CN106789090A

CN106789090A - 基于区块链的公钥基础设施系统及半随机联合证书签名方法

Info

Publication number: CN106789090A
Application number: CN201710104258.XA
Authority: CN
Inventors: 陈晶; 姚世雄; 王持恒; 何琨; 杜瑞颖
Original assignee: 陈晶
Current assignee: Wuhan University WHU
Priority date: 2017-02-24
Filing date: 2017-02-24
Publication date: 2017-05-31
Anticipated expiration: 2037-02-24
Also published as: CN106789090B

Abstract

本发明公开了一种基于区块链的公钥基础设施系统及半随机联合证书签名方法，系统由用户Client、Web服务器和若干证书授权中心CA组成；若干证书授权中心CA组成CA联盟，所述Web服务器向若干证书授权中心CA申请证书，若干证书授权中心CA联合签名后，将证书存储在区块链中，存储完成之后，证书授权中心CA将证书颁发给Web服务器，然后用户Client与Web服务器进行TLS连接时，用户Client需要验证Web服务器的证书的合法性。

Description

基于区块链的公钥基础设施系统及半随机联合证书签名方法

技术领域

本发明属于计算机网络安全技术与密码学技术领域，具体涉及到一种基于区块链(Blockchain)的公钥基础设施(Public Key Infrastructure，PKI)系统及半随机联合证书签名方法。

背景技术

公钥基础设施(PKI)的本质是将非对称密钥管理标准化，及身份与公钥的映射关系。公钥密码的诞生，标志着密码学进入了一个新的时代，密码技术的应用从单纯的保密通信发展到了身份认证。简单来说，在现实生活中，每个人都有一张身份证，用于鉴别身份，买火车票、住酒店、办理银行业务都需要确定身份，而身份证的发行机关——派出所充当可信第三方，只有派出所颁发的身份证才会被接受，任何人和单位不得颁发、修改、撤销身份证。而在网络世界，如何确定一个用户的身份呢？网络世界的数字证书就充当了现实世界身份证的角色了。公钥密码是数字证书的基础，数据的发送者A利用自己的私钥对数据进行签名，将消息与签名一起发送给接收者B，接收者B收到之后，利用发送者A的公钥验证签名是否正确，若正确，则接收者B认为该证书是发送者A发送的。在小范围的网络里，可以靠人工识别公钥与身份的映射关系，可是在庞大的因特网里，又如何才能找到身份与公钥的对应关系呢？用户的身份又由谁来验证呢？这就是PKI要解决的问题了。

PKI包含引入证书授权中心(Certificate Authority，CA)、证书撤销列表(Certificate Revocation List，CRL)/在线证书状态协议(OCSP)以及轻量级目录访问协议(LDAP)等技术制定相应标准，有效的管理身份与公钥的映射关系，一般用户可以通过验证其连接的实体的数字证书是否合法，来判断该实体身份的合法性，有效的解决了网络中的身份认证问题。

然而，CA作为可信第三方，也有被黑客攻击的可能，倘若CA被攻击者操控，则可以为任何恶意的网站或用户颁发证书，用户无法通过验证CA签名来辨别这些恶意网站及用户的身份，导致用户遭受钓鱼网站欺骗等，使用户蒙受经济损失，个人隐私信息遭到泄露。因此这类问题是亟待解决的。

发明内容

为了解决上述技术问题，本发明提供了一种基于区块链的公钥基础设施系统及半随机联合证书签名方法。

本发明的系统所采用的技术方案是：一种基于区块链的公钥基础设施系统，其特征在于：由用户Client、Web服务器和若干证书授权中心CA组成；若干证书授权中心CA组成CA联盟，所述Web服务器向若干证书授权中心CA申请证书，若干证书授权中心CA联合签名后，将证书存储在区块链中，存储完成之后，证书授权中心CA将证书颁发给Web服务器，然后用户Client与Web服务器进行TLS连接时，用户需要验证Web服务器的证书的合法性。

本发明的方法所采用的技术方案是：一种半随机联合证书签名方法，应用于基于区块链的公钥基础设施系统中；其特征在于，包括以下步骤：

步骤1：证书注册；

步骤2：证书撤销；

步骤3：证书更新；

步骤4：证书验证。

本发明提出了一种基于区块链的公钥基础设施(Public Key Infrastructure,PKI)系统，将传统PKI系统中的单个独立的中心CA扩展到CA联盟，打破了以单个CA为信任中心的机制，由多个CA协同进行证书管理。另外，由于区块链的分布式存储以及防篡改的特性，保证了签发的证书不被篡改和伪造。再者，以CA联盟为核心的成员结构，打破了传统的以根CA为核心分层结构，使得CA之间的平等竞争关系。

本发明提出了半随机联合证书签名方法，避免CA作为中心被攻击造成的证书滥用的情况，本发明采用了在系统中选择少量的CA进行联合签名，依然能够保证系统安全性。从理论上来考虑，参与联合签名的成员越多，系统越安全。然而从实际来考虑，证书签名的颁发直接与CA的经济利益挂钩，CA之间是一种竞争关系，并不适合与多数CA联合签名。另一方面，联合签名的验证需要联合公钥，这个对于用户来说，如果用户浏览器存有CA联盟的所有成员公钥，那么合成联合公钥的挑战并不大，但是当新加入联盟的CA的公钥并未被添加到用户浏览器可信CA列表时，用户就需要去验证CA的身份与公钥是否一致。特别是联合签名中，多个CA为新加入的成员，用户的计算通信开销就会比较大。本发明提出的半随机的联合证书签名方案中，参与签名的CA一个是由Web服务器指定，另一个由系统随机选择。Web服务器指定CA的优势在于，Web服务器可以选择可信且地理位置相对较近的CA，这个CA既可以是CA联盟中的成员，也可以非联盟成员。为了避免恶意的Web服务器成功攻击CA后与之合谋，参与联合签名的另个CA为系统随机选择。当CA联盟成员数量较多时，本发明适当扩大参与联合签名成员的数量，可以实现快速检测系统中被攻击的CA。

