CN101035135A

CN101035135A - 适用于无/弱本地存储客户端系统的数字证书系统

Info

Publication number: CN101035135A
Application number: CN 200710098776
Authority: CN
Inventors: 戴一奇; 谭智勇; 司天歌; 刘铎; 邹嘉; 林劼; 郝建国; 付位刚; 周麒麟
Original assignee: Tsinghua University
Current assignee: Tsinghua University
Priority date: 2007-04-27
Filing date: 2007-04-27
Publication date: 2007-09-12

Abstract

适用于无/弱本地存储客户端系统的数字证书系统，属于数字证书系统技术领域。其特征在于：基于公钥基础设施体系架构，含有证书机构系统、注册机构系统、证书管理系统、密钥管理系统、信息发布和接口系统和客户端访问程序等其中的一个或多个组件，采用了随机数、盐和多轮迭代等手段保证系统的安全性，并且通过在客户端进行密钥生成和加解密操作的方式实现了系统的可扩展性。该系统无需借助外部密钥存储设备，解决了在网络计算机系统中部署数字证书系统时存在的终端实体对私钥数据的存储需求和网络计算机无本地存储特性的矛盾。从而在保证安全性和可扩展性的同时，数字证书系统的实施复杂度和成本得到了降低。

Description

适用于无/弱本地存储客户端系统的数字证书系统

技术领域

本发明涉及一种数字证书系统，尤其是一种适用于无/弱本地存储能力的客户端系统的数字证书系统技术领域。

背景技术

自从1946年现代电子计算机的鼻祖ENIAC在美国宾夕法尼亚大学问世以来，计算机技术和计算形式自身都经历了巨大的变革。在经历了计算机发展的数次浪潮以后，目前计算机向综合的方向发展，出现了大型主机(Mainframe)模式、个人计算机(Personal Computer)模式、客户机/服务器(Client/Server)模式、网络计算机(Network Computer)模式等多种计算模式并存的情形。在这些众多的计算模式中，存在着一类无/弱本地存储能力的客户端系统，其中以瘦客户机终端、无盘工作站终端、网络计算机终端和透明计算机终端等最为典型。它们或者由于体系结构的限制没有本地存储能力，或者由于终端为多用户共享从而对单个用户而言没有安全的本地存储能力。但是这类计算技术由于能有效从服务器或者网络获取大部分资源，所以能有效减少硬件成本和维护成本，从而获得了较大的发展。在中国科技部2004年颁发的文件[“863”计划联合办公室.“十五”期间国家高技术研究发展计划(“863”计划)计算机软硬件技术主题课题申请指南[EB/OL].]中明确提出了把网络计算机的研制作为十五期间的重点发展项目，可以预见该类技术的应用必将在以后的社会生活中扮演日益重要的角色，因此如何保证这种无/弱本地存储能力的客户端系统的安全是当前一个重要而紧迫的研究课题。

公钥基础设施(public key infrastructure，PKI)是目前业界比较公认的保障大型开放式网络环境下网络和信息系统安全的可行和有效的措施。它是一个用公钥密码算法原理和技术实现并提供安全服务的具有通用性的安全基础设施其基本组件包括证书机构(certificate authority，CA)、注册机构(registration authority，RA)、证书服务器、证书库、证书验证、密钥恢复服务、时间服务器和签名服务器等等。因此利用PKI技术这一完整的、标准化的和成熟的工程框架来解决无/弱本地存储客户端系统的安全问题无疑是个不错的选择。在实施方面，当前在无/弱本地存储客户端系统环境下部署数字证书系统的主要困难在于解决终端实体对私钥数据的存储需求和其无/弱本地存储特性的矛盾。由于没有可靠的本地存储能力，这类客户端作为PKI的终端实体只能通过访问USB-KEY等外部设备来获取其私钥信息。这不仅会增加系统的硬件成本，而且针对一类封闭终端外设接口的需求(如出于安全因素的考虑)，传统的数字证书系统部署方案便会出现很大的实施障碍。

发明内容

本发明的目的是提供一种适用于无/弱本地存储能力的客户端系统的数字证书系统。本发明的另一个目的是提供一种适用于无/弱本地存储能力的客户端系统的安全的客户端证书申请协议和客户端证书和私钥数据获取协议。本发明的另一个目的是提供一种用户的私钥信息在证书机构系统加密存储的数字证书系统。本发明的另一个目的是提供一种私钥数据的生成、加密和解密操作都是在客户端完成的数字证书系统。

按照本发明，该数字证书系统含有证书机构系统、注册机构系统、证书管理系统、密钥管理系统、信息发布和接口系统和客户端访问程序等其中的一个或多个组件，并且能够适用于无/弱本地存储能力的客户端系统。

