基于SSL的課程設計

1、樹達學院課 程 設 計 論 文題 目 基于SSL電子商務網(wǎng)站 安全登錄系統(tǒng)設計與實現(xiàn) 姓 名 蔣少軍 學 號 200821210144 院 （系） 樹達學院（理工系） 專業(yè)、年級 08通信工程 指導教師 鄧月明 起止時間 至 二一一年九月湖南師范大學課程設計任務書課程設計題目基于SSL電子商務網(wǎng)站安全登陸系統(tǒng)設計與實現(xiàn)作 者 姓 名蔣少軍所屬院、專業(yè)、年級 樹達 院 通信工程 專業(yè) 2008 年級指導教師鄧月明（講師）設計任務：任務：理解SSL的原理，基于JAVA虛擬機，完成數(shù)字證書的生成與提交方法，前后臺登錄方式的設計；SSL登錄的處理。（1） 基于JAVA虛擬機完成數(shù)字證書的生成與提交方法

2、（2） 基于JAVA虛擬機完成前后臺登錄方式的設計（3） 理解SSL的原理（4） SSL登錄的處理總體要求： 在切實理解SSL概念的基礎上，通過分析電子商務網(wǎng)站安全登陸系統(tǒng)，掌握java虛擬機的操作，完成數(shù)字證書的生成與提交方法、完成前后臺登錄方式的設計。著重理解SSL的原理，最后要進行總結，包括設計心得、展望等。設計原始資料：（1） 精通PKI網(wǎng)絡安全認證技術與編程實現(xiàn)（2） 學術期刊：包括期刊論文和學位論文（3） 自己上網(wǎng)查找相關資料完成本設計應具備的環(huán)境（軟件、硬件）：（1）軟件環(huán)境 Windows操作系統(tǒng)、JAVA虛擬機（2）硬件環(huán)境 無各階段任務安排：第一周選擇子任務，查閱資料，進行

3、子系統(tǒng)整體設計。第二周進行嵌入式實驗開發(fā)系統(tǒng)配置、驅動程序的開發(fā)及移植，并進行調測。第三周完成系統(tǒng)設計，撰寫課程設計報告。主要參考資料：（1）精通PKI網(wǎng)絡安全認證技術與編程實現(xiàn)（2）SSL協(xié)議體系結構簡述（3）網(wǎng)絡安全與保密（4）計算機網(wǎng)絡（5）Java開發(fā)實戰(zhàn)經(jīng)典六、指導老師聯(lián)系方式：EMAIL：dengyuemingTel:目錄摘要···················

4、83;···················5一、SSL的原理·····························

5、6二、數(shù)字證書的生成與提交方法··············7三、前后臺登錄方式的設計··················9四、SSL登錄的處理···········

6、83;············12設計心得·································15參考文獻··

7、83;······························16源代碼··················

8、3;················17摘要隨著計算機、網(wǎng)絡、信息技術的發(fā)展和日益融合，互聯(lián)網(wǎng)Internet己進入我國國民經(jīng)濟和社會生活的各個領域和各個環(huán)節(jié)，無論是政府機關、工礦企業(yè)還是家庭、個人，都可以通過Internet獲取資訊，共享信息。Internet的快速發(fā)展，也引起電子商務的蓬勃發(fā)展。電子商務是在Internet與傳統(tǒng)信息技術相結合的背景下應運而生的一種動態(tài)商務活動，電子支付系統(tǒng)是電子商務體系的重要組成部分，主要用來解決電

9、子商務中的各交易實體(用戶、商家、企業(yè)、銀行等)間資金流和信息流在Internet上的即時傳遞及其安全性問題。隨著電子商務的快速發(fā)展，電子支付系統(tǒng)一直是國內電子商務體系中的薄弱環(huán)節(jié)，越來越成為制約電子商務發(fā)展的一個關鍵因素。因此，本文著重研究構建一個安全的電子支付系統(tǒng)，以解決電子商務中實時在線的安全支付問題。SSL的原理1、SSL協(xié)議基本介紹安全套接層（Secure Sockets Layer，SSL）是網(wǎng)景公司（Netscape）在推出Web瀏覽器首版的同時，提出的協(xié)議。SSL采用公開密鑰技術，保證兩個應用間通信的保密性和可靠性，使客戶與服務器應用之間的通信不被攻擊者竊聽?？稍诜掌骱涂蛻魴C

