信息安全课程设计报告CA系统.docx

1、信息安全课程设计报告CA系统信息安全课程设计说明书题 目： CA 系统 学 院： 计算机与信息安全学院 专 业： 姓 名： 学 号： 指导教师： 摘 要CA 系统是基于数字证书的一种认证机制，是用于互联网通讯中标志互相身份的一种已签名数字，数字证书提供了一种验证通信双方的途径，它的功能相当于我们日常的身份证，还有营业执照之类的。它是基于 PKI 公钥基础设施的一种认证技术，是由一个权威机构 CA（Certificate Authority）中心发布的，又被称为证书授权机构。数字证书包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、用户信息及证书授权中心的信息以及数字签名，

2、数字证书还有一个重要的特征就是只在有效期的时间段内有效。在日常生活中，人们可以通过互相交换证书借助 CA 认证机构来进行身份识别，特别是在在线购物，如淘宝、京东等，数字证书对于交易的安全进行起到极其重要的作用。本次课程设计中，首先是利用 keysotre 生成密钥库以及颁发者自己的证书，这个就充当 CA 颁发机构，然后判断申请用户是否合法，认证通过后，根据提交的公钥，以及个人信息给用户颁发数字证书。【关键字】 CA 用户证书 数字签名1. 前言随着科技的不断进步，人们生活水平的不断提高，电子商务越来越受到当今人们的 青睐，如网上签约、网上购物、网上缴费等。这是因为人们不需要为大笔的现金交易和

3、而头疼，取而代之的是在线支付，如支付宝、快捷支付，交易的不再是简单的现金，而 是电子现金，更不用大老远的去实体店购物和参加会议协商。但也无可避免的带来的隐 患，也就是交易过程中的安全问题，如何保证信息的保密性，如何确定交易者就是本人， 如何保证交易达成后双方不能否认，又如何保证交易信息（如日期）没有被篡改？于是 数字证书应运而生，数字安全证书提供了一种在网上验证身份的方式。安全证书体制主 要采用了公开密钥体制，其它还包括对称密钥加密、数字签名、数字信封等技术。数字 证书的加密机制保证了信息的保密性，数字签名等技术保证了数据的不可修改性，认证 机制保证了交易的不可否认性。虽然之前在密码学课程学习

4、中有接触过有关数字证书的知识，但是大部分内容已变 得生疏，所以在准备阶段，我就先去学校的图书馆浏览一些相关电子资源，以及借阅了 张明德和刘伟写的PKI/CA/数字证书技术大全，打算使用 Java 语言编写，顺便借阅了叶乃文写的Java 语言程序设计教程，从以往的硕士论文中可以知道，关于 CA 系统的 设计见仁见智，不过总体上已实现了大体上的自己充当颁发机构进而进行数字证书的颁 发。本次课程设计，在已实现的技术基础上进行功能、数据传输上的完善，在 Java 的keytool 中生成颁发机构的 keystone 以及颁发者的数字证书，然后将颁发者的信息加载， 用自己的私钥对提交的用户信息以及公钥进

5、行签名，生成数字证书并颁发给用户。在用 户信息的提交的过程中，会先对用户身份进行身份认证，在验证用户身份合法之后，才 对用户进行签名，然后再保存用户的信息到数据库中。另外，在 CA 系统的设计过程中，考虑到用户因可能因丢失公钥而造成损失，所以基于这个隐患而添加了一个用户证书挂失的功能，这样就能在很大的程度上减少用户的损失。在挂失之前会首先核对挂失者的身份是否合法，防止别人恶意的挂失行为，而且， 已经挂失的会弹出错误提示，避免重复挂失。在挂失之后会把公钥存入到不受信任的公钥数据库中，当用户再次使用该公钥时会也会弹出错误提示。而且，本次 CA 系统设计中一个人是可以使用多个验证信息申请多个用户证书

