《信息安全》课程设计报告CA系统.

信息安全课程设计说明书题 目：CA系统学 院：计算机与信息安全学院专 业：姓 名：学 号：指导教师：摘要CA系统是基于数字证书的一种认证机制，是用于互联网通讯中标志互相身份的一种 已签名数字，数字证书提供了一种验IE通信双方的途径，它的功能相当于我们日常的身 份证，还有营业执照之类的。它是基于PKI公钥基础设施的一种认证技术，是由一个权 威机构CA (Certificate Authority)中心发布的，又被称为证书授权机构。数字证书包 含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、用户信 息及证书授权中心的信息以及数字签名，数字证书还有一个重要的特征就是只在有效期 的时间段内有效。在日常生活中，人们可以通过互相交换证书借助CA认证机构来进行身 份识别，特别是在在线购物，如淘宝、京东等，数字证书对于交易的安全进行起到极其 重要的作用。本次课程设计中，首先是利用keysotre生成密钥库以及颁发者自己的证书，这个就 充当CA颁发机构，然后判断申请用户是否合法，认证通过后，根据提交的公钥，以及个 人信息给用户颁发数字证书。【关键字】CA用户证书数字签名1. 前言12. 系统分析22. 1系统需求22.2数据库连接32.3功能需求42.4开发环境63. 详细设计73.1系统设计框架73.2界面设计83.3主要代码113.4测试和运行结果144. 所遇到的问题及分析解决165. 系统特色及关键技术186. 结论及体会20参考文献211.前言随着科技的不断进步，人们生活水平的不断提高，电子商务越来越受到当今人们的 青睐，如网上签约、网上购物、网上缴费等。这是因为人们不需要为大笔的现金交易和 而头疼，取而代之的是在线支付，如支付宝、快捷支付，交易的不再是简单的现金，而 是电子现金，更不用大老远的去实体店购物和参加会议协商。但也无可避免的带来的隐 患，也就是交易过程中的安全问题，如何保证信息的保密性，如何确定交易者就是本人， 如何保证交易达成后双方不能否认，又如何保证交易信息（如日期）没有被篡改？于是 数字证书应运而生，数字安全证书提供了一种在网上验证身份的方式。安全证书体制主 要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。数字 证书的加密机制保证了信息的保密性，数字签名等技术保证了数据的不可修改性，认证 机制保证了交易的不可否认性。虽然之前在密码学课程学习中有接触过有关数字证书的知识，但是大部分内容已变 得生疏，所以在准备阶段，我就先去学校的图书馆浏览一些相关电子资源，以及借阅了 张明徳和刘伟写的PKI/CA/数字证书技术大全，打算使用Java语言编写，顺便借阅了 叶乃文写的Java语言程序设计教程，从以往的硕士论文中可以知道，关于CA系统的 设计见仁见智，不过总体上已实现了大体上的自己充当颁发机构进而进行数字证书的颁 发。本次课程设计，在已实现的技术基础上进行功能、数据传输上的完善，在Java的 keytool中生成颁发机构的keystone以及颁发者的数字证书，然后将颁发者的信息加载, 用自己的私钥对提交的用户信息以及公钥进行签名，生成数字证书并颁发给用户。在用 户信息的提交的过程中，会先对用户身份进行身份认证，在验证用户身份合法之后，才 对用户进行签名，然后再保存用户的信息到数据库中。另外，在CA系统的设计过程中，考虑到用户因可能因丢失公钥而造成损失，所以基 于这个隐患而添加了一个用户证书挂失的功能，这样就能在很大的程度上减少用户的损 失。在挂失之前会首先核对挂失者的身份是否合法，防止别人恶意的挂失行为，而且， 已经挂失的会弹出错误提示，避免重复挂失。在挂失之后会把公钥存入到不受信任的公 钥数据库中，当用户再次使用该公钥时会也会弹出错误提示。而且，本次CA系统设计中 一个人是可以使用多个验证信息申请多个用户证书的，这样就提高了数字证书用途的广 泛性，而不必受限于数字证书在不同领域上的使用。2. 系统分析2.1系统需求首先，我们先来看一下静态口令身份认证方式的的安全隐患：（1）口令容易遗失用户名、口令在应用系统中以明文方式传输，容易被截取，造成口令遗失，还有输 入口令时被窥视造成口令遗失：用户名、口令存在数据库中，非法用户可以通过进入数 据库获取口令信息。（2）遗失不容易察觉用户口令遗失后，自己并不知道，不会采取措施防范遗失后可能造成的损失。（3）大量口令需要记忆（不易保管）如果存在多个应用系统，可能存在多组用户名、口令，不方便记忆。然而，在使用数字证书代替传统静态口令身份方式具有以下优势：（1）权威性：数字证书设备由CA中心颁发，使用其作为身份识别设备局域哦很高的权威性：（2）不可伪造型：数字证书设备经过国家相关部门审核批准，设备中保存的用户私钥无法被读岀，不 可伪造：（3）不容易被冒用：使用证书需要同时持有数字证书设备和设备启动口令，缺一不可，因此只要保护好 证书设备，他人无法冒用用户身份：（4）不可破解:数字证书设备具有口令保护机制，在连续输入错误一定次数后，设备将锁定，防止 暴力破解：（5）容易保管：数字证书设备形状与普通U盘相似，方便携带保管，不易遗失；（6）遗失容易发现：万一数字证书设备遗失，能够及时发现，并采取相应措施。根据以上分析，选择使用数字证书的身份模式，能够极大的提高用户身份的安全性， 保障应用系统用户身份安全。和传统”用户名+ 口令”应用模式，CA具有高强度的通讯方 式，能够实现传输数据的安全保障，是通过数字签名技术实现，通过签名验证确定数据 传输和存储的完整性，因为只有授权用户才能进行解密并使用，所以保证了数据的机密 性：另外，这是通过数字签名技术实现的，因此用户不得否认签名操作，即不可否认性。