10、兩端同時實現(xiàn)支持，目前已成為互聯(lián)網(wǎng)上保密通訊的工業(yè)標準，現(xiàn)行Web瀏覽器亦普遍將Http和SSL相結合，從而實現(xiàn)安全通信。此協(xié)議和其繼任者傳輸層安全（Transport Layer Security，TLS）是為網(wǎng)絡通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡連接進行加密。2、SSL協(xié)議提供的服務主要有：1）認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器； 2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取； 3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。3、SSL協(xié)議工作流程：服務器認證階段：1）客戶端向服務器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；2）服務

11、器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；3）客戶根據(jù)收到的服務器響應信息，產(chǎn)生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；4）服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。 用戶認證階段：在此之前，服務器已經(jīng)通過了客戶認證，這一階段主要完成對客戶的認證。經(jīng)認證的服務器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務器提供認證。 4、SSL協(xié)議優(yōu)勢SSL協(xié)議的優(yōu)勢在于它是與應用層協(xié)議獨立無關的。高層的應用層協(xié)議 (例如：Http、FTP、Telnet等等

12、) 能透明的建立于SSL協(xié)議之上。SSL協(xié)議在應用層協(xié)議通信之前就已經(jīng)完成加密算法、通信密鑰的協(xié)商以及服務器認證工作。在此之后應用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。 數(shù)字證書的生成與提交方法1、創(chuàng)建證書Java 中的 keytool.exe （位于 JDKBin 目錄下）可以用來創(chuàng)建數(shù)字證書，所有的數(shù)字證書是以一條一條(采用別名區(qū)別)的形式存入證書庫的中，證書庫中的一條證書包含該條證書的私鑰，公鑰和對應的數(shù)字證書的信息。證書庫中的一條證書可以導出數(shù)字證書文件，數(shù)字證書文件只包括主體信息和對應的公鑰。每一個證書庫是一個文件組成，它有訪問密碼，在首次創(chuàng)建時，它會自動生成證書庫，并

13、要求指定訪問證書庫的密碼。在創(chuàng)建證書的的時候，需要填寫證書的一些信息和證書對應的私鑰密碼。這些信息包括 CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx，它們的意思是：CN（Common Name - 名字與姓氏）OU（Organization Unit - 組織單位名稱）O（Organization - 組織名稱）L（Locality - 城市或區(qū)域名稱）ST（State - 州或省份名稱）C（Country - 國家名稱）可以采用交互式讓工具提示輸入以上信息，也可以采用參數(shù)，如：-dname “CN=xx,OU=xx,O=xx,L=xx,ST=xx,C=xx”來自動創(chuàng)建。如

14、下所示一句采用交互式創(chuàng)建一個證書，指定證書庫為 BocsoftKeyLib，創(chuàng)建別名為 TestCertification 的一條證書，它指定用 RSA 算法生成，且指定密鑰長度為 1024，證書有效期為 1 年：C:JDK1.4BinKeyStore>keytool -genkey -alias TestCertification -keyalg RSA -keysize 1024 -keystore BocsoftKeyLib -validity 3652.證書的操作1)證書的顯示使用如下命令： keytool list keystore BocsoftKeyLib 將顯示 Bocs

15、oftKeyLib 證書庫的的所有證書列表：將證書導出到證書文件，使用命令：keytool -export -alias TestCertification -file TC.cer -keystore BocsoftKeyLib 將把證書庫 BocsoftKeyLib 中的別名。 TestCertification 的證書導出到 TC.cer 證書文件中，它包含證書主體的信息及證書的公鑰，不包括私鑰，可以公開。導出的證書文件是以二進制編碼文件，無法用文本編輯器正確顯示，可以加上 -rfc參數(shù)以一種可打印的編者編碼輸出。 如：keytool -export -alias TestCertifi

