论文部分内容阅读
摘 要 公钥基础设施(PKI)是现有网络中支持电子商务和数字通信的重要技术手段。在线证书状态协议(OCSP)是PKI中用于检索证书撤销信息的标准协议。本文介绍了一种基于隔离密钥签名模式的,使用单一公钥的新分布式OCSP,每个响应服务器都有不同的私钥,但对应的公钥是固定的。用户只需获得并保管一个证书,就可以使用这个单一公钥验证所有响应服务器。
关键词 公钥基础设施;认证中心;分布式在线证书状态协议;隔离密钥签名模式
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
1 背景
在公钥基础设施(PKI)中,证书将一个实体的身份资料与相应的公钥绑定在一起。然而在失效日期前,证书会因为绑定关系破坏而被撤销。因此,验证证书不仅必须检查失效日期,还应检查证书的撤销信息。
常用的机制是能提供证书实时状态的在线证书状态协议(OCSP)。OCSP为证书状态查询不断提供新的应答,证书的状态由一个作为OCSP响应服务器的可信实体返回。在移动环境下,OCSP是一个不错的选择,因为用户可以仅使用适度的资源就能实时检索证书状态。不过,还存在以下两种威胁:
1)拒绝服务(DoS)攻击:在OCSP中,响应服务器对每个用户的请求产生一个签名响应。即对于每个攻击者发出的简单请求,响应服务器必须生成数字签名,这是一个计算密集型的操作。因此,响应服务器变得非常容易受到拒绝服务攻击。
2)私钥泄漏:如果攻击者获得了响应服务器的私钥,他可以产生伪造的响应。
针对这些威胁制定对策非常重要。如果OCSP响应服务器是集中式,整个系统会遭受DoS攻击和响应服务器的私钥泄漏,整个服务都将不可用。
由多方响应服务器组成的分布式OCSP(D-OCSP),可以减少这些损失。在每一个响应服务器都拥有相同私钥的情况下,任何响应服务器泄密都会造成整个系统泄密。相对地,如果每一个响应服务器都有不同的私钥,一个响应服务器泄密则不会影响到其他人。因此,本文分析每个响应服务器都是拥有不同私钥的D-OCSP。
本文提出了一种新的D-OCSP,基于离散对数问题的困难性,并使用单一公钥和隔离密钥签名模式(KIS)。KIS能减少因私钥泄漏所带来的损失。使用KIS功能的响应服务器,在私钥泄漏后,机器只会在短时间内可能受到攻击。本文关注KIS中可通过固定公钥验证所有签名的这种特性。KIS使用密钥更新算法产生多个私钥,认证机构(CA)将私钥分别派发给分散的响应服务器。因此,每一个响应服务器能拥有不同的私钥,但相应的公钥固定不变。另外,用户可通过使用单一公钥验证任何响应信息。用户获得响应服务器的证书后,他可以存储,并在证书有效时使用。因此,OCSP响应服务器不必将自己的证书附加到响应信息中。笔者的D-OCSP的通信成本比现有的D-OCSP更低。
2 分布式OCSP
2.1 预备知识
分布式OCSP 由3个实体组成。
2.1.1 认证机构(CA)
CA是一个值得信赖的第三方,有责任公布有关证书撤销的信息[2]。CA私钥的泄漏将影响整个系统,因此CA常与互联网隔离开来,以防止未经授权的访问。
2.1.2 响应服务器
响应服务器是一个将证书状态信息传给用户的,值得信赖的实体。在产生包含请求证书的状态的响应信息后,响应服务器使用自己的私钥对响应信息进行数字签名。在本文中,证书的状态都是“有效”或“撤销”的。
2.1.3 用户
假设用户信任一个CA和响应服务器。他们向响应服务器发送请求证书状态的消息。
如果每个响应服务器都拥有同样的私钥,任何响应服务器的泄密都会损害整个系统。因此,在笔者构建的D-OCSP中,每个响应服务器有不同的密钥对(PKi,SKi)。PKi和SKi分别表示响应服务器I拥有的公钥和签名私钥。
CA向每个响应服务器颁发用自己私钥签名的证书。用户应像检查传统证书般检查响应服务器证书的撤销信息。
