首页> 正文

基于Shamir门限私钥保护的CA系统设计与实现

2020-12-02阅读(556)

基于Shamir门限私钥保护的CA系统设计与实现

论文摘要

随着信息时代的不断发展,互联网技术广泛应用在国防、电信、金融、新闻媒体、商业贸易等各个领域,网络信息安全带来的问题也日益突显。为了保障网络上各种应用的机密性、完整性、身份鉴别和不可抵赖性,经过多年的研究,初步形成一套完整的Internet安全解决方案,即目前被广泛采用的PKI技术(PublicKey Infrastructure-公钥基础设施)。PKI技术在国外已经得到了快速发展,在国内发展也已具备一定规模,在实际应用中取得了一定成效,但存在不少问题,例如缺少国内所有CA的交叉认证等。PKI是利用公开密钥理论和技术建立的提供安全服务的基础设施,采用证书进行公钥管理,通过第三方的可信任机构(认证中心,即CA)把用户的公钥和用户的其他标识信息捆绑在一起,在技术上能够保证在交易过程中实现身份认证、安全传输、不可否认性、数据完整性等。CA是整个PKI系统中最核心的一部分,它负责创建或者证明身份,实现了对申请注册证书的申请者身份的验证,颁发、更新和撤销可用于证明该身份的数字证书的过程,所以在攻击不可避免的情况下如何使CA根私钥不被泄露和破坏是首要问题,门限机制为解决这个问题提供了思路,它是通过秘密共享方案,将密钥由一人保管变成多个成员共同保管,这样即使个别、少数成员的秘密份额泄漏,也不会影响到整个系统密钥的安全。本文设计实现了一个企业级CA系统,利用OpenSSL工具包提供的密码功能完成基本业务操作,CA根私钥用Shamir门限方案进行保护,达到容忍入侵的目的。第一部分对CA系统所涉及的理论知识进行了介绍,包括PKI/CA的概念、结构和理论基础;第二部分介绍了OpenSSL工具包的组成结构和本实现所封装的功能函数;第三部分对Shamir门限方案进行了研究,为后文找出一种适合在CA系统中保护私钥的实现作了理论准备;第四部分首先阐述了CA系统的设计和实现过程,该系统包括初始化、业务操作、根私钥分割恢复和网络传输四个模块,具备证书申请、证书签发、证书更新、证书注销、CRL签发以及操作员管理等业务功能,然后对该CA系统的安全性进行了分析;最后一部分对本论文进行了总结,指出存在的不足和对后续工作进行了展望。本文的意义在于设计实现了一个可实际应用于企业的CA系统,在CA认证中心构建的安全性方面,探讨了一种结合秘密共享体制,采用密钥拆分机制保证CA根私钥安全性的方案。由于本人在攻读硕士学位期间参与过得安企业级CA升级项目的研发工作,对完成本文有较大帮助。

论文目录

  • 摘要
  • ABSTRACT
  • 第一章 引言
  • 1.1 研究背景
  • 1.2 论文章节安排
  • 1.3 论文中简略语
  • 第二章 PKI/CA的理论研究
  • 2.1 PKI技术
  • 2.1.1 PKI概述
  • 2.1.2 PKI的体系结构
  • 2.2 CA的概念与功能
  • 2.2.1 CA介绍
  • 2.2.2 CA的功能
  • 2.3 PKI的理论基础
  • 2.3.1 保密性与密码体制
  • 2.3.2 可认证性与数字签名
  • 第三章 OpenSSL介绍
  • 3.1 OpenSSL的组成结构
  • 3.2 CA实现中OpenSSL相关函数介绍
  • 第四章 Shamir门限方案研究
  • 4.1 门限方案的定义
  • 4.2 Shamir门限方案介绍
  • 4.2.1 Shamir门限方案的数学原理
  • 4.2.2 Shamir门限方案的实现过程
  • 第五章 CA的设计与实现
  • 5.1 总体设计
  • 5.1.1 方案设计
  • 5.1.2 工作流程
  • 5.2 CA系统初始化模块
  • 5.2.1 创建数据源
  • 5.2.2 指定私钥影子服务器
  • 5.2.3 配置CA系统信息
  • 5.2.4 配置操作员信息
  • 5.3 CA系统业务操作模块
  • 5.3.1 证书管理
  • 5.3.2 CRL管理
  • 5.3.3 用户管理
  • 5.3.4 操作员管理
  • 5.4 CA根私钥分割重构模块
  • 5.4.1 有限域的概念
  • 5.4.2 有限域GF(16)的构造
  • 5.4.3 秘密分割方案实现
  • 5.4.4 重构秘密方案实现
  • 5.5 私钥影子网络传输模块
  • 5.5.1 网络传输客户端实现
  • 5.5.2 网络传输服务器端实现
  • 5.6 CA系统安全性分析
  • 第六章 总结
  • 附录
  • 参考文献
  • 致谢
  • 攻读硕士学位期间科研工作情况
  • 学位论文评阅及答辩情况表

