（计算机系统结构专业论文）无线公钥基础设施—wpki设计与实现研究.pdf

摘要 摘要 无线传输的安全问题引起人们的重视。在2 0 0 0 年，w a p 论坛公布了w p k i 技术规范，作为一个开放的标准，该规范可用于解决无线环境下的安全问题。 本文介绍了无线传输的背景，对无线i p 网络安全中的关键技术w p k i 进行 了深入的分析和研究，重点分析了无线i n t e m e t 的应用需求和目前的主要实现技术； 介绍了系统中涉及的实现技术规范，详细讨论了用户证书管理；另外在论文中还 详细介绍了p k i 技术及其实现细节，涉及到一些对p 服务产生影响的策略、标准 及新兴应用。 本文提出了一套完整可行的适合宽带无线i p 网络环境的w p k i 方案，即基于 w a p 的w p k i 体系结构。在对标准的x 5 0 9 证书进行了优化和压缩后，给出了w p k i 体系的证书格式。提出将现有的有线c a 认证中心扩展到无线领域的方法来构建无 线环境下的c a 认证中心的建议。采用一种简便、实用的安全协议来实现w p k i 证 书的生成，即分布式生产方式下的证书管理协议一c m p ( c e r t i f i c a t em a n a g e m e n t p r o t o c 0 1 ) ，并对此协议进行了形式化证明。针对移动设备获取证书难度大、时延 长的特点，通过借鉴哈希链的思想，设计了一种安全性比较高，可以抵抗现有大 部份攻击，且适用于无线环境的证书状态查询方案用户端部分缓存的o c s p ( c p c - o c s p ) 方案。该方案可以有效减少客户端及服务器端的计算量以及减轻带宽 负荷。最后在论文中还引入了c a 信任路径构建的新思路。 关键词：公钥基础设施、无线公钥基础设施、数字证书、认证中心、在线证书状 态查询协议 a b s t r a c t a b s t r a c t s e c u r i t yb r i n g so u ra w a r ea n dc o n c e r no nw i r e l e s s t r a n s a c t i o ni n2 0 0 0 、p f o r u m p u b l i s h e d as e r i e so fw p k it e c h n i c a ls p e c i f i c a t i o n s w h i c ha r eo p e ns t a n d a r d s ， t os o l v et h ew i r e l e s ss e c u r i t yi s s u e s t h eb a c k g r o u n do fw i r e l e s st r a n s a c t i o ni si n t r o d u c e di nt h i sp a p e ra n dad e t a i l e d a n a l y s i s a n d s t u d y o nw p k i _ m ek e yp o i n to fw i r e l e s s s e c u r i t y i s m a d e w i t h e m p h a s e so nt h er e q u i r e m e n t so f w i r e l e s si n t e m e ta n dt h em a i n l yr e l a t i v et e c h n o l o g i e s i na d d i t i o n ，u s e rc e r t i f i c a t em a n a g e m e n ti sm a i n l yf o c u s e d g e n e r a lp k i t e c h n o l o g ya n dc o n c e p t sa r ea l s od e t a i l e d l ye x p l a i n e d f o rt h es a k eo f o r i e n t a t i o n ，p o l i c i e sa n ds t a n d a r d sa n ds o m eo f t h en e wa n de x c i t i n ga p p l i c a t i o n st h a t w i l lc o n s u l f i ep k is e r v i c e sa r ea l s ot o u c h e do n a n i n t e g r a t e da n df e a s i b l ew p k i a r c h i t e c t u r eb a s e do nw a pr w i r e l e s sa p p l i c a t i o n p r o t o c 0 1 ) ，w h i c hs u i t st h eb r o a d b a n dw i r e l e s si pe n v i r o n m e n t ，i si n t r o d u c e di nt h i sp a p e r , o p t i m i z