6、的，这样就提高了数字证书用途的广泛性，而不必受限于数字证书在不同领域上的使用。12. 系统分析2.1 系统需求首先，我们先来看一下静态口令身份认证方式的的安全隐患：（1） 口令容易遗失用户名、口令在应用系统中以明文方式传输，容易被截取，造成口令遗失，还有输入口令时被窥视造成口令遗失；用户名、口令存在数据库中，非法用户可以通过进入数据库获取口令信息。（2） 遗失不容易察觉用户口令遗失后，自己并不知道，不会采取措施防范遗失后可能造成的损失。（3） 大量口令需要记忆（不易保管）如果存在多个应用系统，可能存在多组用户名、口令，不方便记忆。然而，在使用数字证书代替传统静态口令身份方式具有以下优势：（1）

7、 权威性：数字证书设备由 CA 中心颁发，使用其作为身份识别设备局域哦很高的权威性；（2） 不可伪造型：数字证书设备经过国家相关部门审核批准，设备中保存的用户私钥无法被读出，不可伪造；（3） 不容易被冒用：使用证书需要同时持有数字证书设备和设备启动口令，缺一不可，因此只要保护好证书设备，他人无法冒用用户身份；（4） 不可破解：数字证书设备具有口令保护机制，在连续输入错误一定次数后，设备将锁定，防止暴力破解；（5） 容易保管：数字证书设备形状与普通 U 盘相似，方便携带保管，不易遗失；（6） 遗失容易发现：万一数字证书设备遗失，能够及时发现，并采取相应措施。根据以上分析，选择使用数字证书的身份模

8、式，能够极大的提高用户身份的安全性， 保障应用系统用户身份安全。和传统”用户名+口令”应用模式，CA 具有高强度的通讯方式，能够实现传输数据的安全保障，是通过数字签名技术实现，通过签名验证确定数据 传输和存储的完整性，因为只有授权用户才能进行解密并使用，所以保证了数据的机密 性；另外，这是通过数字签名技术实现的，因此用户不得否认签名操作，即不可否认性。本次课程设计是实现一个简单的 CA 颁发系统，基本要求如下：（1） 利用 Java 中的 keytool 生成的 Keystore 和 CA 证书来充当可信任的 CA 颁发机构，CA 颁发机构本身是存储有一定的用户的认证信息的，然后接受用户的认证

9、请求，通过用户的认证信息可以判断申请用户是否合法或者用户的公钥是否已申请注册过；（2） 认证通过后开始接收用户信息和用户自己产生的 PublicKey（3） 接收完成后，先通过加载 CA 数字证书获得 CA 颁发机构的信息以及 CA 的私钥， 然后对接收到的用户信息和公钥进行打包即数字签名，生成数字证书并颁发给用户，安全储存用户信息；（4） 数字证书吊销：这里是通过将用户需要挂失的公钥存入到不受信任的公钥数据库中，这样，该密钥将被作废；在挂失前会对挂失用户进行身份验证，防止恶意挂失行为，验证通过后还要访问一下不受信任的公钥数据库中是否已存在该公钥，若已存在则弹出错误提示；若不存在，则进行公钥挂

10、失过程。挂失之后，当用户再次使用到该公钥认证时会弹出错误提示。2.2 数据库连接Navicat for MySQL 是一套专为 MySQL 设计的高性能数据库管理及开发工具。它可以用于任何版本 3.21 或以上的 MySQL 数据库服务器，并支持大部份 MySQL 最新版本的功能，包括触发器、存储过程、函数、事件、视图、管理用户等。点击或选择文件 - 新建连接来设置连接属性。连接设置:在创建连接后，你可以连接到数据库，管理它的对象、表中的数据等。请看下面的帮助，以了解如何用最简单的方法运行这些操作。与数据库或模式工作:与数据库或模式的对象工作 Navicat 浏览器！Navicat 窗口包括一

