一种基于安全芯片的CA方案设计和实现(1.中国科学院计算技术研究所,北京100080;2.中国科学院研究生院,北京100049;3.联想研究院,北京100085)摘要：以符合可信计算联盟标准的安全芯片为基础，提出一种基于安全芯片的CA方案，它不仅解决了CA抵抗外部攻击，而且也解决了CA抵抗内部攻击的问题，同时该方案具有较高的性能和较低的成本。??关键词：认证中心(CA);公开密钥基础设施;安全芯片;可信平台模块??中图法分类号：TP309文献标识码：A：1001-3695(2006)08-0110-04??DesignandImplementationofCASchemeBasedonSecureChip??CHENJun1,2,HOUZifeng1,3,WEIWei1,3,QUYadong1,3??(1.InstituteofComputingTechnology,ChineseAcademyofSciences,Bei激ng100080,China;2.GraduateSchool,ChineseAcademyofSciences,Bei激ng100049,China;3.LenovoResearchDevelopmentCorp.,Bei激ng100085,China)??Abstract:IncontrastwithotherCAschemes,theschemehasnotonlythepropertyofintrusiontolerantbutthepropertyofresistingexternalattackaswelltheinternalattack,andhashigherperformanceandlowercost.??Keywords:CA（CertificateAuthority）;PKI(PublicKeyInfrastructure);SecurityChip;TrustedPlatformModule在PKI(PublicKeyInfrastructure)中，CA用其私钥对证书签名执行认证作用，因此CA私钥的安全至关重要。许多解决在线CA安全的方法被提出来[1～4]，其中最基本的思想是采用门限密码技术实现容错，这种方法主要考虑CA抵抗外部攻击。据2002年FBI报道，70%的攻击是从内部发起的，并且其危害性更大，因此现有的CA方案都有一定的不足。本文在已经实现的符合TCG(TrustedComputingGroup)规范的安全芯片基础上[9]，设计并实现一种基于安全芯片的CA方案，较好地解决了在线CA内外安全问题。它不仅有入侵容错，能够抵抗外部攻击，而且使用安全芯片的可信测量、可信存储等功能，能够抵抗内部攻击。同时与其他方案相比有较高的性能和较低的成本。本文分析了现有的主要CA方案，并指出其局限性，提出基于安全芯片的CA方案，并分析了基于安全芯片的CA方案的安全性。??1现有CA方案的分析现有的CA方案主要有：斯坦福大学研究的基于门限RSA签名方案的入侵容错系统ITTC(IntrusionToleranceviaThresholdCryptography)[1，8]；Cornell大学LiDongzhou研究的通过异步的、主动的秘密共享设计与实现的分布式在线的CA方案COCA(CornellOnlineCertificationAuthority)[2]；荆继武、冯登国提出的一种基于门限---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---RSA、具有可伸缩性的入侵容忍CA方案[3]和LiuDuanyang研究的基于TrustedDealer的在线CA方案[4]等。1．1(t,n)秘密共享??上述的ITTC、COCA、荆方案和LiuDuanyang方案均采用(t,n)门限方案实现对密钥的容错保护。将一秘密值d分割成t份影子，然后将此t份影子分别存储在n个不同的服务器上。只有通过t份影子才能恢复秘密值d，称为(t，n)秘密共享[1]。把d分割成t份的方法有许多种，其中一种是根据Frankel的方法[5]，选择t个属于[-N,N]的随机数d1，d1，…，dt，使得d=d1+d2+…+dt，文献[1～3]采用这种方法；另一种是根据Shamir的秘密共享方法[6]，利用LaGrange插值公式，文献[4]采用这种方法。采用随机和方法计算量小，本方案采用随机和的方法实现CA私钥的秘密共享。??在(t,n)秘密共享中，即使攻击者成功入侵了t-1个服务器，也得不到秘密值d。但如果某台服务器崩溃或者它所存的影子丢失，则该秘密值将会丢失。为了保证可用性，文献[1]提出的(t,n)共享方案中，秘密值d按(t,t)共享方法分割成多种组合，每种组合含有t份影子，每种组合的t份影子分别存储在n个服务器中的t个服务器上。例如，当t=3,n=4时，秘密值d的(t,n)秘密共享方法如表1所示。??表1中，每个di都是属于[-N,N]的随机整数，且满足给定的方程。表的第j列表示服务器j可存储的不同影子。由表1可知，任何一台服务器出现故障或影子丢失都不会影响系统的工作，任何两台服务器被入侵后不会泄露d的任何信息，因为任何两台以上的服务器都能够产生秘密值d。因此，基于(t,n)秘密共享的具有容错和容...