e da n dc o m p r e s s e df r o mt h et r a d i t i o n a lx 5 0 9c e r t i f i c a t e ，t h ef o r m a to fw p k i c e r t i f i c a t ei sa l s op r o p o s e d t h ew a yo f b u i l d i n gac e r t i f i c a t ea u t h o r i t yi sp r o p o s e da s e x t e n d i n g t h ee x i s t i n gc ao fw i r e dt ot h ef i e l do fw i r e l e s s t oi m p l e m e n tt h ec r e a t i o no f w p k ic e r t i f i c a t e ，a s i m p l e b u te f f i c i e n t p r o t o c o l ，c m p ( c e r t i f i c a t em a n a g e m e n t p r o t o c 0 1 ) i sa d o p t e da n da n a l y z e dw i t hf o r m a l i z e dw a yt op r o v ei t sv a l i d i t y m a k i n g r e f e r e n c et ot h et h o u g h to fh a s h c h a i n ，am o d i f i c a t i o no v e rt r a d i t i o n a lo c s p , c l i e n t p a r t i a l l yc a c h e d - o c s p , i sp r o p o s e dw h i c h c a n e f f n c i e n t l y r e d u c en o t o n l y t h e c o m p u t a t i o na tt h ec l i e n ta n d s e r v e rs i d eb u ta l s ot h eb a n d l o a d f i n a l l yan e ww a yo f b u i l d i n gb e l i e f p a t ho f c ai si n t r o d u e d k e y w o r d ：p k i ，w p k i ，d i g i t a lc e r t i f i c a t e ，c a ，o c s p 声明 y5 8 3 3 3 6 创新性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文 中不包含其他人已经发表或撰写过的研究成果：也不包含为获得西安电子科技 大学或其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本 研究所做的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：筮拯日期：珈球 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研 究生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保 证毕业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技 大学。学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布 论文的全部或部分内容，可以允许采用影印、缩印、或其它复印手段保存论文。 ( 保密的论文在解密后遵守此规定) 本人签名： 导师签名： 日期：丝竖! ! ： 1 3 期：窿丝! ：受 一图 第一章绪论 第一章绪论 由于i n t e m e t 的共享性和开放性，他人很容易窃取或篡改在i n t e m e t 上传送的 信息。对网络的大规模攻击可能会导致世界范围内i n t e m e t 的运行不正常。任何个 人、企业、银行以及政府都不会在一个不安全的网络进行机密信息流通或信息获 取，这样会导致机密信息泄露和利益损失。因此，如何兼顾经济性与安全性成为 i n t e m e t 领域中一个重要的研究课题。 网络安全，特别是无线i p 网络的安全已经成为i n t e m e t 进一步发展和应用的 主要技术难题，其中包括移动节点的接入控制、重定向i p 包的安全隧道和移动节 点位置更新的认证方法和技术等。因此，如何实现“安全的宽带无线i p ”已成为 全球通信领域研究的焦点之一，安全问题已经成为阻碍无线i p 技术发展和应用的 一个主要障碍。 在实际的宽带无线i p 系统中，必须首要考虑其安全方案的设计，这包括用户 接入控制设计、用户身份认证方案设计、用户证书管理系统的设计、密钥协商及 密钥管理方案的设计等等。