11、个导览窗格（左边的窗格）及一个对象窗格（右边的窗格）。导览窗格一个是导览连接、数据库及数据库对象的基本途径。它采用树状结构，让你透过弹出菜单快捷及方便地使用数据库和它们的对象。对象窗格显示开启表、查询等。在窗口顶部的工具栏提供其他控制项，你可以用它来操作你的数据。navicat 如何连接 mysql：1、首先你电脑上必须安装了 mysql 的数据库。（如果你不清楚自己是否已经安装成功 mysql，你可以在开始菜单输入“mysql”，进行搜索）2、打开你的 Navicat for Mysql（这里也可以使用上面的方法，在开始菜单搜索框中输入navicat）3、打开后单机工具栏左边第一个conne

12、ction，进入连接页面。34、最重要的一步：打开的界面有五个框需要输入，第一个：connection Name 需要输入的是你新建的连接的的名字，这里我们就命名为localhost，第二个： HostName/Ip Address 你需要输入的是你本机的 ip 地址或者直接输入”localhost”, 这里我们选择第二种。 第三个：Port ,输入你安装时候的端口号，一般为默认的3306；第四个和第五个分别为：UserName 和 Password,意思为你需要输入你数据库名用户名和密码，我的用户名是：root，密码：。最后把下面那个Save Passwod的小框框给勾上。5、完成上面步骤，

13、然后点击左下角有个testConnectiion如果弹出 success， 恭喜你直接点击右下角的save按钮就可以了。如果弹出 error ，你则需要再重新仔细查看自己哪里填错了。6、点击save后，你就可以双击“本地”（这里的本地是你刚才输入的 connection Name），然后打开你的数据库了。2.3 功能需求用户证书信息设计：数字证书的主要思想是实现对于合法用户信息的数字签名并生成数字证书，然后颁发给合法用户，所以对于数字证书生成之前需要设计如下信息：（1） 版本（Version）版本信息，这个是证书的版本号，不同版本的证书格式是不同的（版本 1、版本 2、版本 3）。这里我用的是

14、 V3 版本。（2） 序列号（Serial Number）证书序列号，同一身份验证机构签发的证书序列号是唯一的,这就是数字证书的不可否认性。（3） 颁发者（Issuer）颁发者，也就是 CA 颁发机构，指出这个证书是由谁颁发的；如果是自己所在机构生成的，比如自己所在的公司，那么颁发者就是自己的公司。（4） 签名算法（Signature Algorithm）签名算法，指的是对数字证书进行签名的时候所使用的算法，可以根据颁发者的公钥进行解密。（5） 使用者（Subject）使用者就是证书的持有者，可以是个人、公司、企业、网站等等需要认证自己身份的个体或者集体。（6） 有效期（Valid form

15、begin_date to end_date）证书的有效期就是证书所允许使用的期限，当数字证书过了有效期将无效，即对于用户身份的认证将无效，这就需要重新申请数字证书方能进行通信或者交易。（7） 公钥（Public Key）证书的公钥，主要是用来对消息进行加密的，这个证书的公钥是 2048 位的，他的值可以在对话框中看到，是很长的一段十六进制数。（8） 指纹和指纹算法指纹以及指纹算法，在证书发布的时候，发布机构会根据指纹算法先计算出整个证书的 hash 值，并使用证书发布机构的私钥对其进行签名构成一个指纹，并将指纹与该证书放在一起。构建自签名证书：申请数字证书之前，需要在密钥库中以别名的方式生成

16、本地数字证书，建立相应的加密算法，密钥，有效期等信息。keytool -genkeypair -keyalg RSA -keysize 2048 -sigalg SHA1withRSA -validity 3600 -alias server -keystore server.keystore各参数含义如下：-genkeypair 表示生成密钥对-keyalg 指定密钥算法，这里是 RSA-keysize 指定密钥长度，默认 1024，这里指定 2048-sigal 指定签名算法，这里是 SHA1withRSA-validity 指定有效期，单位为天-alias 指定别名-keystore 指

