论文部分内容阅读
随着信息时代的不断发展,互联网技术广泛应用在国防、电信、金融、新闻媒体、商业贸易等各个领域,网络信息安全带来的问题也日益突显。为了保障网络上各种应用的机密性、完整性、身份鉴别和不可抵赖性,经过多年的研究,初步形成一套完整的Internet安全解决方案,即目前被广泛采用的PKI技术(PublicKey Infrastructure-公钥基础设施)。PKI技术在国外已经得到了快速发展,在国内发展也已具备一定规模,在实际应用中取得了一定成效,但存在不少问题,例如缺少国内所有CA的交叉认证等。PKI是利用公开密钥理论和技术建立的提供安全服务的基础设施,采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA)把用户的公钥和用户的其他标识信息捆绑在一起,在技术上能够保证在交易过程中实现身份认证、安全传输、不可否认性、数据完整性等。CA是整个PKI系统中最核心的一部分,它负责创建或者证明身份,实现了对申请注册证书的申请者身份的验证,颁发、更新和撤销可用于证明该身份的数字证书的过程,所以在攻击不可避免的情况下如何使CA根私钥不被泄露和破坏是首要问题,门限机制为解决这个问题提供了思路,它是通过秘密共享方案,将密钥由一人保管变成多个成员共同保管,这样即使个别、少数成员的秘密份额泄漏,也不会影响到整个系统密钥的安全。本文设计实现了一个企业级CA系统,利用OpenSSL工具包提供的密码功能完成基本业务操作,CA根私钥用Shamir门限方案进行保护,达到容忍入侵的目的。第一部分对CA系统所涉及的理论知识进行了介绍,包括PKI/CA的概念、结构和理论基础;第二部分介绍了OpenSSL工具包的组成结构和本实现所封装的功能函数;第三部分对Shamir门限方案进行了研究,为后文找出一种适合在CA系统中保护私钥的实现作了理论准备;第四部分首先阐述了CA系统的设计和实现过程,该系统包括初始化、业务操作、根私钥分割恢复和网络传输四个模块,具备证书申请、证书签发、证书更新、证书注销、CRL签发以及操作员管理等业务功能,然后对该CA系统的安全性进行了分析;最后一部分对本论文进行了总结,指出存在的不足和对后续工作进行了展望。本文的意义在于设计实现了一个可实际应用于企业的CA系统,在CA认证中心构建的安全性方面,探讨了一种结合秘密共享体制,采用密钥拆分机制保证CA根私钥安全性的方案。由于本人在攻读硕士学位期间参与过得安企业级CA升级项目的研发工作,对完成本文有较大帮助。