按照本发明，由于无/弱本地存储客户端系统或者没有本地存储能力，或者没有可靠的本地存储能力，考虑到私钥信息的绝对隐秘性，所以把用户的私钥信息被加密存储在数字证书系统的证书机构系统中，并且通过一定的访问控制机制来实现用户对私钥数据的合法获取。

按照本发明，对私钥数据的生成、加密和解密操作都是在客户端完成的，这样能够有效减小证书机构系统的压力，增加系统的可扩展性。

按照本发明，提供了安全的客户端证书申请协议和客户端证书和私钥数据获取协议，其中：

a.安全的客户端证书申请协议，含有以下步骤。

步骤(1).用户向RA服务器发送消息，要求进行证书申请；

步骤(2).RA服务器产生一个新的随机数并发送给用户；

步骤(3).用户生成PKCS#10格式的证书请求信息及其对应的私钥，并把该请求信息、用户标识和上一步得到的随机数一起使用RA服务器公钥加密后发送给RA服务器；

步骤(4).RA服务器将收到的用户标识和自己数据库中已有的记录进行比对。如果RA服务器没有发现用户标识重复的情况，则转到步骤5，否则发送用户标示检查失败的消息给客户端，请求操作失败；

步骤(5).RA服务器发送用户标示检查成功消息给用户；

步骤(6).用户用自己的对称密钥(该密钥遵从PKCS#5规范[RFC2898.The Public-KeyCryptography Standards-PKCS #5：Password-Based Cryptography Specification[S].USA：RSALaboratories，2000.]由用户设置的口令生成)加密其私钥数据并和随机数一起使用RA服务器公钥加密后传送给RA服务器；

步骤(7).RA服务器把证书请求信息、用户标识和加密的私钥数据等信息一起写入待审批的证书请求列表中。然后发送证书请求成功消息到用户。

b.安全的客户端私钥数据获取协议，含有以下步骤。

步骤(1).用户向RA服务器发送消息，要求进行证书数据请求；

步骤(2).RA服务器产生一个新的随机数并发送给用户；

步骤(3).用户利用自己的用户名和密码生成用户标识，并将该标识与随机数一起散列，将标识和散列值一起使用RA服务器公钥加密后发送给RA服务器；

步骤(4).RA服务器将收到的用户标识和自己数据库中已有的记录进行比对。如果RA服务器的有效证书列表中存在该用户标识对应的记录，则转到步骤5，否则返回相关的错误消息给用户，数据请求失败；

步骤(5).RA服务器发送该用户标识对应的证书数据和(加密后的)私钥数据给用户；

步骤(6).用户发送接受成功消息给RA服务器。

上述方案中，所选定的公钥加密算法为RSA算法。所述选定的对称加密算法为AES算法。所述选定的随机数生成算法为组合线性同余发生器算法。

下面就该客户端证书申请/客户端私钥数据获取协议的安全性进行剖析，分析常见的攻击方法对该协议的攻击效果。

1)网络侦听

用户密钥申请和访问过程中，口令字不在网络上传输，密钥的传播也在加密之后进行，所以网络侦听攻击无效。用户的申请信息与用户标识都经过服务器公钥加密处理后进行传输，侦听者无法从侦听到的报文中得到有用信息。

2)重放攻击

由于认证服务器每次选取的随机数不同，所以无法通过重放前面侦听到的请求报文来完成以后的请求。

3)口令字猜测

攻击者在知道了申请/访问协议以及对应的单值散列算法后，可以对用户的口令字进行猜测，用猜测到的口令字构造用户标识进行用户私钥数据申请，并试图用该口令字构造用户加密私钥的密钥，尝试对服务器返回的信息进行解密操作。这种攻击办法对本协议有一些危险性，特别是当用户的口令字有缺陷时，比如口令字长度太短、使用用户名做口令字、使用一个英文单词做口令字等等。为此，系统在密钥申请客户端程序中加入对用户密钥的检查机制，首先保证口令字必须有足够的长度，同时在用户申请之时就要求其对弱口令进行更改。同时，根据用户口令字构造用户加密私钥的算法(Hash2)遵从PKCS#5规范，其中盐和多重迭代的使用能极大的增加攻击的复杂度。具体来说，可把盐看作是对从口令字导出的一个大密钥集合的索引，尽管攻击者有可能构造一个口令字表(字典攻击)，但构造一个可能的密钥表是很困难的，因为每个口令将有许多可能对应的密钥，因此攻击者将不得不为每一个盐单独搜索口令。同时，密钥导出过程中包括一个迭代轮数的参数，指示需要迭代多少基本函数之后才进行密钥的导出操作，由此构建了计算代价相对昂贵的密钥导出技术，用以增加穷举搜索的代价。一个适度的迭代轮数(如1000轮)对合法方来说不可能是计算密钥时的负担，但对穷举攻击者来说是一个很大的负担。总之，在用户的口令字有足够的抗攻击强度条件下，可以认为该协议对口令字猜测是安全的。

