安全　般在线系统，密码的传输要经过下面三个步骤：　一要用到ＨＴＦＰＳ的。而大部分在线应用，出于『生能的考虑，会选择在　ＨＴｒＰ层的简单交换随机密码的方式。　第一步，用户在网络浏览器上输入原始密码：用户通过键盘输　随机密钥由服务器端生成，并发送给客户端。客户端用密钥将　入密码，这时密码就在浏览器内存中。第二步，原始密码做一定的转　密码加密，送给服务器。这里并不要求加密方法是可逆的。一个比较　换：内存中的原始密码经过转换后成为内存中的转换后的密码。第　安全的做法是客户端使用ＭＤ５或ＳＨＡ一１等非对称变换，进行密　二三步，转换后的密码在线上传输：内存中转换的密码穿过网络后到　钥的不可逆转换，再加密送到服务器。现在已经有很多Ｊａｖａｓｃｒｉｐｔ的　达对应传输的系统。　加密库可以在浏览器端进行这样的转换工作。　用户输入原始密码卜＿———　把用户的原始密码转换　————　发送到目的系统　密码传输的步骤　２．３转换后的密码的在线传输　般，如果要保证安全传输，必须要用随机密钥对传输的明文　进行加密转换后再传输。如果不使用ＨＴｒＰＳ，就算密码不（转下页）　一工程科技　・２３３・　重大工程项目社会稳定风险评估存在的问题与对策　韦翔’２任达富　（１、北京建筑大学经济与管理工程学院，北京１０００４４　２、凯里学院建筑工程学院，贵州凯里５５６０１１）　摘要：重大工程项目是涉及社会稳定以及经济发展的民生工程，与群众自身利益息息相关，对其进行社会稳定风险评估十分重要　和必要。本文首先概述了重大工程项目社会稳定风险评估内涵；接着对重大工程项目社会稳定风险评估发展历程进行了三个阶段的划　分：即各地区独自探索阶段、地区推广阶段和全国推广阶段；最后，对重大工程项目社会稳定风险评估存在的问题进行了分析，并提出了　解决的对策。　关键词：重大工程项目；社会稳定；风险评估　随着我国经济建设的快速发展，一系列重大工程项目正在积极　益，产生社会矛盾和不稳定因素，引发群体性事件或个体极端事件，　建设中，这些重大工程项目对当地的经济、环境及社会发展都起了　影响社会稳定的风险”。又如，《大连高新技术产业园区社会稳定风　很大的推动作用。但由于有的重大工程项目在征地拆迁补偿方面做　险评估暂行办法》将“社会稳定风险”定义为，与人民群众利益密切　得不太合理或忽视了当地的生态环境保护等，从而引发了一些群体　相关的重大决策、重大事项等等。【２ｌ尽管各地对“社会稳定风险”的阐　事件，如，宁波镇海ＰＸ项目事件、贵州瓮安事件等，深入探究这些　述不一致，但基本都包含了这层意思：一件事可能导致社会冲突、危　重大群体性事件背后的原因，笔者认为，大多是由于对涉及广大群　及社会稳定和社会秩序的可能性，一旦这种可能性变成现实，社会　众切身利益的重大项目立项论证、评估不够充分，前期调研没有真　稳定和社会秩序就会造成灾难性的影响，社会稳定风险就会转变成　正切入实际，或者对重大改革政策出台后果预测不足而导致的。因　社会危机，等等。　此，客观分析重大工程项目社会稳定风险评估存在的问题和积极探　通过上面的梳理，我们可以对“重大工程项目社会稳定风险评　索解决的对策，是当前要研究的重要课题。　估”做如下的界定：重大工程项目社会稳定风险评估是指对重大工　１重大工程项目社会稳定风险评估内涵　程项目可能影响社会稳定的因素展开系统的调查，然后对这些因素　１．１重大工程项目　进行科学的分析和评估，并制定风险应对策略和预案，从而有效地　“重大工程项目”是指，投资规模大，关系国计民生或对一定区　预防和控制该事件在实施过程中可能产生的社会稳定风险的一系　域的政治、经济、文化、生态、社会等产生重要影响的工程项目。【ｌＪ如，　列工作的总称。　重大水利水电工程项目、重大工业工程项目、重大电网工程项目、重　２重大工程项目社会稳定风险评估发展历程　大房地产开发项目等。　自２００５年四川遂宁开始探索重大工程项目进行社会稳定风险　１．