考虑到在银行、证券、公安等有安全要求的环境下应 用宽带无线i p 系统，因此在设计实现一个完善的宽带无线i p 系统时除了要考虑在 宽带无线传输信道上支持移动i p 技术、提供完善的移动环境下的多业务平台，同 时还必须考虑其安全保密方案的设计。 1 1 网络安全的p k i 解决方案 电子政务系统中的安全体系涉及到物理安全、网络安全、信息安全以及安全 管理等多方面。在电子政务信息安全系统中，p k i ( p u b l i c k e yi n f r a s t r u c t u r e ) 是主 要的基础技术，围绕数字证书应用，为各种业务应用提供信息的真实性、完整性、 机密性和不可否认性，并在业务系统中建立有效的信任管理机制、授权控制机制 和严密的责任机制。 利用公钥证书进行密钥管理的最初方法是基于c c i t t 的x 5 0 0 ( 1 9 8 8 ) 目录 服务协议和x 5 0 9 目录服务的认证框架或i s o i e c9 5 9 4 x 。x 5 0 9 提供了基于 x 5 0 9 公钥证书的目录存取认证协议。1 9 9 3 年i t u 公布x 5 0 9 版本2 ，其中增强了 对目录存取控制和鉴别的支持。x 5 0 9 证书由用户公共密钥和用户标识符组成。此 外还包括版本号、证书序列号、c a 标识符、签名算法标识、签发者名称、证书有 效期等信息；还定义了包含扩展信息的数字证书，该版数字证书提供了一个扩展 信息字段，用来提供更多的灵活性及特殊应用环境下所需的信息传送。1 9 9 7 年， i s o 1 e c 和a n s ix 9 开发了x 5 0 9 版本3 ( v 3 ) 基于公钥证书的目录鉴别协议。 2无线公钥基础设施w p k i 设计与实现研究 v 3 定义的公钥证书防议比v 2 证书协议增加了1 4 项预留扩展域，如：发证证书者 或证书用户的身份标识，密钥标识，用户或公钥属性、策略( p o l i c y ) 扩展等，同 时v 3 对c r l 结构也进行了扩展。 x 5 0 9 2 0 0 0 或x 5 0 9 v 4 ( p k i p m i ，i s o 1 e c9 5 9 4 8 ) 于2 0 0 0 年推出，v 4 在扩展 v 3 的同时，利用属性证书定义了p m i ( p r i v i l e g em a n a g e m e n ti n f r a s t r u c t u r e ) 模型， 即：如何利用p k i c a 进行对用户访问的授权管理。 p k i c a 除了用于数据签名外，还可以用于为v p n 、s s l 等加密应用提供密 钥管理支持。p k c s 系列标准是由r s a 实验室制订的，是一套针对p k i 体系的加 解密、签名、密钥交换、分发格式及行为标准，该标准目前已经成为p k i 体系应 用中不可缺少的一部分。 具有资源动态组织共享的网格( v o ，v i r t u a lo r g a n i z a t i o n1 技术将成为下一代互 联网应用的核心技术。网格技术也将成为电子政务应用的主要技术，在此，p k i 技术是实现大规模网络资源共享和动态组织时进行身份认证的核心技术，如基于 p k i c a 的一次认证( s i n g l es i g no n ) ，即：当用户访问电子政务服务时，网格系统 会根据用户的请求，对网络资源进行动态组织，使得可能会跨不同区域有多个服 务资源为用户服务，此时，用户只需要向电子政务系统作一次身份认证，就可以 享用多个网络资源提供的服务。 1 2p k i 发展的新方向w p 及p m i 目前p k i 的发展有一个新的方向一无线公钥基础设施( w p i ( i ) 。w p k i 适合 于移动计算，可以为移动电子商务和移动电子政务提供安全解决方案。w p k i 有效 地解决了具有有限计算资源的移动设备的身份认证问题，这主要是由于w p k i 利 用了椭圆曲线的公钥证书，有效轻少了证书的体积。传统的p k i x 5 0 9 的关键技术 是基于乘法群整数分解问题的公钥体系，如：r s a 。基于乘法群的密码计算对资 源需求比较大，比如说一个1 0 2 4 位加密算法，手机需要半分钟才能完成，所以传 统的p k ix 5 0 9 就不适合移动计算。在w p k i 里边用椭圆曲线这个密码体制来进行 身份认证的签名，如：它的密码长度可以为1 6 5 位。实际应用和传统p k i 的1 0 2 4 或2 0 4 8 位r s a 的安全强度一样，但运算量要小的多，复杂度也要小得多。 p k i 除了w p k i 这个发展方向外，另一个发展方向是p m i 。p m i 可以进一步 解决很多难以解决的问题。p m l 使用了属性证书，属性证书是一种轻量级的数字 证书，这种数字证书不包含公钥信息，只包含证书所有人i d 、发行证书i d 、签名 算法、有效期、属性等信息。一般的属性证书的有效期都比较短，这样可以避免 公钥证书在处理c r l 时的问题。如果属性证书的有效期很短，到了有效期的日期， 第一章绪论 证书将会自动失效，从而避免了公钥证书在撤销时的种种弊端。 