基于Shamir門限私鑰保護(hù)的CA系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著信息時代的不斷發(fā)展，互聯(lián)網(wǎng)技術(shù)廣泛應(yīng)用在國防、電信、金融、新聞媒體、商業(yè)貿(mào)易等各個領(lǐng)域，網(wǎng)絡(luò)信息安全帶來的問題也日益突顯。為了保障網(wǎng)絡(luò)上各種應(yīng)用的機(jī)密性、完整性、身份鑒別和不可抵賴性，經(jīng)過多年的研究，初步形成一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)。PKI技術(shù)在國外已經(jīng)得到了快速發(fā)展，在國內(nèi)發(fā)展也已具備一定規(guī)模，在實(shí)際應(yīng)用中取得了一定成效

2、，但存在不少問題，例如，缺少國內(nèi)所有CA的交叉認(rèn)證等。PKI是利用公開密鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施，采用證書進(jìn)行公鑰管理，通過第三方的可信任機(jī)構(gòu)認(rèn)證中心，即CA)把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在技術(shù)上能夠保證在交易過程中實(shí)現(xiàn)身份認(rèn)證、安全傳輸、不可否認(rèn)性、數(shù)據(jù)完整性等。CA是整個PKI系統(tǒng)中最核心的一部分，它負(fù)責(zé)創(chuàng)建或者證明身份，實(shí)現(xiàn)了對申請注冊證書的申請者身份的驗(yàn)證，頒發(fā)、更新和撤銷可用于證明該身份的數(shù)字證

3、書的過程，所以在攻擊不可避免的情況下如何使CA根私鑰不被泄露和破壞是首要問題，門限機(jī)制為解決這個問題提供了思路，它是通過秘密共享方案，將密鑰由一人保管變成多個成員共同保管，這樣即使個別、少數(shù)成員的秘密份額泄漏，也不會影響到整個系統(tǒng)密鑰的安全。本文設(shè)計(jì)實(shí)現(xiàn)了一個企業(yè)級CA系統(tǒng)，利用OpcnSSL工具包提供的密碼功能完成基本業(yè)務(wù)操作，CA根私鑰用Shamir門限方案進(jìn)行保護(hù)，達(dá)到容忍入侵的目的。第一部分對CA系統(tǒng)所涉及的理論知識進(jìn)行了介紹，

4、包括PKICA的概念、結(jié)構(gòu)和理論基礎(chǔ)；第二部分介紹了OpenSSL工具包的組成結(jié)構(gòu)和本實(shí)現(xiàn)所封裝的功能函數(shù)；第三部分對Shamir門限方案進(jìn)行了研究，為后文找出一種適合在CA系統(tǒng)中保護(hù)私鑰的實(shí)現(xiàn)作了理論準(zhǔn)備；第四部分首先闡述了CA系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)過程，該系統(tǒng)包括初始化、業(yè)務(wù)操作、根私鑰分割恢復(fù)和網(wǎng)絡(luò)傳輸四個模塊，具備證書申請、證書簽發(fā)、證書更新、證書注銷、CRL簽發(fā)以及操作員管理等業(yè)務(wù)功能，然后對該CA系統(tǒng)的安全性進(jìn)行了分析；最后一部分