随着用户通过Internet进行在线交易的普及,保护在线服务的用户私钥安全也就成为一个非常重要的课题。一般来讲,用户私钥存储在一个可以信任的服务器中,当用户需要私钥进行工作时,可以通过访问该可信任的服务器以获得认证。但是,这种工作方式的安全性不好,服务器如果被攻击,用户将无法得到私钥,无法进行正常的在线交易。 为了增加在线服务用户私钥的安全性,提高在线服务系统的弹性,本文对入侵容忍技术、门限加密技术以及私钥共享数据验证技术进行了深入分析和研究。主要的工作和创新如下: 首先,在对私钥容忍保护技术进行深入分析的基础上,提出并论证了基于门限加密技术的入侵容忍私钥保护TTPKP设计方案,给出了一种私钥容忍保护协议算法,解决了用户私钥保护方法中用户管理简单、防范攻击不足的问题,提高了在线服务系统中用户私钥保护技术的安全弹性。 其次,通过对入侵容忍工作原理的仔细分析与综合,设计了一种增强口令认证钥匙交换协议算法—EPAKE(Enhance Password-Authenticated Key Exchange),在保证用户私钥保护的同时,提高了在线服务系统的安全性,提高了私钥认证过程的安全弹性,进一步增强了防范攻击能力。 然后,基于对入侵容忍技术和私钥保护工作原理的分析,提出了一种门限加密入侵容忍私钥保护TTPKP的安全模型,给出了详细的协议定义,从理论上对该模型的安全性和准确性进行了证明,并在Windows 2000操作系统下进行了测试。测试表明,本文设计的门限加密入侵容忍私钥保护技术的安全弹性好于目前所使用的私钥认证保护技术。 论文给出了基于门限加密技术的入侵容忍私钥保护TTPKP的具体实现方案,并进行了模拟实践环境测试。测试表明,本文设计的门限加密入侵容忍私钥保护技术TTPKP完全可以满足在线服务系统的私钥认证保护的安全要求。在本文的设计方案中即使有一定数量的服务器被破坏,系统的服务照常可以提供,用户私钥的安全较以往有了很大的提高。