基于标识的ECC密码模块和密钥服务客户端的开发

摘要

在当今复杂的互联网环境下，为了保障数据的安全和身份的真实性，最有效地解决方案就是使用加密和签名技术。面对传统的密码技术存在的一系列问题，本文对基于身份的ECC密码技术（IB-ECC）进行了研究并对其中的客户端相关模块给予了实现。
　　在传统密码技术中，公钥基础设施（PKI）是一种成熟的安全解决方案，然而 PKI技术存在密钥管理和证书管理十分复杂的问题。通过对基于身份的密码技术（IBC）的研究，发现IBC算法可以解决了PKI的证书管理问题并且私钥恢复简单，然而IBC算法的效率无法令人满意，且当前IBC还没有应用层统一的标准，对应用的推广十分不方便。针对这个问题，通过对新近公开的椭圆曲线密码算法（ECC）进行研究发现，ECC算法与RSA或IBC算法进行比较，可以明显地发现ECC算法运算速度较快，且在同等安全强度情况下其密钥长度较短。
　　IB-ECC密码技术很好地结合了上述多种技术的优点，可通过身份标识直接计算出对应于ECC算法的公钥和私钥，通过安全通道分发数据，然后由客户端密码模块实现密码运算。首先，对于IB-ECC安全交互过程，本文设计了IB-ECC安全交互协议并实现了密钥服务客户端。然后，本文重点设计并实现了两个IB-ECC密码模块。由于在当前主流的密码应用中，大多数使用的是 CryptoAPI和Cryptoki标准接口，因此本文分别实现了这两种接口依赖的CSP密码模块和PKCS＃11密码模块。在IB-ECC密码模块的实现中，本文借助了伪RSA数字证书和伪密钥的使用保证了对主流的基于数字证书的密码应用的支持。此外，作为应用的完善，本文设计并实现了终端密钥管理程序。该部分实现了对本地存储数据的可视化管理和私钥的自动更新等功能。
　　本文的创新点体现在以下两个方面：一是目前被广泛使用的标准接口没有提供对IB-ECC密码技术的支持，本文通过使用伪RSA数字证书和伪密钥实现的 IB-ECC密码模块可以使当前主流的基于数字证书的密码应用程序通过标准接口就可以支持IB-ECC密码技术；二是为了安全和方便，本文对传统密码方案进行改进，设计并实现了IB-ECC私钥的自动更新。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪 论

1.1 课题来源

1.2 课题研究背景和意义

1.3 国内外研究水平及动态

1.4 本论文的主要研究工作

1.5 论文结构

第2章 系统整体结构和方案设计

2.1 系统整体结构

2.2 系统方案设计

2.3 本章小结

第3章 密钥服务协议与密钥服务客户端

3.1 密钥服务协议

3.2 密钥服务客户端

3.3 本章小结

第4章 IB-ECC CSP密码模块

4.1 IB-ECC CSP密码模块整体结构

4.2 本地文件数据库存取模块

4.3 IB-ECC密钥容器操作模块

4.4 IB-ECC密钥操作模块

4.5 IB-ECC密码运算模块

4.6 本章小结

第5章 IB-ECC PKCS#11密码模块

5.1 IB-ECC PKCS#11密码模块整体结构

5.2 导出接口的设计与实现

5.3 本章小结

第6章 终端密钥管理程序

6.1 IB-ECC密钥管理客户端

6.2 IB-ECC后台守护进程

6.3 本章小结

第7章 系统应用和测试

7.1 IB-ECC CSP密码模块在Outlook上的应用和测试

7.2 IB-ECC PKCS#11密码模块的应用与测试

7.3 IB-ECC密码模块之间的交叉测试

7.4 本章小结

第8章 总结与展望

8.1 总结

8.2 展望

致谢

参考文献

附录A 已发表专利列表