4)中间人攻击

由于用户向服务器发出的数据消息都是经过服务器公钥加密后传输的，所以攻击者无法利用会话劫持获得比网络侦听攻击方法更多的有效信息，即该协议对中间人攻击是安全的。

综合以上4点，说明该协议可以有效抵御网络侦听、重放攻击、口令字猜测和中间人攻击，即在现有的攻击手段下本协议是安全的。

本发明提出了一种适用于无/弱本地存储能力的客户端系统的数字证书系统，与其它方案相比，该方案的主要优点是：

首先，基于RA服务器加密存储用户私钥的设计方案，该方案无需借助外部密钥存储设备，在保持数字证书系统安全性的同时节省了系统的硬件开销，并降低了实施复杂度。

其次，对私钥数据的生成、加密和解密操作都是在客户端完成的，这样能够有效减小服务器的压力，增加系统的可扩展性。

最后，对客户端证书申请/客户端私钥数据获取协议的安全性进行分析表明，该协议使用了符合PKCS#5规范的随机数、盐和多轮迭代等手段增加了协议的安全特性，可以有效抵御网络侦听、重放攻击、口令字猜测和中间人攻击，在现有的攻击手段下该协议是安全的。

附图说明

图1说明数字证书系统的逻辑结构简图；

图2说明客户端证书申请协议；

图3说明客户端私钥数据获取协议。

具体实施方式

图1描述了包含证书机构系统、注册机构系统、证书管理系统、密钥管理系统、信息发布和接口系统和客户端访问程序的数字证书系统简图。其中客户端访问程序运行在客户端系统中，而证书机构系统、注册机构系统、证书管理系统、密钥管理系统、信息发布和接口系统共同构成了数字证书系统的服务器。证书管理系统、密钥管理系统、信息发布和接口系统可以是注册机构系统的一部分，也可以独立于注册机构系统而存在。

证书机构系统负责创建和发行X509格式的最终实体证书，该最终实体证书将主体最终实体的身份表示成正在注册的主体名字，并注册使用与主体拥有的私钥相对应的公开密钥。注册机构系统负责与注册最终实体相关的管理任务，包括对用户证书请求的审核、查询和管理等等。注册机构系统和证书机构系统之间通过安全通道进行通信。密钥管理系统和证书管理系统在注册机构系统的管辖下各自完成相关的密钥管理和证书管理功能。信息发布和接口系统为用户提供网上在线注册功能和查询功能，同时提供数据发布功能和与客户端访问程序通讯的功能。客户端访问程序面向最终用户，接受用户的申请或者查询请求，然后把请求递交给注册机构系统而获得相应的应答。

图2描述了客户端证书申请协议，图中的符号意义如下：Info为证书请求信息；Name和Pwd分别为用户对应的用户名和口令，K_S为证书服务器公钥，K_U ^-1为证书申请者私钥；Na为证书服务器产生的随机数；UserIdentity为用户标识，且UserIdentity＝Hash1(Name，Pwd)；K_EU为用户加密自己私钥的密钥，且K_EU＝Hash2(Pwd)。(Hash1和Hash2为单值散列函数，且后者的设计遵从PKCS#5规范)。m_1-3为用于标识特定协议步骤的消息，分别为m₁(“user certificaterequest”)、m₂(“identity check success”)、m₃(“identity check failed”)和m₄(“certificate requestsuccess”)。假设此时用户已经从数字证书系统信息发布子系统中获取到RA服务器的证书(公钥数据)。

对以上步骤的详细描述如下：

1)用户向RA服务器发送m₁消息，要求进行证书申请；

2)RA服务器产生一个新的随机数并发送给用户；

3)用户生成PKCS#10格式的证书请求信息及其对应的私钥K_U ^-1，并把该请求信息、用户标识和上一步得到的随机数一起使用RA服务器公钥加密后生成数据Data1发送给RA服务器：

Data1＝{Info，UserIdentity，Na｝K_s；

4)RA服务器将收到的用户标识和自己数据库中已有的记录(“待审批的证书请求列表”，“审批未通过的证书请求列表”，“有效证书列表”和“已撤销的证书列表”)进行比对。如果RA服务器没有发现用户标识重复的情况，则转到步骤5，否则发送m₃消息给客户端，请求操作失败；

