Duwamish密碼分析篇, Part 2

Duwamish密碼分析篇, Part 2

 

 

繼續前面關於Duwamish的POST，這裏將學習Duwamish中關於Password的處理方式。Duwamish 7.0範例中的帳戶密碼通過SHA1散列運算和對散列執行Salt運算後，是以byte形式存放在Database中，避免明文的方式，以提高系統的安全性。

 

1，【用戶登錄】過程概述

在 Web 層中啓動登錄過程。用戶輸入電子郵件地址和密碼（憑據），然後單擊“Logon”（登錄）按鈕，這將調用 Duwamish7.Web.Logon.LogonButton_Click 方法。下一步，Duwamish7.Web.Logon.LogonButton_Click 方法創建密碼的散列表示形式，並將憑據傳遞給業務外觀層的 Duwamish7.BusinessFacade.CustomerSystem.GetCustomerByEmail 方法。接着 Duwamish7.DataAccess.Customers.LoadCustomerByEmail 方法調用數據訪問層，後者又調用 GetCustomerByEmail 存儲過程 (SPROC)。然後通過 ComparePasswords 方法，相對於從數據庫中檢索的經過 salt 和散列運算的密碼來驗證散列密碼。如果憑據有效，則客戶帳戶信息成功地存儲到 Cart 對象，並且 ASP.NET Forms 身份驗證通過 pageBase 類 ShoppingCart.Customer() 屬性驗證憑據。如果憑據無效，則 MismatchLabel 設置爲可見，它在 ASP.NET 頁上顯示下面的內容：“Invalid email address or password- please try again”（電子郵件地址或密碼無效，請再試一次）。

 

2，下面看看【用戶登錄】驗證功能模塊具體的實現代碼

（1）Duwamish7.Web.Logon.LogonButton_Click 方法

該方法首先創建用戶輸入密碼的SHA1散列形式，然後調用業務外觀層的 Duwamish7.BusinessFacade.CustomerSystem.GetCustomerByEmail 方法。

    //

    // Check the Email and Password combination

    //

    SHA1 sha1 = SHA1.Create();

    byte [] password = sha1.ComputeHash(Encoding.Unicode.GetBytes(LogonPasswordTextBox.Text));

 

    custData = (new CustomerSystem()).GetCustomerByEmail(LogonEmailTextBox.Text, password);

   

    if (custData != null)   //were they valid?

    {

        //

        // 1. Update customer in session.

        // 2. Update customer in cart.

        //

        base.Customer = custData;

        base.ShoppingCart().Customer = custData;

        // 將已驗證身份的用戶重定向回最初請求的 URL

        FormsAuthentication.RedirectFromLoginPage("*", false);

    }

    else

    {

        MismatchLabel.Visible = true;

    }

 

如果憑據有效，則客戶帳戶信息成功地存儲到 Cart 對象，並且 ASP.NET Forms 身份驗證通過 pageBase 類 ShoppingCart.Customer() 屬性驗證憑據。如果憑據無效，則 MismatchLabel 設置爲可見，它在 ASP.NET 頁上顯示下面的內容：“Invalid email address or password- please try again”（電子郵件地址或密碼無效，請再試一次）

 

（2）業務外觀層的 CustomerSystem.GetCustomerByEmail 方法

根據用戶的email，獲取Database中Customer的Password，該Password已執行散列運算和對散列執行過Salt運算，是24個字節長度的byte數組。

public CustomerData GetCustomerByEmail(String emailAddress, byte [] password)

{

      //

      // Check preconditions

      //

      ApplicationAssert.CheckCondition(emailAddress != String.Empty, "Email address is required", ApplicationAssert.LineNumber);

      ApplicationAssert.CheckCondition(password.Length != 0, "Password is required", ApplicationAssert.LineNumber);

      //

      // Get the customer dataSet

      //

      CustomerData dataSet;

      using (DataAccess.Customers customersDataAccess = new DataAccess.Customers())

      {

           dataSet = customersDataAccess.LoadCustomerByEmail(emailAddress);

      }

      //   

      // Verify the customer's password

      //

      DataRowCollection rows = dataSet.Tables[CustomerData.CUSTOMERS_TABLE].Rows;

 

      if ( ( rows.Count == 1 ))

      {

           byte [] dbPassword = (byte[])rows[0][CustomerData.PASSWORD_FIELD];

 

           if (ComparePasswords (dbPassword, password))

                 return dataSet;

           else

                 return null;

      }

      else

           return null;

}

 

在獲取到DataAccess層返回的CustomerData對象後，進一步調用類中的私有方法ComparePasswords（）。該方法負責從Password字段值中提取Salt值，然後運用該Salt值對傳入的SHA1散列執行Salt運算。

 

其中CreateSaltedPassword()方法和前面【用戶註冊】過程相同，用來對散列結果再次執行Salt運算。

// compare the hashed password against the stored password

private bool ComparePasswords(byte[] storedPassword, byte[] hashedPassword)

{

      if (storedPassword == null || hashedPassword == null || hashedPassword.Length != storedPassword.Length - saltLength)

           return false;

 

      // get the saved saltValue

      // 獲取已保存在password數據字段中的Salt值

      byte[] saltValue = new byte[saltLength];

      int saltOffset = storedPassword.Length - saltLength;

      for (int i = 0; i < saltLength; i++)

           saltValue[i] = storedPassword[saltOffset + i];

 

      byte[] saltedPassword = CreateSaltedPassword(saltValue, hashedPassword);

 

      // compare the values

      return CompareByteArray(storedPassword, saltedPassword);

}

 

按字節比較兩個字節數組是否相等，分別傳入數據表中Password字段byte數組和對當前散列執行Salt運算後的byte數組。

// compare the contents of two byte arrays

private bool CompareByteArray(byte[] array1, byte[] array2)

{

      if (array1.Length != array2.Length)

           return false;

      for (int i = 0; i < array1.Length; i++)

      {

           if (array1[i] != array2[i])

                 return false;

      }

      return true;

}

 

（3）數據訪問層的Customers.LoadCustomerByEmail()方法

該方法根據傳入的emailAddress參數，查詢Database，返回CustomerData對象。過程比較簡單，詳細代碼請查詢Duwamish 7.0範例。

 

3，Summary

通過對Duwamish 7.0範例中用戶註冊和用戶登錄驗證過程的分析，我們確信用戶Password以安全的Salt運算結果存放在後臺的Database中。

其實，在實際的應用系統中，上述的加密過程有一個小問題：就是當有大量的用戶忘記了自己的Password，如何幫助他們恢復自己的Password呢？這個問題地球人都不知道，只有通過另外的application來將這些Password重新Update爲新的Password，因爲散列是單向操作，使用散列算法對原始密碼加密後將無法再恢復。

 

因此，將在《Duwamish密碼分析篇, Part 3》中分析如何實現雙向的加密/解密操作，來克服上面提出的問題。 

 

 

轉自：http://www.cnblogs.com/rickie/archive/2004/11/07/61153.html