【文章內(nèi)容簡(jiǎn)介】 若以公鑰加密，以私鑰解密，可實(shí)現(xiàn)多個(gè)用戶加密信息，只能由一個(gè)用戶解讀，用于保密通信；若以私鑰加密，公鑰解密，能實(shí)現(xiàn)由一個(gè)用戶加密的信息而多個(gè)用戶解讀，用于數(shù)字簽名。 非對(duì)稱密碼體制的優(yōu)點(diǎn)恰好彌補(bǔ)了對(duì)稱密碼體制的缺點(diǎn)，密鑰分配協(xié)議簡(jiǎn)單，極大的簡(jiǎn)化了密鑰管理，支持彼此互不認(rèn)識(shí)的兩個(gè)實(shí)體間的安全通信。缺點(diǎn)是計(jì)算開(kāi)銷大，處理速度慢。 加 密密 文明 文原 始 明 文解 密公 私 密 鑰 對(duì) 圖 非對(duì)稱密碼體制 黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 6 頁(yè) 2. 常用的非對(duì)稱加密算法 DiffieHellman DiffieHellman 算法是一個(gè)在公共信道上制作和交換共享密鑰的算法。通信雙發(fā)約定一些通用的數(shù)值，然后每一方建立一個(gè)密鑰，將密鑰數(shù)學(xué)變形后交換。于是通信雙方可以各自建立會(huì)話密鑰，而攻擊者很難破解這個(gè)密鑰。這個(gè)算法通常被用作密鑰交換的基礎(chǔ)，密鑰可以是任意長(zhǎng)度，越長(zhǎng)的密鑰越安全。 RSA 著名的 RSA 加密算法是由 MIT 的 Ronald Rivest 和 Adi Shamir 加收，以及 USC 的Leonard Adleman 教授 聯(lián)合開(kāi)發(fā)的， RSA 就是以他們的名字的首字母命名。 RSA 可用作加密信息，也可用作數(shù)字簽名。 RSA 加密算法的密鑰長(zhǎng)度可以是任意長(zhǎng)度。 DSA Digital Signature Algorithm（數(shù)字簽名算法）是由 NSA（ National Security Agency,美國(guó)國(guó)家安全局）開(kāi)發(fā)，被 NIST 采用并作為聯(lián)邦信息處理標(biāo)準(zhǔn)（ FIPS, Federal Information Processing Standards）。雖然 DSA 算法的密鑰長(zhǎng)度是任意的，但 FIPS 只允許使用在 512到 1024 位之間的密鑰。 雖然 DSA 也可以用于加密，但它通常僅用作數(shù)字簽名。 數(shù)字信封簡(jiǎn)介 數(shù)字信封是公鑰密碼體制在實(shí)際中的一個(gè)應(yīng)用，是用加密技術(shù)來(lái)保證只有規(guī)定的特定受信任才能閱讀通信的內(nèi)容。 在數(shù)字信封中，信息發(fā)送方采用 對(duì)稱密鑰 來(lái)加密信息內(nèi)容，然后將此對(duì)稱密鑰用接收方的公開(kāi)密鑰來(lái)加密（這部分稱數(shù)字信封）之后，將它和加密后的信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得 到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開(kāi)加密信息。這種技術(shù)的安全性相當(dāng)高。數(shù)字信封主要包括數(shù)字信封打包和數(shù)字信封拆解，數(shù)字信封打包是使用對(duì)方的公鑰將加密密鑰進(jìn)行加密的過(guò)程，只有對(duì)方的 私鑰 才能將加密后的數(shù)據(jù) (通信密鑰 )還原；數(shù)字信封拆解是使用私鑰將加密過(guò)的數(shù)據(jù)解密的過(guò)程。