PKCS#11密鑰管理方法的研究.pdf

1、公鑰密碼標準PKCS＃11定義了一套密碼設備應用接口，為應用程序和加密設備，如USB KEY、硬盤安全模塊和智能卡等設計了接口，并已廣泛被業(yè)界應用。標準允許與外界連接的應用程序接口與加密設備進行交互，使用加密設備中的密鑰進行加密功能和密鑰管理功能，并且將接口設計成即使與惡意程序接觸或者應用在沒有安全防護的裸機上，加密設備中的敏感密鑰也不會明文泄漏。但是該應用接口在實際應用中存在各種易受攻擊的缺陷，比如攻擊者通過運用接口命令對存儲在設備中

2、的敏感密鑰構成安全威脅。
　　2003年，Clulow發(fā)表了題為On the security of PKCS＃11的論文，披露了一些PKCS＃11應用接口的攻擊方式。之后，很多研究者用模型檢測、定理證明等方式對應用接口進行形式化分析，但是都是在狀態(tài)不可變的前提下進行的。StephanieDelaune建立了自己的DKS形式化分析模型，以可變狀態(tài)為前提，敏感密鑰保護為深入點，在DKS模型下分析了PKCS＃11的密鑰攻擊方式，并提出

3、了其密鑰機制保護方案。
　　本文主要以密鑰管理操作為切入點，敏感密鑰的安全存儲和使用為主要目標，以Stephanie Delaune的DKS模型為基礎，并對模型進行擴展。針對PKCS＃11密鑰管理接口進行建模，用NuSMV形式化檢測工具自動化檢測存在的攻擊路徑和方式，分析PKCS＃11中的核心密鑰管理命令操作的安全性和PKCS＃11中的敏感密鑰被敵手取出的各種情況。解決了密鑰數(shù)量龐大和屬性復雜情況下人工檢測效率低，安全威脅檢測不完