安全至上網(wǎng)盤(pán)保護(hù)手段解密

技術(shù)宅

無(wú)處不在的網(wǎng)盤(pán)

不同廠商對(duì)網(wǎng)盤(pán)有著不同的稱(chēng)呼，而其本質(zhì)實(shí)際上就是網(wǎng)絡(luò)存儲(chǔ)載體，我們幾乎每天都在使用。比如在電腦端很多人使用百度云盤(pán)、微云等同步文件，而在移動(dòng)端則通過(guò)手機(jī)內(nèi)置的云端存儲(chǔ)服務(wù)或者第三方QQ文件、微云等，對(duì)通訊錄、短信等文件進(jìn)行同步。以華為手機(jī)為例，初次使用手機(jī)時(shí)華為就會(huì)建議我們注冊(cè)華為賬號(hào)，并默認(rèn)開(kāi)通“云備份”服務(wù)，這個(gè)服務(wù)可以將你手機(jī)上的圖庫(kù)、聯(lián)系人等自動(dòng)備份到華為網(wǎng)盤(pán)中（圖1）。

網(wǎng)盤(pán)背后的文件保護(hù)技術(shù)

如上所述，大多數(shù)人的網(wǎng)盤(pán)中保存著類(lèi)似聯(lián)系人、照片等隱私文件（圖2），因此就會(huì)對(duì)它的安全性比較關(guān)注。令我們感到欣慰的是，網(wǎng)盤(pán)的安全保護(hù)措施是多方位的。

首先是賬號(hào)認(rèn)證安全保障技術(shù)，每個(gè)網(wǎng)盤(pán)的使用都需要設(shè)置用戶(hù)名和密碼，以便在登錄界面阻止非法用戶(hù)的訪問(wèn)。為了確保用戶(hù)的登錄安全，一般網(wǎng)盤(pán)還會(huì)引入認(rèn)證管理系統(tǒng)，它包含了多種驗(yàn)證手段，比如很多網(wǎng)盤(pán)使用的雙重交叉驗(yàn)證，只有通過(guò)信任設(shè)備才能進(jìn)行訪問(wèn)。用戶(hù)首次在新設(shè)備或其他設(shè)備上訪問(wèn)網(wǎng)盤(pán)時(shí)，網(wǎng)盤(pán)會(huì)要求填寫(xiě)手機(jī)的短信驗(yàn)證碼，通過(guò)綁定的手機(jī)來(lái)鑒別是否為合法用戶(hù)（圖3）。此外用戶(hù)在進(jìn)行類(lèi)似重置密碼、賬號(hào)申訴等敏感操作時(shí)，網(wǎng)盤(pán)會(huì)通過(guò)增加滑動(dòng)驗(yàn)證碼等手段來(lái)避免自動(dòng)攻擊登錄。

其次就是對(duì)用戶(hù)訪問(wèn)和數(shù)據(jù)傳輸進(jìn)行安全保障。文件在網(wǎng)盤(pán)同步中需要通過(guò)網(wǎng)絡(luò)進(jìn)行上傳和下載，為了確保這一傳輸過(guò)程中的安全，網(wǎng)盤(pán)服務(wù)器都是使用HT TPS加密協(xié)議進(jìn)行訪問(wèn)，并且使用CA簽發(fā)數(shù)字證書(shū)的方式來(lái)保證安全。以使用Edge瀏覽器訪問(wèn)網(wǎng)盤(pán)為例，點(diǎn)擊地址欄網(wǎng)址前的小鎖標(biāo)記，接著點(diǎn)擊“查看證書(shū)”，在打開(kāi)的窗口中就可以看到CA頒發(fā)的證書(shū)了（圖4）。

一方面，使用CA證書(shū)可以確保用戶(hù)訪問(wèn)的安全。因?yàn)镃A頒發(fā)的證書(shū)和網(wǎng)盤(pán)的域名是一一對(duì)應(yīng)的，當(dāng)我們?cè)贓dge瀏覽器中輸入www.weiyun.com訪問(wèn)微云時(shí)，微云服務(wù)器在接收到請(qǐng)求后就會(huì)給瀏覽器發(fā)送一個(gè)自己的CA數(shù)字證書(shū)（也就是上面點(diǎn)擊小鎖標(biāo)記看到的證書(shū)）。Edge在收到證書(shū)后開(kāi)始進(jìn)行驗(yàn)證，并從根證書(shū)中使用公鑰去解密證書(shū)的數(shù)字簽名，最后檢查證書(shū)上使用者的URL和我們請(qǐng)求的URL是否相等（這里都是www.weiyun.com），那么就可以證明當(dāng)前瀏覽器鏈接的微云網(wǎng)站是正確的，而不是釣魚(yú)網(wǎng)站（圖5）。