數(shù)字信封的封裝拆解過(guò)程如圖 所示 黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 7 頁(yè) 消 息 對(duì) 稱 密 鑰 加 密對(duì) 稱 密 鑰接 收 方 B 的 公 鑰公 鑰 加 密消 息 密 文密 鑰 密 文數(shù) 字 信 封消 息 密 文密 鑰 密 文私 鑰 解 密對(duì) 稱 密 鑰 解 密接 收 方 B 的 私 鑰消 息對(duì) 稱 密 鑰封 裝 數(shù) 字 信 封拆 解 數(shù) 字 信 封 圖 數(shù)字信封的封裝拆解過(guò)程 SSL 協(xié)議簡(jiǎn)介 SSL 協(xié)議概述 SSL（ Secure Socket Layer,即安全套接層），由 Netscape 公司提出的一種安全協(xié)議，目前廣泛地使用在 WWW 協(xié)議中，主流的 Web 服務(wù)器和瀏覽器都支持 SSL 協(xié)議，但是SSL 協(xié)議不僅僅針對(duì)于 WWW 協(xié)議，它可以應(yīng)用于傳輸層之上的所有服務(wù)。它是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議，具有保護(hù)數(shù)據(jù)傳輸以及識(shí)別機(jī)器的功能。安全通道是透明的，對(duì)所傳輸?shù)臄?shù)據(jù)不加改變，客戶端和服務(wù)器 之間的數(shù)據(jù)是經(jīng)過(guò)加密的，一端寫入的數(shù)據(jù)完全是另一端讀取的內(nèi)容。透明性使得幾乎所有的基于 TCP 的協(xié)議稍加改動(dòng)就可以在 SSL 上運(yùn)行，非常方便。 SSL 的首要用途就是保護(hù) HTTP 的 Web 通信。建立 SSL 通信的過(guò)程很簡(jiǎn)單。由于許多協(xié)議都在 TCP 上運(yùn)行，而 SSL 連接與 TCP 連接非常相似，所以在 SSL 上附加現(xiàn)有的協(xié)議來(lái)保證其安全是一項(xiàng)非常吸引人的設(shè)計(jì)決策。除了在 SSL 上運(yùn)行 HTTP 之外，很快就出現(xiàn)了許多使用 SSL 來(lái)保護(hù)因特網(wǎng)協(xié)議的提議，其中包括 SMTP ,Tel 和 FTP，許多廠商還使用 SSL 來(lái)保護(hù)他們的專有協(xié)議。 黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 8 頁(yè) SSL 將對(duì)稱密碼技術(shù)和公開(kāi)密碼技術(shù)相結(jié)合，提供了如下 3 中基本安全服務(wù)： 秘密性： SSL 協(xié)議能夠在客戶端和服務(wù)器之間建立起一個(gè)安全通道，所有消息都經(jīng)過(guò)加密處理以后進(jìn)行傳輸，網(wǎng)絡(luò)中的非法黑客無(wú)法竊取。 完整性： SSL 協(xié)議利用密碼算法和散列（ HASH）函數(shù)，通過(guò)對(duì)傳輸信息特征值的提取來(lái)保證信息的完整性，確保要傳輸?shù)男畔⑷窟_(dá)到目的地，可以避免服務(wù)器和客戶端之間的信息收到破壞。 認(rèn)證性：利用證書技術(shù)和可信的第三方認(rèn)證，可以讓客戶端和服務(wù)器相互識(shí)別對(duì)方的身份 。 SSL 協(xié)議的分層模型 SSL 協(xié)議位于應(yīng)用 層和傳輸層之間，獨(dú)立于應(yīng)用層協(xié)議，即建立在 SSL 之上的應(yīng)用層協(xié)議可以透明地傳輸數(shù)據(jù)。 SSL 協(xié)議被設(shè)計(jì)成使用 TCP 協(xié)議提供端到端的安全服務(wù)，實(shí)際上， SSL 有一組協(xié)議組成，而不是單個(gè)協(xié)議。 SSL 協(xié)議是一個(gè)由兩層協(xié)議組成的協(xié)議族，由底層的 SSL 記錄協(xié)議（ SSL Record Protocol）和構(gòu)建于其上的握手協(xié)議（ Handshake Protocol）、修改密碼說(shuō)明協(xié)議（ Change Cipher Spec Protocol）和報(bào)警協(xié)議（ Alert Protocol）等高層協(xié)議組成。 