1 _ 3 本文所做的工作 本文是在国家高技术研究发展计划( 8 6 3 计划，项目编号：2 0 0 2 a a l 4 3 0 2 1 ) 的资助下，对宽带无线i p 网络安全中的关键技术一一无线公开密钥基础设施 ( w p k i ) 进行了深入的分析和研究，重点分析了无线i n t e r n e t 的应用需求和目前 实现的主要技术，指出了各自的优势和不足；介绍了系统中涉及的实现技术规范， 详细讨论了用户证书管理；另外在论文中还详细介绍了p k i 技术及其实现细节， 涉及到一些对p k i 服务产生影响的策略、标准及新兴应用。 我们的工作主要由以下几部份组成： ( 1 ) 提出了一套完整可行的适合宽带无线i p 网络的w p k i 方案，即基于w a p 的 w p k i 体系结构； ( 2 ) 通过对传统的x 5 0 9 证书进行优化和压缩，给出了w p 的证书格式：该证书 与x 5 0 9 证书具有相同的安全级别，且与目前基于x 5 0 9 的p k i 相兼容； ( 3 ) 采用将现有的有线认证中心扩展到无线领域的方法来构建c a 认证中心： ( 4 ) 采用一种简便、实用的安全协议来实现w p k i 证书的生成，并通过形式化分 析对此协议的安全性进行证明； ( 5 ) 给出了w p k i 中证书的处理方案，内容包括：对可信c a 证书的处理、对用 户证书的处理、在线及离线获取用户证书的处理流程和协议及w p k i 与传统p k l 的交互式操作模型等； ( 6 ) 针对移动设备获取证书难度大、时延长的特点，通过用h a s h 链代替公钥签 名的思想，设计了一种安全性高，可以抵抗现有攻击，且适用于无线环境下的证 书状态查询方案用户端部分缓存的o c s p ( c p c o c s p ) 方案。 ( 7 ) 引入了构建c a 信任路径的新思路。 无线公钥基础设施一w p k i 设计与实现研究 第二章公钥基础设施与x 5 0 9 标准 从广义上讲，所有提供公钥加密和数字签名服务的系统，都可以叫做p k i 系 统。p k i 体系结构采用证书管理公钥，通过第三方的可信机构c a ，把用户的公钥 和用户的其它标识信息( 如名称、e m a i l 、身份证号等) 捆绑在一起，在i n t e r n e t 上验证用户的身份。其主要目的是通过自动管理密钥和证书，为用户建立起一个 安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名 技术，从而保证网上数据的机密性、完整性和不可抵赖性。一个有效的p k i 系统 必须是完整的和透明的，用户在获取加密和数字签名服务时，不需要了解p k i 是 怎样管理证书和密钥的。 2 1 数字证书 简单的说，数字证书是一段包含用户身份信息、用户公钥信息以及身份验证 机构的数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。 证书格式及证书内容遵循x 5 0 9 标准f 1 1 。 从证书的用途来看，数字证书可分为签名证书和加密证书。签名证书主要用 于对用户信息进行签名，以保证信息的不可否认性：加密证书主要用于对用户传 送的信息进行加密，以保证信息的真实性和完整性。 2 ，1 1x 5 0 9 证书格式 证书的格式一般遵循i t u ( i n t e r n a t i o n a lt e l e c o m m u n i c a t i o n su n i o n 国际电信联 盟) 制订的x 5 0 9 标准，其具体字段及说明如表2 1 所示。 表2 1 x 5 0 9 数字证书字段名及说明 证书各部分的含义 版本号 证书序列号 签名算法标识符 颁发者名称 订效期 主体名称 主体公锯信息 颁发者唯一标识符 主体唯一标识符 扩展项 签名 f 所柯版奉 版奉2 版庳3 第二章公钥基础设施与x 5 0 9 标准 版本号：标识证书的版本( 版本1 、版本2 或是版本3 ) 。 证书序列号：由证书颁发者分配的本证书的唯一标识符。 签名算法标识符：由对象标识符加上相关参数组成，用于说明本证书所用的数 字签名算法。 颁发者名称：证书颁发者的可识别名( d n ) ，这是必须说明的。 有效期：证书有效的时间段。本段由“n o t v a l i d b e f o r e ”和“n o t v a l i d a f t e r ”( 不 早于不晚于) 两项组成，他们分别由u t c 时间或一般的时间表示。 主体名称：证书拥有者的可识别名。此字段必须是非空的，除非使用了其他的名 字形式。 主体公钥信息：主体的公钥( 以及算法标识符) ，这是必须说明的。 颁发者唯一标识符：证书颁发者的唯一标识符，仅在版本2 和版本3 中要求，属 于可选项；该字段在实际应用中很少使用，并且不被r f c 2 4 5 9 推荐使用。 主体唯一标识符：证书拥有者的唯一标识符，仅在版本2 和版本3 中要求，属 于可选项；该字段在实际应用中很少使用，并且不被r f c 2 4 5 9 推荐使用。 扩展：可选的标准和专用扩展( 仅在版本3 里使用) ， 2 1 2 标准的x 5 0 9 v 3 证书扩展项 在x 5 0 9 v 2 之后，证书协议子集显然仍然含有不足的地方。基于此，人们提 出了一系列扩展项附加在x 5 0 9 v 3 格式证书的后面。这些扩展项包括密钥和策略 信息、主体和颁发者属性以及证书路径限制等。 