2.2 验证过程
一旦用户收到响应服务器的响应,他按下列步骤验证:
1)用户在线获得响应服务器证书。在本文中,假定OCSP响应服务器随响应信息一起发送响应服务器证书。
2)用户使用CA的公钥验证响应服务器证书的数字签名。
3)用户使用响应服务器的公钥验证响应服务器的数字签名。
3 方法改进
本文提出一种使用单一公钥的新D-OCSP,使用了KIS。在笔者的方法中,响应服务器的私钥即时产生,用户可以使用单一公钥验证任何响应。
有许多数字签名模式被提出过,但它们没有对私钥泄漏提供安全保证。标准的数字签名模式中,用户开始注册一个能在协议规定的生存期内保持不变的单一公钥,而相应的私钥可以经常更换[3]。主密钥存储在安全的物理设备中。生存期被分为不同的周期1,2,…,N。在周期i的开始阶段,用户通过安全设备生成的临时私钥SKi进行交互。即使SKi暴露,攻击者也不能伪造其他周期的签名。此外,在一个健壮的(T,N)隔离密钥方案中,攻击者即使能得到t周期之前的所有私钥,也不能伪造任何剩余N-t周期的签名。使用KIS功能的响应服务器,在周期i时用响应服务器的私钥SKi签名响应信息。在这种情况下,如果SKi泄漏,攻击者只有能伪造i周期的响应。也就是说,响应私钥的泄漏只能影响那些泄漏时的响应信息。
本文使用不同于KIS功能响应服务器的步骤。假设D-OCSP中响应服务器的数量是n。使用KIS中的密钥更新算法生成n个私钥。CA将这些私钥分派给n个分散的响应服务器。每个响应服务器都有不同的私钥,但对应的公钥是不变的。在笔者的方法中,验证者可以使用单一公钥验证由任何响应服务器发出的响应。 3.1 预备知识
N是响应服务器总数目。
H是一个单向散列函数。
Ri是响应服务器。(i=1,2,……,n)
Xt是在周期t验证Ri的散列值。
PKres是响应服务器的公钥。
SKi是Ri的签名私钥。
SK+是用于生成响应服务器私钥的主密钥。SK+储存于安全物理设备中。
RM是包含响应服务器证书状态的响应信息。
Cres是响应服务器证书。
假设:CA和每个响应服务器间建立了安全通道;CA拥有安全物理设备,并将主密钥储存于其中;所有响应服务器和用户拥有同步时钟。
3.2 验证响应服务器的私钥
用户需要检查响应服务器证书以确保其还没被撤销。在笔者的D-OCSP中,每个响应服务器有不同的私钥,但相应的公钥固定不变。笔者的方式是使用一个满足以下属性的单向散列函数H。
1)H至少比基于公钥技术的数字签名运算速度快1000倍。
2)H产生20个字节的输出。
3)H是难以逆运算的,在H(x)=Y中,给出Y,要得到X是几乎不可能的事。
4)H是抵抗碰撞的散列函数。
步骤1:响应服务器证书的发布:
1)T是总的周期数。举例来说,如果每个响应服务器证书在颁发180天以后到期,则T是180。CA按照如下方法使用H产生T散列值。
CA根据不同的输入值XT,i,重复地产生n散列链。CA存储这些散列值。
……
2)CA使用私钥签发Cres。SN是证书序列号,V代表有效期。I和S分别代表发行者和证书主题。
步骤2:响应服务器私钥的认证
1)如果响应服务器SKi在t时间周期是有效的,CA传递散列值Xt, i给Ri,。如果SKi泄漏,CA会删除SKi的散列链。
2)当Ri在周期t返回响应给用户时,他同时传递散列值Xt, i给用户。
3)当用户从Ri处收到响应后,他使用PKres.验证数字签名。然后,用户可以使用Xt, i和X1, i,以及Cres,检查SKi的有效性。更深入地,用户检查以下公式。如果方程是满足的,用户可以证明SKi是有效的。
在这种方式下,用户可以验证响应服务器私钥的有效性。Cres在其有效期内不会撤销,除非所有的响应服务器私钥都泄漏了。
3.3 分散响应服务器的方法
笔者使用基于离散对数问题困难性的KIS来描述下列分散过程。
