電子商務(wù)實(shí)驗(yàn)

電子商務(wù)實(shí)驗(yàn)廣州大學(xué)經(jīng)濟(jì)管理實(shí)驗(yàn)教學(xué)示范中心電子商務(wù)實(shí)驗(yàn)課件簡(jiǎn)介電子商務(wù)實(shí)驗(yàn)是《電子商務(wù)安全與管理》的輔助教學(xué)課程，該實(shí)驗(yàn)項(xiàng)目分成兩個(gè)層次，第一個(gè)層次為驗(yàn)證性基礎(chǔ)實(shí)驗(yàn),其實(shí)驗(yàn)內(nèi)容包括經(jīng)典加密算法、數(shù)字簽名算法和身份識(shí)別算法，這些實(shí)驗(yàn)是電子商務(wù)安全的核心內(nèi)容，同時(shí)也是電子商務(wù)系統(tǒng)中實(shí)現(xiàn)安全的核心技術(shù)。第二個(gè)層次的實(shí)驗(yàn)項(xiàng)目為提高性實(shí)驗(yàn)項(xiàng)目，其實(shí)驗(yàn)內(nèi)容包括電子商務(wù)安全協(xié)議實(shí)驗(yàn)、PKI實(shí)驗(yàn)以及電子商務(wù)總和設(shè)計(jì)性實(shí)驗(yàn)。該實(shí)驗(yàn)課程的建設(shè)的指導(dǎo)思想：建立一個(gè)與《電子商務(wù)安全與管理》理論教學(xué)相適應(yīng)的實(shí)驗(yàn)教學(xué)平臺(tái)，通過(guò)課程中設(shè)置的驗(yàn)證性實(shí)驗(yàn)，使學(xué)生能夠更好地理解課堂教學(xué)中的理論知識(shí)；通過(guò)設(shè)計(jì)性實(shí)驗(yàn)與綜合性實(shí)驗(yàn)，使學(xué)生具備對(duì)電子商務(wù)系統(tǒng)安全問(wèn)題的分析能力，并初步形成設(shè)計(jì)電子商務(wù)安全解決方案的能力。目錄一、PKI實(shí)驗(yàn)二、安全協(xié)議實(shí)驗(yàn)三、對(duì)稱加密體制實(shí)驗(yàn)四、非對(duì)稱加密體制實(shí)驗(yàn)五、身份認(rèn)證實(shí)驗(yàn)六、數(shù)字簽名實(shí)驗(yàn)七、電子商務(wù)綜合設(shè)計(jì)性實(shí)驗(yàn)PKI實(shí)驗(yàn)指導(dǎo)老師：趙波實(shí)驗(yàn)?zāi)康恼莆諏?duì)稱密鑰體制掌握非對(duì)稱加密體制掌握認(rèn)證算法及其應(yīng)用掌握網(wǎng)絡(luò)安全協(xié)議掌握PKI技術(shù)實(shí)驗(yàn)內(nèi)容在B2C電子商務(wù)應(yīng)用系統(tǒng)中，確定商家和客戶的身份是確保電子商務(wù)交易安全進(jìn)行的必要條件，請(qǐng)?jiān)O(shè)計(jì)一個(gè)基于PKI技術(shù)的電子商務(wù)系統(tǒng)中的身份識(shí)別模塊。實(shí)驗(yàn)原理PKI的基本概念公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái),它能夠?yàn)殡娮由虅?wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證券等所有網(wǎng)絡(luò)應(yīng)用提供一整套安全基礎(chǔ)平臺(tái)，它是創(chuàng)建、頒發(fā)、管理、撤銷公鑰證書(shū)所涉及到的所有軟件、硬件的集合體。加密技術(shù)和認(rèn)證技術(shù)是PKI的基礎(chǔ)技術(shù)，PKI的核心機(jī)構(gòu)是認(rèn)證中心（CertificateAuthority,CA)，數(shù)字證書(shū)是PKI最關(guān)鍵的產(chǎn)品和服務(wù)。PKI的基本組成權(quán)威認(rèn)證機(jī)構(gòu)(CA)數(shù)字證書(shū)庫(kù)密鑰備份及恢復(fù)系統(tǒng)證書(shū)作廢系統(tǒng)應(yīng)用接口（API）基于PKI的身份認(rèn)證基本原理(1)PKI加密密鑰對(duì)的使用原理﹣發(fā)送方欲將加密數(shù)據(jù)發(fā)送給接收方，首先要獲取接收方的公開(kāi)的公鑰(通過(guò)PKI獲取并驗(yàn)證)，并用此公鑰加密要發(fā)送的數(shù)據(jù)，即可發(fā)送；﹣接收方在收到數(shù)據(jù)后，只需使用自己的私鑰即可將數(shù)據(jù)解密。