基于CryptoAPI的文件安全交互系統設計

李　杰，張沛朋

(濟源職業技術學院 ，河南 濟源 459000)

?

基于CryptoAPI的文件安全交互系統設計

李杰，張沛朋

(濟源職業技術學院 ，河南 濟源 459000)

摘要：為了防止信息在網絡傳輸過程中泄露，需要對其進行加密，保證信息的安全性。文章設計了一個在網絡中安全傳輸文件的系統，實現了用戶之間點對點傳輸文件的功能，同時采用Microsoft公司的CryptoAPI加密服務模塊，運用多種加密算法對文件進行加密，并提供證書的相關服務。

關鍵詞：CryptoAPI；文件安全；系統

進入信息時代以來,人類的生活發生了翻天覆地的變化。特別是隨著信息技術的快速發展,因特網(Internet)的廣泛使用和辦公自動化迅速普及，人與人之間的信息傳遞越來越依賴于網絡。而涉及各類隱私和機密信息的數據在網絡中傳輸的頻率大大增加，世界范圍內黑客的活動也愈加猖獗，網絡信息安全的重要性也與日俱增。如何安全地將數據傳送給對方，確保數據的安全性是一個亟需解決的問題。

基于CryptoAPI的安全交互系統從信息傳輸的方方面面著手，借助于CryptoAPI提供的強大加密功能對傳輸過程中的每個步驟都加以保護，切斷信息泄露的各個途徑，為用戶提供一個安全傳輸信息的環境。交互式的設計也便于用戶之間相互傳遞數據，使得普通用戶也能方便而安全地在網絡中傳輸數據，對于保障公民隱私和研究推廣網絡信息安全有重要的意義。

1需求分析

1.1用戶特點

本系統的用戶分為管理員和一般用戶。管理員負責維護服務端，具備一定的計算機知識，對系統的各模塊有一定的了解，熟悉PKI體系，了解CA工作流程和證書的頒發步驟。一般用戶使用客戶端登陸，只需要會使用客戶端提供的本地加密功能和網絡傳輸功能即可。

1.2界面要求

(1)易用性：要求界面簡潔，便于使用、便于了解，使用戶能很快上手，并減少用戶發生錯誤選擇的可能性。

(2)用戶的語言：界面要適應用戶的母語，而不是設計者的語言。

(3)一致性：服務端和客戶端各個界面的結構必須清晰且風格一致，同時界面風格也必須與內容相一致。

(5)美觀：界面需符合一般人的審美觀，不會讓用戶產生不舒服的感覺。

(6)安全性:用戶能自由地做出選擇，且所有選擇都是可逆的。在用戶做出危險的選擇時有信息提示。

(7)人性化: 充分考慮大多數人的使用習慣，使得軟件符合一般人的操作習慣。

1.3功能需求

(1)用戶的注冊和登錄

用戶首先需要注冊賬號，輸入用戶名和密碼等必須的注冊信息之后，服務端響應注冊消息，注冊賬號同時向服務端申請數字證書。注冊用戶輸入正確的用戶名密碼之后可以登錄本系統，登陸之后可以使用和其他登陸用戶進行文件傳輸等功能。

(2)用戶管理服務

服務端管理所有注冊用戶，維護用戶數據庫，進行用戶的添加和刪除等。服務端管理當前登陸用戶，更新和維護在線用戶列表，將在線用戶發送至每個登陸的客戶端。

(3)證書管理

實現一個簡單的CA系統，為每個注冊用戶頒發證書，對已經發放的證書進行管理，包括用戶證書申請的審核、證書生成、證書發放、證書的存貯、證書吊銷等。維護證書信任列表(CTL)和證書吊銷列表(CRL)。

(4)本地文件加密、解密

使用多種對稱加密算法對用戶指定的文件進行高強度的加密、解密，并輸出至指定位置。采用的對稱加密算法包括分組加密算法和流加密算法兩類。前者包括AES，DES，3DES等，并可以選擇不同的密鑰長度，后者包括RC2，RC4。

(5)文件加密傳輸

登陸用戶可與任意在線用戶進行點對點的文件傳輸，包括文件發送和文件接受兩部分功能。要求傳輸文件之前收發雙發互相驗證對方身份，確保傳輸文件的會話對象為預期的用戶。要求傳輸過程中對文件進行加密，保證文件的安全性。

2系統的總體設計

2.1系統框架結構

本系統為CS架構，包含服務端和客戶端兩部分。

客戶端包含主控界面、本地加解密、文件安全傳輸三大模塊。

服務端包含用戶管理、證書管理兩部分功能。

圖1　系統框架結構圖

2.2模塊功能設計

2.2.1客戶端

(1)主控界面，提供一個簡潔、美觀、友好的風格統一的交互式用戶界面。包括以下幾個部分：主菜單，包含了程序主要功能的菜單命令。用戶注冊界面，要求向服務端提供用戶名、密碼、Email、用戶生日等基本信息。并響應服務器返回的注冊結果。用戶登錄界面，向服務器提供用戶名和密碼，提示用戶登錄成功、失敗等信息。本地文件加、解密界面，向本地文件加、解密模塊提供源文件路徑、目標文件路徑、和加、解密口令。網絡文件傳輸界面，包括在線用戶列表、文件傳輸進度條、傳輸文件大小、已傳輸大小等基本信息。

