基于Java的两个通用安全模块设计

城仕

于 2024-05-16 22:19:50 发布

阅读量942

点赞数 31

分类专栏： Java精品毕设文章标签： java 毕业设计

本文链接：https://blog.csdn.net/weixin_48265867/article/details/138975360

版权

Java精品毕设专栏收录该内容

15 篇文章 0 订阅

订阅专栏

引言

课题背景

众所周知，随着计算机的发展与普及，计算机担负着存储、管理信息及资源的任务，集中存放着大量数据资源，而且又为众多用户直接共享，而有些资源涉及到机密性，因此这些资源被用户操作前一般需要用户验证用户名及其口令，获得合法用户的操作权限。如果这些口令被非法用户得到，将会造成企业瘫痪，给国家带来巨大的损失，甚至危及国家安全。因此，对访问系统的用户进行身份认证就显得至关重要，身份认证已经成为了计算机信息安全领域中非常重要的一个分支。身份认证作为安全应用系统的第一道防线，是最重要的安全服务，所有其它的安全服务都依赖于该服务，它的失败可能导致整个系统的失败而使身份认证得以有效执行的前提就是相应口令的妥善保管。目前普遍采用的口令保存技术就是将口令直接以明文方式保存。这种方法的特点是简单、易用并且也具备一定的安全性，但随着计算机应用的复杂化、攻击手段的多样化，这种技术的安全缺陷也越来越明显，已经不再适用于安全性要求较高的应用系统。

不但计算机给人们带来了很多便利，计算机网络技术也日益广泛地应用到各个领域。人们通过Internet 进行各种交流，在网上传输大量的信息，应用层次也在不断地深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、企业商务系统等，都涉及到一些敏感数据文件的传输，如军事机密、信用卡号等。这些被传输的数据往往涉及到企业的机密信息，在网络上传输容易面临着各种各样的安全威胁，如伪造、欺骗、窃听、篡改、抵赖等。如何在传输过程中保障这些敏感数据文件的安全将制约着网络技术在商业、金融、国防等领域的进一步发展，这一问题已成为当今计算机网络技术研究的一个热点。如何解决文件传输中的安全，必须有一整套的技术来保证信息的保密性、完整性，同时也应使信息的发送者能对信息的接收者进行确认，并且保证信息发送给可靠的接收者。

国内外研究现状

现在很多计算机应用程序使用的认证方法都是最简单的口令形式，类似于windows XP操作系统登录过程中输入用户名/口令的基本认证方式。就是系统事先保存每个用户的二元组信息(用户名，密码)。进入系统时用户先输入用户名和口令，系统根据保存的用户信息与用户输入的信息相比较，从而判断用户身份的合法性。很明显，这种身份认证方法操作十分简单，但同时又最不安全，因为其安全性仅仅基于用户口令的保密性，而用户口令一般较短且容易猜测，不能抵御字典攻击，又由于系统一般将正确的用户口令直接存放在程序、文件或数据库中，一方面需要系统管理员是可信赖的，另一方面，一旦攻击者能够访问口令表，或被黑客窃取到，整个系统的安全性就受到了威胁。而保护在网络中传输的数据采用传统的密码技术(对称密码技术)，这在一定程度上解决了文件传输保密性问题，但在进行保密通信前，通信双方必须通过某种安全手段得到密钥，这在某些情况下是非常困难甚至是不可能的。安全套接层协议SSL (Secure Socket Layer) 是用来保障数据安全传输的协议，在Internet 上为通信双方提供可靠连接方式下的防窃听、防篡改、防信息伪造的秘密通信,保障数据的安全传输。目前SSL 已成为业界标准，得到了广泛应用，应用比较灵活。

本课题研究的意义

目前，计算机在金融、商业、政治等部门的应用越来越广，防止非法用户通过身份欺诈访问系统资源，变得日益重视。还有各部门在网络上传输文件时，这些被传输的文件如果涉及到机密信息，很容易遭受各种各样的攻击，保护这些机密信息的安全也成为信息化健康发展所要考虑的重要事情之一。本毕业设计选择两个安全模块的设计与实现主要设计口令部分安全模块实现合法用户验证和口令的安全保存和文件安全传输模块实现文件的安全、秘密、可靠传输到接收端。口令部分安全模块具有合法用户验证模块可以进行用户身份注册，安全生成口令，口令更改，口令长度选择，口令生成个数身选择，身份验证等功能。文件安全传输模块具有基于口令的文件加密解密和文件安全传输等功能。设计中除了综合运用以前所学知识（包括以前所学的一些关于网络、编程、信息安全等知识）的能力，同时也了解当今安全技术及编程的一些新技术；既锻炼了实际动手能力，又引导我进行了一次模拟实际产品的开发，对于以后工作能力的培养具有重要的意义。

