基于Shamir門限私鑰保護的CA系統(tǒng)設計與實現(xiàn).pdf

1、隨著信息時代的不斷發(fā)展，互聯(lián)網技術廣泛應用在國防、電信、金融、新聞媒體、商業(yè)貿易等各個領域，網絡信息安全帶來的問題也日益突顯。為了保障網絡上各種應用的機密性、完整性、身份鑒別和不可抵賴性，經過多年的研究，初步形成一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(Public Key Infrastructure-公鑰基礎設施)。PKI技術在國外已經得到了快速發(fā)展，在國內發(fā)展也已具備一定規(guī)模，在實際應用中取得了一定成效

2、，但存在不少問題，例如，缺少國內所有CA的交叉認證等。PKI是利用公開密鑰理論和技術建立的提供安全服務的基礎設施，采用證書進行公鑰管理，通過第三方的可信任機構認證中心，即CA)把用戶的公鑰和用戶的其他標識信息捆綁在一起，在技術上能夠保證在交易過程中實現(xiàn)身份認證、安全傳輸、不可否認性、數(shù)據完整性等。CA是整個PKI系統(tǒng)中最核心的一部分，它負責創(chuàng)建或者證明身份，實現(xiàn)了對申請注冊證書的申請者身份的驗證，頒發(fā)、更新和撤銷可用于證明該身份的數(shù)字證

3、書的過程，所以在攻擊不可避免的情況下如何使CA根私鑰不被泄露和破壞是首要問題，門限機制為解決這個問題提供了思路，它是通過秘密共享方案，將密鑰由一人保管變成多個成員共同保管，這樣即使個別、少數(shù)成員的秘密份額泄漏，也不會影響到整個系統(tǒng)密鑰的安全。本文設計實現(xiàn)了一個企業(yè)級CA系統(tǒng)，利用OpcnSSL工具包提供的密碼功能完成基本業(yè)務操作，CA根私鑰用Shamir門限方案進行保護，達到容忍入侵的目的。第一部分對CA系統(tǒng)所涉及的理論知識進行了介紹，

4、包括PKICA的概念、結構和理論基礎；第二部分介紹了OpenSSL工具包的組成結構和本實現(xiàn)所封裝的功能函數(shù)；第三部分對Shamir門限方案進行了研究，為后文找出一種適合在CA系統(tǒng)中保護私鑰的實現(xiàn)作了理論準備；第四部分首先闡述了CA系統(tǒng)的設計和實現(xiàn)過程，該系統(tǒng)包括初始化、業(yè)務操作、根私鑰分割恢復和網絡傳輸四個模塊，具備證書申請、證書簽發(fā)、證書更新、證書注銷、CRL簽發(fā)以及操作員管理等業(yè)務功能，然后對該CA系統(tǒng)的安全性進行了分析；最后一部分