基于CryptoAPI的文件安全交互系統(tǒng)設(shè)計(jì)

李　杰，張沛朋

(濟(jì)源職業(yè)技術(shù)學(xué)院 ，河南 濟(jì)源 459000)

?

基于CryptoAPI的文件安全交互系統(tǒng)設(shè)計(jì)

李杰，張沛朋

(濟(jì)源職業(yè)技術(shù)學(xué)院 ，河南 濟(jì)源 459000)

摘要：為了防止信息在網(wǎng)絡(luò)傳輸過程中泄露，需要對(duì)其進(jìn)行加密，保證信息的安全性。文章設(shè)計(jì)了一個(gè)在網(wǎng)絡(luò)中安全傳輸文件的系統(tǒng)，實(shí)現(xiàn)了用戶之間點(diǎn)對(duì)點(diǎn)傳輸文件的功能，同時(shí)采用Microsoft公司的CryptoAPI加密服務(wù)模塊，運(yùn)用多種加密算法對(duì)文件進(jìn)行加密，并提供證書的相關(guān)服務(wù)。

關(guān)鍵詞：CryptoAPI；文件安全；系統(tǒng)

進(jìn)入信息時(shí)代以來,人類的生活發(fā)生了翻天覆地的變化。特別是隨著信息技術(shù)的快速發(fā)展,因特網(wǎng)(Internet)的廣泛使用和辦公自動(dòng)化迅速普及，人與人之間的信息傳遞越來越依賴于網(wǎng)絡(luò)。而涉及各類隱私和機(jī)密信息的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)念l率大大增加，世界范圍內(nèi)黑客的活動(dòng)也愈加猖獗，網(wǎng)絡(luò)信息安全的重要性也與日俱增。如何安全地將數(shù)據(jù)傳送給對(duì)方，確保數(shù)據(jù)的安全性是一個(gè)亟需解決的問題。

基于CryptoAPI的安全交互系統(tǒng)從信息傳輸?shù)姆椒矫婷嬷郑柚贑ryptoAPI提供的強(qiáng)大加密功能對(duì)傳輸過程中的每個(gè)步驟都加以保護(hù)，切斷信息泄露的各個(gè)途徑，為用戶提供一個(gè)安全傳輸信息的環(huán)境。交互式的設(shè)計(jì)也便于用戶之間相互傳遞數(shù)據(jù)，使得普通用戶也能方便而安全地在網(wǎng)絡(luò)中傳輸數(shù)據(jù)，對(duì)于保障公民隱私和研究推廣網(wǎng)絡(luò)信息安全有重要的意義。

1需求分析

1.1用戶特點(diǎn)

本系統(tǒng)的用戶分為管理員和一般用戶。管理員負(fù)責(zé)維護(hù)服務(wù)端，具備一定的計(jì)算機(jī)知識(shí)，對(duì)系統(tǒng)的各模塊有一定的了解，熟悉PKI體系，了解CA工作流程和證書的頒發(fā)步驟。一般用戶使用客戶端登陸，只需要會(huì)使用客戶端提供的本地加密功能和網(wǎng)絡(luò)傳輸功能即可。

1.2界面要求

(1)易用性：要求界面簡潔，便于使用、便于了解，使用戶能很快上手，并減少用戶發(fā)生錯(cuò)誤選擇的可能性。

(2)用戶的語言：界面要適應(yīng)用戶的母語，而不是設(shè)計(jì)者的語言。

(3)一致性：服務(wù)端和客戶端各個(gè)界面的結(jié)構(gòu)必須清晰且風(fēng)格一致，同時(shí)界面風(fēng)格也必須與內(nèi)容相一致。