本课题的研究方法

本系统的设计重点是实现口令部分安全模块与文件安全传输模块。具体实现口令的生成、口令的保存及文件的安全传输等主要功能，并将口令生成和文件加密的实现方法封装，方便程序调用。本毕业设计首先结合本次毕业设计的相关要求写出需求分析；其次，综合运用以前所学的相关知识（包括JAVA开发语言、计算机网络技术、相关协议、信息安全相关的知识等）以及借鉴现有的口令身份认证和基于SSL协议数据安全传输的技术原理，选择所熟悉的开发工具进行本毕业设计的开发；在设计过程中以需求分析为基础，写出系统开发计划、实现流程及相关问题的实现方法，并将两个安全模块实现的关键技术进行封装，提供接口，方便他人调用；同时，在开发设计与实现中，要保存好相关的设计文挡，为后面毕业论文的写作准备材料；最后，系统开发完毕后，进行调试和测试运行，做好调试和测试运行的相关记录，也为后面的毕业论文的写作准备材料。

需求分析

口令安全模块部分功能需求

用户登录模块

用户安全登录模块为用户提供身份验证的入口。用户可以根据自己使用口令的类型选择相应的登录模式登录，用户的登录类型根据口令的处理方法不同分为默认类型和一次性类型。

口令处理模块

为了使口令保存的安全性更高，要求用户口令在数据库中不能以明文的方式保存在口令表中。对口令的保存及处理有两种方法，一种是默认处理方法，即口令经处理后以另外一种方式存在口令表中，另一种是一次性口令的处理方法，使口令表中的口每进行一次成功的登录，口令表中的口令信息都进行相应的变化，根据口令的类型调用相应的处理方法来处理口令的。

口令注册模块

口令注册模块为用户提供口令注册信息。为了增强口令注册的灵活度，方便用户使用自己的口令，用户可以根据自己的喜好选择注册口令的模式，其中口令注册有两种类型，一种为默认型，一种为一次性口令。用户在一次性口令中可以选择口令的长度、个数等，在一次性口令注册成功后，生成的一系列口令可以生成一个口令文件，为用户查看口令提供了便利。

口令更改模块

口令更改模块可以为用户提供口令的更改，尤其是对使用一次性口令的用户，如果他用完了限定的口令，可以不用重新注册，而再次获得有效的一次性口令。用户可以根据口令的类型按要求输入相关的信息更改自己的口令。

文件安全传输部分功能需求

客户端文件安全传输模块

客户端文件安全传输模块可以进行文件的选择及上传。用户身份验证成功后可以选择要上传的文件，经相应用户的口令加密后再经SSL协议的安全通信密道传递给服务器使文件在传输过程中进行双重保护。

服务器端文件接收模块

服务器端文件接收模块可以接收客户端发过来的秘密文件。服务器与客户端建立SSL连接成功后接收客户端发送过来的秘密文件，并将之保存在服务器端选定的目录里。

服务器秘密文件解密模块

服务器秘密文件解密模块可以打开秘密文件读取密文中的解密参数并生成相应的解密密钥将密文解密，解密后的明文显示在文本框里，同时将明文保存在系统自定义的目录里，方便接收端对明文进行处理。

系统实现的环境和开发工具

本系统是在Windows XP环境下，采用J2SDK1.4开发工具，使用Java语言开发的，并采用SQL Server 2000作为数据提供者。

Java语言是一种很优秀的语言，是目前软件设计中极为壮健的编程语言，只要提供了Java解释器，Java编写的软件在执行码上兼容。Java作为一种程序设计语言，它简单、面向对象、不依赖于机器的结构、具有可移植性、安全性、并且提供了并发的机制，具有很高的性能。其次， Java还提供了丰富的类库涉及加解密、消息摘要等，使程序设计者可以很方便地调用这些方法进行二次开发。另外，在JDBC诞生之后，Java在数据库应用领域获得了成功的应用，大大降低了Java语言操作数据库的复杂程度，可以将重心放在功能实现上。

SQL Server 2000是微软公司开发的一个关系数据库管理系统，以Transact_SQL作为它的数据库查询和编程语言。T－SQL是结构化查询语言SQL的一种，支持ANSI SQL－92标准。它上手容易，由于SQLServer与Windows界面风格完全一致，且有许多"向导(Wizard)"帮助，因此易于安装和学习。而且兼容性良好，由于今天Windows操作系统占领着主导地的位，选择SQLServer一定会在兼容性方面取得一些优势。可以通过ODBC数据库访问技术，用于Java技术制作的页面与数据库之间的连接。

系统方案设计

功能模块流程图

为了方便系统方案的设计与功能的开发，在方案设计前，根据前面的需求分析，将系统的功能划分为口令部分功能模块和文件安全传输部分功能模块，这两个模块又各自细分为各个小模块，各小模块的功能流程图如下：

