论文部分内容阅读
PKI技术是信息安全领域的重要技术,在现实中的应用也越来越广泛。而CA系统是PKI系统的关键设施,掌管着PKI系统的核心机密——CA私钥。为了提高PKI系统的安全,同时也为各方面衡量安全性能的方便,我国即将出台新的国家标准,将PIG系统划分安全等级。本文针对高安全等级PKI系统的若干关键技术要求进行了分析和研究,并提出了实现方案。利用秘密分享技术、门限密码技术、入侵容忍技术等,研究提出实用的自治协同的入侵容忍CA方案;在可验证密钥托管、部分密钥托管的技术基础上,提出了适用于PKI系统的可验证部分密钥托管方案,并取得了一系列成果:
自治协同的入侵容忍CA方案在Jing-Feng入侵容忍CA架构的基础上,取消了密钥分发中心,采用分布式的密钥产生和分割机制,保证在CA初始化和整个运行过程中,任意t-1(t为门限值)台服务器都不可能获得CA私钥。同时该方案可实时追查部分签名的错误,随时更新部分私钥,增强了入侵容忍CA系统的可靠性。
针对PKI系统特点提出的可验证部分密钥托管方案是一种权衡了托管机构和用户双方需求的密钥托管方案,其可验证的特点避免了用户托管时可能有的欺骗行为,而部分密钥托管则限制了托管机构滥用权力的可能。同时,分布式产生用户密钥的方法和不泄漏用户部分私钥信息的性质也避免了“阀下攻击”和“早期恢复”的危险。
总的来说,本文研究了高安全等级PKI系统的技术要求,并提出了实用的实现方案,可以为高安全等级PKI系统的设计和实现提供借鉴,推动了PKI技术的进一步发展。