（计算机系统结构专业论文）在线公钥系统及相关安全技术研究.pdf

摘要 随着计算帆和网络技术的迅速发展，网络安全变得越来越重要。网络实体问 的通信安全以正确的身份识别作为基础，目前仪以对称密码技术作为实体身份鉴 别的方式已经不能满足网络规模目益扩大的要求，各种分布式计算、网格应用技 术、电子商务、电子政务的发展都要求研究和发展以公钥密码技术作为基础的公 钥基础设施( p k i ) ，解决目前p k i 存在的箨种管理和安全问题。 本文针对目前p k i 存在的用户私钥的安全保存问题，私钥的可便携性问题， 以及及时有效的证书撤销状态更新问题，提出一系列具体的在线公钥系统方案。 以期改善p k i 的设计使之更好地推进网络安全技术的发展，同时，本文围绕着上 述主题研究相关的服务器代理签名、解密方案，以及安全的认证铷议的研究弓设 计。本文辛要贞献和剑新点如下： ( 1 ) 提出了一种利川凭证服务器来安全保存和使j t j ) t j 户私钥的方法，该方法要 求服务器存储 j 户的私钥信息。用户需要使用其私钥时。以在线方式通 过口令认证后下载或直接住线使 j 其私识，即使服务器被攻t i ，也不会威 胁到用户私钥的安全性。本方案由于采用了用户存储设备来存储信息熵大 的其它认证时所需的秘密信息，它能够支持用户弱口令的选择。根据私钥 的使用方式的不同提出了三个具体协议：在线安全认证并下载用户私钥的 协议o c m ag e n , 在线服务器代理签名的协议o c m as i g ，在线服务器 代理解密的协议o c m ad e c ，在随机预言模型( r a n d o mo r a c l em o d e l ) 下证 明了将私钥分解为两部分进行签名的安全性，并在此基础上分析了 o c m as i g 和o c m ad e c 的安全性，另外，在随机预言模型和理想密码 模型下对所提出的方案o c m ag e n 进行了安全性证明，并实现了这三个 方案的灾验原型，进步验证了方案的可行性： ( 2 ) 提出了种利j j 住线双服务器联合认证川户的力法，该方法能够支持用户 端弱口令的选择，其优点是虽然服务器瑞能验证用户输入口令的正确性， 但即使是合法服务器也无法获取用户的登录口令，在一台服务器被攻击的 情况下还能够保证系统的安全性，这个方案可以克服传统单服务器认证系 统中服务器被攻击后带来的安全成胁问题。在这种方法的摹础上提出了两 个通用踟议基于口令的双服务器联合认证协汉t s a p 以及认证及密钥 交换协议t a k e ，以及一种基于t s a p 认证协议的在线双服务器代理签名 和代理解密的方案，该方案的优势是用户只需具备正确的用户名和口令， 就可以让两台服务器代理使用其私钥进行签名或解密，而任意草台服务器 无法独立使f j 其私钥或名得到川户的登录口令： ( 3 ) 摹于动态口令验证技术提出了种县于散列函数的强口令认证协议s p a s ， 该协议以轻量的计算代价达到抵御重放攻击、假冒攻击。s t o l e n - v e r i f i e r 攻 击等常见攻击方式的安全性t 还提出了一种基于动态口令验证技术的认证 基础上的密钥交换狲议d v - a k e ，在随机预言模型下对其安全性进行了形 式化证明，并介绍了d v - a k e 协议在网格麻用系统f 1 的典型应埘。 关键洞：公钥私钥，认证，认证和窑钥交换，公钥罐础设施，网络安全 r e s e a r c ho no n l i n ep u b l i ck e yc r y p t o g r a p h i cs y s t e ma n dr e l a t e dt o p i c s s h u y a oy u ( c o m p u t e ra r c h i t e c t u r e ) d i r e c t e db yc h u c ks o n g w i mt h ee v e r - i n c r e a s i n gg r o w t hi nd i s t r i b u t e d c o m p u t i n g e l e c t r o n i cc o m m e r c e e l e c t r o n i cg o v e r n m e n ta n dg r i da p p l i c a t i o n s ，t h en e e df o ras e c u r ea n dp r a c t i c a lp u b l i ck e y i n f r a s t r u c t u r et op r o v i d es e c u r i t yf o rs u c ha p p l i c a t i o n st ot a k ep l a c ei s q u i t ee v i d e n t y e t s e v e r a li s s u e sr e m a i nt ob e s o l v e d b e f o r ep u b l i ck e yi n f r a s t r u c t u r eg e tw i d