２重大工程项目社会稳定风险评估　评估工作以来，我们走过了十一年的历程，在这十一年中，我国的　我国对重大工程建设项目进行社会稳定风险评估做得比较早　“社会稳定风险评估”工作有了翻天覆地的变化。从早期缺乏指导各　的是四川省遂宁市，早在２００５年初该市就颁布了《重大工程建设项　地自行探索模式到模式得到肯定逐渐推广，最后到国家制定规范性　目稳定风险预测评估制度》。此后，各地政府也逐渐认识到了社会稳　文件指导该项工作，从而使该项工作走向制度化、规范化和科学化。　定风险评估的重要性，并纷纷出台了有关评估的办法或指南。但是，　如果要对这段历程进行阶段划分的话，笔者认为可以分为这样三个　在这些办法或指南中，对“社会稳定风险”这一概念的界定并不是统　阶段：各地区独自探索阶段、地区推广阶段和全国推广阶段。　的，如《上海市重点建设项目社会稳定风险评估篇章（报告）编制　２．１各地区独自探索阶段　指南（试行）》将社会稳定风险定义为“社会稳定风险是指因重点建　随着国家经济建设的快速发展，全国各地都在积极进行重大工　设项目的组织实施而直接或间接影响（或潜在影响）相关者合法权　程项目的建设，这对当地经济社会的发展的确起到了很（转下页）　一被攻破，还是有可能发生重放攻击。传输的中间截获了转换后的密　私和资料的不负责任。　码后，很可能会被转换后的密码进行认证和攻击。　参考文献　现在最新的研究是利用量子力学所揭示的粒子对的超距相关　【ｌ】王晓林．密码存储与传输的安全性［Ｊ】．四川烟草工业有限责任公司　性来进行“量子加密传输”。这有点类似于古时候传送密信时在信的　西昌分厂，２０１２（１２）．　封口上用火漆封口，一旦信件被中间人拆开偷看，火漆肯定被破坏。　【２】陆江勇．基于Ｗｅｂ网络数据传输安全技术研究【Ｄ】．南京：南京理工　收信人就会知道。量子加密很耗资源，通常是作为给绝密级别信息　大学，２００９．　传输准备的技术。用于“量子加密传输”的信息一般也只有密钥。一　［３】张志远．ＪａｖａＳｃｆｉｐｔ与客户端安全【Ｊ１冻莞理工学院学报，２００２（２）．　旦双方通过“量子加密传输”确认了彼此的密钥，就可以使用平常的　【４】贾铁军．网络安全技术与实践，高等教育出版社，２０１４，８．　通道来传输加密后的密文了。　基金项目：２０１５年度广东省级大学生创业创新训练计划项目　　量子加密传输也未必是终极解决方案，最近也传出了针对量子　“个人密码线上存取网站的设计与实现”阶段性成果，项目编号：作者简介：屈晓，男，华南农业大学珠江学院讲师，主要研究方　密码的传输比密码的存储更加敏感和不安全，一般的应用大致　向：计算机软件与理论，分布式计算。　有三个层次的传输策略：　用ＨＴＹＰＳ加密传输会很安全，但也因此对服务端性能要求很　高，会影响登录速度。一般用在高安全性的登录上面。Ｇｏｏｇｌｅ和微　软的登录都强制使用ＨＴＩ＇ＰＳ确保安全第一。　使用随机密钥对密码进行加密变换后传输，相对密码明文会很　安全，但仍可能发生重放攻击。这种方式是性能和安全性的折中。　不做任何修饰，直接将密码明文通过ＨｒＩＴＩ’Ｐ　ＰＯＳＴ传输。这种　方式漠视了用户密码的安全。实现起来非常简单，但却是对用户隐　加密的成功破解的案例。　３结论　２０１５　１２６２３０２９。　

2023年7月31日发(作者：)

・２３２・　信息技术　密码存储与传输的安全性探讨　屈晓梁进杰莫秀玲刘泽平吴洵剑　（华南农业大学珠江学院，广东广州５１０９００）　摘要：近年来网络信息安全问题越来越受关注，密码安全也倍受重视，仔细探讨密码存储的几种方式及其安全性和密码传输过程　的安全性。　关键词：存储安全；传输安全；原始密码　用户密码从注册提交密码开始，密码的传输、存储各个环节都　这其中的每一步都有可能导致原始密码的泄露，但也有相应的　存在安全隐患。这就需要开发者对各环节的可能出现的安全问题进　应对方法应对：　行预判和提供解决方案。　２．