基于國密算法的小型CA系統(tǒng)設計與實現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)時代的到來和電子商務的普及，中國的網(wǎng)絡交易額與日俱增。網(wǎng)絡真真切切的改變了中國人的生活。在工作之余，只需要一個良好的網(wǎng)絡環(huán)境，就能完成購物、炒股、轉(zhuǎn)賬等日常事務。真正實現(xiàn)了，任何時間、任何地點、任何人的電子交易。而這一切應用之基礎，是要確保數(shù)據(jù)信息的保密性、完整性和不可抵賴性等安全性質(zhì)。基于數(shù)字證書，PKI(Public Key Infrastructure)，又稱公鑰基礎設施，就成為這個虛擬網(wǎng)絡世界，實體相互認證的靈魂。CA

2、(Certificate Authority)，又稱證書認證授權(quán)中心，是PKI的重中之重，它負責個每個網(wǎng)絡中的實體頒發(fā)數(shù)字證書。
　　數(shù)字證書為網(wǎng)絡中通信雙方，提供了安全的數(shù)據(jù)通信。證書擁有其標準的格式，除標準的證書信息以外，尾部為一個簽名值。證書信息由雜湊算法得到的雜湊值，在此基礎上，證書頒發(fā)機構(gòu)的對此簽名，得到此簽名值。而常用的簽名密碼算法為非對稱密碼算法RSA算法和常用于消息摘要的雜湊算法MD5算法。然而RSA算法和MD5算

3、法在近些年的應用中越來越暴露其缺陷，因此，為了保證國內(nèi)電子商務的安全，為了我國安全技術(shù)的自主化，國密局頒布了相對應的SM2、SM3算法。
　　ECC算法相對RSA算法，無論在安全性還是在加解密速度、存儲要求，都具有顯著的優(yōu)勢。密鑰為160比特的ECC算法，其安全強度相當于密鑰為1024比特的RSA算法，而且節(jié)省了864比特的存儲空間。而對于密鑰長度為210比特的ECC算法，安全強度，則與2048比特RSA的算法一致，其節(jié)省的存儲空

4、間達到了1838比特。隨著國內(nèi)公鑰基礎設施和密鑰管理系統(tǒng)的逐漸升級，SM2算法的普遍采用，成為一個必然的趨勢。然而目前沒有一套可用的基于 SM2、SM3的CA系統(tǒng)。因此對于基于國密算法的CA系統(tǒng)的實現(xiàn)，具有重要的意義。
　　本文研究了CA的相關理論和技術(shù)，閱讀了國密局SM2、SM3相關標準。為了實現(xiàn)支持國密算法的雙證書體系。密碼算法方面，基于開源的OpenSSL，改造了開源安全編程軟件OpenSSL，加入了國密算法。證書算法方面，

5、以開源安全編程軟件OpenSSL為基礎，在其基礎上加入國密證書和OCSP等國密證書接口，實現(xiàn)了加密證書。并且基于硬件，使用USB KEY，編程實現(xiàn)了基于USB Key生成公私鑰對，簽名證書請求，其他流程就與加密證書一致了?；谲浻布惴?，實現(xiàn)了數(shù)字證書的相關接口、OCSP服務的相關接口。以VC為開發(fā)工具，實現(xiàn)了一個小型CA，可擴展之后用于各種用途。
　　在改造完OpenSSL后，搭建CA，進行功能測試。加解密算法方面，進行SM2和