计算机软件及应用]“tcpip原理与应用”精品课程网站安全存储方案的设计与实现毕业设计说明书

计算机软件及应用]“tcpip原理与应用”精品课程网站安全存储方案的设计与实现毕业设计说明书内容摘要：

若以公钥加密，以私钥解密，可实现多个用户加密信息，只能由一个用户解读，用于保密通信；若以私钥加密，公钥解密，能实现由一个用户加密的信息而多个用户解读，用于数字签名。 非对称密码体制的优点恰好弥补了对称密码体制的缺点，密钥分配协议简单，极大的简化了密钥管理，支持彼此互不认识的两个实体间的安全通信。 缺点是计算开销大，处理速度慢。 加 密密 文明 文原 始 明 文解 密公 私 密 钥 对 图 非对称密码体制 黄河科技学院毕业设计说明书 第 6 页 2. 常用的非对称加密算法 DiffieHellman DiffieHellman 算法是一个在公共信道上制作和交换共享密钥的算法。 通信双发约定一些通用的数值，然后每一方建立一个密钥，将密钥数学变形后交换。 于是通信双方可以各自建立会话密钥，而攻击者很难破解这个密钥。 这个算法通常被用作密钥交换的基础，密钥可以是任意长度，越长的密钥越安全。 RSA 著名的 RSA 加密算法是由 MIT 的 Ronald Rivest 和 Adi Shamir 加收，以及 USC 的Leonard Adleman 教授 联合开发的， RSA 就是以他们的名字的首字母命名。 RSA 可用作加密信息，也可用作数字签名。 RSA 加密算法的密钥长度可以是任意长度。 DSA Digital Signature Algorithm（数字签名算法）是由 NSA（ National Security Agency,美国国家安全局）开发，被 NIST 采用并作为联邦信息处理标准（ FIPS, Federal Information Processing Standards）。 虽然 DSA 算法的密钥长度是任意的，但 FIPS 只允许使用在 512到 1024 位之间的密钥。 虽然 DSA 也可以用于加密，但它通常仅用作数字签名。 数字信封简介 数字信封是公钥密码体制在实际中的一个应用，是用加密技术来保证只有规定的特定受信任才能阅读通信的内容。 在数字信封中，信息发送方采用 对称密钥 来加密信息内容，然后将此对称密钥用接收方的公开密钥来加密（这部分称数字信封）之后，将它和加密后的信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得 到对称密钥，然后使用对称密钥解开加密信息。 这种技术的安全性相当高。 数字信封主要包括数字信封打包和数字信封拆解，数字信封打包是使用对方的公钥将加密密钥进行加密的过程，只有对方的 私钥 才能将加密后的数据 (通信密钥 )还原；数字信封拆解是使用私钥将加密过的数据解密的过程。 数字信封的封装拆解过程如图 所示 黄河科技学院毕业设计说明书 第 7 页 消 息 对 称 密 钥 加 密对 称 密 钥接 收 方 B 的 公 钥公 钥 加 密消 息 密 文密 钥 密 文数 字 信 封消 息 密 文密 钥 密 文私 钥 解 密对 称 密 钥 解 密接 收 方 B 的 私 钥消 息对 称 密 钥封 装 数 字 信 封拆 解 数 字 信 封 图 数字信封的封装拆解过程 SSL 协议简介 SSL 协议概述 SSL（ Secure Socket Layer,即安全套接层），由 Netscape 公司提出的一种安全协议，目前广泛地使用在 WWW 协议中，主流的 Web 服务器和浏览器都支持 SSL 协议，但是SSL 协议不仅仅针对于 WWW 协议，它可以应用于传输层之上的所有服务。 它是一种在两台机器之间提供安全通道的协议，具有保护数据传输以及识别机器的功能。 安全通道是透明的，对所传输的数据不加改变，客户端和服务器 之间的数据是经过加密的，一端写入的数据完全是另一端读取的内容。 透明性使得几乎所有的基于 TCP 的协议稍加改动就可以在 SSL 上运行，非常方便。 SSL 的首要用途就是保护 HTTP 的 Web 通信。 建立 SSL 通信的过程很简单。 由于许多协议都在 TCP 上运行，而 SSL 连接与 TCP 连接非常相似，所以在 SSL 上附加现有的协议来保证其安全是一项非常吸引人的设计决策。 