１输入原始密码　在一个存储和传输每个环节都很安全的环境下，最危险的就是　１存储安全　密码存储按照安全性由低到高，有这样几种选择：　用户输入原始密码，下面就列举几种情况：　第一种：密码明文直接存储在系统中。　２．１．１密码值容易被偷看　第二种：密码经过对称加密后再存储用户密码。　正常情况下输入密码的字符明文用　号来代替，这种做法就是　第三种：密码经过非对称加密后再存储密码。　为了保证密码明文不被肉眼偷窥。不过这样，用户也不能直接看到　自己输入的密码正确与否。相应的，一般也要通过输入两遍密码来　第四种：密码经过哈希算法加密后再存储密码。　第五种：密码经过哈希加盐法加密后再存储密码。　保证。　使用第一种方法储存密码，系统管理员可以直接查看到所有用　２．１．２用木马程序记录键盘输入　户的密码。这意味着，当其他人通过其他手段获取到数据库后，同样　现在社交平台或网络游戏的盗号就常常用这种方式，可以通过　可以直接查看到用户的密码。使用第二种方法储存密码，对称加密　安装杀毒软件来防盗号，还可以用屏幕软键盘输入密码，这样木马　的密钥会同时用于加密和解密，所以它会直接出现在加密代码中，　就记录不了键盘事件，只能通过分析鼠标点击和当时屏幕图像来破　破解的难度也不高。使用第三种方法储存密码，密码明文经过公钥　解密码。如果再进一步，软键盘的字符布局每次都随机产生，那就加　加密，要还原明文，必须要知道私钥。但私钥一旦泄漏，解密就会易　重了分析破解的难度。　如反掌。　２．Ｉ．３模仿或感染应用程序　上述３种方法，都可以通过逆向运算得出明文密码，存在较大　直接得到内存中的密码值不管如何防范输入的过程，一旦密码　的安全隐患。所以，最好是使用不能还原明文的加密方式来存储密　到程序里，就会以明文的形式呈现在内存中，只要恶意软件模仿安　码。就是通过哈希算法加密明文密码，在登录验证密码时，通过对比　全程序（或模仿网站的外观）直接套取密码就轻而易举。现在出现的　加密后的密文来验证密码是否输入正确。这就是第四种储存密码的　假ＡＴＭ机诈骗也是这种手法的衍生。还有一种，不是替换或模仿　方法，利用哈希算法的单向和唯一结果的特性，使得系统既能验证　程序，而是用病毒感染原程序，将原程序内存中的值读到。要防范这　密码是否输入正确而又不知道密码的明文是什么。　种攻击，必须要对原程序的完整性和合法性进行验证，在验证通过　哈希算法由于能把不同长度的数据转化为１２８位的无序编码，　后，才能进行正常的登录交互操作。这个验证可以用数字签名来实　庞大的基数使得基于穷举法的暴力破解和字典破解成为理论可行。　现。所有微软的可执行文件都有自带的数字签名。在网站上则是　只要密码足够复杂，暴力破解所消耗的时间会使得破解失去意义，　ＨＴＩ￣Ｓ的验证。　而字典破解所占用的储存空间将会是一种无法提供的资源。　当然，人的判断也在其中涉及到，在社会工程学上，软件要配合　无论是暴力破解法或者字典法都是极端的破解方法，一个需要　些强制的措施，才能保证不会大意中招。例如浏览器在访问非信　很长很长的时间、一个需要很大很大的存储空间，对于哈希算法的　任机构签发的数字签名的Ｈ３３＂ＰＳ站点时，会阻止用户进行访问。　破解都没有起到很好的作用，直到出现了彩虹表。彩虹表很好地平　Ｗｉｎｄｏｗｓ　７现在所有的Ｄｒｉｖｅｒ也都必须要有微软的数字签名才能　衡了时间和储存空间，对一些弱密码的破解时间仅需数分钟。　运行。　第五种储存密码的方法，是第四种存密码的方法针对彩虹表进　２．２原始密码的转换　行的改进。针对彩虹表多次重复调用哈希　法函数的特征，在一次　原始密码要经过转换，才可以在线上传输。这类似储存密码，直　哈希加密后，把得到的密文加入了随机Ｓａｌｔ字符串混淆，然后再进　接传输明文密码肯定是最不安全的。而用简单的可逆变换，或者固　行第二次哈希加密，最后把二次加密后的密文和ｓａｌｔ值一起存储。　定密钥加密也只是增加了破解难度。如果每次服务器随机产生一个　这样一来，将无法使用已有的彩虹表进行破解。