内容包括： a u t h o r i t yk e yi d e n t i f i e r ：签发者c a 的公钥标识。 k e y i d e n t i f i e r ：公钥标识； 一c e r ti s s u e r ：证书签发者的别名( 用于认证) ； 一c e r ts e r i a ln u m b e r ：签发证书的序列号( 用于认证) 。 s u b j e c tk e y i d e n t i f i e r ：用户主体的公钥标识。 c i 也d i s t r i b u t i o np o i n t ：c i 也分布。 k e yu s a g e ：证书中的公钥用途( 用于验证) 。 p r i v a t ek e y u s a g ep e r i o d ：用户的私钥有效期。 一n o t b e f o r e ：起始日期( 用于验证) ； 一n o t a f t e r ：终止日期( 用于验证) 。 c e r t i f i c a t ep o l i c i e s ： c a 承认的证书政策列表( 用于验证) 。 p o l i c ym a p p i n g s ：策略映射( 用于验证) 。 6无线公钥基础设施一w p k i 设计与实现研究 s u b j e c t a l t n a m e ：用户的代用名( 用于验证) 。 i s s u e r a l t n a m e c a 的代用名。 b a s i cc o n s t r a i n t s ：基本制约。 s u b j e c td i r e c t o r ya t t r i b u t e s ：用户主体目录属性。 s i g n a t u r ea l g o r i g h m ：c a 签名算法标识。 2 2p k i 的基本组成与功能 公钥基础设施( p k i ) 是一种遵循标准的密钥管理平台，涉及到多个实体之间 的协作过程，它们包括： c a ( c e r t i f i c a t ea u t h o r i t y 认证中心) 、r a ( r e g i s t r a t i o n a u t h o r i t y ，注册机构) 、证书数据库( c e r t i f i c a t ed a t a b a s e ) 、密钥管理( 生成、备份、 恢复和更新) 系统( k e ym a n a g es y s t e m ) 、证书撤销管理系统( c e r t i f i c a t er e v o c a t i o n l i s tm a n a g e s y s t e m ) 丰l lp k i 应用接口系统( p k ia p p l i c a t i o ni n t e r f a c es y s t e m ) 及最终 用户。 图2 1 p k i 各构成部件之间的交互作用 2 2 1 认证中心c a 在公钥体制环境中，必须有个可信的机构来对任何一个主体的公钥进行验 证，证明主体的身份以及他与公钥的匹配关系。认证中心c a 正是这样的机构，它 是证书的签发机构，是p k i 系统的核心。 图2 2证书处理流程图 第二章公钥基础设施与x 5 0 9 标准 c a 主要有以下几种功能： ( 1 ) 证书的颁发：c a 接收验证用户( 包括下级认证中心和最终用户) 的数字证书的 申请，将申请的内容进行备案，并根据申请的内容确定是否受理该数字证书申 请。如果c a 接受该数字证书申请，则进一步确定给用户颁发何种类型的证书。 新证书用c a 的私钥签名以后，发送到目录服务器供用户下载和查询。为了保 证消息的完整性，返回给用户的所有应答信息都要使用c a 的签名。 ( 2 ) 证书的更新：一个证书的有效期是有限的，这既可能是理论上的原因，比如基 于当前非对称算法和密钥长度进行分析的知识现状，也可能是基于实际估计的 因素。因此c a 要定期更新所有用户的证书，或者根据用户的请求来更新用户 的证书。 ( 3 ) 证书的作废：当用户由于身份改变或私钥遭到破坏等原因造成用户证书需要申 请作废时，用户需要向c a 提出证书作废的请求，c a 根据用户的请求确定是 否将该证书作废。另外一种证书作废的情况是证书已经过了有效期，c a 自动 将该证书作废。c a 通过维护证书作废列表c e r t i f i c a t er e v o c a t i o nl i s tc r l 来 完成上述功能。 ( 4 ) 密钥备份和恢复：在很多环境下( 特别是企业环境下) ，如果用户丢失了用于 解密数据的密钥，则数据将无法被解密，会造成合法数据丢失，这是完全不可 以接受的。例如，在某项业务中的重要文件被对称密钥加密，而对称密钥又被 某个用户的公钥加密。假如相应的私钥丢失，这些文件将无法恢复，可能会对 这次业务造成严重伤害甚至停止。为避免这种情况的发生，c a 提供备份与恢 复密钥的机制。但须注意密钥备份与恢复只能针对解密密钥签名私钥，为确保 其唯一性而不能够作备份。 ( 5 ) 证书的归档：证书具有一定的有效期，证书过了有效期之后就将作废，但是我 们不能将作废的证书简单地丢弃，因为有时我们可能需要验证以前的某个交易 过程中产生的数字签名，这时我们就需要查询作废的证书。