随着电子商务和电子政务的普及应用,用户对这些信息服务的安全需求也越来越高。PKI (Public Key Infrastructure公钥基础设施)是一种能够满足这一需求的身份授权与鉴定机制。该机制主要基于其核心部件——CA(Certificate Authority认证机构)使用自身私钥为用户颁发数字证书。因此,认证机构的私钥成为PKI设施得以正常运转的基础,保障认证机构的私钥安全,成为整个信息安全体系的重中之重。一般情况下,私钥可存储在一台可信的服务器中,但是,这种工作方式的安全性不高,一旦服务器被攻击,认证机构的私钥就会泄露,正常的电子业务将无法进行。为了提高CA私钥的安全性,满足电子商务和电子政务等信息服务的安全需求,本文设计并实现了一套基于秘密共享、具有容忍入侵性的认证机构私钥保护系统,主要的工作和创新如下:首先,通过对秘密共享和入侵容忍技术的深入分析与研究,本文完成了系统的总体结构设计。其次,根据系统在私钥产生和签名阶段易受攻击的特性,将分布式RSA算法应用到私钥的产生过程,并在签名过程中采用双层共享结构存储私钥,以提高私钥的安全性。之后,完成了系统核心组件的功能设计和类的实现。最后,分析论证了各子系统在私钥的产生、分发及签名工作过程中对整个系统安全性的影响。结果表明,本文设计的认证机构私钥保护系统具有较高的安全弹性。即使有一定数量的服务器被破坏,认证机构的私钥仍旧不会泄露,并且系统能够继续为用户提供正常的签名服务,实现了容忍入侵性。