论文摘要
随着全球信息化的发展,构建一个可信、安全的网络世界的需要越来越迫切。网络环境中的身份认证技术是解决这一问题的重要技术,它可以提供机密性、完整性、身份认证和抗抵赖性的安全服务。网络的虚拟性和匿名性使得网络欺诈行为和反悔行为得以随时随地的发生,严重威胁着网上交易的安全。现今,广泛应用的主要是公钥基础设施(PKI),以及基于标识的加密系统(IBE)。PKI和CA在国外己经成功的进行了广泛的应用,PKI己经越来越多地被用来保证网络的认证、不可否认、加解密和密钥管理等,尽管如此,总的说来PKI技术仍在发展中,PKI和CA的局限性迫使美国军方考虑用其他技术手段来完善或替代PKI.而有相对优势的IBE系统省略了靠第三方证明的层次化CA机构链,把认证技术向前推进了一大步,但仍需要保留用户参数并依靠在线数据库支持,在实施的过程中仍有很多函待解决的问题,组合公钥(Combined PublicKey:CPK)是一种新型的公钥基础设施,与公开密钥基础设施(PKI)相比,该体制免除了复杂的CA证书认证过程,满足加密卡节省存储空间和生成密钥对方便的要求。组合公钥认证系统是建立在新型密钥管理算法和映射技术基础之上的认证体制,在有序的网络世界认证系统中,较好地解决了密钥管理两大难题。CPK采用集中式管理的模式,可以通过公钥因子矩阵和私钥因子矩阵,计算出用户的公钥和私钥,从技术上解决了密钥的规模化和密钥存储技术,因而不需要多层cA结构,也不需要LDAP等目录库的支持:CPK解决了基于身份的密钥分发,密钥变量本身直接证明身份(身份)的真伪,因而不再需要第三方的证明和第三方机构。这种架构是基于公钥密码学体系,并有新的特点:不是随机生成公私钥对并发布公钥,而是把用户的名字和网络地址作为公钥。名字,身份证号,街道地址,公务员证件号或者电话号码的任意组合都可以被使用(取决与实际情况)来提供用户的不可否认的唯一身份,并且容易被大家接受。本论文对基于IBE体制和椭圆曲线算法的组合公钥理论做了深入剖析和研究,详细分析了该认证体制的技术特点,并利用椭圆曲线的特性结合ECDSA签名算法、ELEGAMA加密算法对在实际安全信道中基于身份认证和组合公钥的安全体制的应用进行了深入的研究和仿真,提出了可行的加解密、签名和密钥交换方案。对CPK认证体制进行了基本架构的设计,按功能划分出密钥生产中心、密钥管理中心、和注册管理中心,并对所用到的数据结构进行了详细设计,保证设计遵从ASN.1标准,其中主要设计了公私钥矩阵及证书的实际存储结构,使其可以方便的集成到各种系统之中。最后分析了CPK认证体制的性能和安全性,并与PKI认证体制进行了对比,分析了各自的优缺点及适用环境,并着重分析了CPK体制运算速度快,内存占用少,认证过程简单等优势,CPK不需要庞大的支持系统,几乎没有维护量,CPK是多、快、好、省的解决方案。基于椭圆曲线的组合公钥认证系统具有安全性好、处理对象多、资源消耗小、管理简便,在许多场合下不需要第三方认证即可以得到可靠使用的特点,可广泛的应用在电子商务、电子政务、电子军务等领域。在读期间,本人主要从事认证体制的研究,期间的科研项目主要有:CSP在加密机系统上的应用、CSP对SSL安全网络协议的支持、智能卡上PKI实施研究与PKCS#11接口的应用、椭圆曲线组合公钥体制的可用性与实用性研究的研究与设计,在此基础上提出了本论文中组合公钥认证系统的研究与设计。