e l yd e p l o y e d ， i n c l u d i n gs e c u r es t o r a g eo fp r i v a t ek e y s ，s e c u r eu s a g eo fp r i v a t ek e y s ，t h es t o r a g eo fp r i v a t e k e ys u p p o r t i n gu s e rm o b i l i t y , t i m e l ya n de f f i c i e n tc e r t i f i c a t er e v o c a t i o nm e c h a n i s m s ，e t c i n t h i sd i s s e r t a t i o n , w ea i mt oa d d r e s st h e s ei s s u e sb ye x p l o i t i n go n l i n es e r v e r st oh e l ps e c u r e l y s t o r ec l i e n t s p r i v a t ek e ya n ds e c u r e l yp e r f o r mp r i v a t ek e yc r y p t o g r a p h i cc o m p u t a t i o n ss u c ha s d i g i t a ls i g n a t u r e sa n dd e c r y p t i o n s t h em a i nc o n t r i b u t i o n so f t h i sd i s s e r t a t i o na r e ： 1 ) w ed e s c r i b eam e c h a n i s mr e q u i r i n ga no n l i n es e r v e rt os t o r ec l i e n t s 。p r i v a t ek e y s ， w h e n e v e rn e e d e d ，t h ec l i e n t sa u t h e n t i c a t et ot h es e r v e rt od o w n l o a dt h ep r i v a t ek e yo r p e r f o r mp r i v a t ek e yc r y p t o g r a p h i cc o m p u t a t i n mo n l i n e t h r e ep r o t o c o l sa r ep r o p o s e d c o r r e s p o n d i n gt od i s t i n c tp r i v a t ek e yo p e r a t i o n s ：i no c m a g e ns c h e m e ，t h ec l i e n t m u t u a l l ya u t h e n t i c a t e sw i t ht h es e r v e ru s i n gp a s s w o r da n ds e c r e ts t o r e da th i s h e r d e v i c et od o w n l o a dh i s h e rp r i v a t ek e y ；i no c m a _ s i ga n d0 c m a d e cp r o t o c o l s ， t h ep r i r a t ek e yi sd i v i d e di n t ot w os h a r e s ，o n ef o rt h ec l i e n ta n dt h eo t h e rf o rt h e s e r v e r , e a c hp a 时p e r f o r m sh a l fp a r to fs i g n a t u r eo rd e c r y p t i o na n dt h ec o m p l e t e s i g n a t u r eo rd e c r y p t e dp l a i n t e x tm e s s a g ei sc o m b i n e da tt h ec l i e n ts i d e af o r m a l s e c u r i t yp r o o fi sg i v e no nt h es e c u r i t yo ft h ec o m p l e t es i g n a t u r ed e r i v e df r o mt w o h a l fs i g n a t u r ep a n s w eg i v eaf o r m a ls e c u r i t yp r o o fo fo c m a g e nu n d e rt h e r a n d o mo r a c l em o d e la n di d e a l c i p h e