此過(guò)程中，假如發(fā)送的數(shù)據(jù)被非法截獲，由于私鑰并未上網(wǎng)傳輸，非法用戶將無(wú)法將數(shù)據(jù)解密，更無(wú)法對(duì)文件做任何修改，從而確保了文件的機(jī)密性和完整性。(2)PKI簽名密鑰對(duì)的使用原理﹣此過(guò)程與加密過(guò)程相對(duì)應(yīng)。接收方收到數(shù)據(jù)后，使用私鑰對(duì)其簽名并通過(guò)網(wǎng)絡(luò)傳輸給發(fā)送方，發(fā)送方用公鑰(經(jīng)PKI驗(yàn)證確實(shí)是發(fā)送者的公鑰)解開(kāi)簽名，由于私鑰具有唯一性，可證實(shí)此簽名信息確實(shí)為由接收方發(fā)出。﹣此過(guò)程中，任何人都沒(méi)有私鑰，因此無(wú)法偽造接收方的簽名或?qū)ζ渥魅魏涡问降拇鄹模瑥亩_(dá)到數(shù)據(jù)真實(shí)性和不可抵賴性的要求。Java對(duì)基于PKI的應(yīng)用的支持﹣關(guān)于數(shù)字證書(shū)的類CertificateFactory；X509CertificatePublicKey﹣X509CRLX509CRLEntryKeyStorePrivateKey實(shí)驗(yàn)步驟對(duì)要解決的實(shí)際問(wèn)題進(jìn)行需求分析；設(shè)計(jì)如何利用PKI實(shí)現(xiàn)商戶和客戶的身份認(rèn)別;給出要解決問(wèn)題的詳細(xì)設(shè)計(jì)（模決）；設(shè)計(jì)、調(diào)試；撰寫(xiě)說(shuō)明(包含在實(shí)驗(yàn)報(bào)告中);提交一個(gè)完整的實(shí)用小程序。實(shí)驗(yàn)要求要求完成完整的程序;設(shè)計(jì)各模塊要采用的技術(shù)；設(shè)計(jì)、調(diào)試；撰寫(xiě)說(shuō)明書(shū)（體現(xiàn)在實(shí)驗(yàn)報(bào)告中）;提交一個(gè)完整的實(shí)用小程序;提交實(shí)驗(yàn)報(bào)告。安全協(xié)議實(shí)驗(yàn)指導(dǎo)老師：趙波實(shí)驗(yàn)意義電子商務(wù)安全中所涉及的基礎(chǔ)理論和基本算法較多，但在具體應(yīng)用時(shí)，我們一般較少直接應(yīng)用這些算法去設(shè)計(jì)實(shí)際電子商務(wù)應(yīng)用系統(tǒng)，而是采用現(xiàn)有的各種安全協(xié)議。通過(guò)指定一種安全協(xié)議，讓學(xué)生去設(shè)計(jì)一個(gè)使用該協(xié)議的實(shí)驗(yàn)系統(tǒng)，對(duì)學(xué)生掌握這些協(xié)議的使用具有非常重要的意義實(shí)驗(yàn)?zāi)康恼莆諏?duì)稱加密算法的原理與使用方法；掌握非對(duì)稱加密算法的原理與使用方法；掌握認(rèn)證算法及其應(yīng)用；掌握密鑰交換協(xié)議的原理與實(shí)用方法；掌握SSL協(xié)議的原與使用方法實(shí)驗(yàn)內(nèi)容某單位擬通過(guò)互聯(lián)網(wǎng)建立一個(gè)與其下屬分支單位進(jìn)行安全數(shù)據(jù)交換的系統(tǒng)。請(qǐng)根據(jù)《面向?qū)ο蟪绦蛟O(shè)》和《電子商務(wù)安全》兩門課程中所學(xué)的知識(shí)，為該單位設(shè)計(jì)一個(gè)能滿足其要求的程序。實(shí)驗(yàn)步驟對(duì)要解決的實(shí)際問(wèn)題進(jìn)行需求分析；給出要解決問(wèn)題的詳細(xì)設(shè)計(jì)（模決）；設(shè)計(jì)各模塊要采用的技術(shù)；設(shè)計(jì)、調(diào)試；撰寫(xiě)說(shuō)明(包含在實(shí)驗(yàn)報(bào)告中);提交一個(gè)完整的實(shí)用小程序。