李　杰，張沛朋

(濟源職業(yè)技術(shù)學(xué)院 ，河南 濟源 459000)

?

基于CryptoAPI的文件安全交互系統(tǒng)設(shè)計

李杰，張沛朋

(濟源職業(yè)技術(shù)學(xué)院 ，河南 濟源 459000)

摘要：為了防止信息在網(wǎng)絡(luò)傳輸過程中泄露，需要對其進行加密，保證信息的安全性。文章設(shè)計了一個在網(wǎng)絡(luò)中安全傳輸文件的系統(tǒng)，實現(xiàn)了用戶之間點對點傳輸文件的功能，同時采用Microsoft公司的CryptoAPI加密服務(wù)模塊，運用多種加密算法對文件進行加密，并提供證書的相關(guān)服務(wù)。

關(guān)鍵詞：CryptoAPI；文件安全；系統(tǒng)

進入信息時代以來,人類的生活發(fā)生了翻天覆地的變化。特別是隨著信息技術(shù)的快速發(fā)展,因特網(wǎng)(Internet)的廣泛使用和辦公自動化迅速普及，人與人之間的信息傳遞越來越依賴于網(wǎng)絡(luò)。而涉及各類隱私和機密信息的數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)念l率大大增加，世界范圍內(nèi)黑客的活動也愈加猖獗，網(wǎng)絡(luò)信息安全的重要性也與日俱增。如何安全地將數(shù)據(jù)傳送給對方，確保數(shù)據(jù)的安全性是一個亟需解決的問題。

基于CryptoAPI的安全交互系統(tǒng)從信息傳輸?shù)姆椒矫婷嬷?，借助于CryptoAPI提供的強大加密功能對傳輸過程中的每個步驟都加以保護，切斷信息泄露的各個途徑，為用戶提供一個安全傳輸信息的環(huán)境。交互式的設(shè)計也便于用戶之間相互傳遞數(shù)據(jù)，使得普通用戶也能方便而安全地在網(wǎng)絡(luò)中傳輸數(shù)據(jù)，對于保障公民隱私和研究推廣網(wǎng)絡(luò)信息安全有重要的意義。

1需求分析

1.1用戶特點

本系統(tǒng)的用戶分為管理員和一般用戶。管理員負責(zé)維護服務(wù)端，具備一定的計算機知識，對系統(tǒng)的各模塊有一定的了解，熟悉PKI體系，了解CA工作流程和證書的頒發(fā)步驟。一般用戶使用客戶端登陸，只需要會使用客戶端提供的本地加密功能和網(wǎng)絡(luò)傳輸功能即可。

1.2界面要求

(1)易用性：要求界面簡潔，便于使用、便于了解，使用戶能很快上手，并減少用戶發(fā)生錯誤選擇的可能性。

(2)用戶的語言：界面要適應(yīng)用戶的母語，而不是設(shè)計者的語言。

(3)一致性：服務(wù)端和客戶端各個界面的結(jié)構(gòu)必須清晰且風(fēng)格一致，同時界面風(fēng)格也必須與內(nèi)容相一致。

(5)美觀：界面需符合一般人的審美觀，不會讓用戶產(chǎn)生不舒服的感覺。

(6)安全性:用戶能自由地做出選擇，且所有選擇都是可逆的。在用戶做出危險的選擇時有信息提示。

(7)人性化: 充分考慮大多數(shù)人的使用習(xí)慣，使得軟件符合一般人的操作習(xí)慣。

1.3功能需求

(1)用戶的注冊和登錄

用戶首先需要注冊賬號，輸入用戶名和密碼等必須的注冊信息之后，服務(wù)端響應(yīng)注冊消息，注冊賬號同時向服務(wù)端申請數(shù)字證書。注冊用戶輸入正確的用戶名密碼之后可以登錄本系統(tǒng)，登陸之后可以使用和其他登陸用戶進行文件傳輸?shù)裙δ堋?/p>

(2)用戶管理服務(wù)

服務(wù)端管理所有注冊用戶，維護用戶數(shù)據(jù)庫，進行用戶的添加和刪除等。服務(wù)端管理當(dāng)前登陸用戶，更新和維護在線用戶列表，將在線用戶發(fā)送至每個登陸的客戶端。

(3)證書管理

實現(xiàn)一個簡單的CA系統(tǒng)，為每個注冊用戶頒發(fā)證書，對已經(jīng)發(fā)放的證書進行管理，包括用戶證書申請的審核、證書生成、證書發(fā)放、證書的存貯、證書吊銷等。維護證書信任列表(CTL)和證書吊銷列表(CRL)。

