一种高安全性的私钥保护方案

计算机工程与科学 ›› 2010, Vol. 32 ›› Issue (11): 55-57.

一种高安全性的私钥保护方案

朱建东1，2，祝智庭1

（1.华东师范大学教育信息技术系,上海 200062；2.南通农业学院信息工程系,江苏南通226007）

收稿日期:2009-11-26 修回日期:2010-03-02 出版日期:2010-11-25 发布日期:2010-11-25
通讯作者: 朱建东
作者简介:朱建东（1965），男，江苏南通人，副教授，研究方向为网络与信息安全；祝智庭，教授，博士生导师。

A High Security Scheme of Private Key Protection

ZHU Jian dong1,2,ZHU Zhi ting1

（1.Department of Education Information Technology，East China Normal University,Shanghai 200062; 2.Department of Information Engineering，Nantong Agricultural College，Nantong 226007,China)

Received:2009-11-26 Revised:2010-03-02 Online:2010-11-25 Published:2010-11-25

摘要/Abstract

摘要： CA私钥的安全是数字证书可信性及签名有效性的保证。为了增强CA私钥的安全保护，采用基于RSA的(t,n)秘密共享将CA私钥安全分发到t个签名服务器，每个签名服务器拥有不同的私钥份额，并使用先应式秘密技术周期性更新私钥份额，避免长期攻击可能带来的危险性；同时，对私钥份额进行恢复和有效性验证；签名时，使用基于RSA的分步签名机制，每个签名服务器先计算出部分签名，最后由签名代理合成最终签名。整个过程都无需对CA私钥进行重构，增强了CA私钥和签名过程的安全性。最后，对存储私钥份额的服务器采用异构平台。方案通过VC和OPENSSL进行了实现。理论上的分析和实验结果表明，本方案有较高的安全性和效率。

关键词: 数字证书, 私钥安全, 秘密共享, 分步签名, 私钥更新

Abstract:

The security of the CA private key guarantees the credibility of a digital certificate and the validity of the signature. In order to enhance the security protection of the CA private key, we distribute the CA private key to t signature servers with (t,n) secret sharing, each having a different private key sharing, and the private key sharing is periodically updated using the proactive secret scheme. A phasebased RSA signature mechanism is used, each server calculating part of the signature, and then the signed proxy gets the final signature. In the whole process, the CA private key never reconstructs, so it strengthens the safety of the CA private key and the signature. Finally, heterogeneous platforms are used to store the CA secret. VC and OPENSSL are adopted to realize it.

Key words: digital certificates, security of private key, private sharing, stages signature, update of private key

朱建东1, 2, 祝智庭1. 一种高安全性的私钥保护方案[J]. 计算机工程与科学, 2010, 32(11): 55-57.

ZHU Jian dong1, 2, ZHU Zhi ting1. A High Security Scheme of Private Key Protection[J]. Computer Engineering & Science, 2010, 32(11): 55-57.

[1]	崔晨雨, 张丽娜, . 一种具有身份锁的门限多秘密共享方案[J]. 计算机工程与科学, 2022, 44(08): 1382-1391.
[2]	王彩芬1,2，苏舜昌1，杨小东1. 可动态更新的口令授权多秘密共享方案[J]. 计算机工程与科学, 2019, 41(09): 1597-1602.
[3]	黄冬梅1，徐慧芳1，贺琪1，杜艳玲1，魏泉苗2. 云环境下基于秘密共享的海洋遥感影像认证方案[J]. 计算机工程与科学, 2017, 39(08): 1410-1418.
[4]	王学军1,2，高彩云1，曹天杰1,3. 基于离散对数问题可验证的多秘密共享方案[J]. J4, 2013, 35(5): 41-45.
[5]	李兵,胡伟. 矢量空间秘密共享门限代理签名方案[J]. J4, 2012, 34(5): 49-52.
[6]	赵建强[1,2] 朱培栋[1] 杨铭[3] 何俊[1]. MANET中基于邻居节点权值的可验证组密钥更新算法[J]. J4, 2008, 30(1): 32-34.
[7]	刘聆[1,2] 贾焰[1] 陈玉教[3]. 基于P2P的数字证书撤销列表更新方案及性能分析[J]. J4, 2007, 29(2): 24-25.
[8]	李庆华[1] 姚静[1,2] 赵峰[1,2]. 基于主动秘密共享的Web容侵策略研究[J]. J4, 2006, 28(8): 34-35.
[9]	肖立国[1] 钟诚[2]. 基于ECC的定期更新的可验证秘密共享方案[J]. J4, 2006, 28(7): 25-27.
[10]	陈晓苏郭蔚刘立刚肖道举. 基于中国剩余定理的联合数字水印[J]. J4, 2004, 26(9): 27-30.
[11]	王礼强龚俭. 数字证书语义的形式化描述[J]. J4, 2001, 23(1): 5-7.