论文部分内容阅读
PKI体系作为信息安全领域成熟的解决方案,在国际上被广泛采用。然而,随着计算机技术的飞速发展,曾经PKI体系中采用的公钥密码RSA算法在安全性上与密钥位数成正比,RSA算法需要密钥位数达到1024位以上才能满足我国信息安全的要求,ECC算法作为更安全高效的公钥密码算法,在PKI应用中比RSA算法更有优势,同时我国基于ECC技术自主设计研发了国家商用密码算法SM2算法,伴随着SM2算法的公开,我国的商用密码产品将步入由RSA向SM2更新的浪潮。PKI体系作为信息安全领域基础设施,将我国的PKI体系中的公钥RSA算法升级为SM2算法刻不容缓。本文采用Open SSL开源库实现了商密SM算法的扩展,并通过Open SSL的X509接口实现了基于SM2证书的PKI系统,PKI系统主要包括一套PKI安全管理策略、CA认证中心和目录服务器LDAP。其中,PKI安全管理策略主要涉及管理员的分权机制、KMC密钥管理中心和安全审计。本文通过shamir门限机制实现管理员分权方案,同时,通过分权USBKey管理员机制、密态存储密钥、校验密钥文件、安全的备份/恢复机制等,实现了一套安全有效的密钥管理方案。最后,为了保证管理日志安全,本文设计实现了一套安全审计模块。CA认证中心是PKI系统的核心部分,主要负责证书颁发和证书有效性验证等功能。本文CA认证中心采用三层体系结构,同时为了简化PKI系统的设计,将RA的设计融合在CA认证中心部分。最后,为了加强在线颁发证书时CA认证中心的安全,本文设计实现了CA的安全服务器。最后,本文介绍了PKI系统在实际项目中的具体应用场景,描述了不同级别CA认证中心颁发SM2证书的流程和实际运作流程。在SM2证书的认证方面,采用证书链的验证方式,对证书的完整性和有效性分别进行验证,保证SM2证书的合法性。