實(shí)驗(yàn)提示采用TCP/IP協(xié)議設(shè)計(jì)一個(gè)Client/Server程序；為使程序簡(jiǎn)單一些，可考慮采用字符界面(即控制臺(tái)應(yīng)用程序)為了實(shí)現(xiàn)安全數(shù)據(jù)通信，系統(tǒng)中可采用對(duì)稱加密體制實(shí)現(xiàn)對(duì)通信數(shù)據(jù)的實(shí)時(shí)加密與解密；在一個(gè)還安全的信道中實(shí)現(xiàn)安全通信，涉及的問(wèn)題較多，因此可考慮采用SSL協(xié)議實(shí)現(xiàn)。實(shí)驗(yàn)要求設(shè)計(jì)各模塊要采用的技術(shù)；設(shè)計(jì)、調(diào)試；撰寫(xiě)說(shuō)明書(shū)（體現(xiàn)在實(shí)驗(yàn)報(bào)告中）;提交一個(gè)完整的實(shí)用小程序;提交實(shí)驗(yàn)報(bào)告。對(duì)稱加密體制實(shí)驗(yàn)指導(dǎo)老師：趙波實(shí)驗(yàn)?zāi)康恼莆諏?duì)稱密碼體制的基本原理；掌握典型對(duì)稱加密體制DES的基本算法；掌握J(rèn)ava2平臺(tái)下的密碼體系結(jié)構(gòu)；掌握J(rèn)ava2平臺(tái)下的對(duì)稱加密體制API的使用方法；掌握在Java2平臺(tái)下編寫(xiě)加密及解密代碼的方法.實(shí)驗(yàn)內(nèi)容熟悉Java2平臺(tái)下的對(duì)稱加密及解密函數(shù)的使用方法;采用DES加密算法加密一個(gè)文本文件；采用DES算法將前一步中加密的密文解密成明文；對(duì)比解密后的明文與原始明文，驗(yàn)證你所實(shí)現(xiàn)的加密和解密代碼是正確的。實(shí)驗(yàn)步驟采用文本編輯器（任意一個(gè)）編輯一包含明文的文件（plaintext.txt），該文件中應(yīng)不小于200字(漢字或字符)；編寫(xiě)Java代碼，采用DES算法對(duì)上述文件進(jìn)行加密，加密后的密文的文件名為cipher.dat(二進(jìn)制文件)；編寫(xiě)java代碼，采用DES算法將cipher.dat解密成明文,文件名為decrypt.txt編寫(xiě)java代碼，用于比較plaintext.txt和decrypt.txt實(shí)驗(yàn)報(bào)告要求實(shí)驗(yàn)報(bào)告中要給出你所使的JavaAPI;實(shí)驗(yàn)報(bào)告中要給出你用于加密測(cè)試的明文及加密后的密文（給出其字符方式表示的十六進(jìn)制數(shù)）;分析Java2平臺(tái)加密系統(tǒng)體系結(jié)構(gòu)的特點(diǎn)非對(duì)稱加密體制實(shí)驗(yàn)指導(dǎo)老師：趙波實(shí)驗(yàn)?zāi)康恼莆辗菍?duì)稱密碼體制的基本原理；掌握典型非對(duì)稱加密體制RSA的基本算法；掌握J(rèn)ava2平臺(tái)下的非對(duì)稱加密體制API的使用方法；掌握在Java2平臺(tái)下編寫(xiě)加密及解密代碼的方法.實(shí)驗(yàn)內(nèi)容熟悉Java2平臺(tái)下的非對(duì)稱加密及解密函數(shù)的使用方法;生成一對(duì)密鑰；采用RSA加密算法加密一段文字；采用RSA算法將前一步中加密的密文解密成明文；對(duì)比解密后的明文與原始明文，驗(yàn)證你所實(shí)現(xiàn)的加密和解密代碼是正確的。實(shí)驗(yàn)步驟編寫(xiě)Java代碼生成一對(duì)密鑰，并將密鑰對(duì)轉(zhuǎn)換成十六進(jìn)制字符串形式輸出。選擇一串用于加密和解密實(shí)驗(yàn)的文字;采用公鑰對(duì)一串文字進(jìn)行加密；采用私鑰將2中加密的文字解密；采用私鑰對(duì)同樣一串文安加密；采用公鑰將其解密。