17、定密钥库存储位置这里我输入参数作为密钥库的密码，也可通过参数-storepass 指定密码。注意：一个 keystore 应该是可以存储多套的信息，通过别名来区分。通过实践，调用上述命令两次（别名不同），生成同一个 keystore，用不同别名进行加密解密和签名验签，没有任何问题。经过上述操作后，密钥库中已经创建了数字证书。虽然这时的数字证书并没有经过CA 认证，但并不影响我们使用。我们仍可将证书导出，发送给合作伙伴进行加密交互。keytool -exportcert -alias server -keystore server.keystore -file server.cer-rfc各参数

18、含义如下：-exportcert 表示证书导出操作-alias 指定别名-keystore 指定密钥库文件-file 指定导出证书的文件路径-rfc 指定以 Base64 编码格式输出打印证书keytool -printcert -file server.cer52.4 开发环境运行系统：Windows 10开发环境：eclipse，Navicat for MySQL基于 eclipse 编程软件对 CA 系统的设计与实现MySQL 安装教程：1、把 mysql-5.7.19-winx64.zip 压缩文件解压到 D:目录下； 2、在 D:mysql-5.7.19-winx64 目录下新建 m

19、y.ini 配置文件；3、用文本编辑器或其他编辑器打开 my.ini 文件，把以下代码复制粘贴进去，保存退出；#代码开始Client#设置 3306 端口port = 3306 mysqld#设置 3306 端口port = 3306# 设置 mysql 的安装目录basedir= D:mysql-5.7.19-winx64# 设置 mysql 数据库的数据的存放目录datadir= D:mysql-5.7.19-winx64data # 允许最大连接数max_connections=200# 服务端使用的字符集默认为 8 比特编码的 latin1 字符集character-set-serve

20、r=utf8# 创建新表时将使用的默认存储引擎default-storage-engine=INNODB sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLESmysql# 设置 mysql 客户端默认字符集default-character-set=utf8#代码结束4、配置环境变量；4.1、新建系统变量 MYSQL_HOME ，并配置变量值为 D: ；4.2、编辑系统变量 Path ，将 ;%MYSQL_HOME%bin 添加到 Path 变量值后面。5、以管理员身份运行命令提示符 cmd（一定要用管理员身份运行，不然权限不够）；5.1、使用

21、 dos 指令，进入 D:mysql-5.7.19-winx64 目录，运行以下指令mysqld -defaults-file=my.ini -initialize-insecure mysqld -installnet start mysql5.2、设置 mysql 的 root 密码，运行以下指令mysql -u root -p use mysql;update user set authentication_string=password(您的密码) where user=root; flush privileges;exit安装到此完成。3. 详细设计3.1 系统设计框架首先，用 Ja

22、va 的 keytool 生成 Keystore 和 CA 证书，实现自我的签发，然后开始监听用户的信息传送，当用户通过验证并把用户信息和用户的公钥进行签名，然后对用户信息进行封装，生成数字证书，并保留用户信息，最后就是验证数字签名。如果用户公钥丢失需要挂失，用户需要先验证自己的身份，通过验证才可以进行挂失；如果公钥已经挂失，则挂失失败。具体的结构设计如下图：图 3-1 CA 系统模块图7本次课程设计涉及到了主界面的设计，具体的系统包括内部的程序设计以及运行界 面的设计，内部的程序主要是将界面输入的数据接收，而且需要连接数据库进行用户信 息的验证，以及证书的吊销；然后在后台进行用户信息的处理，

23、包括数字签名以及封装 数字证书，最后把扫描数字签名的结果放主界面显示，其内部程序运行的流程图如下图：图 3-2 CA 系统流程图3.2 界面设计本程序的界面设计主要是显示数字签名以及保存的结果，以及将用户信息存入到数据库中。申请证书之前需要设置用户信息，然后单击申请按钮，即可进行证书申请，最后在中央窗体的状态显示区中显示数字签名的结果，签名完成后用户可以继续进行挂失申请或者直接退出界面。Swing 提供了三个通用的顶层容器类 JFrame，JDialog 和 JApplet。JFrame 提供了基于窗体的应用程序，JDialog 提供对话框形式的界面，JApplet 提供 Java 小应用程序

