目录
引言………………………………………………………….1
网络安全…………………………………………………….2
加密技术…………………………………………………….5
MD5工作原理……………………………………………….8
MD5算法…………………………………………………….10
结束语…………………………………………………………………13
致谢……………………………………………………………………14
参考文献………………………………………………………………15
附录源代码……………………………………………………….16









WEB上用户口令安全传输的研究与实现

摘要：主要阐述利用MD5加密算法来保证WEB上用户口令的安全传输。首先利用MD5对用户口令进行一次加密，然后再利用MD5对该密文和一个随机数组成的信息进行加密，形成网络上传输的用户口令，避免用户口令以明文的形式在WEB上进行传输，从而有效地提高认证系统中口令传输的安全性。
关键词：口令；MD5算法；网络安全

ThestudyandimplementationoftheSecureTransferofUser’sPasswordonWEB

SchoolofMathematicsandComputerScience

Abstract:Inthispaper，wemainlyexpoundhowtotransferourpasswordinsecurityonWEBbymeansofMD5.Firstly，weencryptthepasswordwithMD5andaddarandomnumbertotheencryptedpasswordtoformanewmessage.ThenencryptthemessagewithMD5againtohaveanewencryptedpasswordthatistobetransferredonWEB.EnhancesthesecurityofauthenticationsystembasedonWEBeffectively.
Keywords:password；MD5algorithm；networksecurity


第一章引言
随着计算机网络的发展，网络安全问题受到越来越大的关注。网络安全一直是Internet的一个薄弱环节，因为当初设计TCP/IP时并没有考虑网络的安全机制。如Telnet、Ftp、Email和基于WEB的应用系统等都是明文方式传输数据包，其中就有用户的帐号和口令等非常重要的数据。而这些数据包很容易被人通过特定的软件或硬件工具截取，通过分析数据包的内容，从而可以获得用户的帐号和口令，然后进行一些非法的活动。因此，用户ID和口令的安全传输的问题越来越受到人们的关注。
Web程序使用一种称为会话状态管理（sessionstatemanagement)的技术来跟踪浏览器与服务器之间的交互，正如超文本传输协议所规定的那样，每个浏览器的请求都独立于其他浏览器，一个Web程序必须使用一些技巧，如cookie,隐藏的表格字段，或URL重写，来识别其与特定的浏览器的特定的会话。大多数服务器端开发环境如ASP,PHP,ColdFusion等使用cookie。
使用会话状态管理的问题是从根本上说它是不安全的，一个黑客可以在服务器和用户浏览器之间截取用来管理会话状态的cookie,表格字段值，或是URL，一旦得手，他就可以利用这些信息来接管用户的会话。
大多数服务器端的脚本开发环境允许你减少这种危险，例如你可以指定cookie的极短失效时间，使用难预测的会话状态信息。然而最安全的还是使用安全套接层（SSL）,购买它后，你就可以不仅保护用户口令，还可以保护会话状态管理信息。
如果你不使用SSL，让用户在你的程序中的安全敏感页面中每次都重新认证是个好主意，但是从用户角度出发，这实在是太麻烦了。最后，你必须考虑你和你的用户究竟愿意承担多大的风险。如果密码口令被曝光的危险很高，还是用SSL来构建你的程序吧，如果你不能使用SSL，那么就使用基于MD5的登陆过程。这至少能保护你的用户的口令。此外，选择一种允许保护会话状态信息的服务器端脚本技术。
通常，当用户不使用SSL（即普通HTTP)登陆时，他（她）的口令从离开浏览器起至到达服务器为止始终是以明文状态暴露的。
然而，利用一种称为单向函数的数学函数的帮助，我们可以设计一种并不暴露用户口令的登陆计划。一个函数是一种将集合A的元素映射到集合B的方法，每个集合A中的元素都对应于集合B中的一个确定元素。而一个单向函数的作用就是使逆向的推算非常困难，即，给定集合B的一个元素，很难从集合A中决定哪个元素（如果存在的话）是映射到B集合中的这个元素的。
用户试图登陆到一个Web应用