rm o d e l ac o n c l u s i o ni sd r a w nt h a tt h e s e s c h e m e sc a nw i t h s t a n ds e r v e r sc o m p r o m i s ea n dn e e d sa no n l i n ep a s s w o r dg u e s s i n g a t t a c kt oc o m p r o m i s et h ep r i v a t e k e yw h e n c l i e n t sd e v i c ei s c o m p r o m i s e d p r o t o t y p e so ft h e s et h r e ep r o t o c o l sa r ei m p l e m e n t e d 2 ) t w o s e r v e ra u t h e n t i c a t i o np r o t o c o l ( t s a p ) a n dt w o s e r v e ：ra u t h e n t i c a t e dk e y e x c h a n g ep r o t o c o l ( t a k e ) s u p p o r t i n gw e a k - p a s s w o r da u t h e n t i c a t i o na r ep r o p o s e d ， b o t ho f w h i c he m p l o yt w os e r v e r st oa u t h e n t i c a t ec l i e n t si no r d e rt ot h w a r to f f l i n e p a s s w o r dg u e s s i n ga t t a c k sa g a i n s ts e r v e r sv e r i f i e rd a t a b a s ew h e no n es e r v e ri s c o m p r o m i s e d c l i e n t sn e e do n l yt or e m e m b e ru s e m a m ea n dp a s s w o r dt oa u t h e n t i c a t e s e c u r e l yw i t ht h et w os e r v e r s t h et w op r o t o c o l sc a nw i t h s t a n dr e p l a ya t t a c k s ， s t o l e n - v e r i f i e ra t t a c k s ，i m p e r s o n a t i o na t t a c k s ，a n ds u p p o r tw e a kp a s s w o r d w ef u r t h e r p r o p o s et w o - s e r v e rp r o x ys i g n a t u r ea n dd e c r y p t i o ns c h e m e st h a tc a na c h i e v ef a s t c e r t i f i c a t er e v o c a t i o nm e c h a n i s ma n dp e r f o r m i n gs i g n a t u r ea n dd e c r y p t i o no p e r a t i o n s w i t h o u tr e c o v e r i n gt h ec o m p l e t ec l i e n t s p r i v a t ek e y ss o 髂t op r o t e c tp r i v a t ek e yf r o m c o m p r o m i s e i n 3 、al i g h t w e i g h th a s h - b a s e ds t r o n g - p a s s w o r dm u t u a la u t h e n t i c a t i o ns c h e m e s p a si s p r o p o s e d ，w h i c hi sr e s i s t a n tt od o sa t t a c k s ，r e p l a ya t t a c k s ，i m p e r s o n a t i o na t t a c k s ， a n ds t o l e n - v e r i t i e ra t t a c k s ao n e t i m ev e r i f i e r - b a s e da u t h e n t i c a t e dk e ye x c h a n g e p r o t o c o l - - d v - a k e i s p r o p o s e d ，w h i c h