(5)美觀：界面需符合一般人的審美觀，不會(huì)讓用戶產(chǎn)生不舒服的感覺。

(6)安全性:用戶能自由地做出選擇，且所有選擇都是可逆的。在用戶做出危險(xiǎn)的選擇時(shí)有信息提示。

(7)人性化: 充分考慮大多數(shù)人的使用習(xí)慣，使得軟件符合一般人的操作習(xí)慣。

1.3功能需求

(1)用戶的注冊(cè)和登錄

用戶首先需要注冊(cè)賬號(hào)，輸入用戶名和密碼等必須的注冊(cè)信息之后，服務(wù)端響應(yīng)注冊(cè)消息，注冊(cè)賬號(hào)同時(shí)向服務(wù)端申請(qǐng)數(shù)字證書。注冊(cè)用戶輸入正確的用戶名密碼之后可以登錄本系統(tǒng)，登陸之后可以使用和其他登陸用戶進(jìn)行文件傳輸?shù)裙δ堋?/p>

(2)用戶管理服務(wù)

服務(wù)端管理所有注冊(cè)用戶，維護(hù)用戶數(shù)據(jù)庫，進(jìn)行用戶的添加和刪除等。服務(wù)端管理當(dāng)前登陸用戶，更新和維護(hù)在線用戶列表，將在線用戶發(fā)送至每個(gè)登陸的客戶端。

(3)證書管理

實(shí)現(xiàn)一個(gè)簡單的CA系統(tǒng)，為每個(gè)注冊(cè)用戶頒發(fā)證書，對(duì)已經(jīng)發(fā)放的證書進(jìn)行管理，包括用戶證書申請(qǐng)的審核、證書生成、證書發(fā)放、證書的存貯、證書吊銷等。維護(hù)證書信任列表(CTL)和證書吊銷列表(CRL)。

(4)本地文件加密、解密

使用多種對(duì)稱加密算法對(duì)用戶指定的文件進(jìn)行高強(qiáng)度的加密、解密，并輸出至指定位置。采用的對(duì)稱加密算法包括分組加密算法和流加密算法兩類。前者包括AES，DES，3DES等，并可以選擇不同的密鑰長度，后者包括RC2，RC4。

(5)文件加密傳輸

登陸用戶可與任意在線用戶進(jìn)行點(diǎn)對(duì)點(diǎn)的文件傳輸，包括文件發(fā)送和文件接受兩部分功能。要求傳輸文件之前收發(fā)雙發(fā)互相驗(yàn)證對(duì)方身份，確保傳輸文件的會(huì)話對(duì)象為預(yù)期的用戶。要求傳輸過程中對(duì)文件進(jìn)行加密，保證文件的安全性。

2系統(tǒng)的總體設(shè)計(jì)

2.1系統(tǒng)框架結(jié)構(gòu)

本系統(tǒng)為CS架構(gòu)，包含服務(wù)端和客戶端兩部分。

客戶端包含主控界面、本地加解密、文件安全傳輸三大模塊。

服務(wù)端包含用戶管理、證書管理兩部分功能。

圖1　系統(tǒng)框架結(jié)構(gòu)圖

2.2模塊功能設(shè)計(jì)

2.2.1客戶端

(1)主控界面，提供一個(gè)簡潔、美觀、友好的風(fēng)格統(tǒng)一的交互式用戶界面。包括以下幾個(gè)部分：主菜單，包含了程序主要功能的菜單命令。用戶注冊(cè)界面，要求向服務(wù)端提供用戶名、密碼、Email、用戶生日等基本信息。并響應(yīng)服務(wù)器返回的注冊(cè)結(jié)果。用戶登錄界面，向服務(wù)器提供用戶名和密碼，提示用戶登錄成功、失敗等信息。本地文件加、解密界面，向本地文件加、解密模塊提供源文件路徑、目標(biāo)文件路徑、和加、解密口令。網(wǎng)絡(luò)文件傳輸界面，包括在線用戶列表、文件傳輸進(jìn)度條、傳輸文件大小、已傳輸大小等基本信息。