本次课程设计是实现一个简单的CA颁发系统，基本要求如下：（1）利用Java中的keytool生成的Keystore和CA证书来充当可信任的CA颁发 机构，CA颁发机构本身是存储有一定的用户的认证信息的，然后接受用户的 认证请求，通过用户的认证信息可以判断申请用户是否合法或者用户的公钥 是否已申请注册过；（2）认证通过后开始接收用户信息和用户自己产生的PublicKey（3）接收完成后，先通过加载CA数字证书获得CA颁发机构的信息以及CA的私钥, 然后对接收到的用户信息和公钥进行打包即数字签名，生成数字证书并颁发 给用户，安全储存用户信息：（4）数字证书吊销：这里是通过将用户需要挂失的公钥存入到不受信任的公钥数 据库中，这样，该密钥将被作废；在挂失前会对挂失用户进行身份验证，防 止恶意挂失行为，验证通过后还要访问一下不受信任的公钥数据库中是否已 存在该公钥，若已存在则弹出错误提示；若不存在，则进行公钥挂失过程。 挂失之后，当用户再次使用到该公钥认证时会弹出错误提示。2.2数据库连接Navicat for MySQL是一套专为MySQL设计的高性能数据库管理及开发工具。它 可以用于任何版本3.21或以上的MySQL数据库服务器，并支持大部份MySQL最新版 本的功能，包括触发器、存储过程、函数、事件、视图、管理用户等。点击或选择文件-新建连接来设置连接属性。连接设置：在创建连接后，你可以连接到数据库，管理它的对象、表中的数据等。请看下面的 帮助，以了解如何用最简单的方法运行这些操作。与数据库或模式工作：与数据库或模式的对象工作Navicat浏览器！Navicat窗口包括一个导览窗格（左边的窗格）及一个对象窗格（右边的窗格）。 导览窗格一个是导览连接、数据库及数据库对彖的基本途径。它采用树状结构，让你透 过弹出菜单快捷及方便地使用数据库和它们的对象。对象窗格显示开启表、査询等。在窗口顶部的工具栏提供其他控制项，你可以用它 来操作你的数据。navicat 如何连接 mysql：1、首先你电脑上必须安装了 mysql的数据库。（如果你不淸楚自己是否已经安装成 功mysql,你可以在开始菜单输入“mysql”，进行搜索）2、打开你的Navicat for Mysql （这里也可以使用上面的方法，在开始菜单搜索 框中输入navicat）3、打开后单机工具栏左边第一个connection,进入连接页面。34、最重要的一步：打开的界而有五个框需要输入，第一个：connection Name需 要输入的是你新建的连接的的名字，这里我们就命名为localhost,第二个：Host Name/Ip Address你需要输入的是你本机的ip地址或者直接输入” localhost”， 这里我们选择第二种。第三个：Port，输入你安装时候的端口号，一般为默认的 3306：第四个和第五个分別为：UserName和Password,意思为你需要输入你数据库名用 户名和密码，我的用户名是：root,密码：。最后把下而那个Save Passwod的小框 框给勾上。5、完成上面步骤，然后点击左下角有个testConnectiion如果弹岀success, 恭喜你直接点击右下角的save按钮就可以了。如果弹出error ,你则需要再重新 仔细查看自己哪里填错了。6、点击4save后，你就可以双击“本地”(这里的本地是你刚才输入的 connection Name),然后打开你的数据库了。2.3功能需求用户证书信息设计：数字证书的主要思想是实现对于合法用户信息的数字签名并生成数字证书，然后颁 发给合法用户，所以对于数字证书生成之前需要设计如下信息：(1) 版本(Version)版本信息，这个是证书的版本号，不同版本的证书格式是不同的(版本1、版本2、 版本3)。这里我用的是V3版本。(2) 序列号(Serial Number)证书序列号，同一身份验证机构签发的证书序列号是唯一的，这就是数字证书的不可 否认性。(3) 颁发者(Issuer)颁发者，也就是CA颁发机构，指岀这个证书是由谁颁发的：如果是自己所在机构生 成的，比如自己所在的公司，那么颁发者就是自己的公司。(4) 签名算法(Signature Algorithm)签名算法，指的是对数字证书进行签名的时候所使用的算法，可以根据颁发者的公 钥进行解密。(5) 使用者(Subject)使用者就是证书的持有者，可以是个人、公司、企业、网站等等需要认证自己身份 的个体或者集体。(6) 有效期(Valid form begin_date to end_date)证书的有效期就是证书所允许使用的期限，当数字证书过了有效期将无效，即对于 用户身份的认证将无效，这就需要重新申请数字证书方能进行通倍或者交易。(7) 公钥(Public Key)证书的公钥，主要是用来对消息进彳亍加密的，这个证书的公钥是2048位的，他的 值可以在对话框中看到，是很长的一段十六进制数。(8) 指纹和指纹算法指纹以及指纹算法，在证书发布的时候，发布机构会根据指纹算法先计算出整个证 书的hash值，并使用证书发布机构的私钥对其进行签名构成一个指纹，并将指纹与该证 书放在一起。构建自签名证书：申请数字证书之前，需要在密钥库中以别名的方式生成本地数字证书，建立相应的 加密算法，密钥，有效期等信息。keytool -genkcypair -keyalg RSA -keysize 2048 -sigalg SHAlwithRSA -validity3600 -alias server -keystore server, keystore各参数含义如下：-genkeyp