a c h i e v e s z e r o k n o w l e d g e p r o o f i na l i g h t w e i g h tw a ya n d i s p r o v e ns e c u r e u n d e rr a n d o mo r a c l em o d e l a t y p i c a l a p p l i c a t i o no fd v - a k ep r o t o c o li ng r i dc o m p u t i n gs c e n a r i oi sd e s c r i b e d k e y w o r d s ：p u b l i c 一p r i v a t ek e y ，a u t h e n t i c a t i o n ，a u t h e n t i c a t e dk e ye x c h a n g e ，p u b l i ck e y i n f f a s t r u c t u r e ，n e t w o r ks e c u r i t y 图目录 图3 1m rg e n e r i c 签名方案3 6 图3 2o c m ag e n 协议4 2 图3 3o c m as i g 协议4 4 图4 1t s a p 协议双向认证过程5 9 图4 3t a k e 协议运行过程6 4 图4 4 双服务器与j l j 户双向认证及代理签名过程。6 8 图5 2 o p k e y x 协议的运行过程 图5 , 3s p a s 第i 次认证过程8 1 图5 4 动态口令认证的密钥协商协议( d v - a k e ) 8 4 图5 6 网格环境中的认证以及下载用户凭证过程9 7 i x 表目录 表2 1 密码算法功能比较 表3 1o c m a _ g e n 与m rg e n e r i c 的计算量对照菱。4 6 表3 2 0 c m a _ s i g 与s - r s a 的计算量对照表4 6 表4 1t s a p 协议的计算代价分析 表4 2t a k e 协议的计算代价分析 表5 1 三种认证和密钥协商协议运算量对比8 7 x 1 声明 我声明本论文是我本人在导师指导下进行的研究工作及取得的研究成 果。尽我所知，除了文中特别加以标注和致谢的地方外，本论文中不包含 其他入已经发表或撰写过的研究成果。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 作者签名：彦淑爻 目期：扣。f 占咫lq 论文版权使用授权书 本人授权中国科学院计算技术研究所可以保留并向国家有关部门或机 构送交本论文的复印件和电子文档，允许本论文被查阅和借阅，可以将本 论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编本论文。 ( 保密论文在解密后适用本授权书。) 作者签名：离拓久导师签名：戛￥ 日期：乙6 了6 l 第一章引言 随着网络技术尤其是i n t e r n e t 的飞速发展，计算机网络已经渗透到人们牛活的每个 角落，极大地改变了人类的生活、学习和工作方式。但随着它给人们生活带来巨大方便 的同时，也对网络上信息的传递提出了更多的安全要求，网络安全变得越来越重要。 网络安全的基础是密码学技术，密码学技术按照其使用的密钥性质的不同分为基于 对称密钥的和罐于非对称密钥( 即公私钥) 的密码学技术。基于对称密钥的密码学技术历 史由来已久， r 在网络应用越来越广泛的今天，仪仪使川对称密钥技术米作为网络安全 的算法摹础是不够的，这是由于对称密钥技术适川f 一。对的通信模型，虹果两个实体 进行安全通信，则需要事先协商好用于信息私密性保护和完整性保护的对称密钥，对于 n 个人的两两通信，就需要事先协商墨萼型个密钥，而每个用户必须管理好自己与其他 z 实体通信的十1 个密钥，当网络通信规模增大时，显然这种方式的安全技术不具可扩展 性。 带动非对称密码算法技术飞速发展的是1 9 7 6 年d i f f i e 和h e l l m a n 发表的。 n e w d i r e c t i o n si nc r y p t o g r a p h y ”，这篇被后人无数次引用的文章介绍了如何使用公钥技术来 实现信息和网络安全的设想并提供了全新的、极富创新思想的基于离散对数问题的难解 性的方法来进行密钥交换。1 9 7 8 年r i v e s t ，s h a m i r , a d l e m a n 发明了第个基于大数因子 分解的难解性的公钥加解密和签名系统一r s a 公钥算法。1 9 8 5 年产生了另一类强有力且 实用性强的公钥系统e i g a m a l 。e i g a m a l 系统基于离散对数问题的难解性。公钥密码学 技术最具贞献的发明之一是数字签名技术。1 9 9 1 年确定了第一代基于r s a 公钥技术的 数字签名国际标准( i s o i e c 9 7 9 6 ) 。1 9 9 4 年美国政府采厂玎d s s ( d i g i t a ls i g n a t u r es t a n d a r d ) 作为签名标准 m 0 9 6 1 。