實(shí)驗(yàn)報(bào)告要求實(shí)驗(yàn)報(bào)告中要給出你所使的JavaAPI;實(shí)驗(yàn)報(bào)告中要給出你用于加密測(cè)試的明文及加密后的密文（給出其字符方式表示的十六進(jìn)制數(shù)）;分析Java2平臺(tái)加密系統(tǒng)體系結(jié)構(gòu)的特點(diǎn)；身份認(rèn)證實(shí)驗(yàn)指導(dǎo)老師:趙波實(shí)驗(yàn)?zāi)康睦斫馍矸菡J(rèn)證的基本原理和應(yīng)用方法；初步掌握J(rèn)AAS的基本框架；初步掌握基于JAAS的認(rèn)證與授權(quán)的實(shí)現(xiàn)方法；實(shí)驗(yàn)內(nèi)容閱讀Sample.java，熟悉JAAS中認(rèn)證的基本框架閱讀SampleAction.java，熟悉JAAS中授權(quán)的基本框架閱讀Sample_login.config熟悉JAAS認(rèn)證配配置文件的基本原理閱讀sampleazn.policy熟悉JAAS策略文件的基本情況運(yùn)行程序，驗(yàn)證基于JAAS的認(rèn)證與授權(quán)實(shí)驗(yàn)原理見(jiàn)JDK6.0doc(JAAS)實(shí)驗(yàn)步驟１．閱讀Sample.java，熟悉JAAS中認(rèn)證的基本框架２．閱讀SampleAction.java，熟悉JAAS中授權(quán)的基本框架３．閱讀Sample_login.config熟悉JAAS認(rèn)證配配置文件的基本原理４．閱讀sampleazn.policy熟悉JAAS策略文件的基本情況５．執(zhí)行SampleAzn.java，觀察程序的執(zhí)行結(jié)果６．在命令行中加入-Djava.security.manager，觀察程序的執(zhí)行結(jié)果７．運(yùn)行Sample.java觀察程序的執(zhí)行結(jié)果８．在命令行中加入-D就ava.security.manager，觀察程序運(yùn)行的結(jié)果９．在命令行中加-Djava.security.auth.login.config==Sample_login.config，觀察程序的運(yùn)行結(jié)果１０．在命令行中加入-Djava.security.policy=sampleazn.policy，觀察程序運(yùn)行的結(jié)果。11．修改Principalcom.sun.security.auth.NTUserPrincipal"apache"中的apache為你所使用的計(jì)算機(jī)的NTUserPrincipal，重復(fù)10.12．分別注釋掉以下幾行，運(yùn)程Sample.java，觀察程序的運(yùn)行.permissionjava.util.PropertyPermission"java.home","read";permissionjava.util.PropertyPermission"user.home","read";permissionjava.io.FilePermission"foo.txt","read";實(shí)驗(yàn)報(bào)告要求實(shí)驗(yàn)報(bào)告中要給出你所使的JavaAPI;實(shí)驗(yàn)報(bào)告中要給出你的實(shí)驗(yàn)過(guò)程；實(shí)驗(yàn)報(bào)告中要寫(xiě)出通過(guò)實(shí)驗(yàn)，你對(duì)身份認(rèn)證有什么新的認(rèn)識(shí)。數(shù)字簽名實(shí)驗(yàn)指導(dǎo)老師：趙波實(shí)驗(yàn)?zāi)康臄?shù)字簽名的基本原理，理解數(shù)字簽名的作用；掌握數(shù)字摘要算法的基本原理掌握J(rèn)ava2平臺(tái)下的數(shù)字簽名算法的實(shí)現(xiàn)；實(shí)驗(yàn)內(nèi)容熟悉JavaSDK中數(shù)字摘要算法API的用法；計(jì)算一個(gè)文件的摘要；對(duì)計(jì)算出的摘要進(jìn)行數(shù)字簽名；對(duì)數(shù)字簽名進(jìn)行驗(yàn)證實(shí)驗(yàn)原理數(shù)字簽名的原理圖數(shù)字簽名的處理過(guò)程使用摘要函數(shù)對(duì)信息進(jìn)行編碼將發(fā)送文件加密產(chǎn)生128bit(或160bit)的數(shù)字摘要；發(fā)送方用自己的專用密鑰對(duì)摘要再加密，形成數(shù)字簽名；將原文和加密的摘要同時(shí)傳給對(duì)方；接收方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用摘要函數(shù)產(chǎn)生同一摘要；將解密后的摘要和收到的文