(2)本地文件加、解密模塊，使用CryptoAPI提供的加密服務(wù)對(duì)文件進(jìn)行加密，并提供相應(yīng)的解密功能。采用多種安全算法，具體包括以下幾種。分組加密：DES、3DES、AES，其中分別提供密鑰長度為128、192、256的三種AES加密。流式加密：RC2、RC4，加密后的目標(biāo)文件添加“.算法名”的后綴，以幫助用戶記憶所采用的加密算法。如：用戶采用長度為256位的密鑰對(duì)文件a.txt進(jìn)行AES加密之后，目標(biāo)文件的名稱為“a.txt.AES256”。

(3)文件安全傳輸模塊，登陸后可以向在線用戶發(fā)送文件。

2.2．2 服務(wù)端

(1)用戶管理

包括管理用戶的注冊(cè)，維護(hù)用戶數(shù)據(jù)庫，進(jìn)行用戶添加，用戶刪除操作。處理用戶的登錄事件，維護(hù)在線列表，將在線用戶列表發(fā)送至每一個(gè)登錄用戶。

(2)證書管理。包括證書管理界面設(shè)計(jì)，證書申請(qǐng)的審核、證書的生成、證書的頒發(fā)及通知用戶、證書的存儲(chǔ)、證書的撤銷等操作。

本系統(tǒng)的身份認(rèn)證基于PKICA體系，有一個(gè)簡單的CA認(rèn)證中心。服務(wù)端集合了CA和RA的功能，負(fù)責(zé)頒發(fā)、管理證書。

圖2　證書管理結(jié)構(gòu)圖

3服務(wù)端詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)

3.1服務(wù)端界面設(shè)計(jì)

服務(wù)端界面有一個(gè)主菜單，主菜單中包括了服務(wù)器的主要操作命令，包括服務(wù)器管理，用戶管理，證書管理，視圖四個(gè)二級(jí)菜單。每個(gè)菜單都設(shè)置了快捷鍵，方便管理員操作。當(dāng)前不可用的菜單全部顯示為灰色不可用，防止管理員誤操作，以增強(qiáng)程序的魯棒性。

表1　服務(wù)端菜單列表

3.2數(shù)據(jù)庫設(shè)計(jì)

(1)用戶表

本系統(tǒng)未設(shè)置管理員賬號(hào)，普通用戶具有相同的權(quán)限，故只需一用戶信息表記錄所有用戶的注冊(cè)信息即可。考慮到應(yīng)用時(shí)數(shù)據(jù)量較小，不超過3000條，文本字段均采用了nvarchar類型，以方便操作。主鍵UID為用戶編號(hào)，采用自動(dòng)編號(hào)，編號(hào)遞增量為1。用戶表名UserInfo：

表2　UserInfo表

圖3用戶表屬性圖

(2)證書表

系統(tǒng)實(shí)現(xiàn)了簡單的證書管理功能，證書表記錄了用戶請(qǐng)求證書的基本信息。主鍵SerialNum為自動(dòng)編號(hào)，遞增量為1。所有字段均為非空?？紤]到數(shù)據(jù)量不大所有文本字段均采用了nvarchar類型。證書表名CerList：

表3　CerList表

圖4CerList表屬性圖

3.3用戶管理模塊設(shè)計(jì)

用戶管理模塊主要功能是和客戶端進(jìn)行通訊，響應(yīng)客戶端的注冊(cè)、登陸事件。同時(shí)管理一個(gè)用戶數(shù)據(jù)庫，對(duì)數(shù)據(jù)庫進(jìn)行添加/刪除操作，并且維護(hù)一個(gè)動(dòng)態(tài)的在線用戶列表。

系統(tǒng)采用Microsoft公司的SQL Server 2000數(shù)據(jù)庫系統(tǒng)。

系統(tǒng)采用ADO(ActiveX Data Object)方式訪問數(shù)據(jù)庫。ADO基于COM技術(shù)，使用OLEDB接口，包含較少的對(duì)象，但是實(shí)現(xiàn)了更多的屬性、方法(和參數(shù))，以及事件，功能更加強(qiáng)大，使用方便并且效率也很高。