步骤1:响应服务器私钥的生成
1)产生密钥对。
设p和q是素数,使p=2q+1,设g,h是Zp组中的元素顺序q。PKres是由x,y∈Zq决定,同时使v=gxhy。
2)产生响应服务器私钥。
局部密钥SK’i使用如下的方法产生。SK’i用于计算Ri’s的私钥。
利用以上派生的局部私钥,产生n个私钥。一旦所有私钥都产生了,SKi和SK将被删除。
CA安全地将私钥SKi 传递给Ri。因此,每个响应服务器都有不同的私钥。
3)颁发响应服务器证书。
CA按照下列步骤颁发响应服务器证书Cres。
步骤二:签名和验证算法
1)签名算法。
当Ri返回响应值RM给用户时,他按照下面步骤使用SKi生成一个数字签名σi(RM)=。
2)验证算法。
用户可以按照下列方法使用PKres验证Ri的签名。
return “accept”
If
Else “reject”
4 评价
4.1 安全
假设一个攻击者偷窃了时间周期t的SKi散列值Xt, i。在这种情况下,他不能得出任何其他响应服务器的私钥,除非他取得SK+,而在生成响应服务器的私钥后SK+会被删除。如果攻击者可以得到散列值Xt, i,他不能推导出散列值Xt+1, i,正如H(Xt+1, i)=Xt, i,因为H是一个单向函数。因此在周期t+1后,攻击者不能欺骗SKi是有效的。
但是,任何人都可以通过向Ri发送请求得到最近的Xt, i。因此,偷窃了SKi的攻击者在某一个时期仍能伪造稍后时期的响应,直到CA检查出SKi 是伪造的,停止传递Xt, i 给Ri。传统的D-OCSP也有同样的问题。一般情况下是很难察觉到私钥的泄漏。KIS功能的D-OCSP可以最大限度地减少因为泄漏私钥所造成的破坏,因为私钥会在短时期内进行更新。因此,一个KIS功能的D-OCSP比传统的D-OCSP具有更高的安全性。
如果有些响应服务器泄密了,CA会停止传递散列值给泄密的响应服务器。一旦响应服务器泄密,它必须退出系统,直到响应服务器证书过期。笔者认为降级系统不是一个重要的问题。如果一些响应服务器泄密,其它响应服务器都不会受到损害。也就是说,用户可以利用另外的响应服务器。这种情况下,一些响应服务器泄密对系统造成的影响是最少的。
4.2 通信成本
在传统的D-OCSP中,OCSP响应服务器会随同响应信息发出自己的证书。而笔者提出的D-OCSP可以减少通信成本,因为响应服务器证书只有一个。如果用户存储响应服务器证书,OCSP响应服务器则无须随响应信息发送自己的证书。
4.3 验证响应服务器
在笔者的D-OCSP中,笔者使用散列链而非CRL验证响应服务器的私钥。如上所述,散列计算速度远远快过数字签名运算。要检查响应服务器证书状态,用户只需计算的t周期的散列值。
4.4 CA的效率
CA应安全地存放散列值。散列值的全部值大小等于20nT bytes。然而,CA无需储存所有的散列值,只需存储XT, i(20nT-bytes),因为散列计算是非常快的。在周期t,Xt, i由T-t次散列计算得出。
传统的D-OCSP,CA应该颁发短寿命的响应服务器证书。笔者的D-OCSP,CA可颁发长寿命响应服务器证书,因为用户可以验证响应服务器的私钥。
5 结论
为了尽量减少因响应服务器的私钥泄漏和DoS攻击所造成的损失,现实世界中的分布式OCSP模型由多个响应服务器组成。本文提出了新的使用隔离密钥签名模式的分布式OCSP模型。用户可以更高效地验证响应服务器的有效性。笔者构建的分布式OCSP,通信成本较低,用户可以验证任何响应服务器返回的响应信息。
参考文献
[1]谢冬青.PKI原理与技术[M].北京:清华大学出版社,2004:65-68.
[2]William Stallings.密码编码学与网络安全——原理与实践(第三版)[M].北京:电子工业出版社,2005:88-89.
