基于环签名的CA系统的设计与实现

【摘要】：本文研究和分析了 PK1(Public Key Infrastructure)和基于椭圆曲线的环签名机制,设计并实现了基于环签名的CA(Certificate Authority)系统。CA系统是PKI的核心,是具有权威性、可信任性及公正性的第三方机构。传统CA系统通过向用户颁发公钥证书,将CA机构的信息也写入了公钥证书,外界通过证书就可以知道该证书具体是哪家机构签发的。随着区块链技术的发展,大量应用场合要求公钥证书可以隐藏具体的颁发机构。基于环签名的CA系统向用户颁发公钥证书,外界无法通过该证书得到具体的颁发机构,但是可以确定该证书是否为环中的N个成员中的某一个颁发的。本文首先介绍了涉及到的相关理论和技术,包括对称加密与非对称加密、单向散列函数与数字签名、椭圆曲线密码等,PKI的基础理论,环签名的概念和作用。在此基础上,通过对系统进行需求分析,概要设计和详细设计,实现了一个基于Borromean环签名的CA系统。相比于其他传统CA系统,该CA系统采用环签名作为X509证书的签名,从而实现隐藏证书签发者的目的。该系统具有证书申请、证书颁发、证书撤销等功能,是一个基本完善可用的CA系统,所发布的证书遵循X.509标准。本人的主要工作如下:1.参与了本系统需求分析的全过程。2.参与了系统的架构设计、数据库设计、接口设计以及功能模块的设计。3.独立完成了“初始化”模块、“证书模板”模块、“环签名”模块、“证书注册”模块、“证书审核”模块、“证书颁发”模块的概要设计、详细设计、编码实现以及测试。4.独立负责整个系统的部署工作,并撰写了部署文档。目前,CA得到了广泛得应用,但是具备环签名证书的CA机构却几乎没有。本文扩展X.509证书支持的签名算法,将环签名整合到传统CA系统中,签发的环签名证书与传统证书进行对比发现,环签名证书既拥有传统证书的绝大部分功能,又注重隐私性的保护。环签名证书的提出也让古老的CA焕发出新的魅力,是对PKI体系的延伸与发展。