(2)本地文件加、解密模塊，使用CryptoAPI提供的加密服務對文件進行加密，并提供相應的解密功能。采用多種安全算法，具體包括以下幾種。分組加密：DES、3DES、AES，其中分別提供密鑰長度為128、192、256的三種AES加密。流式加密：RC2、RC4，加密后的目標文件添加“.算法名”的后綴，以幫助用戶記憶所采用的加密算法。如：用戶采用長度為256位的密鑰對文件a.txt進行AES加密之后，目標文件的名稱為“a.txt.AES256”。

(3)文件安全傳輸模塊，登陸后可以向在線用戶發送文件。

2.2．2 服務端

(1)用戶管理

包括管理用戶的注冊，維護用戶數據庫，進行用戶添加，用戶刪除操作。處理用戶的登錄事件，維護在線列表，將在線用戶列表發送至每一個登錄用戶。

(2)證書管理。包括證書管理界面設計，證書申請的審核、證書的生成、證書的頒發及通知用戶、證書的存儲、證書的撤銷等操作。

本系統的身份認證基于PKICA體系，有一個簡單的CA認證中心。服務端集合了CA和RA的功能，負責頒發、管理證書。

圖2　證書管理結構圖

3服務端詳細設計與實現

3.1服務端界面設計

服務端界面有一個主菜單，主菜單中包括了服務器的主要操作命令，包括服務器管理，用戶管理，證書管理，視圖四個二級菜單。每個菜單都設置了快捷鍵，方便管理員操作。當前不可用的菜單全部顯示為灰色不可用，防止管理員誤操作，以增強程序的魯棒性。

表1　服務端菜單列表

3.2數據庫設計

(1)用戶表

本系統未設置管理員賬號，普通用戶具有相同的權限，故只需一用戶信息表記錄所有用戶的注冊信息即可。考慮到應用時數據量較小，不超過3000條，文本字段均采用了nvarchar類型，以方便操作。主鍵UID為用戶編號，采用自動編號，編號遞增量為1。用戶表名UserInfo：

表2　UserInfo表

圖3用戶表屬性圖

(2)證書表

系統實現了簡單的證書管理功能，證書表記錄了用戶請求證書的基本信息。主鍵SerialNum為自動編號，遞增量為1。所有字段均為非空。考慮到數據量不大所有文本字段均采用了nvarchar類型。證書表名CerList：

表3　CerList表

圖4CerList表屬性圖

3.3用戶管理模塊設計

用戶管理模塊主要功能是和客戶端進行通訊，響應客戶端的注冊、登陸事件。同時管理一個用戶數據庫，對數據庫進行添加/刪除操作，并且維護一個動態的在線用戶列表。

系統采用Microsoft公司的SQL Server 2000數據庫系統。

系統采用ADO(ActiveX Data Object)方式訪問數據庫。ADO基于COM技術，使用OLEDB接口，包含較少的對象，但是實現了更多的屬性、方法(和參數)，以及事件，功能更加強大，使用方便并且效率也很高。

一個簡單的數據庫操作類——ADOConn類：系統使用ADOConn類進行數據庫訪問操作，該類封裝了一下一些基本的數據庫操作。

連接數據庫，關閉數據庫連接。

執行SQL語句，實現添加、刪除記錄等操作。

執行SQL語句，得到數據集，返回指向該數據集的指針。

封裝ADOConn類優點是使得程序結構更加清晰，更改代碼更加方便，增強程序的可讀性。

4結語

本文分析了系統的框架結構，進行了模塊功能劃分。并從總體上設計了程序，接著又詳細闡述了服務端的設計和實現。分別介紹了用戶管理和證書管理兩個模塊的設計方案和具體實現方案。重點研究了微軟CryptoAPI的使用方法，最后編程實現了這個系統。

[參考文獻]

[1] 裴照君,段哲民,王海濤.基于Microsoft CryptoAPI框架下的數據安全通信系統開發[J].微型電腦應用，2008，24(10).

[2] 李明柱.利用CRYPTOAPI進行信息安全編程[J].電腦編程技巧與維護，2001 (12).

[3] 巴永軍.利用CRYPTOAPI進行的網絡消息加密[J].計算機工程，2004(B12).

[4] 關晨至,劉振亞.利用CRYPTOAPI實現AES加密解密程序設計[J].電腦編程技巧與維護，2007(12).

[5] 姚世軍,陳楚香.用CRYPTOAPI生成密鑰的方法[J].河南教育學院學報：自然科學版，2003(4).

[6] 朗銳.在VC中用CryptoAPI保證安全數據通信[J]. Internet：共創軟件，2002(5).

[7] 宋玲,李陶深,陳拓.VC++下通過CRYPTOAPI對機要信息實行安全加密[J].計算機應用與軟件，2005(7).

[責任編輯：崔海瑛]

Design of file security interaction system based on CryptoAPI

LI-Jie，ZHANG Pei-peng

(Architecture and Civil Engineering ， Jiyuan 459000，China)

Abstract：In order to prevent the transmission of information in the process of network transmission, it needs to be encrypted to ensure the security of information. In this paper, a system for secure transmission of files in a network is designed. The system realized between users point to point file transfer function, at the same time, the Microsoft CryptoAPI cryptographic service module, using a variety of encryption algorithm to encrypt files, and provide a certificate of service.

Key words:CryptoAPI; File security；system.

作者簡介：李杰(1979-)，女，河南濟源人，建筑工程系講師，從事計算機應用技術研究。

基金項目：2015年度河南省高等學校青年骨干教師資助計劃項目(2015GGJS-282)。

中圖分類號：TP309

文獻標識碼：A

文章編號：2095-0063(2016)03-0025-05

收稿日期：2016-01-28

DOI 10.13356/j.cnki.jdnu.2095-0063.2016.03.007