16、cation -file TC.cer -keystore BocsoftKeyLib -storepass 123456 rfc這個命令在命令行中指定了證書庫的訪問密碼，同時指定以可查看編碼的方式輸出。2)通過證書文件查看證書的信息通過命令: keytool printcert file TC.cer 可以查看證書文件的信息。 也可以在 Windows 資源管理器中雙擊產(chǎn)生的證書文件直接查看。3)證書條目的刪除keytool的命令行參數(shù) -delete 可以刪除密鑰庫中的條目，如： keytool -delete -alias TestCertification -keystore Bocs

17、oftKeyLib，這條命令將 BocsoftKeyLib 庫中的 TestCertification 這一條證書刪除了。4)證書條目口令的修改使用 -keypasswd 參數(shù)，如：keytool keypasswd alias TestCertification keystore BocsoftKeyLib，可以以交互的方式修改 BocsoftKeyLib 證書庫中的條目為 TestCertification 的證書。Keytool keypasswd alias TestCertification keypass 654321 new 123456 storepass 888888 key

18、store BocsoftKeyLib 這一行命令以非交互式的方式修改庫中別名為 TestCertification 的證書的密碼為新密碼 654321，行中的 123456 是指該條證書的原密碼， 888888 是指證書庫的密碼。前后臺登錄方式的設計登錄處理頁面的功能是獲取SSL登錄的證書，讀取證書標識查詢用戶數(shù)據(jù)庫驗證用戶身份或權限。如果驗證為合法用戶則設置Session后跳轉到用戶頁面，否則跳轉到出錯頁面。login.apsx.cs的源碼如下：2、用戶頁面（）用戶頁面即合法用戶登錄后頁面，此頁面在Page_Load函數(shù)添加代碼檢查Session。如果Session失效則跳轉到出錯頁面。m

19、ain.apsx.cs的源碼如下：3、出錯顯示頁面（）此頁面為出錯顯示頁面，次頁面接收errmsg參數(shù)，設置出錯提示的信息。err.apsx.cs的源碼如下：4、測試功能假如我們把上述頁面部署在IIS上，運行的效果如下。（1）以https方式訪問login.aspx頁面，彈出證書選擇框，選擇登錄使用的證書，如下圖所示。（2）。SSL登錄的處理1、SSL登錄處理頁面（login.jsp）login.jsp主要功能是獲得客戶端證書，解析證書獲得證書標識，然后查詢用戶庫驗證用戶的身份和權限。如果用戶身份合法則設置Session并跳轉到main.jsp頁面，否則跳轉到err.js頁面。login.js

20、p的源碼如下2、用戶主頁面（main.jsp） 用戶主頁面即為合法用戶登錄后的頁面。該頁面主要是檢查一下Session，如果Session有效則正常顯示，否則跳轉到出錯頁面。 main.jsp的源碼如下：3、出錯處理頁面（err.jsp）出錯處理頁面主要功能是接收出錯信息并提示。err.jsp的源碼如下：4、測試代碼把上述代碼部署在Tomcat服務器上，運行效果如下。（1）以https的方式瀏覽login.jsp進行登錄。選擇SSL登錄的數(shù)字證書，如下圖所示：（2）如果登錄成功，則跳轉到main.jsp頁面，如下圖所示：設計心得本次我的課程設計是基于SSL電子商務網(wǎng)站安全登陸系統(tǒng)設計和實現(xiàn)，經(jīng)過本次課程設計的練習，讓我對SSL協(xié)議有了進一步的認識，知道了SSL協(xié)議的定義、工作流程及其原理。通過跟老師的交流，以及老師對我提出的要求，我用java程序生成了一個數(shù)字證書。通過老師推薦的資料精通PKI網(wǎng)絡安