除了在 SSL 上运行 HTTP 之外，很快就出现了许多使用 SSL 来保护因特网协议的提议，其中包括 SMTP ,Tel 和 FTP，许多厂商还使用 SSL 来保护他们的专有协议。 黄河科技学院毕业设计说明书 第 8 页 SSL 将对称密码技术和公开密码技术相结合，提供了如下 3 中基本安全服务： 秘密性： SSL 协议能够在客户端和服务器之间建立起一个安全通道，所有消息都经过加密处理以后进行传输，网络中的非法黑客无法窃取。 完整性： SSL 协议利用密码算法和散列（ HASH）函数，通过对传输信息特征值的提取来保证信息的完整性，确保要传输的信息全部达到目的地，可以避免服务器和客户端之间的信息收到破坏。 认证性：利用证书技术和可信的第三方认证，可以让客户端和服务器相互识别对方的身份。 SSL 协议的分层模型 SSL 协议位于应用 层和传输层之间，独立于应用层协议，即建立在 SSL 之上的应用层协议可以透明地传输数据。 SSL 协议被设计成使用 TCP 协议提供端到端的安全服务，实际上， SSL 有一组协议组成，而不是单个协议。 SSL 协议是一个由两层协议组成的协议族，由底层的 SSL 记录协议（ SSL Record Protocol）和构建于其上的握手协议（ Handshake Protocol）、修改密码说明协议（ Change Cipher Spec Protocol）和报警协议（ Alert Protocol）等高层协议组成。 SSL 记录协议用来为高层的协 议封装数据，为 SSL连接提供了机密性和报文完整性两种服务。 SSL 握手协议可使 server 和 client 双方互相认证，并写上加密算法和密钥。 改变密码说明协议主要是在密钥规范改变之后通知记录层启用新的密钥规范。 报警协议用来将操作错误或异常情况通知对方。 SSL 协议分层模型如表 所示。 表 SSL 协议的分层模型 应用层协议（如 HTTP, FTP, Tel 等） SSL 握手协议 SSL 修改密钥协议 SSL 报警协议 SSL 记录层协议 TCP 层 IP 层 底层协议 SSL 协议的工作流程 服务器认证阶段： 1）客户端向服务器发送一个开始信息“ Hello”以便开始一个新的会话连接； 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务黄河科技学院毕业设计说明书 第 9 页 器在响应客户的“ Hello”信息时将包含生成主密钥所需的信息； 3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器； 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。 用户认证阶段：在此之前，服务器已经通过了客户认证，这一阶段主要完成对客户的认证。 经认证的服务器发送一个 提问给客户，客户则返回（数字）签名后的提问和其公开密钥，从而向服务器提供认证。 SSL 协议与其他协议的比较 1. SSL 协议与 IPSec（ IP Security）协议的比较 在这一节中。 从互用性、安全性、可扩展性和 IPV6 四个方面对 IPSec 协议和 SSL协议进行比较： 互用性：大部分的 Web 服务器厂家 (如 Netscape ,Microsoft ,Apache)都支持 SSL，在多数 Web 浏览器和服务器之间的互用性方面是一个优点，如果其它的应用要包含 SSL，就必须重新实现 SSL； IPSec 协议允许 多个厂商产品在网络和 PC 间互用， IPSec 在网络层单独的应用不必关心 IPSec 的实现． 安全性： SSL 在会话层实现，在 TCP 的上面，应用层的下面，它的位置决定了访问控制不能只有包过滤机制，还需要较高的访问控制方式：而 IPSec 使用包过滤的方式进行访问控制就可以了。 因为它只使用源地址、目的地址、源端口和目的端口，访问控制限制在包控制的层次。 可扩展性： SSL 的扩展性受到多个因素的影响，应用程序的每个连接需要独立的握手，随着客户对远端连接的增加，附加的处理能力转移到握手连接的建立。 最后导致较低的连接响应时间；对 于 IPSec，扩展性问题归结于 IKE 和 IPSec 使用的公钥加密因素。 IPV6 的因素： 1PSec 包含在 IPv6 中由于 SSL 位于应用层协议和传输层之间，不能被包含在 IPV6 中． 