5)RA服务器发送m₂消息给用户；

6)用户用K_EU加密其私钥数据并和随机数一起使用RA服务器公钥加密后生成数据Data2传送给RA服务器：

Data2＝{{K_U ^-1｝K_EU，Na}K_s；

7)RA服务器把证书请求信息、用户标识和加密的私钥数据等信息一起写入待审批的证书请求列表中。

8)RA服务器发送m₄消息到用户。

如果客户端证书请求生成阶段顺利完成，那么服务端数据库“待审批的证书请求列表”中会有该用户的相应记录，其中包括证书请求信息、用户标识和加密的私钥数据等数据项，此时RA服务器可以对该申请进行审批。如果审批未通过，则直接把该记录转入“审批未通过的证书请求列表”。如果审批通过，则把该记录对应的数据递交到CA服务器，后者利用自己的私钥和证书签发该证书请求生成用户证书，并把证书数据发回到RA服务器；然后RA服务器把证书数据、用户标识和加密的私钥数据等数据项写入到“有效证书列表”中。

图3说明客户端私钥数据获取协议，图中的符号意义如下：UserIdentity、K_S和K_EU意义同前；C为用户的证书；Na为证书服务器产生的随机数；Hash3为单值散列函数；m_5-9为用于标识特定协议步骤的消息，分别为m₅(“user certificate data request”)、m₆(“unapproved request”)、m₇(“denied request”)、m₈(“related certificate canceled”)和m₉(“certificate data request success”)。

假设此时用户已经从数字证书系统信息发布子系统中获取到RA服务器的证书(公钥数据)。

对以上步骤的详细描述如下：

1)用户向RA服务器发送m₅消息，要求进行证书数据请求；

2)RA服务器产生一个新的随机数并发送给用户；

3)用户利用自己的用户名和密码生成用户标识，并将该标识与随机数一起散列，将标识和散列值一起使用RA服务器公钥加密后生成数据Data3发送给RA服务器：

Data3＝{UserIdentity，Hash3(UserIdentiy，Na)｝K_s；

4)RA服务器将收到的用户标识和自己数据库中已有的记录(“待审批的证书请求列表”，“审批未通过的证书请求列表”，“有效证书列表”和“已撤销的证书列表”)进行比对。如果RA服务器的有效证书列表中存在该用户标识对应的记录，则转到步骤5，否则返回相关的错误消息m₆、m₇或m₈给用户，数据请求失败；

5)RA服务器发送该用户标识对应的包括证书数据和(加密后的)私钥数据在内的数据Data4给用户：

Data4＝{C，{K_U ^-1}K_EU｝；

6)用户发送m₉消息给RA服务器。

以上所述仅仅是说明本发明的原理。本领域的技术人员可以设计各种其它方案，虽然在这里无法清楚地描述或者表示出这些方案，但是如果这些方案体现本发明的原理，则这些方案不超出所附权利要求书的范围。

Claims

1.一种适用于无/弱本地存储能力的客户端系统的数字证书系统，它包括证书机构系统、注册机构系统、证书管理系统、密钥管理系统、信息发布和接口系统和客户端访问程序等其中的一个或多个组件。

2.一种适用于无/弱本地存储能力的客户端系统的安全的客户端证书申请协议和客户端证书和私钥数据获取协议。

3.权利要求1的系统，其特征在于：

其适用的客户端系统包括具有无/弱本地存储能力特性的瘦客户机终端、无盘工作站终端、网络计算机终端、透明计算机终端或者PC终端等终端系统。

4.权利要求1的系统，其特征在于：

其适用的客户端系统包括虽然具备本地存储能力，但是私钥数据不存储于本地的瘦客户机终端、无盘工作站终端、网络计算机终端、透明计算机终端或者PC终端等终端系统。

5.权利要求1的系统，其特征在于：

用户的私钥信息在证书机构系统加密存储。

6.权利要求1的系统，其特征在于：

私钥数据的生成、加密和解密操作都是在客户端完成。

7.权利要求1的系统，其特征在于：

该系统具备安全的客户端证书申请协议和客户端证书和私钥数据获取协议。

8.权利要求2的客户端证书申请协议，其特征在于，该协议依次有以下步骤：

步骤(1).用户向RA服务器发送消息，要求进行证书申请；

步骤(2).RA服务器产生一个新的随机数并发送给用户；

步骤(5).RA服务器发送用户标示检查成功消息给用户；

步骤(6).用户用自己的对称密钥(该密钥遵从PKCS#5规范由用户设置的口令生成)加密其私钥数据并和随机数一起使用RA服务器公钥加密后传送给RA服务器；

9.权利要求2的客户端证书和私钥数据获取协议，其特征在于，该协议依次有以下步骤：

步骤(1).用户向RA服务器发送消息，要求进行证书数据请求；

步骤(2).RA服务器产生一个新的随机数并发送给用户；

步骤(6).用户发送接受成功消息给RA服务器。

10.根据权利要求4、8或9所述的方法，其特征在于，所述选定的公钥加密算法为RSA算法。

11.根据权利要求5、6、7、8或9所述的方法，其特征在于，所述选定的对称加密算法为AES算法。

12.根据权利要求8或9所述的方法，其特征在于，所述选定的随机数生成算法为组合线性同余发生器算法。