SSL 記錄協(xié)議用來(lái)為高層的協(xié) 議封裝數(shù)據(jù)，為 SSL連接提供了機(jī)密性和報(bào)文完整性兩種服務(wù)。 SSL 握手協(xié)議可使 server 和 client 雙方互相認(rèn)證，并寫上加密算法和密鑰。改變密碼說(shuō)明協(xié)議主要是在密鑰規(guī)范改變之后通知記錄層啟用新的密鑰規(guī)范。報(bào)警協(xié)議用來(lái)將操作錯(cuò)誤或異常情況通知對(duì)方。 SSL 協(xié)議分層模型如表 所示。 表 SSL 協(xié)議的分層模型 應(yīng)用層協(xié)議（如 HTTP, FTP, Tel 等） SSL 握手協(xié)議 SSL 修改密鑰協(xié)議 SSL 報(bào)警協(xié)議 SSL 記錄層協(xié)議 TCP 層 IP 層 底層協(xié)議 SSL 協(xié)議的工作流程 服務(wù)器認(rèn)證階段： 1）客戶端向服務(wù)器發(fā)送一個(gè)開(kāi)始信息“ Hello”以便開(kāi)始一個(gè)新的會(huì)話連接； 2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要?jiǎng)t服務(wù)黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 9 頁(yè) 器在響應(yīng)客戶的“ Hello”信息時(shí)將包含生成主密鑰所需的信息； 3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個(gè)主密鑰，并用服務(wù)器的公開(kāi)密鑰加密后傳給服務(wù)器； 4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個(gè)用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。 用戶認(rèn)證階段：在此之前，服務(wù)器已經(jīng)通過(guò)了客戶認(rèn)證，這一階段主要完成對(duì)客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個(gè) 提問(wèn)給客戶，客戶則返回（數(shù)字）簽名后的提問(wèn)和其公開(kāi)密鑰，從而向服務(wù)器提供認(rèn)證。 SSL 協(xié)議與其他協(xié)議的比較 1. SSL 協(xié)議與 IPSec（ IP Security）協(xié)議的比較 在這一節(jié)中。從互用性、安全性、可擴(kuò)展性和 IPV6 四個(gè)方面對(duì) IPSec 協(xié)議和 SSL協(xié)議進(jìn)行比較： 互用性：大部分的 Web 服務(wù)器廠家 (如 Netscape ,Microsoft ,Apache)都支持 SSL，在多數(shù) Web 瀏覽器和服務(wù)器之間的互用性方面是一個(gè)優(yōu)點(diǎn)，如果其它的應(yīng)用要包含 SSL，就必須重新實(shí)現(xiàn) SSL； IPSec 協(xié)議允許 多個(gè)廠商產(chǎn)品在網(wǎng)絡(luò)和 PC 間互用， IPSec 在網(wǎng)絡(luò)層單獨(dú)的應(yīng)用不必關(guān)心 IPSec 的實(shí)現(xiàn)． 安全性： SSL 在會(huì)話層實(shí)現(xiàn)，在 TCP 的上面，應(yīng)用層的下面，它的位置決定了訪問(wèn)控制不能只有包過(guò)濾機(jī)制，還需要較高的訪問(wèn)控制方式：而 IPSec 使用包過(guò)濾的方式進(jìn)行訪問(wèn)控制就可以了。