口令部分功能模块流程图

登录模块流程图

在登录模块中根据需求分析设计了两种登录系统的口令模式，一个是默认口令模式，一个是一次性口令模式，当用户输入用户名及口令后，系统首先判断用户选的是默认口令类型还是一次性口令类型，如果是默认口令类型，则调用系统的默认口令处理方法将用户输入的口令经处理后，系统与数据库建立连接，连接不成功系统提示出错信息，如果连接成功，系统将口令处理后的结果跟数据库中口令表里的相应口令信息比较，经核对，口令信息一致则该用户可进入文件安全传输模块进行操作，否则提示出错信息，要求用户重新验证口令。登录模块流程图如图1所示。

默认注册模块流程图

在默认注册模块中，用户输入用户名及口令。系统调用口令处理方法，接着连接数据库，连接成功则将口令信息与数据库里的记录比较，如无重复，则将口令及用户名写入数据库，并提示注册成功，如果写入数据库失败，则报失败提示。默认注册模块流程图如图2。

3.一次性口令的注册模块流程图

在一次性口令注册模块中，用户输入用户名、口令长度、口令个数及口令。系统调用口令处理方法，接着连接数据库，连接成功则将口令信息与数据库里的记录比较，如无重复，则将最后生成的一个口令及用户名写入数据库，并显示用户要求的口令个数，失败，则报告失败提示。一次性口令的注册模块流程如图3

默认口令更改流程图

一次性口令更改流程

（二）文件安全传输部分功能模块流程图

文件传输流程图

在文件传输模块中，用户首先选择一个要发送给服务器的文件。接着系统发送与服务器建立SSL连接的请求，成功后，系统调用文件加密方法给文件加密后，发送出去，发送成功失败都提示相应的消息。文件传输流程图如图6所示。

2.服务器接收文件及处理流程图

在服务器接收文件及处理模块中，服务器响应客户端发来的SSL连接的请求，成功后，服务器选一个目录保存密文，接收完毕后，发送接收成功提示。服务器可以随时解密密文传输流程图如图7。

1. 口令安全模块部分方案设计

根据口令部分功能模块流程图，口令模块的方案设计主要涉及到两种方式用于口令的认证及处理。

两种方式用于口令设计：

（1）基于单向函数

基于单向函数的方法是计算机存储口令的单向函数值而不是存储口令，当用户将口令传给计算机时，计算机使用单向函数计算，然后把单向函数的运算结果和它以前存储的单向函数值进行比较。由于计算机不再存储口令表，所以敌手侵入计算机偷取口令的威胁就减少了。

（2）基于SKEY原理

SKEY是进行口令认证方式之一，体现了一次性特性，它的实现过程如下：当用户输入初始口令pass，系统计算pass1=f(pass)，pass2=f(pass1)，……，pass(n+1)=f(passn)。其中n+1为用户要求生成的口令个数，系统将pass，pass1， pass2，……passn 这些口令给用户保管，而将pass(n+1)存在数据库里该用户的名字后面，当用户第一次登录时，输入用户名和口令passn，系统计算f(passn)，并把它和数据库里pass(n+1)比较，如果匹配，就证明该用户身份是真的。然后系统将passn 代替pass(n+1)。用户将passn作废，下次登录时用pass(n-1)，以此类推。当用完后重新再获取。

以上这两种处理口令的过程中，消息摘要的生成是利用MD5算法求得。MD (Message Digest)消息摘要算法是一种单向散列函数，是当前最为普遍的哈希算法，MD5是第5个版本。对任意长的输入，MD5算法都将产生一个128位的输出。MD5算法是按512位进行处理的，首先它对输入的数据进行补位，使得数据位长度对512求余的结果是448。具体补位操作：先补一个1，然后补0直至满足上述要求，再用一个64位的数字表示数据的原始长度，这样数据就被填补成长度为512位的倍数。接着对数据依次按每次处理512位，每次进行4轮，每轮16步总共64步的数据变换处理，每次输出的结果为128位，然后把前一次的输出作为下一次数据变换的输入初始值，这样最后输出一个128位的杂凑结果。

文件安全传输部分方案设计

根据文件安全传输部分功能模块流程图，文件安全传输的方案设计主要涉及到在文件传输前用DES加密算法给要传输的文件加密得到一个加密后的密文，再将密文通过系统建立SSL协议文件安全传输的安全通道传给密文的接收端。在接收端密文接收成功后，接收端可以根据需要，将密文解密成明文，并自动保存在系统默认目录下。

DES加密算法

DES是一个分组加密算法，它将明文以64位为分组对数据加密。64位一组的明文从算法的一端输入，64位的密文从另一端输出。DES是个对称算法：加密和解密用的是同一算法(除密钥编排不同以外)。密钥通常表示为64位的数，但每个第8位都用作奇偶校验，因此密钥真正的长度是56位。整个算法是先经过初始置换IP的处理扰乱数据的原来顺序，然后进行16轮迭代运算，最后经过初始置换IP的逆置换IP-1得出64位的加密结果。整个算法如图8，其中一轮DES如图9所示。