一种安全增强认证中心签名方案.docVIP

一种安全增强的认证中心签名方案 　　摘 要:为了保证签名的有效性,提出了一种安全增强的认证中心(CA)签名方案。方案基于RSA算法,采用(t,n)秘密共享将CA私钥安全分发到t个签名服务器,使用主动秘密技术对私钥份额周期性更新、恢复及验证有效性,并使用分阶段签名机制进行签名。最后通过Java和OpenSSL对方案进行了实现。理论分析和实验结果表明,该方案增强了签名过程的安全性,具有一定的应用价值。 　　关键词:认证中心; 私钥; 主动秘密共享; 分阶段签名 　　中图分类号:TP309文献标志码:A 　　文章编号:1001-3695(2010)07-2665-03 　　doi:10.3969/j.issn.1001-3695.2010.07.075 　　 　　High-security scheme of signature for certificate authority 　　 　　WANG Chong-ying????1,2, ZHANG Jie-xin??3 　　 　　(1. School of Computer Science, Northeast University, Xi’an 710069, China; 2. Dept. of Computer Science, Shangluo University, Shanglou Shaanxi 726000, China; 3.Guangxi Economic Management Cadre College, Nanning 530007, China) 　　 　　Abstract:In order to guarantees the credibility of the signature, proposed a high-security scheme of signature for certificate authority. Distributed the CA private key to signature servers with (t, n) secret sharing, and updated the private key sharing periodically using the proactive secret scheme. Used a phased-based RSA signature mechanism, so it strengthens the safety of CA private key and signature. Finally, adopted Java and OpenSSL to realize it. The experimental results show that it streng-??then the security ,so it has a certain value. 　　Key words:certificate authority; private key protection; proactive secret sharing; stages signature 　　 　　0 引言 　　目前,数字证书正在网上交易中发挥着越来越重要的作用。数字证书由CA(certificate authority,认证中心)颁发。从本质讲,数字证书是将公开密钥与身份信息结合在一起,用CA私钥签名后得到的数据。因此,数字证书的可信任性依赖于CA私钥的正确性。如果CA的私钥一旦被窃取,由该CA发的所有证书就只能全部作废。如何保护CA私钥的安全性,进而保证所签发证书的有效性具有重要的研究意义。为了提高CA私钥的安全性,文献[1]将CA设计为离线方式以提高安全性,但离线方式无法自动提供证书服务,应用很不方便。对于在线CA,遭受网络攻击是不可避免的,防火墙、入侵检测等安全手段均无法保证网络的绝对安全。文献[2]采用基于(t,n)门限密码技术的容侵理论,提供了在攻击之下系统仍能不间断地提供服务的能力。但该方案在使用CA私钥之前,必须先进行重构,具有较大的安全隐患;文献[3]设计的方案虽然避免了对私钥的重构,但没有考虑长期攻击对系统的安全威胁。其他相关文献也在一定程度上存在一定的安全缺陷。基于此,本文提出一种基于RSA理论的分阶段在线签名方法,避免了对CA私钥的重构;同时,采用主动秘密共享技术对私钥份额进行更新,避免长期攻击可能造成的私钥泄露,并对私钥份额采用异构平台存储,利用操作系统的差异性,进一步增强了CA私钥和签名过程的安全性。 　　1 方案具体实现及关键技术分析 　　1.1 基于RSA算法的私钥生成 　　RSA公钥算法的安全性基于大素数分解的难度,即从一个公钥和密