于是，非对称密码算法在信息安全方面起着越来越重要的作用。 以公钥算法为基础的n 个实体的通信模型中，仅需要n 对公私钥即可进行安全通信， 而每个实体只需安全管理自己的私锔，并从公开途径获得其他实体的公钥即可，因为公 钥算法中的公钥传输是公开的，因此它解决了对称密码算法在密钥管理上的不可扩展性 问题。但非对称密码算法最大的挑战就是是如何将某实体的公钥安全地为其它实体所 知，即如何将公钥同某个实体的身份标识符关联起来。l o r e nk o h n f e i d e r 在1 9 7 8 年 k 0 7 8 首次提出使用数字证书的方式来将用户的公钥和用户的其它标识信息捆绑在一 起。之后i f r f 的p k i x 工作小组制定了p k i x ( p k io nx 5 0 9 ) 系列标准，定义了以x 5 0 9 标准为摹础的数字证书在i n t e r n e t 上的使用，证书的牛成、发布和获取，各种产生 和分发密钥的机制，以及怎样实现这些标准的轮嚓结构等。通过把要传输的数字信息进 行加密和签名，保证信息传输的机密性、真文性、完整性和不可否认性，从向保证信息 的安全传输。 目前，通常采用建立在公钥基础设施p k i ( p u b l i ck e yi n f r a s t r u c t u r e ) 基础之上的信任 中国 4 学硫博士学位论文：在线公钥系统及相，安争技术研究 关系来安全地传输用户的公钥信息。p k i 采用证书管王罩公钥，通过第三方的可信任机 构一证书权威机构( c a c e r t i f i c a t e a u t h o r i t ) , ) 来证明f j 户身份和其公钥的捆绑关系。公钥 摹础设旌( p k i ) 是信息安全笨础设施的。个重曼组成部分，是种普遍适 j 的网络安全基 础设施。但是，由于各种原冈，p k i 并不能得到广泛部署，另外，已经部署p k i 的部分 应用也因为p k i 尚未解决的各种管理和安全问题而受到影响。因此，本论文针对目前 p k i 存在的问题，从不同的技术角发和层面提出一些方案和方法，以期改善目前p k i 存 在的口j 题，推动p k i 的广泛部署，从而加速基于数字证书的应用系统的实现和部署，最 终推动网络安全技术的发展。 1 1 公钥基础设施存在的问题 虽然p k i 标准已经存在了十几年，但它并没有象原先设想的那样得到快速部署和应 用，即使是已经得到部署的应f | j ，也还是存在着各种安全和管理南面的i 口j 题，这其中的 原冈分析如下： ( 1 ) p k i 在部署过程r i l 要求通信的实体问有彼此信仟的c a 链，向在交际部署中， 为备个实体颁发证书的c aj = ：往各不相同，如何使通信的实体承认颁发对方 实体证书的c a 证书的合法性是一个不易解决的问题，这个问题涉及到如何 使通信的实体达成一致的信任根源，随着p k l 应用的推广这个问题日趋严 重； ( 2 ) p k i 以及x 5 0 9 证书系统的设计是先于其实际应用而产生的，存在标准的制 定与实际应用需求的脱节问题，由于其标准的应用过于复杂，普通用户从 证书的申请、下载、私钥的保存，证书状态的检查等一系歹：操作需要经培 训才能完成，由此限制了公钥皋础设施的推广； ( 3 )私钥的安全保存问题始终是一个难以解决的问题，冈为用户私钥通常是在 川户端产牛，通常j f j 户私锭使用j j 户选择的口令加密后保存在用户存锗设 备如硬盘上，t r 是，在f i j 户存储设备很容易被攻。 i 者获取，由于通常i 3 户 选择的加密口令信息熵部较低，攻一f i 者很容易用离线字典攻一 j 方式猜测口 令并解密私钥，另外，由于每次需要私钥进行操作时都需要解密私钥，用 户为了方便通常选择简短的口令来方便频繁输入，这又使得私钥的安全性 进一步减弱，还有，用户使用的终端设备一旦披攻击者攻击，攻击者可以 通过各种手段获得己解密的私钥； ( 必须有安全的手段使得用户的私钥可以跟随用户的移动向移动，还有，用 户主机系统的崩溃、存锗设备的丢失或者用户遗忘加密私钥的口令都会导 致用户证书的频繁撤销，而这些问题，都不是普通用户能够轻松解决的； ( 5 ) 证书撤销问题一直是个悬而未决的问题，口前有的证书撤销状态更新解 决方案，如c r l ，o c s p 等都不能提供及时有效的证书撤销信息更新； 第一蕈：引言 ( 6 )些企业或组织希望有集中的策略来管理企业或组织内部成员的证书和私 钥的使用，但是，在现行的p k i 技术中，一旦私钥和证书产生后其使用完 全掌握在用户端，集中管理策略无法实施。 上述问题妨碍了公钥基础设施的广泛部署和安全有效使用，网络安全技术研究者正 在寻求各种安全技术来弥补公钥基础设施的不足之处，使之能够全方位地部署在各种不 同台匀惠j j 场合。 如果用户私钥同定地存放住个本地存储器中，j j j 户使川另外一个终端设备时就 不能使用其私钥以及相关的安全配置( 如受信任的根c a 证书等) 。