就算用户使用一样　密钥，给客户端进行密码加密，那就是最好的。　的密码，加入ｓａｌｔ混淆后得出的加密结果也是不一样的，这就大大　如果使用ＨＴＦＰＳ，那所有的通过ＳＳＬ通道的信息都是经过随机　地增大破解的难度。　密钥加密的。其中包括了密码。使用ＨＴＹＰＳ最大的问题是性能，而　最后两种加密方法都不可以还原密码的明文，这意谓着，就算　连接初始时密钥的协商是通过非对称加密的体系进行的，这会造成　是系统管理员也不知道密码原文。这也意谓着，这个世界上只有你　连接较慢（密钥协商好后的数据加密是纯耗ＣＰＵ的工作，在现在的　知道你自己的密码了。　硬件条件下，这个并不是什么大问题）。大多数金融在线系统是必定　一２传输安全　般在线系统，密码的传输要经过下面三个步骤：　一要用到ＨＴＦＰＳ的。而大部分在线应用，出于『生能的考虑，会选择在　ＨＴｒＰ层的简单交换随机密码的方式。　第一步，用户在网络浏览器上输入原始密码：用户通过键盘输　随机密钥由服务器端生成，并发送给客户端。客户端用密钥将　入密码，这时密码就在浏览器内存中。第二步，原始密码做一定的转　密码加密，送给服务器。这里并不要求加密方法是可逆的。一个比较　换：内存中的原始密码经过转换后成为内存中的转换后的密码。第　安全的做法是客户端使用ＭＤ５或ＳＨＡ一１等非对称变换，进行密　二三步，转换后的密码在线上传输：内存中转换的密码穿过网络后到　钥的不可逆转换，再加密送到服务器。现在已经有很多Ｊａｖａｓｃｒｉｐｔ的　达对应传输的系统。　加密库可以在浏览器端进行这样的转换工作。　用户输入原始密码卜＿———　把用户的原始密码转换　————　发送到目的系统　密码传输的步骤　２．３转换后的密码的在线传输　般，如果要保证安全传输，必须要用随机密钥对传输的明文　进行加密转换后再传输。如果不使用ＨＴｒＰＳ，就算密码不（转下页）　一工程科技　・２３３・　重大工程项目社会稳定风险评估存在的问题与对策　韦翔’２任达富　（１、北京建筑大学经济与管理工程学院，北京１０００４４　２、凯里学院建筑工程学院，贵州凯里５５６０１１）　摘要：重大工程项目是涉及社会稳定以及经济发展的民生工程，与群众自身利益息息相关，对其进行社会稳定风险评估十分重要　和必要。本文首先概述了重大工程项目社会稳定风险评估内涵；接着对重大工程项目社会稳定风险评估发展历程进行了三个阶段的划　分：即各地区独自探索阶段、地区推广阶段和全国推广阶段；最后，对重大工程项目社会稳定风险评估存在的问题进行了分析，并提出了　解决的对策。　关键词：重大工程项目；社会稳定；风险评估　随着我国经济建设的快速发展，一系列重大工程项目正在积极　益，产生社会矛盾和不稳定因素，引发群体性事件或个体极端事件，　建设中，这些重大工程项目对当地的经济、环境及社会发展都起了　影响社会稳定的风险”。又如，《大连高新技术产业园区社会稳定风　很大的推动作用。但由于有的重大工程项目在征地拆迁补偿方面做　险评估暂行办法》将“社会稳定风险”定义为，与人民群众利益密切　得不太合理或忽视了当地的生态环境保护等，从而引发了一些群体　相关的重大决策、重大事项等等。【２ｌ尽管各地对“社会稳定风险”的阐　事件，如，宁波镇海ＰＸ项目事件、贵州瓮安事件等，深入探究这些　述不一致，但基本都包含了这层意思：一件事可能导致社会冲突、危　重大群体性事件背后的原因，笔者认为，大多是由于对涉及广大群　及社会稳定和社会秩序的可能性，一旦这种可能性变成现实，社会　众切身利益的重大项目立项论证、评估不够充分，前期调研没有真　稳定和社会秩序就会造成灾难性的影响，社会稳定风险就会转变成　正切入实际，或者对重大改革政策出台后果预测不足而导致的。因　社会危机，等等。　此，客观分析重大工程项目社会稳定风险评估存在的问题和积极探　通过上面的梳理，我们可以对“重大工程项目社会稳定风险评　索解决的对策，是当前要研究的重要课题。　