一個(gè)簡單的數(shù)據(jù)庫操作類——ADOConn類：系統(tǒng)使用ADOConn類進(jìn)行數(shù)據(jù)庫訪問操作，該類封裝了一下一些基本的數(shù)據(jù)庫操作。

連接數(shù)據(jù)庫，關(guān)閉數(shù)據(jù)庫連接。

執(zhí)行SQL語句，實(shí)現(xiàn)添加、刪除記錄等操作。

執(zhí)行SQL語句，得到數(shù)據(jù)集，返回指向該數(shù)據(jù)集的指針。

封裝ADOConn類優(yōu)點(diǎn)是使得程序結(jié)構(gòu)更加清晰，更改代碼更加方便，增強(qiáng)程序的可讀性。

4結(jié)語

本文分析了系統(tǒng)的框架結(jié)構(gòu)，進(jìn)行了模塊功能劃分。并從總體上設(shè)計(jì)了程序，接著又詳細(xì)闡述了服務(wù)端的設(shè)計(jì)和實(shí)現(xiàn)。分別介紹了用戶管理和證書管理兩個(gè)模塊的設(shè)計(jì)方案和具體實(shí)現(xiàn)方案。重點(diǎn)研究了微軟CryptoAPI的使用方法，最后編程實(shí)現(xiàn)了這個(gè)系統(tǒng)。

[參考文獻(xiàn)]

[1] 裴照君,段哲民,王海濤.基于Microsoft CryptoAPI框架下的數(shù)據(jù)安全通信系統(tǒng)開發(fā)[J].微型電腦應(yīng)用，2008，24(10).

[2] 李明柱.利用CRYPTOAPI進(jìn)行信息安全編程[J].電腦編程技巧與維護(hù)，2001 (12).

[3] 巴永軍.利用CRYPTOAPI進(jìn)行的網(wǎng)絡(luò)消息加密[J].計(jì)算機(jī)工程，2004(B12).

[4] 關(guān)晨至,劉振亞.利用CRYPTOAPI實(shí)現(xiàn)AES加密解密程序設(shè)計(jì)[J].電腦編程技巧與維護(hù)，2007(12).

[5] 姚世軍,陳楚香.用CRYPTOAPI生成密鑰的方法[J].河南教育學(xué)院學(xué)報(bào)：自然科學(xué)版，2003(4).

[6] 朗銳.在VC中用CryptoAPI保證安全數(shù)據(jù)通信[J]. Internet：共創(chuàng)軟件，2002(5).

[7] 宋玲,李陶深,陳拓.VC++下通過CRYPTOAPI對(duì)機(jī)要信息實(shí)行安全加密[J].計(jì)算機(jī)應(yīng)用與軟件，2005(7).

[責(zé)任編輯：崔海瑛]

Design of file security interaction system based on CryptoAPI

LI-Jie，ZHANG Pei-peng

(Architecture and Civil Engineering ， Jiyuan 459000，China)

Abstract：In order to prevent the transmission of information in the process of network transmission, it needs to be encrypted to ensure the security of information. In this paper, a system for secure transmission of files in a network is designed. The system realized between users point to point file transfer function, at the same time, the Microsoft CryptoAPI cryptographic service module, using a variety of encryption algorithm to encrypt files, and provide a certificate of service.

Key words:CryptoAPI; File security；system.

作者簡介：李杰(1979-)，女，河南濟(jì)源人，建筑工程系講師，從事計(jì)算機(jī)應(yīng)用技術(shù)研究。

基金項(xiàng)目：2015年度河南省高等學(xué)校青年骨干教師資助計(jì)劃項(xiàng)目(2015GGJS-282)。

中圖分類號(hào)：TP309

文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：2095-0063(2016)03-0025-05

收稿日期：2016-01-28

DOI 10.13356/j.cnki.jdnu.2095-0063.2016.03.007