i f r f 为解决这个问题 成立了s a c r e d ( s e c u r e l ya v a i l a b l ec r e d e n t i a l s ) t 作组，目前已制定r f c 3 1 5 7 ，r f c 3 7 6 0 ， r f c 3 7 6 7 r f c 3 1 5 7 。r f c 3 7 6 0 r f c 3 7 6 7 支持j j 户移动时冗证随时随地可用的特性，但这 些标准仅仪只是提供了一些框架和总体的要求，并没有提出具体的协议和方案。p k i 中 的凭证通常由公私钥对组成，通常由一些证书或证书链以及受信任的根c a 证书信息组 成f 还包括用户私钥) 等。目前用户需要专业知识才能安全管理凭证，因此，凭证信息的 有效安全的集中式管理是一个很好的解决凭证安全存储问题的方法。理想的情况是用户 可以在任何地点使用各种终端设备，如台式机，笔记本电脑，p d a ，手机等能上网的 设备获得凭证。这样就要求凭证服务器代用户保存凭证并提供凭证下载，显而易见， 该方案中的认证协议的安全性是至关重要的，必须保证只有通过认证的合法用户才能下 戴或替换其凭证信息。 本论文将提出一些具体的协议和方案，使得用户的私钥以及其它一些安全配置信息 保存在在线服务器上，用户通过认证协c 义的成功认证后才可下载或者住线使用其私钥。 1 2 代理签名技术的研究现状和存在问题 代理签名技术允许用户a ，称为原始签名者( o r i g i n a ls i g n e r ) 将其签名的权利授权给 用户b ，b 称为代理签名者( p r o x ys i g n e r ) 。之后b 就能够代表a 来签名。代理签名可以 在很多应用中使用，包括电子钱币系统 o t 9 9 1 ，电子商务中的移动代理k 0 1 ，l k 0 1 ， 移动通信 p l o q ，网格计算 f k 9 8 1 ，以及分布式共亨对象系统【l h o o 。 我们根据代理签名的应用目的的不同梅它分为三类：第一类是原始签名者由于出差 在外或者其它原囡无法处理一些需要进行致字签名的任务因此通过某种方式将数字签 名的权利交给代理签名者，这种代弹糁名方案通常是直接由代理签名者产牛消息并对消 息签名；第二类 v g 0 4 ，s a o t s ，a s 9 7 ，b b 0 4 ix 邑原始镣名者由十其计算能力不能胜任 数字签名这种计算镌力要求较大的算法由产牛- 的，在这种代理签名方式中，由原始签名 者产生需要签名的信息，通常都是以在线方式发送到代理篙名者端，由代理签名者代为 进行数字签名后传送到原始签名者端；第三类是本文所研究的方式，是为了避免用户私 钥的泄密，将原始签名者的私钥部分交给代理签名者签署。然后由原始签名者最终合成 完整的签名，在签名的过程中。私钥不为任何一方所有，保护了私钥的安全使用，并能 中国科学硫博士学位论文：在线公钥系统及相关安令技术研究 实现及时有效的证书撤销功能。 第类代珲签名按照最早的m a m b o 等( m u 0 9 6 的分类，又可分为完全代理，部分 代理，带保证书的代理三种代理方式。完全代理将原始签名者的私钥直接交给代理签名 者，这是最简单的代理方式，但也是最不安全的方式，因为代理者可能会签署不该他签 署的信息，并且如果一个信息被签署了，无法区别是原始签名者签署的还是代理签名者 签署的，因此这种代理方式不能保证不可抵赖性( n o n - r e p u d i a t i o n ) ，它比较适合于对代理 签名者完全信任的场合；部分代理是原始签名者为某一个代理签名者产生一对公私钥， 将私钥安全发送到代理签名哲，然后代理签名者使用该私钥签名，签名验证者可以判断 签名是否确实是原始签名者授权的丽由代理签名者签署的。该方案的优点是原始签名者 的签名能够同代理签名者的签名区分开来，其缺点是不兼容传统的签名方案，并且无法 限制代理签名肴签署的信息范围：带保证书( 通常以数字证书方式呈现) 的代理签名力式 是原始签名者| j 自己的私钥签署+ 个保证书，保证是自己授权将签名权交给代理签名 者，并可规定签署信息的有效范同和有效时间等约束信息。代珲签名嵩使用担保书c 1 指 定的公钥对戍的私钥签名，但是，签名验证者必须验证保证书中的签名和代理签名者的 签名，计算量加大了一倍，并且签名的长度大大加长。部分代理和带保证书的代理签名 产生的签名格式同传统的签名格式不兼容。口前仍然没有高效又可证明安全的此类代理 签名方案，这方面的研究工作部集中在寻找一种高效的、安全的方案。 在第二类代理签名方式中，用户私钥完全交由服务器管理，一旦有合法的签名，那 么一定是服务器签署的，并且服务器不可抵赖，但对服务器并不完全信任，做到这一点 要求每一次用户提交需要签名的消息时对该消息进行一次性签名( o t s ， o n e t i m e s i g n a t u r e ) ，然后服务器代理用户进行传统数字签名，服务器必须保存所有的 一次性签名的签名内容，以便、与对某一签名有争议时可以诉渚法庭，如果服务器能够出 据有效的用户签署的饮性签名，则服务器可以证明用户确交曾请求要求签名，如果不 能出示，则说明服务器滥瑁私钥签名。虽然厢户还是得傲次性签名，但。