因?yàn)樗皇褂迷吹刂?、目的地址、源端口和目的端口，訪問(wèn)控制限制在包控制的層次。 可擴(kuò)展性： SSL 的擴(kuò)展性受到多個(gè)因素的影響，應(yīng)用程序的每個(gè)連接需要獨(dú)立的握手，隨著客戶對(duì)遠(yuǎn)端連接的增加，附加的處理能力轉(zhuǎn)移到握手連接的建立。最后導(dǎo)致較低的連接響應(yīng)時(shí)間；對(duì) 于 IPSec，擴(kuò)展性問(wèn)題歸結(jié)于 IKE 和 IPSec 使用的公鑰加密因素。 IPV6 的因素： 1PSec 包含在 IPv6 中由于 SSL 位于應(yīng)用層協(xié)議和傳輸層之間，不能被包含在 IPV6 中． 2. SSL 協(xié)議與 SET(Secure Electronic Transaction)協(xié)議的比較 安全套接層 SSL 和安全電子交易 SET 都是計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)中重要的協(xié)議。 SSL協(xié)議的目標(biāo)是提供兩個(gè)應(yīng)用間通信的保密性和可靠性。 SET 協(xié)議是針對(duì)信用卡支付的網(wǎng)上交易而設(shè)計(jì)的支付規(guī)范，主要是保證通信信息的加密與安全。下面我們從幾個(gè)方面對(duì)這兩個(gè) 協(xié)議進(jìn)行比較： 從應(yīng)用的角度來(lái)看， SSL 協(xié)議比 SET 協(xié)議更受歡迎，因?yàn)?SSL 協(xié)議已與瀏覽器集黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 10 頁(yè) 成，從而保證了瀏覽器與服務(wù)器之間的安全通信：而 SET 協(xié)議只限于專門的軟件上實(shí)現(xiàn)，還要求必須向各方發(fā)放證書，阻礙了它的普及。 從協(xié)議的角度來(lái)看， SSL 只是簡(jiǎn)單的在交易雙方之間建立一個(gè)安全連接，它是面向連接的； SET 協(xié)議是一個(gè)多方報(bào)文協(xié)議。它定義了銀行、商家、持卡人之間必須的報(bào)文規(guī)范，它允許各方之間的報(bào)文交換不是實(shí)時(shí)的。 從認(rèn)證機(jī)制上來(lái)講， SSL 協(xié)議只有服務(wù)器需要認(rèn)證，客戶端認(rèn)證是有選擇的：而 SET的安全需求較高，因此所 有參與 SET 交易的成員必須先申請(qǐng)數(shù)字證書來(lái)識(shí)別身份。 SSL 協(xié)議只是從 PC 機(jī)上的 Browser 到 Server 之問(wèn)的信息安全性，屬于一般的網(wǎng)絡(luò)安全協(xié)議。目的是保證通信的安全性：而 SET 協(xié)議側(cè)重于機(jī)密性和身份認(rèn)證，是信用卡的安全支付協(xié)議。 SSL 關(guān)鍵數(shù)據(jù)安全傳輸協(xié)議的選擇 前面我們介紹了幾種常見(jiàn)的安全協(xié)議： SSL 協(xié)議、 IPSec 協(xié)議和 SET 協(xié)議，并對(duì)這些協(xié)議進(jìn)行了比較。 從前面的分析我們可以看出， IPSec 協(xié)議可以提供很高的安全性，但是實(shí)現(xiàn)它卻不是一件很容易的事情，它需要對(duì)網(wǎng)絡(luò)層的口數(shù)據(jù)包進(jìn)行重 新封裝，無(wú)論對(duì)服務(wù)器還是客戶端都要做很大的改動(dòng)，對(duì)于本子系統(tǒng)而言，代價(jià)很大且增加了通信雙方的復(fù)雜度。 SET 協(xié)議是應(yīng)用層的安全協(xié)議，它是專門針對(duì)網(wǎng)上信用卡支付提出的一個(gè)標(biāo)準(zhǔn)，主要是保證通信信息的加密與安全，很有針對(duì)性．