基于此类考虑， c a 还应当具备管理作废证书和作废私钥的功能。 ( 6 ) 交叉认证：每个c a 只可能覆盖一定的作用范围，b o c a 的域。例如，不同的 企业往往有各自的c a ，它们颁发的证书都只在企业范围内有效。当隶属于不 同c a 的用户需要交换信息时，就需要引入交叉证书和交叉验证。 厂 ! 竺兰! 里卢 图2 3证书发布过程 无线公钥基础设塍w p k i 设计与实现研究 2 2 2r a 子系统 尽管可以将r a 看作是p k i 的一个扩展部份，但是管理员却渐渐发现它是必 不可缺的。随着一个p k i 区域的最终实体数量的增加，施加在一个c a 上的负载 也随之增加。而r a 可以充当c a 和它的最终用户之间的中间实体，辅助c a 来完 成它的证书生成功能，并且可以将c a 从不安全的环境中分离出去。 r a 子系统包括r a 的初始化、操作员管理、证书申请录入、证书申请审核、 证书申请上传、注销证书申请录入、注销证书串请审核、注销证书申请上传、证 书下载和制卡、日志管理、报表统计和数据库备份管理，系统应自动记录系统内 发生的每一事件。包括系统自动执行的和管理操作执行的。 图2 4r a 的管理模块 2 2 3 证书目录 证书生成后，必须存储以备以后使用。为了减少最终用户将证书存储于本地 机器的需要，c a 通常使用一个证书目录。或者中央存储点。作为p k i 的一个重要 的组成部份，证书目录提供证书管理和分发的单一点。但是对此尚没有一个必要 的目录标准。 x 5 0 0 目录正被广泛接受，因为除了可以充当证书库之外，它还可以给予管理 员个个人属性信息入口的集中点。通过使用目录访问协议，如轻量级目录访问 协议( l d a p ) 。目录客户端可以定位条目项以及它们的属性。 由于证书的自验证特点，因此证书目录本身并不要求必须是可信的。即使目 录的安全受到威胁，通过标准的验证c a 证书链的过程仍然可以验证证书的有效 性a 但是如果目录服务器中含有个人信息或者公司信息那么对这些信息提供安 全保护和访问控制却是必要的。 2 2 4 证书状态查询方案 a 离线证书状态查询方案f ) f 离线证书状态查询方案通过一个经过签名的证书撤销列表来发布认证数据。 第二章公钥基础设施与x 5 0 9 标准 通过证书撤销列表的方式，用户就能拥有所有的撤销数据。在数据有效期内及没 有在线传输要求的情况下，这些数据常被缓存起来。这种方案最简单的实现例子 就是传统的证书撤销列表c r l ( t r a d i t i o n a l c e r t i f i c a t er e v o c a t i o nl i s t ) 方案ac r l 方案是目前有线环境下主要的证书状态查询方案，但是它的很多缺陷，如传输数 据量太大、更新不够及时等，仍没有得到很好的解决。 b 在线证书状态查询机制 在线证书状态查询机制是基于在线证书状态协议o c s p ( 4 1 ( o n - l i n ec e r t i f i c a t e s t a t u sp r o t o c 0 1 ) 的一种在线的证书撤销信息获得方式。o c s p 是一种请求响应协 议，它提供了一种从被称为o c s p 响应器的可信第三方获得在线证书状态信息的 手段。o c s p 的可信性和在传输过程中的安全性是由o c s p 响应器的数字签名来保 证的。 o c s p 的优点在于它本身不存在延迟，但它的局限性是很大的。首先，o c s p 的响应必须由响应器进行数字签名。一个加密的签名响应，对响应产生的周期时 间的影响是非常大的，因此使得系统可能拒绝大量查询的请求，这种系统的脆弱 性是明显的，但是没有签名的响应将使攻击者有机可乘；其次，必须保证用户与 o c s p 响应器之间的在线通讯，这会造成非常高的通讯成本，还会引起通信瓶颈。 2 2 5 选择证书状态信息的发布模式 如何为p k i 系统的证书状态信息的发布机制选择一种最佳的模式，要考虑大 量的因素。除了客户的校验率和c r l 的有效期外，还有一个必须考虑的因素是被 吊销的证书可能的数量和p k i 系统的运行环境。只有充分考虑系统本身的特点和 需求，才能选择一个相对比较好的方案。 a 客户的校验率很低或者系统要求较低的信息延迟 如果系统要求较低的证书状态信息的延迟，以提高系统的安全性，就需要减 少c r l 的有效期，以减小客户请求吊销证书到该信息发布给所有客户的时间。如 果c r l 的有效期很短，将造成客户每执行次或很小几次校验都必须从资料库中 获得最新的作废信息。另一方面，如果客户的校验证书的需求率很低，也会产生 这种情况。在c r l 发布信息的几种模式中，峰值请求率的减少都依赖于缓存信息 的再次使用。当c a c h e 中缓存的c r l 的信息不可用或很少用到时，这几种技术没 有一种能够很有效地降低峰值请求率。这种情况下较好的解决方案是将c r l 分段， 以减少服务一次请求要求的时间。也可以考虑采用在线发布的方式，使系统获得 实时的响应，但遗憾的是这种方式不适用于大规模的p k i 系统。如果希望减少系 统的响应时间，同时又一定程度上减少峰值请求率。