估”做如下的界定：重大工程项目社会稳定风险评估是指对重大工　１重大工程项目社会稳定风险评估内涵　程项目可能影响社会稳定的因素展开系统的调查，然后对这些因素　１．１重大工程项目　进行科学的分析和评估，并制定风险应对策略和预案，从而有效地　“重大工程项目”是指，投资规模大，关系国计民生或对一定区　预防和控制该事件在实施过程中可能产生的社会稳定风险的一系　域的政治、经济、文化、生态、社会等产生重要影响的工程项目。【ｌＪ如，　列工作的总称。　重大水利水电工程项目、重大工业工程项目、重大电网工程项目、重　２重大工程项目社会稳定风险评估发展历程　大房地产开发项目等。　自２００５年四川遂宁开始探索重大工程项目进行社会稳定风险　１．２重大工程项目社会稳定风险评估　评估工作以来，我们走过了十一年的历程，在这十一年中，我国的　我国对重大工程建设项目进行社会稳定风险评估做得比较早　“社会稳定风险评估”工作有了翻天覆地的变化。从早期缺乏指导各　的是四川省遂宁市，早在２００５年初该市就颁布了《重大工程建设项　地自行探索模式到模式得到肯定逐渐推广，最后到国家制定规范性　目稳定风险预测评估制度》。此后，各地政府也逐渐认识到了社会稳　文件指导该项工作，从而使该项工作走向制度化、规范化和科学化。　定风险评估的重要性，并纷纷出台了有关评估的办法或指南。但是，　如果要对这段历程进行阶段划分的话，笔者认为可以分为这样三个　在这些办法或指南中，对“社会稳定风险”这一概念的界定并不是统　阶段：各地区独自探索阶段、地区推广阶段和全国推广阶段。　的，如《上海市重点建设项目社会稳定风险评估篇章（报告）编制　２．１各地区独自探索阶段　指南（试行）》将社会稳定风险定义为“社会稳定风险是指因重点建　随着国家经济建设的快速发展，全国各地都在积极进行重大工　设项目的组织实施而直接或间接影响（或潜在影响）相关者合法权　程项目的建设，这对当地经济社会的发展的确起到了很（转下页）　一被攻破，还是有可能发生重放攻击。传输的中间截获了转换后的密　私和资料的不负责任。　码后，很可能会被转换后的密码进行认证和攻击。　参考文献　现在最新的研究是利用量子力学所揭示的粒子对的超距相关　【ｌ】王晓林．密码存储与传输的安全性［Ｊ】．四川烟草工业有限责任公司　性来进行“量子加密传输”。这有点类似于古时候传送密信时在信的　西昌分厂，２０１２（１２）．　封口上用火漆封口，一旦信件被中间人拆开偷看，火漆肯定被破坏。　【２】陆江勇．基于Ｗｅｂ网络数据传输安全技术研究【Ｄ】．南京：南京理工　收信人就会知道。量子加密很耗资源，通常是作为给绝密级别信息　大学，２００９．　传输准备的技术。用于“量子加密传输”的信息一般也只有密钥。一　［３】张志远．ＪａｖａＳｃｆｉｐｔ与客户端安全【Ｊ１冻莞理工学院学报，２００２（２）．　旦双方通过“量子加密传输”确认了彼此的密钥，就可以使用平常的　【４】贾铁军．网络安全技术与实践，高等教育出版社，２０１４，８．　通道来传输加密后的密文了。　基金项目：２０１５年度广东省级大学生创业创新训练计划项目　　量子加密传输也未必是终极解决方案，最近也传出了针对量子　“个人密码线上存取网站的设计与实现”阶段性成果，项目编号：作者简介：屈晓，男，华南农业大学珠江学院讲师，主要研究方　密码的传输比密码的存储更加敏感和不安全，一般的应用大致　向：计算机软件与理论，分布式计算。　有三个层次的传输策略：　用ＨＴＹＰＳ加密传输会很安全，但也因此对服务端性能要求很　高，会影响登录速度。一般用在高安全性的登录上面。Ｇｏｏｇｌｅ和微　软的登录都强制使用ＨＴＩ＇ＰＳ确保安全第一。　使用随机密钥对密码进行加密变换后传输，相对密码明文会很　安全，但仍可能发生重放攻击。这种方式是性能和安全性的折中。　不做任何修饰，直接将密码明文通过ＨｒＩＴＩ’Ｐ　ＰＯＳＴ传输。这种　方式漠视了用户密码的安全。实现起来非常简单，但却是对用户隐　加密的成功破解的案例。　３结论　２０１５　１２６２３０２９。