基于入侵容忍的CA系统设计与应用研究

摘要

随着网络技术的广泛应用，电子商务、电子政务、网上银行等网上交易也得到了迅速发展。在进行各种网上交易时，网络上信息的安全问题成为人们关注的焦点。CA负责为这些网上交易签发并管理所需身份认证的数字证书。CA用来签名的私钥非常重要，如果私钥被泄露，就可以用它伪造证书，整个网上交易的安全性就无从谈起。本文通过将入侵容忍技术应用到CA系统中，保证在有攻击存在或者部分服务器被入侵的情况下，仍然可以确保CA签名私钥的秘密性和签发证书的可靠性。本文主要利用门限密码体制来实现具有入侵容忍特性的CA系统。
　　具体地讲，本文所做的主要工作如下：
　　(1)在对RSA算法，入侵容忍技术和门限密码系统进行研究的基础上，利用有理数域上的Lagrange插值公式，(t,n)门限方案、通过hash函数构建的特殊形式的RSA密码体制及Gennaro等人提出的交互式验证协议，本文提出了基于RSA的入侵容忍密钥分发和可验证门限签名方案。
　　(2)利用基于RSA的可验证门限签名方案设计出了基于入侵容忍的CA系统；对系统的结构，各组成部分的功能、系统的工作协议和特点进行了细致的分析研究；并给出了详细阐述。利用主动秘密共享机制来实现系统子密钥的更新方案；给出了系统中的共享服务器的检测和更新方法；并对系统采用的签名算法进行实现；最后对系统的性能及效率进行了分析。
　　(3)系统在对用户申请的数字证书信息进行签名时，首先由多个共享服务器进行部分签名，然后再由组合服务器重构出证书签名；而不需要从各个共享服务器的子密钥重构出CA签名私钥，再使用该私钥进行证书签名；这样就可以避免CA签名私钥在系统中的出现，有效地保护了CA私钥在签名过程中被泄露的危险。

目录

封面

目录

中文摘要

英文摘要

第一章引言

1.1研究背景

1.2入侵容忍技术与CA系统研究现状

1.2.1入侵容忍技术研究现状

1.2.2CA系统的研究现状

1.3本文的主要工作

1.4论文的组织结构

第二章PKI/CA与入侵容忍技术的理论研究及应用

2.1PKI技术概述

2.1.1PKI系统的基本组件

2.1.2PKI提供的服务

2.2CA认证中心的分析与研究

2.2.1CA认证中心的功能

2.2.2PKI/CA和数字证书

2.3入侵容忍技术的研究及应用

2.3.1入侵容忍技术的引入

2.3.2入侵容忍技术的基础理论

2.3.3入侵容忍技术的分类

2.3.4基于门限体制的入侵容忍技术研究现状

2.4本章小结

第三章RSA密码体制和门限密码体制

3.1RSA公钥密码体制

3.1.1RSA算法的原理

3.1.2RSA公钥密码体制的安全性分析

3.2门限密码系统

3.2.1门限密码系统的原理

3.2.2(t,n)门限密码系统

3.3秘密共享体制

3.3.1门限秘密共享方案

3.3.2传统的门限共享方案存在的不足

3.3.3目前门限共享方案的特点

3.4本章小结

第四章基于RSA的入侵容忍密钥分发和可验证门限签名方案

4.1基于RSA的入侵容忍密钥分发方案

4.1.1引言

4.1.2密钥分发方案描述

4.1.3生成密钥协议

4.1.4分发密钥协议

4.1.5密钥分发方案的可靠性、容侵性及抗假冒攻击性能分析

4.2基于RSA的可验证门限签名方案

4.2.1引言

4.2.2部分签名的产生和验证

4.2.3门限签名的产生和验证

4.2.4门限签名方案的性能分析

4.3本章小结

第五章基于入侵容忍的CA系统设计与应用研究

5.1引言

5.2现有的入侵容忍CA系统方案分析

5.3基于入侵容忍的CA系统设计

5.3.1系统结构设计及功能描述

5.3.2CA系统的工作协议

5.3.3CA系统的特点

5.3.4CA系统的子密钥更新方案

5.3.5CA系统中的共享服务器检测与更新

5.4系统中的签名算法实现

5.5基于入侵容忍的CA系统分析

5.5.1系统的入侵容忍性分析

5.5.2系统的性能分析

5.6本章小结

第六章结束语

6.1论文主要工作总结

6.2研究展望

致谢

参考文献

附录

声明