基于商密SM2算法的证书状态查询机制设计与实现

摘要

PKI系统作为提供互联网安全的底层架构，其管理的核心就是数字证书。国际上，数字证书采用的密码算法大多是RSA，然而，随着计算机运算的速度越来越快，密码产品中RSA的位数也越来越长，在提供同等安全程度的环境下，使用ECC的密钥位数比RSA短的多；与此同时，在ECC的基础上我国自主设计了一套商用密码算法SM2，随着对信息安全的日益重视，SM2的商用价值会逐步呈现，采用SM2算法生成的证书也将日益流行。因此，对SM2证书的撤销与验证将是PKI系统对证书进行管理的最重要任务。
　　目前获取证书有效性最常用的方式是CRL（Certificate RevocationList，证书撤销列表），但这种方式有着内在的不足，单纯对它的改进仍然无法克服CRL的缺陷。随着网络交易的迅猛发展，CRL已经无法满足实时交易的需求。此时，OCSP（Online Certificate Status Protocol，在线证书状态协议）作为一种可以实时查询证书有效性的协议，能够帮助用户更及时的获取到证书的状态信息。
　　本文在OpenSSL开源库的基础上扩展了支持商密SM2算法的密码卡设备，设计并实现了一套基于OCSP协议的证书状态查询系统，该系统具有易维护、可重用、可扩展和通用性等特点。本文采用了模块化的思想，将系统分成三个相对独立的模块，即Responder响应器、密码运算模块和CRSA（Certificate Revocation Status Administrator，证书撤销状态管理者）模块，提高了代码的可扩展和可重用性。
　　其中，Responder响应器采取的方法是在流行的Apache服务器中设计一个证书状态查询模块，响应器主要实现了以下四个方面：OCSP模块数据结构的设计、服务端配置结构的设计、挂钩（包括内容生成器挂钩）的设计实现以及配置指令的设计。本文中将OCSP响应器内嵌于主流的web服务器中，以支持海量高并发的实时证书有效性查询请求。
　　密码运算模块主要采用支持国家商密SM2算法的密码卡，密码卡中提供了一套满足国家密码设备规范的标准API接口。本文借助OpenSSL开源库的动态引擎机制，在OpenSSL中添加对密码卡的调用，然后通过OpenSSL的统一调用接口来进行调用，从而提高了密码运算模块的独立性。从证书撤销库中获取证书查询结果后，调用通用接口（EVP）即可对查询结果进行签名运算。
　　CRSA模块，完成了对撤销证书的管理。证书撤销管理模块主要实现了以下四个方面：配置文件的读取、LDAP的连接和认证、CRL的获取、时间（lastUpdateTime）条目和证书撤销信息条目的构建和修改。该模块相对于响应器能够透明的运行，降低了服务器的处理负荷。
　　最后，本文讨论了证书状态查询系统的优点和不足之处，并在此基础上展望了该系统可以改进的几个方面，期望该系统能够得到进一步的完善。

目录

封面

声明

中文摘要

英文摘要

插图索引

符号对照表

缩略语对照表

目录

第一章 绪论

1.1 PKI系统

1.2商用密码算法

1.3国内外PKI发展现状

1.4本课题的工作

1.5本文结构安排

第二章 证书撤销机制分析

2.1几种CRL发布方式简介

2.2在线证书状态协议OCSP

第三章 证书状态查询系统的设计

3.1系统总体设计

3.2 Responder响应器的分析和设计

3.3密码运算模块的分析与设计

3.4 CRSA模块的分析与设计

第四章 证书状态查询机制的实现

4.1 Responder响应器功能模块

4.2密码运算模块的实现

4.3 CRSA模块的实现

4.4系统功能的测试

第五章 系统的总结和展望

5.1系统的优点和不足

5.2展望

参考文献

致谢

作者简介