2. SSL 协议与 SET(Secure Electronic Transaction)协议的比较 安全套接层 SSL 和安全电子交易 SET 都是计算机网络安全技术中重要的协议。 SSL协议的目标是提供两个应用间通信的保密性和可靠性。 SET 协议是针对信用卡支付的网上交易而设计的支付规范，主要是保证通信信息的加密与安全。 下面我们从几个方面对这两个 协议进行比较： 从应用的角度来看， SSL 协议比 SET 协议更受欢迎，因为 SSL 协议已与浏览器集黄河科技学院毕业设计说明书 第 10 页 成，从而保证了浏览器与服务器之间的安全通信：而 SET 协议只限于专门的软件上实现，还要求必须向各方发放证书，阻碍了它的普及。 从协议的角度来看， SSL 只是简单的在交易双方之间建立一个安全连接，它是面向连接的； SET 协议是一个多方报文协议。 它定义了银行、商家、持卡人之间必须的报文规范，它允许各方之间的报文交换不是实时的。 从认证机制上来讲， SSL 协议只有服务器需要认证，客户端认证是有选择的：而 SET的安全需求较高，因此所 有参与 SET 交易的成员必须先申请数字证书来识别身份。 SSL 协议只是从 PC 机上的 Browser 到 Server 之问的信息安全性，属于一般的网络安全协议。 目的是保证通信的安全性：而 SET 协议侧重于机密性和身份认证，是信用卡的安全支付协议。 SSL 关键数据安全传输协议的选择 前面我们介绍了几种常见的安全协议： SSL 协议、 IPSec 协议和 SET 协议，并对这些协议进行了比较。 从前面的分析我们可以看出， IPSec 协议可以提供很高的安全性，但是实现它却不是一件很容易的事情，它需要对网络层的口数据包进行重 新封装，无论对服务器还是客户端都要做很大的改动，对于本子系统而言，代价很大且增加了通信双方的复杂度。 SET 协议是应用层的安全协议，它是专门针对网上信用卡支付提出的一个标准，主要是保证通信信息的加密与安全，很有针对性．由于本系统没有涉及到任何电子交易方面的东西，因此不是网络通信系统安全协议的最佳选择。 SSL 协议是一种在两台机器之间提供安全通道的协议。 它具有保护传输数据和识别通信机器的功能。 应用 SSL 协议所建立的通道是透明的，它对所传输的数据不加更改，客户端和服务器之间的数据是经过加密的，一端写入的数据完 全是另一端读取的数据，这种透明性使得几乎所有基于 TCP 的协议稍加修改就可以运行于 SSL 之上，非常方便。 SSL 协议既可以满足安全需求，对系统的改造又是轻量级的，可以充分发挥灵活、易用的特性。 综合以上分析，我们选择 SSL 协议作为安全网络通信系统的基础技术平台进行设计和实现。 黄河科技学院毕业设计说明书 第 11 页 小结 本 章主要叙述了加密技术和加密传输技术，介绍了一些传统的加密技术；简要介绍了一下 SSL 协议与其他两种协议的比较，并且阐述了基于 SSL 协议加密的基本理论。 黄河科技学院毕业设计说明书 第 12 页 3 需求分析 功能需求 表 安全存储需求表 功能编 号 功能名称 安全存储数据 功能描述 安全存储关键数据 输入项 输入 普通用户和超级用户密码 处理描述 将用户的密码用加密技术进行存储 输出项 在数据库中显示密文 1) 关键数据的安全存储：使用数字信封技术对数据进行安全存储； 2) 关键数据的安全传输：在服务器端和客户端之间实现数据的安全传输； 性能需求 (1) 能够使用对称加密算法对大量数据进行加密，并输出密文。 (2) 能够使用非对称加密算法加密公钥。 (3) 在服务器端和客户端之间进行数据的加密传输。 (4) 占用系统资源不能太多，内 存以及 CPU 的使用率要合理，电脑运行流畅。 (5) 需求的磁盘容量不宜太大 (6) 系统能稳定的运行，可用性好，能够可靠的达到用户的需求。 (7) 考虑到可操作性和稳定性，使用 SQL Server 2020 数据库 (8) 保护 护软件，以防止偶然或恶意的访问、使用、修改或泄密。 运用日志，对对进入系统的用户的操作进行记录，可以根据日志进行事后分析，从而找到事故的发生原因，责任者或非法用户。 用户需求 精品课程网站与其他网站不同的是其以教育性为目的， 针对的主要是在校学生， 所以教学内容建设是精品课程建设的 核心，精品课程的内容要有科学性、先进性、趣味性，反映本学科领域最新科技成果。 把专。