可考虑采用d e l t a c r l 方式。 通过d e l t a - c r l 较短的生命期获得较好的系统响应，而将c r l 分成基本c r l 和增 l o无线公钥基础没施一w p k l 设计与实现研究 _h-_-_-_，一一。 量c r l 来减小峰值请求率。 b 可能被吊销的证书数目很少 如果c r l 的有效期相对地较长，可以使得缓存的c r l 信息生效，那么证书作 废信息的最佳发布方式将依赖于可能的作废证书的数目。如果能预期到只可能有 很少的证书会被吊销，那么分段发布c r l 的模式对减少c r l 的大小就没有什么效 果。在这种情况下，最好的方法是采用分时但不分段发布c r l 的模式，以减少峰 值请求率。 c 可能被吊销的证书数目很多 如果可能有大量的作废信息需要发布，那么减少c r l 的大小就比减少峰值请 求率更重要。这种情况下必须使用分段发布c r l 的模式。如果c r l 需要被分成较 多的段，就不需要分时发布c r l 的分段了，因为这时分时发布技术已不能充分地 减少峰值请求率，反而会增加额外的系统开销。 d 在离线环境下的客户操作 这种情况下分段将毫无用处，因为离线操作的客户在从资料库中获取c r l 信 息时，并不知道哪个证书将被校验。如果c r l 被分段，那客户需要获得所有分段 的c r l 。此时，分时发布c r l 的方案却十分有效。如果c r l 采用分时发布，每 次客户请求c r l 对，可以确保总是获得相对更新的信息。反之若不采用分时发布， 某些请求获得证书状态信息的客户可能会得到过期的c r l ，这样的c r l 将被抛弃。 2 3p k i 系统的常用信任模型 选择信任模型( t r u s tm o d e l ) 是构筑和运作p k i 所必需的一个环节。选择正确的 信任模型以及与它相应的安全级别是非常重要的，同时也是部署p k i 所要做的较 早和基本的决策之一。 2 3 1 信任的定义 在x 5 0 9 规科1 1 中给出了信任的定义：如果实体a 认定实体b 严格地按a 所 期望的那样行动，则a 信任b 。从这个定义可以看出，信任涉及假设、期望和行 为，这意味着信任是不可能被定量测量的，信任是与风险相联系的并且信任的建 立不可能总是全自动的。在p k i 中，我们可以把这个定义具体化为：如果一个用 户认为c a 可以把任一公钥绑定到某个实体上，则他信任该c a 。 2 3 2 认证机构的严格层次结构模型 认证机构的严格层次结构模型是最早的p k i 信任模型，可以用一棵倒转的树 柬描述。在该模型中，整个领域中的信任点是根c a ( r o o t c a ) 。在根c a 的下面是 第二章公钥基础设施与x 5 0 9 标准 零层或多层中介c a ( i n t e r m e d i a t e c a ) ，也被称作子c a 。根c a 认证( 更准确地说 是创立和签署证书) 直接连接它下面的子c a 。每个c a 都认证零个或多个直接连 接在它下面的c a 。 c a 对非c a 实体的认证有两种方式：一种是上层的c a 既可以认证其它c a 也可以认证终端实体；另一种是c a 要么认证终端实体要么认证其它c a ，但不能 两者都认证。 2 3 _ 3 分布式信任结构模型 与p k i 系统中所有实体都信任唯一一个c a 的严格层次结构相反，分布式信 任结构把信任分散在两个或多个c a 上。即整个p k i 系统由若干个子集构成，而 每个子集都是一个严格层次结构。也就是说，a 把c a l 作为他信任的根，而b 可 以把c a 2 作为他信任的根。这些c a 必须是整个p k i 系统的一个子集所构成的严 格层次结构的根c a ( c a i 是包括a 在内的严格层次结构的根，c a 2 是包括b 在内 的严格层次结构的根) 。两个根c a 之间可以通过交叉认证( c r o s sc e r t i f i c a t i o n ) 机 制实现相互之间的信任。 2 3 4 w e b 模型 w e b 模型是在万维网( w o r l d w i d e w e b ) 上诞生的，而且依赖于流行的浏览器， 如n e t s e a p e 公司的n a v i g a t o r 和m i c r o s o f t 公司的i n t e m e te x p l o r e r 。在这种模型中， 许多c a 的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信 任的c a 。尽管这组根密钥可以被用户修改，然而几乎没有普通用户对于p k i 和安 全问题精通到可以进行这种修改的程度。这也是这种模型存在的安全缺陷之一。 w e b 模型在方便性和简单互操作性方面有明显的优势，但是也存在许多安全 隐患。例如，因为浏览器用户自动地信任预安装的所有公钥，他一般不知道收到 的证书是由哪一个根密钥签发的，即使这些根c a 中有一个是“坏的”( 例如，该 c a 从没有认真核实被认证的实体) ，安全性都将被完全破坏；另外一个潜在的安 全隐患是没有实用的机制来撤销嵌入到浏览器中的c a 。