[3]Andrew Nash,William Duane,Celia Joseph,Derek Brink.公钥基础设施(PKI)——实现和管理电子安全[M].北京:清华大学出版社,2002:110-111.
关键词 公钥基础设施;认证中心;分布式在线证书状态协议;隔离密钥签名模式
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)11-0000-00
1 背景
在公钥基础设施(PKI)中,证书将一个实体的身份资料与相应的公钥绑定在一起。然而在失效日期前,证书会因为绑定关系破坏而被撤销。因此,验证证书不仅必须检查失效日期,还应检查证书的撤销信息。
常用的机制是能提供证书实时状态的在线证书状态协议(OCSP)。OCSP为证书状态查询不断提供新的应答,证书的状态由一个作为OCSP响应服务器的可信实体返回。在移动环境下,OCSP是一个不错的选择,因为用户可以仅使用适度的资源就能实时检索证书状态。不过,还存在以下两种威胁:
1)拒绝服务(DoS)攻击:在OCSP中,响应服务器对每个用户的请求产生一个签名响应。即对于每个攻击者发出的简单请求,响应服务器必须生成数字签名,这是一个计算密集型的操作。因此,响应服务器变得非常容易受到拒绝服务攻击。
2)私钥泄漏:如果攻击者获得了响应服务器的私钥,他可以产生伪造的响应。
针对这些威胁制定对策非常重要。如果OCSP响应服务器是集中式,整个系统会遭受DoS攻击和响应服务器的私钥泄漏,整个服务都将不可用。
由多方响应服务器组成的分布式OCSP(D-OCSP),可以减少这些损失。在每一个响应服务器都拥有相同私钥的情况下,任何响应服务器泄密都会造成整个系统泄密。相对地,如果每一个响应服务器都有不同的私钥,一个响应服务器泄密则不会影响到其他人。因此,本文分析每个响应服务器都是拥有不同私钥的D-OCSP。
本文提出了一种新的D-OCSP,基于离散对数问题的困难性,并使用单一公钥和隔离密钥签名模式(KIS)。KIS能减少因私钥泄漏所带来的损失。使用KIS功能的响应服务器,在私钥泄漏后,机器只会在短时间内可能受到攻击。本文关注KIS中可通过固定公钥验证所有签名的这种特性。KIS使用密钥更新算法产生多个私钥,认证机构(CA)将私钥分别派发给分散的响应服务器。因此,每一个响应服务器能拥有不同的私钥,但相应的公钥固定不变。另外,用户可通过使用单一公钥验证任何响应信息。用户获得响应服务器的证书后,他可以存储,并在证书有效时使用。因此,OCSP响应服务器不必将自己的证书附加到响应信息中。笔者的D-OCSP的通信成本比现有的D-OCSP更低。
2 分布式OCSP
2.1 预备知识
分布式OCSP 由3个实体组成。
2.1.1 认证机构(CA)
CA是一个值得信赖的第三方,有责任公布有关证书撤销的信息[2]。CA私钥的泄漏将影响整个系统,因此CA常与互联网隔离开来,以防止未经授权的访问。
2.1.2 响应服务器
响应服务器是一个将证书状态信息传给用户的,值得信赖的实体。在产生包含请求证书的状态的响应信息后,响应服务器使用自己的私钥对响应信息进行数字签名。在本文中,证书的状态都是“有效”或“撤销”的。
2.1.3 用户
假设用户信任一个CA和响应服务器。他们向响应服务器发送请求证书状态的消息。
如果每个响应服务器都拥有同样的私钥,任何响应服务器的泄密都会损害整个系统。因此,在笔者构建的D-OCSP中,每个响应服务器有不同的密钥对(PKi,SKi)。PKi和SKi分别表示响应服务器I拥有的公钥和签名私钥。
CA向每个响应服务器颁发用自己私钥签名的证书。用户应像检查传统证书般检查响应服务器证书的撤销信息。
2.2 验证过程
一旦用户收到响应服务器的响应,他按下列步骤验证:
1)用户在线获得响应服务器证书。在本文中,假定OCSP响应服务器随响应信息一起发送响应服务器证书。
