基于國(guó)密算法的小型CA系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)時(shí)代的到來(lái)和電子商務(wù)的普及，中國(guó)的網(wǎng)絡(luò)交易額與日俱增。網(wǎng)絡(luò)真真切切的改變了中國(guó)人的生活。在工作之余，只需要一個(gè)良好的網(wǎng)絡(luò)環(huán)境，就能完成購(gòu)物、炒股、轉(zhuǎn)賬等日常事務(wù)。真正實(shí)現(xiàn)了，任何時(shí)間、任何地點(diǎn)、任何人的電子交易。而這一切應(yīng)用之基礎(chǔ)，是要確保數(shù)據(jù)信息的保密性、完整性和不可抵賴性等安全性質(zhì)?；跀?shù)字證書，PKI(Public Key Infrastructure)，又稱公鑰基礎(chǔ)設(shè)施，就成為這個(gè)虛擬網(wǎng)絡(luò)世界，實(shí)體相互認(rèn)證的靈魂。CA

2、(Certificate Authority)，又稱證書認(rèn)證授權(quán)中心，是PKI的重中之重，它負(fù)責(zé)個(gè)每個(gè)網(wǎng)絡(luò)中的實(shí)體頒發(fā)數(shù)字證書。
　　數(shù)字證書為網(wǎng)絡(luò)中通信雙方，提供了安全的數(shù)據(jù)通信。證書擁有其標(biāo)準(zhǔn)的格式，除標(biāo)準(zhǔn)的證書信息以外，尾部為一個(gè)簽名值。證書信息由雜湊算法得到的雜湊值，在此基礎(chǔ)上，證書頒發(fā)機(jī)構(gòu)的對(duì)此簽名，得到此簽名值。而常用的簽名密碼算法為非對(duì)稱密碼算法RSA算法和常用于消息摘要的雜湊算法MD5算法。然而RSA算法和MD5算

3、法在近些年的應(yīng)用中越來(lái)越暴露其缺陷，因此，為了保證國(guó)內(nèi)電子商務(wù)的安全，為了我國(guó)安全技術(shù)的自主化，國(guó)密局頒布了相對(duì)應(yīng)的SM2、SM3算法。
　　ECC算法相對(duì)RSA算法，無(wú)論在安全性還是在加解密速度、存儲(chǔ)要求，都具有顯著的優(yōu)勢(shì)。密鑰為160比特的ECC算法，其安全強(qiáng)度相當(dāng)于密鑰為1024比特的RSA算法，而且節(jié)省了864比特的存儲(chǔ)空間。而對(duì)于密鑰長(zhǎng)度為210比特的ECC算法，安全強(qiáng)度，則與2048比特RSA的算法一致，其節(jié)省的存儲(chǔ)空

4、間達(dá)到了1838比特。隨著國(guó)內(nèi)公鑰基礎(chǔ)設(shè)施和密鑰管理系統(tǒng)的逐漸升級(jí)，SM2算法的普遍采用，成為一個(gè)必然的趨勢(shì)。然而目前沒(méi)有一套可用的基于 SM2、SM3的CA系統(tǒng)。因此對(duì)于基于國(guó)密算法的CA系統(tǒng)的實(shí)現(xiàn)，具有重要的意義。
　　本文研究了CA的相關(guān)理論和技術(shù)，閱讀了國(guó)密局SM2、SM3相關(guān)標(biāo)準(zhǔn)。為了實(shí)現(xiàn)支持國(guó)密算法的雙證書體系。密碼算法方面，基于開源的OpenSSL，改造了開源安全編程軟件OpenSSL，加入了國(guó)密算法。證書算法方面，

5、以開源安全編程軟件OpenSSL為基礎(chǔ)，在其基礎(chǔ)上加入國(guó)密證書和OCSP等國(guó)密證書接口，實(shí)現(xiàn)了加密證書。并且基于硬件，使用USB KEY，編程實(shí)現(xiàn)了基于USB Key生成公私鑰對(duì)，簽名證書請(qǐng)求，其他流程就與加密證書一致了?；谲浻布惴?，實(shí)現(xiàn)了數(shù)字證書的相關(guān)接口、OCSP服務(wù)的相關(guān)接口。以VC為開發(fā)工具，實(shí)現(xiàn)了一個(gè)小型CA，可擴(kuò)展之后用于各種用途。
　　在改造完OpenSSL后，搭建CA，進(jìn)行功能測(cè)試。加解密算法方面，進(jìn)行SM2和