基于PKCS网络电子安全系统设计与实现.docVIP

基于PKCS网络电子安全系统设计与实现 　　摘要：本次系统开发利用PKI技术和PKCS标准之一的PKCS#12，使用户在任何能上网的设备上都能使用自己的证书及私钥，而不需要随时携带在身上。这样极大的方便了用户，同时，整个过程对用户透明，一般用户不必了解相关的密码知识，并且降低了用户对硬件设备的投资。不再需要智能卡、读卡器、USB key、软驱软盘。最重要的是有足够的安全性，即使在安全性较差的无线环境下或网吧等公共场所使用也可以确保安全。 　　关键词：软件工程；PKI；PKCS标准；数字证书；Activex控件 　　中图分类号：TP311 　　1课题研究背景 　　 随着Internet的普及，人们通过因特网进行沟通越来越多，相应的通过网络进行商务活动即电子商务也得到了广泛的发展。电子商务为我国企业开拓国际国内市场、利用好国内外各种资源提供了一个千载难逢的良机。 　　 目前国内外最好的应用安全解决方案是采用PKI技术建认证中心，为用户制定、生成、颁发证书来验证用户的真实身份，保证敏感信息在传输中的完整性和机密性、身份认证与授权以及抗抵赖性。 　　2研究的目的和意义 　　本课题研究的就是利用了PKI技术和PKCS标准之一的PKCS#12设计开发的安全系统制作的证书，可以方便用户在任何能上网的设备上都能使用自己的证书及私钥，极大的方便了用户。同时，整个过程对用户是透明的，普通用户不必了解相关的密码安全知识，并且也降低了用户对硬件设备的投资。不再需要智能卡、读卡器、USB key。最重要的是有足够的安全性，即使在安全性较差的公共场所使用也可以确保安全。 　　3相关理论与技术 　　在公钥基础设施技术中，常用的加密技术有非对称密码技术、对称密码技术、信息摘要技术、数字签名等技术。 　　4PKI体系模型 　　通常一个完整有效的PKI体系结构包含PKI策略、认证中心、注册机构、证书签发中心、软硬件环境、日志管理六大部分。具体来讲有证书的申请、密钥的申请，证书的下载、证书的安装、密钥的恢复，证书的保存，证书信息查询，证书撤销申请，CRL吊销列表的获取等子功能。 　　5网络电子安全系统的需求分析 　　本章将对网络电子安全系统需求，从系统功能需求、系统性能需求、系统运行需求、系统运行需求方面进行详细分析，根据系统需求，结合实际应用对系统系统安全的需求进行分析。 　　用户管理子系统包括：包括注册证书的用户信息的添加、删除、修改等处理。 　　密钥管理子系统：包括密钥的生成 　　监控管理子系统：主要提供线路监控、数据流监控、密钥监控、时间监控等功能。 　　证书安全管理子系统：主要提证书的申请、签收、制作、发放、下载、等功能。 　　安全设施管理子系统：主要包括线路、硬件、软件等基础设施的管理功能。 　　系统管理：提供角色、权限以及系统基础数据或系统接口参数的管理与维护。 　　6网络电子安全系统设计与实现 　　本课题的关键就是Activex控件的PfxExport（）函数的设计，因为本系统大多数功能都是由该函数来完成，所以如何设计这个函数。 　　6.1CryptoAPI 　　微软的Security开发平台提供了一套加密应用程序接口的CryptoAPI函数，功能强大。如基本的加密、解密、签名、验证功能，PKCS#12包的创建功能，证书、PKCS#12包的导出证书存储区功能等等。这些函数或方法可以直接被浏览器或ActiveX控件调用。 　　CryptoAPI是PKI推荐使用的加密API。它提供了一套标准化的PKI接口及相关的安全函数，其功能是为应用程序开发者提供在Win32环境下使用加密、验证等安全服务时的标准加密接口。 　　6.2PfxExport函数实现 　　本课题的关键是PKCS#12包的生成，PKCS#12包的结构非常复杂，如何编写ActiveX控件高效可靠地生成PKCS#12包，是本课题的重点部分，而这一切都是由PfxExport函数来完成的。 　　6.3base64编码 　　数字证书的编码为DER编码，但DER编码的文件是二进制格式不利于读写和传播，所以对DER编码的数据进行BASE64编码形成了PEM格式。 　　按照RFC2045的定义，Base64被定义为：Base64内容传送编码被设计用来将不可打印字符转换成可打印的，是网络传输过程中常用的一种编码，使用预先定义好的64个字符，来编码二进制或文本数据。 　　Base64编码实际上就是将3个8位字节转换为4个6位字节，(3*8=4*6=24)，当一个字节只有6位有效时，它的取值空间为0--26-1即63，也就是说被转换的Base64编码的每一个编码的取值空间为(0~63)。 　　7 系统测试和运行 　　（1）在地址栏上输入http：///upload.htm，就可打开本设计的主页面。 　　（2）点