2)用户使用CA的公钥验证响应服务器证书的数字签名。
3)用户使用响应服务器的公钥验证响应服务器的数字签名。
3 方法改进
本文提出一种使用单一公钥的新D-OCSP,使用了KIS。在笔者的方法中,响应服务器的私钥即时产生,用户可以使用单一公钥验证任何响应。
有许多数字签名模式被提出过,但它们没有对私钥泄漏提供安全保证。标准的数字签名模式中,用户开始注册一个能在协议规定的生存期内保持不变的单一公钥,而相应的私钥可以经常更换[3]。主密钥存储在安全的物理设备中。生存期被分为不同的周期1,2,…,N。在周期i的开始阶段,用户通过安全设备生成的临时私钥SKi进行交互。即使SKi暴露,攻击者也不能伪造其他周期的签名。此外,在一个健壮的(T,N)隔离密钥方案中,攻击者即使能得到t周期之前的所有私钥,也不能伪造任何剩余N-t周期的签名。使用KIS功能的响应服务器,在周期i时用响应服务器的私钥SKi签名响应信息。在这种情况下,如果SKi泄漏,攻击者只有能伪造i周期的响应。也就是说,响应私钥的泄漏只能影响那些泄漏时的响应信息。
本文使用不同于KIS功能响应服务器的步骤。假设D-OCSP中响应服务器的数量是n。使用KIS中的密钥更新算法生成n个私钥。CA将这些私钥分派给n个分散的响应服务器。每个响应服务器都有不同的私钥,但对应的公钥是不变的。在笔者的方法中,验证者可以使用单一公钥验证由任何响应服务器发出的响应。 3.1 预备知识
N是响应服务器总数目。
H是一个单向散列函数。
Ri是响应服务器。(i=1,2,……,n)
Xt是在周期t验证Ri的散列值。
PKres是响应服务器的公钥。
SKi是Ri的签名私钥。
SK+是用于生成响应服务器私钥的主密钥。SK+储存于安全物理设备中。
RM是包含响应服务器证书状态的响应信息。
Cres是响应服务器证书。
假设:CA和每个响应服务器间建立了安全通道;CA拥有安全物理设备,并将主密钥储存于其中;所有响应服务器和用户拥有同步时钟。
3.2 验证响应服务器的私钥
用户需要检查响应服务器证书以确保其还没被撤销。在笔者的D-OCSP中,每个响应服务器有不同的私钥,但相应的公钥固定不变。笔者的方式是使用一个满足以下属性的单向散列函数H。
1)H至少比基于公钥技术的数字签名运算速度快1000倍。
2)H产生20个字节的输出。
3)H是难以逆运算的,在H(x)=Y中,给出Y,要得到X是几乎不可能的事。
4)H是抵抗碰撞的散列函数。
步骤1:响应服务器证书的发布:
1)T是总的周期数。举例来说,如果每个响应服务器证书在颁发180天以后到期,则T是180。CA按照如下方法使用H产生T散列值。
CA根据不同的输入值XT,i,重复地产生n散列链。CA存储这些散列值。
……
2)CA使用私钥签发Cres。SN是证书序列号,V代表有效期。I和S分别代表发行者和证书主题。
步骤2:响应服务器私钥的认证
1)如果响应服务器SKi在t时间周期是有效的,CA传递散列值Xt, i给Ri,。如果SKi泄漏,CA会删除SKi的散列链。
2)当Ri在周期t返回响应给用户时,他同时传递散列值Xt, i给用户。
3)当用户从Ri处收到响应后,他使用PKres.验证数字签名。然后,用户可以使用Xt, i和X1, i,以及Cres,检查SKi的有效性。更深入地,用户检查以下公式。如果方程是满足的,用户可以证明SKi是有效的。
在这种方式下,用户可以验证响应服务器私钥的有效性。Cres在其有效期内不会撤销,除非所有的响应服务器私钥都泄漏了。
3.3 分散响应服务器的方法
笔者使用基于离散对数问题困难性的KIS来描述下列分散过程。
步骤1:响应服务器私钥的生成
1)产生密钥对。
设p和q是素数,使p=2q+1,设g,h是Zp组中的元素顺序q。PKres是由x,y∈Zq决定,同时使v=gxhy。
