客户和服务器端的安全通信.docxVIP

第二章密码技术基础分组作业 ------客户和服务器端的安全通信功能 第七组 赵鹏 p-zhao07@mails.ts in .c n 田敏求 tianmi nqiu@ 卓雪君 zhuoxj07@mails.ts in .c n 张秋艳 zha ng-qy07@.c n 宋晓明 songxm07@ A 1 目录 1.作业要求 .3 2.作业分工 .3 3.程序设计原理 .3 3.1通信协议设计 3 3.2技术原理 4 4.技术细节 ..6 4.1申请证书 6 4.2双向身份认证 8 4.3协商会话密钥 9 4.4生成摘要 9 4.5加解密文件 9 4.6完整性验证 10 5 ?实验演示 1参考文 献 16 2 1.作业要求 实现客户和服务器端的安全通信功能，其中包括： (1)基于公钥证书，实现双向的身份认证 (2)会话密钥协商(算法自选) ⑶数据传输：加密、完整性保护(算法自选) (4)简明的设计文档 ClientServer Client ■ 収向的日份认证 . 会话密钥协商 O 安全数据传输 结束 P 图i.i协议流程图 作业分工 赵鹏：认证,会话密钥协商，代码整合 田敏求:数据加解密 卓雪君张秋艳:通信部分,摘要生成，完整性验证，界面,代码整合宋晓明：文档 程序设计原理 3.1通信协议设计 整个通信过程包括了：证书申请、双向身份验证、会话密钥协商、传送 /接收加密 文件、文件完整性校验五大部分。具体协议设计如图 3.1所示。3 图3.1 C/S通信协议图 图中一些符号注释如下： KS_PUBLIC :服务器公钥 KS_PRIVATE :服务器私钥 KC_PUBLIC :客户端公钥 KC_PRIVATE :客户端私钥 n1, n2:随机数，用来防止重放攻击 K :会话密钥 Seed生成会话密钥的种子 M :发送的明文文件 m：明文文件对应的摘要 其中证书采用离线拷贝的方式，保证通信双方在建立连接前已经拥有对方的证 书。在双向身份验证的过程中采用生成随机数的方式防止了重放攻击。协商会话密钥的过程中传送的是经过加密的生成会话密钥的种子。传送文件时，在文件末 尾附上了用MD5生成的文件摘要，方便接收方进行文件的完整性验证。 3.2技术原理 ⑴Ope nssl简介 SSL是Secure Socket Layer （安全套接层协议）的缩写，目标是保证两个应用间 通信的保密性和可靠性，可在服务器端和用户端同时实现支持。改协议能使用 Z— t L Client 1 Server ) 1 1 h-ui With 1 生感nl ^4. 勢份认证 户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选 择对用户进行认证。 Ope nssl是一个功能丰富且自包含的开源安全工具箱。它提供的主要功能有： SSL 协议实现（包括SSLv2、SSLv3和TLSv1）、大量软算法（对称/非对称/摘要）、大数 运算、非对称算法密钥生成、ASN.1编解码库、证书请求（PKCS10）编解码、数字 证书编解码、CRL编解码、OCSP协议、数字证书验证、PKCS7标准实现和 PKCS12个人数字证书格式实现等功能。 Openssl采用C语言作为开发语言，这使得它具有优秀的跨平台性能。 Openssl支 持 Linux、UNIX、windows、Mac等平台。openssl目前最新的版本是 0.9.8e. OpenSSL整个软件包大概可以分成三个主要的功能部分：密码算法库、 SSL协议 库以及应用程序。Ope nSSL的目录结构自然也是围绕这三个功能部分进行规划 的。 ⑵CryptoAPI简介 微软的CryptoAPI是PKI推荐使用的加密API。其功能是为应用程序开发者提供 在Win32环境下使用加密、验证等安全服务时的标准加密接口。 CryptoAPI处于 应用程序和 CSP（cryptographic service provider）之间，如图 3.2所示。 | 应用程序 CryptoAPI CSP 密钥库 图 3.2 Microsoft CryptoAPI CryptoAPI的编程模型同 Windows系统的图形设备接口 GDI比较类似，其中加密 服务提供者CSP等同于图形设备驱动程序，加密硬件（可选）等同于图形硬 件，其上层的应用程序也类似，都不需要同设备驱动程序和硬件直接打交道。 CryptoAPI共有五部分组成：简单消息函数（Simplified Message Function§、低 层消息函数（Low-level Message Function?、基本加密函数（Base Cryptographic Fu nctio ns）、证书编解码函数（C