由于本系統(tǒng)沒(méi)有涉及到任何電子交易方面的東西，因此不是網(wǎng)絡(luò)通信系統(tǒng)安全協(xié)議的最佳選擇。 SSL 協(xié)議是一種在兩臺(tái)機(jī)器之間提供安全通道的協(xié)議。它具有保護(hù)傳輸數(shù)據(jù)和識(shí)別通信機(jī)器的功能。應(yīng)用 SSL 協(xié)議所建立的通道是透明的，它對(duì)所傳輸?shù)臄?shù)據(jù)不加更改，客戶端和服務(wù)器之間的數(shù)據(jù)是經(jīng)過(guò)加密的，一端寫入的數(shù)據(jù)完 全是另一端讀取的數(shù)據(jù)，這種透明性使得幾乎所有基于 TCP 的協(xié)議稍加修改就可以運(yùn)行于 SSL 之上，非常方便。SSL 協(xié)議既可以滿足安全需求，對(duì)系統(tǒng)的改造又是輕量級(jí)的，可以充分發(fā)揮靈活、易用的特性。 綜合以上分析，我們選擇 SSL 協(xié)議作為安全網(wǎng)絡(luò)通信系統(tǒng)的基礎(chǔ)技術(shù)平臺(tái)進(jìn)行設(shè)計(jì)和實(shí)現(xiàn)。 黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 11 頁(yè) 小結(jié) 本 章主要敘述了加密技術(shù)和加密傳輸技術(shù)，介紹了一些傳統(tǒng)的加密技術(shù)；簡(jiǎn)要介紹了一下 SSL 協(xié)議與其他兩種協(xié)議的比較，并且闡述了基于 SSL 協(xié)議加密的基本理論。 黃河科技學(xué)院畢業(yè)設(shè)計(jì)說(shuō)明書 第 12 頁(yè) 3 需求分析 功能需求 表 安全存儲(chǔ)需求表 功能編 號(hào) 功能名稱 安全存儲(chǔ)數(shù)據(jù) 功能描述 安全存儲(chǔ)關(guān)鍵數(shù)據(jù) 輸入項(xiàng) 輸入 普通用戶和超級(jí)用戶密碼 處理描述 將用戶的密碼用加密技術(shù)進(jìn)行存儲(chǔ) 輸出項(xiàng) 在數(shù)據(jù)庫(kù)中顯示密文 1) 關(guān)鍵數(shù)據(jù)的安全存儲(chǔ)：使用數(shù)字信封技術(shù)對(duì)數(shù)據(jù)進(jìn)行安全存儲(chǔ)； 2) 關(guān)鍵數(shù)據(jù)的安全傳輸：在服務(wù)器端和客戶端之間實(shí)現(xiàn)數(shù)據(jù)的安全傳輸； 性能需求 (1) 能夠使用對(duì)稱加密算法對(duì)大量數(shù)據(jù)進(jìn)行加密，并輸出密文 。 (2) 能夠使用非對(duì)稱加密算法加密公鑰 。 (3) 在服務(wù)器端和客戶端之間進(jìn)行數(shù)據(jù)的加密傳輸 。 (4) 占用系統(tǒng)資源不能太多，內(nèi) 存以及 CPU 的使用率要合理，電腦運(yùn)行流暢 。 (5) 需求的磁盤容量不宜太大 (6) 系統(tǒng)能穩(wěn)定的運(yùn)行，可用性好，能夠可靠的達(dá)到用戶的需求 。 (7) 考慮到可操作性和穩(wěn)定性，使用 SQL Server 2020 數(shù)據(jù)庫(kù) (8) 保護(hù) 護(hù)軟件，以防止偶然或惡意的訪問(wèn)、使用、修改或泄密。運(yùn)用日志，對(duì)對(duì)進(jìn)入系統(tǒng)的用戶的操作進(jìn)行記錄，可以根據(jù)日志進(jìn)行事后分析，從而找到事故的發(fā)生原因，責(zé)任者或非法用戶。 用戶需求 精品課程網(wǎng)站與其他網(wǎng)站不同的是其以教育性為目的， 針對(duì)的主要是在校學(xué)生， 所以教學(xué)內(nèi)容建設(shè)是精品課程建設(shè)的 核心，精品課程的內(nèi)容要有科學(xué)性、先進(jìn)性、趣味性，反映本學(xué)科領(lǐng)域最新科技成果。把專