另一方面，CA證書(shū)使用非對(duì)稱(chēng)加密來(lái)保護(hù)文件傳輸?shù)陌踩?。在通過(guò)上述方法實(shí)現(xiàn)瀏覽器和網(wǎng)盤(pán)服務(wù)器的成功連接后，瀏覽器先隨機(jī)生成一個(gè)字符串A作為我們的秘鑰，然后通過(guò)證書(shū)公鑰加密成密文，將密文發(fā)送給服務(wù)器，發(fā)送的同時(shí)還會(huì)對(duì)消息內(nèi)容進(jìn)行簽名操作。服務(wù)器收到這個(gè)密文后使用私鑰進(jìn)行解密，然后客戶(hù)端和服務(wù)器就可以開(kāi)始傳輸文件了。文件傳輸過(guò)程中即使其他第三方截取到這個(gè)密文，因?yàn)樗鼈儧](méi)有私鑰是無(wú)法進(jìn)行解密的，這個(gè)非對(duì)稱(chēng)加密會(huì)對(duì)整個(gè)傳輸進(jìn)行全程保護(hù)（圖6）。

最后是網(wǎng)盤(pán)文件完整性保障。為了確保用戶(hù)保存在網(wǎng)盤(pán)上的文件是完整的、不被篡改的，現(xiàn)在很多網(wǎng)盤(pán)引入了“完整性保護(hù)”機(jī)制。用戶(hù)在使用網(wǎng)盤(pán)上傳文件的時(shí)候，這個(gè)機(jī)制會(huì)對(duì)上傳的文件進(jìn)行內(nèi)容摘要，比如某張照片，進(jìn)行拍照時(shí)間、字節(jié)大小、MD5校驗(yàn)碼等摘要數(shù)據(jù)的提取，這些摘要數(shù)據(jù)和用戶(hù)文件是獨(dú)立存儲(chǔ)的。這樣當(dāng)用戶(hù)從網(wǎng)盤(pán)下載文件時(shí)就會(huì)使用摘要進(jìn)行完整性校驗(yàn)，確保用戶(hù)下載到的文件和上傳的一致，防止數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程中被篡改（圖7）。

確保網(wǎng)盤(pán)安全還要這樣做

雖然網(wǎng)盤(pán)服務(wù)商已經(jīng)為我們提供了各種安全保障，但是文件泄露問(wèn)題還是時(shí)常發(fā)生。為了確保網(wǎng)盤(pán)文件的安全，作為用戶(hù)在使用網(wǎng)盤(pán)時(shí)還要注意一些細(xì)節(jié)，比如為網(wǎng)盤(pán)設(shè)置強(qiáng)密碼（要求長(zhǎng)度至少8個(gè)字符，包含大小寫(xiě)字母、數(shù)字和特殊字符等），可以有效地防止密碼輕易被他人暴力破解。

強(qiáng)密碼可以借助http：//tools.jb51.net/password/CreateStrongPassword之類(lèi)的在線工具生成（圖8）。如果擔(dān)心強(qiáng)密碼不好記憶，我們可以自行根據(jù)一定的規(guī)則設(shè)置，比如可以用自己喜歡的詩(shī)詞句子的拼音加上一些特殊標(biāo)記符構(gòu)成。以“床前明月光”為例，拼音加標(biāo)記符就成了“{Chuangqian}1{Mingyue}2{Guang}3”，其中包含了大小寫(xiě)字母、數(shù)字和特殊字符，足夠復(fù)雜并且自己也容易記憶。

此外不要多個(gè)網(wǎng)絡(luò)賬號(hào)使用同一個(gè)（或類(lèi)似）密碼，同時(shí)定期更換密碼。很多朋友為了記憶方便，經(jīng)常把自己的郵箱、網(wǎng)盤(pán)、論壇等設(shè)置為同樣的密碼，這樣一旦其中某個(gè)服務(wù)受到撞庫(kù)攻擊，即使你的網(wǎng)盤(pán)密碼設(shè)置再?gòu)?fù)雜也容易泄露。當(dāng)然為了安全也不要隨意泄露自己的QQ號(hào)（因?yàn)楹芏嗳说木W(wǎng)盤(pán)賬號(hào)就是QQ郵箱）、郵箱，以及不要隨意共享自己的網(wǎng)盤(pán)文件等?？傊?，在使用網(wǎng)盤(pán)提供的安全技術(shù)的同時(shí)，作為用戶(hù)也要養(yǎng)成良好的安全使用習(xí)慣，只有這樣你的網(wǎng)盤(pán)才更加安全。