分布式在线证书状态协议研究.docVIP

分布式在线证书状态协议研究 　　摘 要 公钥基础设施（PKI）是现有网络中支持电子商务和数字通信的重要技术手段。在线证书状态协议（OCSP）是PKI中用于检索证书撤销信息的标准协议。本文介绍了一种基于隔离密钥签名模式的，使用单一公钥的新分布式OCSP，每个响应服务器都有不同的私钥，但对应的公钥是固定的。用户只需获得并保管一个证书，就可以使用这个单一公钥验证所有响应服务器。 关键词 公钥基础设施；认证中心；分布式在线证书状态协议；隔离密钥签名模式 中图分类号：TP393 文献标识码：A 文章编号：1671-7597（2013）11-0000-00 1 背景 在公钥基础设施（PKI）中，证书将一个实体的身份资料与相应的公钥绑定在一起。然而在失效日期前，证书会因为绑定关系破坏而被撤销。因此，验证证书不仅必须检查失效日期，还应检查证书的撤销信息。 常用的机制是能提供证书实时状态的在线证书状态协议（OCSP）。OCSP为证书状态查询不断提供新的应答，证书的状态由一个作为OCSP响应服务器的可信实体返回。在移动环境下，OCSP是一个不错的选择，因为用户可以仅使用适度的资源就能实时检索证书状态。不过，还存在以下两种威胁： 1）拒绝服务（DoS）攻击：在OCSP中，响应服务器对每个用户的请求产生一个签名响应。即对于每个攻击者发出的简单请求，响应服务器必须生成数字签名，这是一个计算密集型的操作。因此，响应服务器变得非常容易受到拒绝服务攻击。 2）私钥泄漏：如果攻击者获得了响应服务器的私钥，他可以产生伪造的响应。 针对这些威胁制定对策非常重要。如果OCSP响应服务器是集中式，整个系统会遭受DoS攻击和响应服务器的私钥泄漏，整个服务都将不可用。 由多方响应服务器组成的分布式OCSP（D-OCSP），可以减少这些损失。在每一个响应服务器都拥有相同私钥的情况下，任何响应服务器泄密都会造成整个系统泄密。相对地，如果每一个响应服务器都有不同的私钥，一个响应服务器泄密则不会影响到其他人。因此，本文分析每个响应服务器都是拥有不同私钥的D-OCSP。 本文提出了一种新的D-OCSP，基于离散对数问题的困难性，并使用单一公钥和隔离密钥签名模式（KIS）。KIS能减少因私钥泄漏所带来的损失。使用KIS功能的响应服务器，在私钥泄漏后，机器只会在短时间内可能受到攻击。本文关注KIS中可通过固定公钥验证所有签名的这种特性。KIS使用密钥更新算法产生多个私钥，认证机构（CA）将私钥分别派发给分散的响应服务器。因此，每一个响应服务器能拥有不同的私钥，但相应的公钥固定不变。另外，用户可通过使用单一公钥验证任何响应信息。用户获得响应服务器的证书后，他可以存储，并在证书有效时使用。因此，OCSP响应服务器不必将自己的证书附加到响应信息中。笔者的D-OCSP的通信成本比现有的D-OCSP更低。 2 分布式OCSP 2.1 预备知识 分布式OCSP 由3个实体组成。 2.1.1 认证机构（CA） CA是一个值得信赖的第三方，有责任公布有关证书撤销的信息[2]。CA私钥的泄漏将影响整个系统，因此CA常与互联网隔离开来，以防止未经授权的访问。 2.1.2 响应服务器 响应服务器是一个将证书状态信息传给用户的，值得信赖的实体。在产生包含请求证书的状态的响应信息后，响应服务器使用自己的私钥对响应信息进行数字签名。在本文中，证书的状态都是“有效”或“撤销”的。 2.1.3 用户 假设用户信任一个CA和响应服务器。他们向响应服务器发送请求证书状态的消息。 如果每个响应服务器都拥有同样的私钥，任何响应服务器的泄密都会损害整个系统。因此，在笔者构建的D-OCSP中，每个响应服务器有不同的密钥对（PKi，SKi）。PKi和SKi分别表示响应服务器I拥有的公钥和签名私钥。 CA向每个响应服务器颁发用自己私钥签名的证书。用户应像检查传统证书般检查响应服务器证书的撤销信息。 2.2 验证过程 一旦用户收到响应服务器的响应，他按下列步骤验证： 1）用户在线获得响应服务器证书。在本文中，假定OCSP响应服务器随响应信息一起发送响应服务器证书。 2）用户使用CA的公钥验证响应服务器证书的数字签名。 3）用户使用响应服务器的公钥验证响应服务器的数字签名。 3 方法改进 本文提出一种使用单一公钥的新D-OCSP，使用了KIS。在笔者的方法中，响应服务器的私钥即时产生，用户可以使用单一公钥验证任何响应。 有许多数字签名模式被提出过，但它们没有对私钥泄漏提供安全保证。标准的数字签名模式中，用户开始注册一个能在协议规定的生存期内保持不变的单一公钥，而相应