基于商密SM2算法的輕型PKI系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、PKI體系作為信息安全領(lǐng)域成熟的解決方案，在國(guó)際上被廣泛采用。然而，隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，曾經(jīng)PKI體系中采用的公鑰密碼RSA算法在安全性上與密鑰位數(shù)成正比，RSA算法需要密鑰位數(shù)達(dá)到1024位以上才能滿足我國(guó)信息安全的要求，ECC算法作為更安全高效的公鑰密碼算法，在PKI應(yīng)用中比RSA算法更有優(yōu)勢(shì)，同時(shí)我國(guó)基于ECC技術(shù)自主設(shè)計(jì)研發(fā)了國(guó)家商用密碼算法 SM2算法，伴隨著SM2算法的公開，我國(guó)的商用密碼產(chǎn)品將步入由RSA向SM2更新

2、的浪潮。PKI體系作為信息安全領(lǐng)域基礎(chǔ)設(shè)施，將我國(guó)的PKI體系中的公鑰RSA算法升級(jí)為SM2算法刻不容緩。
　　本文采用OpenSSL開源庫(kù)實(shí)現(xiàn)了商密 SM算法的擴(kuò)展，并通過OpenSSL的X509接口實(shí)現(xiàn)了基于SM2證書的PKI系統(tǒng)，PKI系統(tǒng)主要包括一套PKI安全管理策略、CA認(rèn)證中心和目錄服務(wù)器LDAP。
　　其中，PKI安全管理策略主要涉及管理員的分權(quán)機(jī)制、KMC密鑰管理中心和安全審計(jì)。本文通過 shamir門限機(jī)制

3、實(shí)現(xiàn)管理員分權(quán)方案，同時(shí)，通過分權(quán)USBKey管理員機(jī)制、密態(tài)存儲(chǔ)密鑰、校驗(yàn)密鑰文件、安全的備份/恢復(fù)機(jī)制等，實(shí)現(xiàn)了一套安全有效的密鑰管理方案。最后，為了保證管理日志安全，本文設(shè)計(jì)實(shí)現(xiàn)了一套安全審計(jì)模塊。
　　CA認(rèn)證中心是PKI系統(tǒng)的核心部分，主要負(fù)責(zé)證書頒發(fā)和證書有效性驗(yàn)證等功能。本文CA認(rèn)證中心采用三層體系結(jié)構(gòu)，同時(shí)為了簡(jiǎn)化PKI系統(tǒng)的設(shè)計(jì)，將RA的設(shè)計(jì)融合在CA認(rèn)證中心部分。最后，為了加強(qiáng)在線頒發(fā)證書時(shí)CA認(rèn)證中心的安全，