次性签名的 计算量大大小于传统掺名的计算量，冈此该类方案比较适合于计算能力低的 j 户端的签 名，伊由于该类方案要求服务器( 或者j f j 户) 保存所有签名的记录，对于服务器( 或者川户) 的存储能力提出了较高要求，并且，该方案要求j j 户必须具备一次性签名所对应的证书， 也就是说用户不仪必须具备传统签名需要的公私钥，还必须事先获得一次性签名所需要 的私钥和证书，对于系统的有效部署提出了较高要求。 我们在本论文中提出两种方案来完成第三类代理签名( 或称部分代驾签名) ：第一个 方案将用户的私钥的一部分交给服务器来代理签名，先由服务器来签署一半的签名发送 给用户，而私钥的另一部分由用户控制，用户用自己的半私钥产生一股签名后由用户完 成完整签名，最后产生的签名保持同 专统的签名一致，并且能够达到证书及时撤销的功 能。第二个方案是将用户的私钥分成两部分分别交给两台在线服务器，每台服务器持有 私钥的一部分，需要签名时， 】户向暇务器认证通过后由两台服务器分莉签署自己的 第一牵：引言 半签名然后由用户合成得到完整签名。这两种代理签名方式这样设计的原因是：在一些 应用中，用户的签名权需要由服务器辅助予以监控和审计，如果用户的签名权一旦被撤 销，则服务器可以不予以服务以达到快速证书撤销的目的。另外，任何一方都无法得到 完整的用户私钥，任何单方的半私钥的泄露都不会影响完整的私钥的安全性，这样做能 够提高私钥保存的安全性。 私钥的作用除了签名之外，还有解密的功能。代理签名的应用远比代卑祥密的应用 要广泛，主要原因除了签名和解密的本质区别外，还冈为虹果采用代珲解密，代理裘会 得到解密后的明文信息，这样就会侵犯原始私钥持有者的隐私权。商在我们的方案中则 不存在这个问题，冈为用户才是最后明文的获得者，向服务器只是用私钥的一部分解密 了密文，解密后明文的合成是由用户来完成的。很容易看出，我们的系统的安全性很大 程度上依赖于分解私钥以及合成的安全性，这一点将在第3 章予以分析和证明。 1 3 在线公钥系统面临的困难和挑战 为了保护用户私钥的安全存储与安全使用，以及支持用户的可移动性，可以采用要 求将私钥全部或部分地交给在线服务器保存的方法来加强私钥的安全性。当用户需要使 用其私钥时，要求用户通过在线认证确认身份后服务器才可以下载加密的私钥或者在线 辅助用户用私钥进行签名或者解密。 由于服务器保存的是用户的私钥，私钥是安全级别很高的信息，因此在线公私钥系 统对协议的安全性提出了较高的要求。晌通川的认证协议无法提供满足这种特殊应用的 安全需求。本论文的个研究重点就是研究并设计安全的认证协议使其适用于这样的应 用场景。 目前，在线公钥系统根据对用户私钥的处理方式的不同分为在线私钥下载方案以及 在线私钥使用方案，在在线私钥下载方案中，服务器只是辅助用户保存其私钥，当用户 下载私钥后由用户自己完成私钥操作；而在在线私钥使用方案t 扣，服务器能够获得用户 的全部或部分私钥，并且能够( 全部或部分) 代理用户进行私钥的签名或解密。而s a n d h u 等 s r p 0 2 把这两种方式称为虚拟软件令牌f v i r t u a ls o f tt o k e n ) 和虚拟智能卡( v i r t u a l s m a r t - c a r d ) 方式，虚拟软件令牌系统使得用户可以从凭证服务器端获得自己的私钥，然 后在用户本地直接使用其私钥而无需与服务器冉交互，服务器仅仅起到虚拟的存储设备 的功能；而虚拟智能卡系统中j f j 户并不直接得到自己的私钥，而是通过与服务器的交互 得到签名或解密信息，在虚拟智能卡力案一f - 通常将川户的私钥分成抽部分，。份由服务 器控制，另一份可以由用户的口令经过函数变换得到或存储在j j 户设备中，_ i j 户和服务 器共同完成箍名或解密操作，任何方部不能得到完整的私钥，服务器参与签名或解密 操作使得用户的私钥裁象在智能卡中使用样不会有任何泄露，闶此称为虚拟智能卡方 式。下面分别分析这两种方案的优缺点。 虚拟软件令牌系统的特点如下： s 中国科掌硫博士学位电文：冉线公钥系统厦辐笑安伞技求研究 ( 1 ) 私钥保存在服务器瑞。川户可以移动， 另外，由于用户能够获缛其完整私钥， 能。 并在f t 意台联网的机器上使用其私钥， 在线鼹务器并不能提供证书撤销更新功 ( 2 ) 仅仅使用标准的认证协议，如s s l 是不够安全的，冈为我们需要对服务器和用 户进行双向认证，如果采 js s l 认证方式，首先通过s s l 握手实现对服务瑞甚 于证书的单向认证：然后通过传统口令认证过程( 比如c h a p 或o t p 口令认 证方案) 实现对客户端的口令认田g k 9 9 1 。但由于该双向认证由两个独立的单 向认证过程实现，因此，该认证方案存在中间人攻击。 ( 3 ) 如何将私钥安全地保存在服务器瑞是一个比较难解决的问题，如果仪仅使用用 户选择的口令加密私钥，则一只服务器的攻- l i 者获得加密的私钥，很容易就能 够离线字典猜测攻击的方法来获得私钥。而如果要求用户使用个信息熵较 大的秘密信息来加密私钥，则要求用户必须能够记忆或者保存该秘密信息，而 用户通常只能记忆信息熵较低的口令，因此，如果要加强安全性，则要求j h 户 使用一些存储设备来存储秘密信息来加密私钥以加强私钥的安全性。 