24、的界面形式。在顶层容器下是中间容器，用于容纳其他的组件。通常窗格本身在显示界面中是看不到的。面板类 Panel 是一种中间容器，它的唯一作用是使组件更容易定位。顶层容器通过 getContentPane()方法获取内部的一个内容窗格。（1）常用 Swing 组件：1 文本区：JTextArea2 按钮：button3 标签组：JLabel4 文本字段：JTextField（2）主机 IP 面板实现（其他类似）： jContentPane = new JPanel(); jContentPane.setLayout(null); jContentPane.add(ipHostLabel, nul

25、l);（3）标签 (JLabel)用来显示文字，图标(可以文字与图标同时显示)。JLabel 构造方法JLabel() 创建一个空标签JLabel(String c) 指定标签文本起始端口标签的设计如下（其他类似）： jbPortLabel = new JLabel();jbPortLabel.setBounds(new Rectangle(228, 10, 65, 28); jbPortLabel.setText(起始端口:);（4）文本区域信息添加函数：public static void appendTextArea(String s) jTextArea.append(n + s +

26、n);（5）单行文本框（JTextField） 构造方法JTextField()JTextField(int columns) 指定宽度JTextField(String text) 指定初始化文本JTextField(String text, int columns)编辑框函数设计如下（其他类似）：private JTextField getJHostTextField() if (jHostTextField = null) jHostTextField = new JTextField(); jHostTextField.setBounds(new Rectangle(105, 10,

27、110, 26);9return jHostTextField;（6）按钮的创建构 造 方 法 ： JButton()JButton(String c) 指定显示文本JButton(Icon image) 指定显示图标JButton(String c ,Icon image)申请按钮函数实现（保存按钮类似）：private JButton getConnJButton() if (okJButton = null) okJButton = new JButton();okJButton.setBounds(new Rectangle(300, 145, 97, 26); okJButton.s

28、etText( 申 请 ); okJButton.addActionListener(this);return okJButton;（7）多行文本框（JTextArea） 构造方法JTextArea()JTextArea(int rows,columns) 指定尺寸JTextArea(String text) 指定初始化文本JTextArea(String text,int rows, int columns) 常用设置方法public void setLineWrap(boolean wrap)：换行状态设置public void setRows(int rows) ：设置行数public

29、void setColumns(int columns)：设置列数说明：颜色、字体、内容的设置同上（setForeground、setFont、setText） 文本显示框代码设计如下：private TextArea getJTextArea() if (jTextArea = null) jTextArea = new TextArea(); jTextArea.setEditable(false);jTextArea.setBounds(new Rectangle(15, 180, 580, 205);return jTextArea;（8）初始化界面函数实现：private void

30、initialize() throws IOException this.setSize(720, 440); this.setContentPane(getJContentPane(); this.setTitle(MyCertificate(V1.0) By Gan); this.setDefaultCloseOperation(JFrame.EXIT_ON_CLOSE); this.setVisible(true);3.3 主要代码数据库的连接（查找删改略）：static driverClass = com.mysql.jdbc.Driver; url = jdbc:mysql:/loc

31、alhost:3306/mydb; user = root;password = ; try /通过字节码对象方式加载静态代码块/从而注册驱动程序Class.forName(driverClass); catch (ClassNotFoundException e) System.out.println(无法创建实体); e.printStackTrace();public static Connection getConnection() try return DriverManager.getConnection(url, user, password); catch (SQLException e) e.printStackTrace();return null;11这里主要是对数据库的连接函数的编写以及函数的封装，方便再一次使用时候直接调用，而不用