如果发现一个c a 的公钥 是“坏的”，要使全世界数百万个浏览器自动地废止该密钥的使用是非常困难的： 最后，该模型还缺少有效的方法在c a 和用户之间建立合法协议，该协议的目的是 使c a 和用户共同承担责任。 2 3 5 以用户为中心的信任模型 在以用户为中心的信任模型中，每个用户自己决定信任哪些证书。因为要依 赖于用户自身的行为和决策能力，因此以用户为中心的模型在技术水平较高和利 无线公钥基础设施一w p k j 设计与实现研究 害关系高度一致的群体中是可行的，但是在一般的群体( 它的许多用户极少有或 者没有安全及p k i 的概念) 中是不现实的。而且，这种模型一般不适合用在贸易、 金融或政府环境中，因为在这些环境下，通常希望或需要对用户的信任实行某种 控制，显然这种情况下安全策略在以用户为中心的模型中是不可能实现的。 2 4 信任路径的概念和构建过程 所谓信任路径是指当一个实体认证另一个实体时，构成两者之间信任链的证 书的集合。以最简单的严格层次结构信任模型为例，如图2 5 ，u 为根c a ，由于根 认证中心u 的证书对于a l i c e 和b o b 来说是预装的，即对a l i c e 来讲可以直接信任u ， 当a l i c e 和b o b 的发证中心不同时( a l i c e 的证书由x 颁发，而b o b 的证书由z 颁发) ， 贝q a l i c e 可由以下证书链实现对b o b 的认证：u 4 ，v v “y y 玉“b 其中u 表示v 的证书由u 来颁发，所以v 可以得到u 的公钥从而认证u 。 在得到信任路径后，就要取回信任路径上的所有证书进行完整性验证。 图2 5 认证路径的概念 由以上可以看出，构建信任路径由两个过程组成： 从目录服务器中获取证书并且构建证书路径； 验证每个证书的完整性及其相关的策略是否正确。 信任路径构建的几种方法： 2 4 1 证书链 这种方法被商业c a 和大多数s s l 所采用，还有s m i m e 也是采用这种认证方 式。证书链由一系列从根c a 到用户的证书所组成。为了能够认证不同信任域内的 用户证书，客户端要保存所有需要的自签根证书，还要有能够验证其它域c a 自签 证书所用到的签名算法。大多数情况下可以通过目录服务器来访问分布式的数据 库，或用s m i m e 电子邮件消息来发布和得到证书链：还有一种是将证书链的构建 过程放到发证和制作数字信封当中，这样做可以使得客户端变得十分简单而且易 二实现，因为剩下的工作只是做签名验证就可以了。但是，在大规模的分布式环 境中，维护和管理本地每一个用户的数个根c a 证书链，而且还要实施密钥保护和 维持证书安全策略是很困难的。用户必须经常地从系统管理员那里更新自签证书， 第二章公钥基础设施与x 5 0 9 标准 一旦用户没有得到正确及时的更新信息，使用了不可信任的根证书所带来的j x l 险 是难以估量的。 2 4 2 路径图 这种实施方法是指客户端程序通过检查并存储用户信任域所有的层次关系， 产生一幅节点路径图，节点代表c a i n 用户，证书是弧。根据某种算法，可以合并 包含节点的新的路径图和原有的路径图，来产生新的路径图。对于每一个新插入 的路径图节点都要进行完整性校验，在整个路径构建完毕后，就可以进行路径验 证了。 在这种方法下可能会有多重路径，所以要有相应的算法来决定最短路径。如 果最短路径无效，那么就要对次短路径进行检测，从最短路径到最长路径的序列 中找到可以通过验证的最短路径。层次路径图是一种通用的、适应性强的确定证 书信任路径的方法，它独立于证书策略所决定的层次结构的形式。另外，如果在 层次结构中只有一个自签的证书，那么路径图这种方法对于直接对用户进行欺骗 攻击的抵御性是很强的。当然本地层次结构中的c a 也可以通过交叉认证来与其它 的p k i 信任域中的节点建立信任。但是，当信任域增加时，由于图的复杂性也大大 增加，证书的获得、路径图的查找、最短路径的选择的复杂性将会大大增加。在 许多拥有大量节点的路径图互相直接或间接的相连时，客户端会将所有的证书取 回本地，这样客户端实施路径图的计算量将会比真正执行其主要功能的运算量还 要大。一种解决方案是将经常用到的信任域的证书存储到本地的缓存当中，但是， 维护和管理缓存也会降低客户端的运行效率。另外一种可选的方法是将缓存和p k i 信息服务器相结合，以保证客户端证书信息的更新。这种方法的缺点是：在系统 出现意外事故或受到拒绝服务攻击时，会使得客户端无法连接到p k i 信息服务器， 会损害到所有用户间信任的建立。 2 4 3 证书路径验证服务 用一个专用的d c s ( d a t ac e r t i f i c a t e i o ns e r v e r ) 服务器来处理证书信任路径的构 建和验证，并提供证书的更新信息。为了认证一个p k i 用户，客户端将一个认证请 求连同自己的证书发送给d c s ，d c s 负责从目录服务器获取所有需要的证书，构 建证书信任路径并加以验证，将结果发送回用户。在这种情况下，客户端是极其 简单的，因为它不需要构建证书路径，也不需要验证证书，但从另外一方面看， 整个系统的安全性依赖于一个服务器，如果受到拒绝服务攻击，或者是欺骗攻击， 所有的用户和实体都将受到损害，所以要实施d c s ，必须要使用附加的强大的安 全手段来保护服务器，另外，要实施d c s ，肯定需