虚拟智能卡系统的特点分析如下： ( 1 ) 服务器如果存放用户的完整私钥。当埘户认证通过后完全代理用户使用其私 钥，这里就涉及到一个信任滥用问题，服务器如果滥用用户私钥签名，则签名 的不可抵赖特性受到损害，另外，如果加密的信息交给服务器代理解密，则存 在一个用户的隐私被服务器窃取的问题，因此本文不采用这种方式。 ( 2 )如果服务器只是部分存放用户的私钥，那么另外一部分应该由j j 户或者其它服 务器保存，仅仅得到私钥的一部分无助于猜测完整的私钥或假冒签名( 见第三 章的安全性证明) 。 ( 3 )该方案比私钥下载方案的优势在于：在线私钥辅助使h 方案能够锻决证书撒销 目题，一冗证书撤销的信息传达到服务器，则服务器就不冉提供私钥笔名或解 密的服务给对麻的川户，由于该方案要求j f j 户直郡不能获得其完整私钥。这 样就达到了及时快速的证书撤销功能。 ( 4 )该方案同样存住需要设计一个安全有效的认证协议的问题，该协议不仪要求能 够抵御常见的认证防议的攻击方式，还要求能够抵御s t o l e n - v e r i f i e r 攻击【即服 务器端的口令验证因子被窃取后带来的攻击) ，并且要求在保证安全的前提下 尽可能做到计算轻量，因为客户端很有可能是一个计算能力不强的终端设备。 1 3 1 相关研究工作 在线公钥系统是将用户的公私钥的存储和使用全部或部分地由在线服务器辅助进 行，目的是保护私钥的保存，支持用户的漫游，支持私钥的操作的集中控制和审计，支 持及时有效的证书撤销功能等。 第一章：引言 p e d m a n n 和k a u f m a n 在 p k 9 9 1 中提出了一些基于e k e 和s p e k e 协议的些下载用 户加密的私钥的协议，这些协议将存储在服务器端的用户加密的私钥用决议产生的秘密 密钥加密后下载到用户端，然后由用户提供密码解密后使用。这些协议的一个问题是服 务器端很容易用用户的认证口令解密得到用户的私钥，一只服务器被攻击，则所有用户 端的私钥部将被窃取。 2 0 0 1 年，b o n e h 等【b d 0 l 】 b d 0 4 】提出了一个能够利用在线s e m ( s e m i - t r u s t e d m e d i a t o r ) 服务器来实现快速证书撤销状态更新的系统m r s a 。在m r s a 系统中，r s a 私钥d _ d + d 。m o d o ( n ) ，用户的私钥d 分为d ”和d “两部分，需要笔名和解密时只要 s e m 服务器和用户备自用自己的半私钥签名或解密，然后将结果相乘即可得到等同于 传统r s a 签名或解密一样的结果。但是，在s e m 的参考实现中，作者没有使用任何方 式的认证，虽然作者提到需要进行某种方式的认证，否则没法避免攻击者对s e m 服务 器的拒绝服务攻击，但作者只是提议分离式的认证，也就是说，先使用共享密钥或s s l 之类的认证，之后再进行用户的签名或解密服务，这样的认证方式，既不安全( 不安全 的原冈请见第2 - 3 5 节的分析) ，效率又不高，另外，如果采用s s l 作为认证手段，用户 为了进行一次签名或解密操作可能要付出几倍于荦机完成该操作的时间延迟和计算量。 2 0 0 3 年m a c k e n z i e 和r e i t e r m r 0 3 1 提出了一种将离线的私钥使用方式强制为在线 使用的一种保护私钥的方法。该方案的缺点是没有认证，服务器对所有的请求部不加判 断地进行2 次私钥解密算法，1 次m a c 算法以及其它的些计算，无法抵御拒绝服务攻 击( 具体协议见第3 1 1 节分析) 。 2 0 0 3 年，k w o n k w 0 3 指出了m r 0 3 的明显缺点一缺乏认证。并使用h o o v e r 和k a u s i k h k 9 9 的方法将私钥用随机产生的一对公私钥对应的私钥加密，而这对随机产牛的公私 钥对的公钥只有服务器才能得到，服务器通过该公钥认证用户后即可虹 m r 0 3 忡一样进 行私钥的下载或在线操作，该方案仅仅是在 m r 0 3 的基础上加入了计算量较大的一种认 证机制，但其效率不高，且难于抵御重放攻击，攻击者可通过重放以前的合法认证信息 达到拒绝服务攻击的目的。 w a n g 等 w r 0 4 提出了一种用口令即可在线使用私钥的方案，该方案使用用户口令 既作为向服务器认证的凭证又作为加密密钥的，但作者又声称服务器是不受完全信任 的，实际上在这种部署中，服务器的内部人员或外来攻。斤者很容易就可以利用口令验证 因子离线字典攻t b 猜测用户口令之后获得j j 户私钥，另外该方案没有给出具体的协议设 计。 还有一些在线公钥系统，如k x 5 0 9 k c a k c a l 是。个允许用户通过用户名、1 2 1 令 认证从k e r b e r o s 服务器处直接获得短效x 5 0 9 凭证的系统，但它是针对k e r b e r o s 应用系 统的一种部署。m y p r o x y i m 蚶 r o x y 】是在网格应用中提供在线凭证存储并提供