    • 相关论文文献

    • [1].一种高安全性的私钥保护方案[J]. 计算机工程与科学 2010(11)
    • [2].安全的多层分布式私钥元分配方案[J]. 计算机工程与应用 2010(16)
    • [3].一种抗合谋攻击的区块链私钥管理方案[J]. 计算机工程 2020(11)
    • [4].采用电子钥匙和密钥托管技术实现的私钥管理方案[J]. 计算机工程与应用 2009(13)
    • [5].一种加密数字证书私钥恢复方案[J]. 信息安全与通信保密 2009(11)
    • [6].对一个私钥保护方案的分析与改造[J]. 电讯技术 2008(07)
    • [7].一种基于口令的防窃取私钥保护协议[J]. 计算机系统应用 2010(07)
    • [8].一种基于门限担保证书的分布式私钥元分配方案[J]. 计算机应用 2008(06)
    • [9].基于身份认证加密的匿名私钥共享方案[J]. 信息网络安全 2013(11)
    • [10].基于身份和私钥隔离的密码系统[J]. 通信学报 2009(04)
    • [11].基于混沌与私钥的图像加密技术[J]. 中国新通信 2014(20)
    • [12].CPK私钥网上分发协议[J]. 计算机安全 2012(07)
    • [13].一种基于私钥的图书馆RFID安全算法[J]. 科技情报开发与经济 2012(01)
    • [14].可抵抗恶意私钥中心的无证书公钥加密方案[J]. 小型微型计算机系统 2012(12)
    • [15].基于身份认证加密的私钥共享方案及其应用[J]. 计算机应用研究 2014(05)
    • [16].CPK私钥网上分发协议[J]. 信息安全与通信保密 2012(08)
    • [17].基于离散比特的RSA私钥泄漏攻击[J]. 信息工程大学学报 2012(04)
    • [18].一种CA私钥的容侵保护机制[J]. 计算机应用 2008(04)
    • [19].空间网络中私钥更新方案研究[J]. 湖北民族学院学报(自然科学版) 2014(03)
    • [20].一种基于主动秘密共享技术的CA私钥保护方案[J]. 通信技术 2008(01)
    • [21].一种容侵的CA私钥签名方案[J]. 河北师范大学学报(自然科学版) 2008(03)
    • [22].改进的SAKI私钥分发协议[J]. 计算机工程与应用 2009(25)
    • [23].LeeB私钥分发协议的改进方案[J]. 北京工业大学学报 2010(03)
    • [24].无证书抗私钥泄漏的加密方案[J]. 计算机应用 2014(05)
    • [25].基于身份的无可信私钥产生中心的代理签名方案的改进[J]. 计算机应用 2008(12)
    • [26].可证明安全的智能移动终端私钥保护方案[J]. 通信学报 2012(12)
    • [27].私钥与公钥加密在.NET编程中的应用探讨[J]. 电脑知识与技术 2010(29)
    • [28].基于AIC的IBE私钥分发协议[J]. 北京邮电大学学报 2008(04)
    • [29].一种高效的服务器协助门限签名方案[J]. 中国科技信息 2009(16)
    • [30].采用纠缠私钥实现多方量子隐蔽通信[J]. 应用科学学报 2012(01)

    标签:;  ;  

    基于Shamir门限私钥保护的CA系统设计与实现
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5