基于ECC的CA系统设计.docVIP

基于ECC的CA系统设计 　　摘要:该文介绍了PKI系统运行机理、作用及其基本组成。介绍了椭圆曲线密码体制的基本原理,分析了椭圆曲线数字签名算法ECDSA。根据ECC密钥长度小、计算负载少、节省带宽等特性,提出了CA 系统设计。在椭圆曲线离散对数计算困难的前提下,该设计是安全可靠的。该设计可用于电子商务中。 　　关键词:PKI;CA系统;数字证书;椭圆曲线密码体制;设计 　　中图分类号:TP311 文献标识码:A文章编号:1009-3044(2010)16-4525-03 　　 　　Design of CA System Based on Elliptic Curve Cryptosystem 　　HU Zhan-liang, SU Jiu-qing 　　(Modern Education Technology Centre, Heze University, Heze 274015, China) 　　Abstract: This paper introduced the operating mechanism, function and basic components of Public Key Infrastructure. The basic theory of elliptic curve cryptosystem is introduced.Especially elliptic curve digital signature algorithm ECDSA is introduced. Based on the ECC’s property of reductions in storage space, bandwidth and smaller length key, this paper presents a design of CA. It is secure under the assumption that ECC discrete logarithm is hard to slove. This design can be used in e-business. 　　Key words: PKI; certification authority; digital certification; elliptic curve crytpsystem; design 　　 　　1 CA系统 　　1.1 PKI体系 　　随着互联网的不断发展, 信息的安全性问题开始引起人们的密切关注。PKI (Public Key Infrastructure)是目前为解决目前Internet 安全问题而经常采用的技术,是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施[1]。PKI 技术采用证书管理公钥, 通过第三方的可信任机构认证中心(CA:Certification Authority), 把用户的公钥和用户的其他标识信息( 如名称、E-mail、身份证号等) 捆绑在一起, 在Internet 上验证用户的身份。目前,通用的办法是采用建立在PKI 基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性,从而保证信息的安全传输。 　　PKI可以提供的安全服务包括:1、鉴定性。是识别特定单位(可以包括个人、设备、企业等)的过程。2、认证性。证明和核实特定信息的相关属性的过程。3、完整性。确保信息不被修改。4、机密性。确保信息的保密。5、不可否认性。即是抗抵赖功能,收发双方都不能否认已做出的行为。总之PKI 是一种新的安全技术,基于公开密钥密码技术并通过数字证书建立信任关系来保证网上交易的安全。 　　在实际的PKI中,所采用的加密算法是对称加密算法和非对称加密算法的结合,使用非对称密码体制传递会话密钥,对称密码体制传输信息,这主要是因为对称密码体制加解密速度快,但密钥管理不方便,而非对称密码体制加解密速度相对较慢, 但密钥管理方便。 　　1.2 CA系统 　　CA是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构,CA 的作用是检查数字证书持有者身份的合法性.。数字证书是证明证书持有人与证书中所包含的公钥之间的唯一对应关系,由证书持有人的身份信息、公钥、CA的数字签名及证书的有效期等内容,且必须由CA 签名,以防证书被伪造或篡改。CA 的作用是通过数字证书使网上交易的双方相互验证身份,保证交易安全进行。 　　CA的出现,是与非对称加密技术的成熟分不开的。使用者可以发布公开密钥的同时,保留私有密钥,从而解决加密和身份确认的问题,使得实现CA成为可能。作为公共信任的第三方,CA使用自身的私有密钥对使用者的公开密钥以及其它相关信息