(4)本地文件加密、解密

使用多種對稱加密算法對用戶指定的文件進行高強度的加密、解密，并輸出至指定位置。采用的對稱加密算法包括分組加密算法和流加密算法兩類。前者包括AES，DES，3DES等，并可以選擇不同的密鑰長度，后者包括RC2，RC4。

(5)文件加密傳輸

登陸用戶可與任意在線用戶進行點對點的文件傳輸，包括文件發(fā)送和文件接受兩部分功能。要求傳輸文件之前收發(fā)雙發(fā)互相驗證對方身份，確保傳輸文件的會話對象為預(yù)期的用戶。要求傳輸過程中對文件進行加密，保證文件的安全性。

2系統(tǒng)的總體設(shè)計

2.1系統(tǒng)框架結(jié)構(gòu)

本系統(tǒng)為CS架構(gòu)，包含服務(wù)端和客戶端兩部分。

客戶端包含主控界面、本地加解密、文件安全傳輸三大模塊。

服務(wù)端包含用戶管理、證書管理兩部分功能。

圖1　系統(tǒng)框架結(jié)構(gòu)圖

2.2模塊功能設(shè)計

2.2.1客戶端

(1)主控界面，提供一個簡潔、美觀、友好的風(fēng)格統(tǒng)一的交互式用戶界面。包括以下幾個部分：主菜單，包含了程序主要功能的菜單命令。用戶注冊界面，要求向服務(wù)端提供用戶名、密碼、Email、用戶生日等基本信息。并響應(yīng)服務(wù)器返回的注冊結(jié)果。用戶登錄界面，向服務(wù)器提供用戶名和密碼，提示用戶登錄成功、失敗等信息。本地文件加、解密界面，向本地文件加、解密模塊提供源文件路徑、目標(biāo)文件路徑、和加、解密口令。網(wǎng)絡(luò)文件傳輸界面，包括在線用戶列表、文件傳輸進度條、傳輸文件大小、已傳輸大小等基本信息。

(2)本地文件加、解密模塊，使用CryptoAPI提供的加密服務(wù)對文件進行加密，并提供相應(yīng)的解密功能。采用多種安全算法，具體包括以下幾種。分組加密：DES、3DES、AES，其中分別提供密鑰長度為128、192、256的三種AES加密。流式加密：RC2、RC4，加密后的目標(biāo)文件添加“.算法名”的后綴，以幫助用戶記憶所采用的加密算法。如：用戶采用長度為256位的密鑰對文件a.txt進行AES加密之后，目標(biāo)文件的名稱為“a.txt.AES256”。

(3)文件安全傳輸模塊，登陸后可以向在線用戶發(fā)送文件。

2.2．2 服務(wù)端

(1)用戶管理

包括管理用戶的注冊，維護用戶數(shù)據(jù)庫，進行用戶添加，用戶刪除操作。處理用戶的登錄事件，維護在線列表，將在線用戶列表發(fā)送至每一個登錄用戶。

(2)證書管理。包括證書管理界面設(shè)計，證書申請的審核、證書的生成、證書的頒發(fā)及通知用戶、證書的存儲、證書的撤銷等操作。

本系統(tǒng)的身份認證基于PKICA體系，有一個簡單的CA認證中心。服務(wù)端集合了CA和RA的功能，負責(zé)頒發(fā)、管理證書。

圖2　證書管理結(jié)構(gòu)圖

3服務(wù)端詳細設(shè)計與實現(xiàn)

3.1服務(wù)端界面設(shè)計

服務(wù)端界面有一個主菜單，主菜單中包括了服務(wù)器的主要操作命令，包括服務(wù)器管理，用戶管理，證書管理，視圖四個二級菜單。每個菜單都設(shè)置了快捷鍵，方便管理員操作。當(dāng)前不可用的菜單全部顯示為灰色不可用，防止管理員誤操作，以增強程序的魯棒性。

表1　服務(wù)端菜單列表

3.2數(shù)據(jù)庫設(shè)計

(1)用戶表

本系統(tǒng)未設(shè)置管理員賬號，普通用戶具有相同的權(quán)限，故只需一用戶信息表記錄所有用戶的注冊信息即可。考慮到應(yīng)用時數(shù)據(jù)量較小，不超過3000條，文本字段均采用了nvarchar類型，以方便操作。主鍵UID為用戶編號，采用自動編號，編號遞增量為1。用戶表名UserInfo：