2)产生响应服务器私钥。
局部密钥SK’i使用如下的方法产生。SK’i用于计算Ri’s的私钥。
利用以上派生的局部私钥,产生n个私钥。一旦所有私钥都产生了,SKi和SK将被删除。
CA安全地将私钥SKi 传递给Ri。因此,每个响应服务器都有不同的私钥。
3)颁发响应服务器证书。
CA按照下列步骤颁发响应服务器证书Cres。
步骤二:签名和验证算法
1)签名算法。
当Ri返回响应值RM给用户时,他按照下面步骤使用SKi生成一个数字签名σi(RM)=
2)验证算法。
用户可以按照下列方法使用PKres验证Ri的签名。
return “accept”
If
Else “reject”
4 评价
4.1 安全
假设一个攻击者偷窃了时间周期t的SKi散列值Xt, i。在这种情况下,他不能得出任何其他响应服务器的私钥,除非他取得SK+,而在生成响应服务器的私钥后SK+会被删除。如果攻击者可以得到散列值Xt, i,他不能推导出散列值Xt+1, i,正如H(Xt+1, i)=Xt, i,因为H是一个单向函数。因此在周期t+1后,攻击者不能欺骗SKi是有效的。
但是,任何人都可以通过向Ri发送请求得到最近的Xt, i。因此,偷窃了SKi的攻击者在某一个时期仍能伪造稍后时期的响应,直到CA检查出SKi 是伪造的,停止传递Xt, i 给Ri。传统的D-OCSP也有同样的问题。一般情况下是很难察觉到私钥的泄漏。KIS功能的D-OCSP可以最大限度地减少因为泄漏私钥所造成的破坏,因为私钥会在短时期内进行更新。因此,一个KIS功能的D-OCSP比传统的D-OCSP具有更高的安全性。
如果有些响应服务器泄密了,CA会停止传递散列值给泄密的响应服务器。一旦响应服务器泄密,它必须退出系统,直到响应服务器证书过期。笔者认为降级系统不是一个重要的问题。如果一些响应服务器泄密,其它响应服务器都不会受到损害。也就是说,用户可以利用另外的响应服务器。这种情况下,一些响应服务器泄密对系统造成的影响是最少的。
4.2 通信成本
在传统的D-OCSP中,OCSP响应服务器会随同响应信息发出自己的证书。而笔者提出的D-OCSP可以减少通信成本,因为响应服务器证书只有一个。如果用户存储响应服务器证书,OCSP响应服务器则无须随响应信息发送自己的证书。
4.3 验证响应服务器
在笔者的D-OCSP中,笔者使用散列链而非CRL验证响应服务器的私钥。如上所述,散列计算速度远远快过数字签名运算。要检查响应服务器证书状态,用户只需计算的t周期的散列值。
4.4 CA的效率
CA应安全地存放散列值。散列值的全部值大小等于20nT bytes。然而,CA无需储存所有的散列值,只需存储XT, i(20nT-bytes),因为散列计算是非常快的。在周期t,Xt, i由T-t次散列计算得出。
传统的D-OCSP,CA应该颁发短寿命的响应服务器证书。笔者的D-OCSP,CA可颁发长寿命响应服务器证书,因为用户可以验证响应服务器的私钥。
5 结论
为了尽量减少因响应服务器的私钥泄漏和DoS攻击所造成的损失,现实世界中的分布式OCSP模型由多个响应服务器组成。本文提出了新的使用隔离密钥签名模式的分布式OCSP模型。用户可以更高效地验证响应服务器的有效性。笔者构建的分布式OCSP,通信成本较低,用户可以验证任何响应服务器返回的响应信息。
参考文献
[1]谢冬青.PKI原理与技术[M].北京:清华大学出版社,2004:65-68.
[2]William Stallings.密码编码学与网络安全——原理与实践(第三版)[M].北京:电子工业出版社,2005:88-89.
[3]Andrew Nash,William Duane,Celia Joseph,Derek Brink.公钥基础设施(PKI)——实现和管理电子安全[M].北京:清华大学出版社,2002:110-111.