表2　UserInfo表

圖3用戶表屬性圖

(2)證書表

系統(tǒng)實現(xiàn)了簡單的證書管理功能，證書表記錄了用戶請求證書的基本信息。主鍵SerialNum為自動編號，遞增量為1。所有字段均為非空。考慮到數(shù)據(jù)量不大所有文本字段均采用了nvarchar類型。證書表名CerList：

表3　CerList表

圖4CerList表屬性圖

3.3用戶管理模塊設(shè)計

用戶管理模塊主要功能是和客戶端進行通訊，響應(yīng)客戶端的注冊、登陸事件。同時管理一個用戶數(shù)據(jù)庫，對數(shù)據(jù)庫進行添加/刪除操作，并且維護一個動態(tài)的在線用戶列表。

系統(tǒng)采用Microsoft公司的SQL Server 2000數(shù)據(jù)庫系統(tǒng)。

系統(tǒng)采用ADO(ActiveX Data Object)方式訪問數(shù)據(jù)庫。ADO基于COM技術(shù)，使用OLEDB接口，包含較少的對象，但是實現(xiàn)了更多的屬性、方法(和參數(shù))，以及事件，功能更加強大，使用方便并且效率也很高。

一個簡單的數(shù)據(jù)庫操作類——ADOConn類：系統(tǒng)使用ADOConn類進行數(shù)據(jù)庫訪問操作，該類封裝了一下一些基本的數(shù)據(jù)庫操作。

連接數(shù)據(jù)庫，關(guān)閉數(shù)據(jù)庫連接。

執(zhí)行SQL語句，實現(xiàn)添加、刪除記錄等操作。

執(zhí)行SQL語句，得到數(shù)據(jù)集，返回指向該數(shù)據(jù)集的指針。

封裝ADOConn類優(yōu)點是使得程序結(jié)構(gòu)更加清晰，更改代碼更加方便，增強程序的可讀性。

4結(jié)語

本文分析了系統(tǒng)的框架結(jié)構(gòu)，進行了模塊功能劃分。并從總體上設(shè)計了程序，接著又詳細闡述了服務(wù)端的設(shè)計和實現(xiàn)。分別介紹了用戶管理和證書管理兩個模塊的設(shè)計方案和具體實現(xiàn)方案。重點研究了微軟CryptoAPI的使用方法，最后編程實現(xiàn)了這個系統(tǒng)。

[參考文獻]

[1] 裴照君,段哲民,王海濤.基于Microsoft CryptoAPI框架下的數(shù)據(jù)安全通信系統(tǒng)開發(fā)[J].微型電腦應(yīng)用，2008，24(10).

[2] 李明柱.利用CRYPTOAPI進行信息安全編程[J].電腦編程技巧與維護，2001 (12).

[3] 巴永軍.利用CRYPTOAPI進行的網(wǎng)絡(luò)消息加密[J].計算機工程，2004(B12).

[4] 關(guān)晨至,劉振亞.利用CRYPTOAPI實現(xiàn)AES加密解密程序設(shè)計[J].電腦編程技巧與維護，2007(12).

[5] 姚世軍,陳楚香.用CRYPTOAPI生成密鑰的方法[J].河南教育學(xué)院學(xué)報：自然科學(xué)版，2003(4).

[6] 朗銳.在VC中用CryptoAPI保證安全數(shù)據(jù)通信[J]. Internet：共創(chuàng)軟件，2002(5).

[7] 宋玲,李陶深,陳拓.VC++下通過CRYPTOAPI對機要信息實行安全加密[J].計算機應(yīng)用與軟件，2005(7).

[責(zé)任編輯：崔海瑛]

Design of file security interaction system based on CryptoAPI

LI-Jie，ZHANG Pei-peng

(Architecture and Civil Engineering ， Jiyuan 459000，China)

Abstract：In order to prevent the transmission of information in the process of network transmission, it needs to be encrypted to ensure the security of information. In this paper, a system for secure transmission of files in a network is designed. The system realized between users point to point file transfer function, at the same time, the Microsoft CryptoAPI cryptographic service module, using a variety of encryption algorithm to encrypt files, and provide a certificate of service.

Key words:CryptoAPI; File security；system.

作者簡介：李杰(1979-)，女，河南濟源人，建筑工程系講師，從事計算機應(yīng)用技術(shù)研究。

基金項目：2015年度河南省高等學(xué)校青年骨干教師資助計劃項目(2015GGJS-282)。

中圖分類號：TP309

文獻標(biāo)識碼：A

文章編號：2095-0063(2016)03-0025-05

收稿日期：2016-01-28

DOI 10.13356/j.cnki.jdnu.2095-0063.2016.03.007