附图说明

图1为本发明实施例的系统框架图；

图2为本发明实施例的Merkle Hash树结构

图3为本发明实施例的区块与区块头结构图；

图4为本发明实施例的区块数据存储。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

本发明旨在解决三个问题：1.PKI系统中多级CA的去中心化；2.PKI系统中CA的单点失效；3.证书防篡改、易于管理。这三类问题造成的影响分别是：1.上层CA被攻击，容易造成下层CA被控制；2.CA单点失效，造成恶意证书泛滥的问题；3.证书被篡改伪造，无法保证用户与Web服务器的安全链接。本发明涉及的技术包括密码学随机选择算法，多重签名算法，区块链(blockchain)技术，提高PKI系统的安全性。

本发明包含的实体主要有3类：用户(Client)、Web服务器、证书授权中心(CA)，系统框架如图1所示，Web服务器向2个CA申请证书，2个CA联合签名后，将证书存储在区块链中，存储完成之后，CA将证书颁发给Web服务器，然后用户(Client)与Web服务器进行TLS连接时，用户需要验证Web服务器的证书的合法性。

1.证书注册流程：

①证书申请：Web服务器生成公私钥对(pk，sk)，将公钥pk与身份id进行绑定成证书提交给两个CA进行签名。其中，CA₁由Web服务器指定，CA_i为系统随机选择算法在CA联盟中选定；

②证书签名：CA₁、CA_i各自运行联合签名算法，分别计算子签名、，然后将子签名发送给对方，双方分别根据联合签名子签名验证算法验证对方的子签名，若签名无效，则将错误广播到CA联盟中；若无误，CA_i合成联合签名σ并计算联合签名证书的hash值；

③证书存储：CAi将签名证书的hash值广播发送给矿工，矿工挖出区块后将其存放于区块中，所有的证书均是以Merkle Hash树的数据结构存放，Merkle Hash树的格式如图2所示；

④证书颁发：当下一个区块生成之后，即当前区块被确认，CA_i将证书及其所在区块链的高度值h发送给Web服务器；

当用户Client与Web服务器进行安全连接的时候，Web服务器提供签名证书及高度值h，用户可以通过高度值h找到该证书所在区块，然后验证证书的合法性，若合法，则可以进行安全连接，否则弹出“非安全连接”警告。

2.证书撤销流程：

①撤销申请：当Web服务器需要撤销证书时，可依照传统PKI系统处理方式，由Web服务器向CA_i提交证书撤销申请，CA_i验证该证书的联合签名σ以及Web服务器身份，若无误，将该证广播到CA联盟中。

②证书撤销列表(CRL)生成：当区块生成，矿工将当前区块生成时间段内收到的撤销申请的证书存放于区块中，并删除已经存在于CRL列表但已经过期的证书，建立最新的证书撤销列表，仍然是以Merkle Hash树的结构数据记录当前撤销证书。

值得注意的是，虽然证书撤销操作与证书申请操作类似，但是证书验证时需要知道该证书hash值所在的区块高度值，而检验证书是否被撤销时，只需要找当前最新的区块验证即可，因为当前区块保存了最新的证书撤销列表，并且使以区块生成时间为周期更新撤销列表。

3.证书更新流程：

Web服务器在当前证书即将过期或者私钥泄露的时候会向CA申请证书更新服务，在本发明中，证书的更新过程与证书注册过程基本一致，Web服务器向两个CA申请新证书即可。当Web服务器与用户Client建立TLS安全连接时，Web服务器将当前最新证书及其所在区块链高度值h发送给用户。旧证书的hash值永久保存与区块链中，它们可以为CA审查Web服务器身份时提供参考。

4.证书验证流程

用户Client需要验证证书时，有三个步骤：

①证书联合签名签证：先合成联合公钥，根据联合签名验证算法验证签名是否合法，若合法则进行第二步操作，否则直接向CA联盟举报证书不合法。

②证书存在性验证：根据该证书hash值所在区块高度值，查找到对应区块，根据Merklehash树特性，可快速查询该证书是否存在于区块链中，若存在，则验证通过，则进行第三步验证，否则向CA联盟举报证书不存在。

③证书撤销验证：查找当前最新区块，验证证书是否存在于证书撤销列表中，若存在，则说明该证书被撤销，中止TLS连接，若不存在，则说明证书可使用，可以进行TLS安全连接。

本发明的方法主要步骤包含四类，分别是证书注册、撤销、更新与验证，由于证书的更新与注册过程几乎一致，证书的撤销需要操作证书撤销列表(CRL)，其它操作也与注册类似，因此本发明详细描述了证书注册的具体实施过程，以及证书撤销列表(CRL)操作过程。本发明的具体实施主要包含以下几个过程：1.系统随机选择CA；2.2个CA为Web服务器提交的证书进行签名；3.区块的产生以及矿工之间的激励机制；4.区块数据存储。

1.系统随机选择CA

为了防止CA的单点失效而导致恶意证书泛滥，本发明采用多个CA联合签名机制为证书进行签名。由于在现实过程中，多个CA并非利益合作关系，而是竞争关系，因此多个CA中若有部分CA消极工作，将会成为整个系统的瓶颈。另外，由于联合证书的验证需要联合公钥，联合公钥是由证书联合签名涉及到的所有CA的公钥生成，因此，用户在验证联合签名时，需要花费一定的计算开销合成联合公钥，甚至需要验证个别CA的身份，这对用户特别是移动设备用户来说，操作代价比较大。

因此本发明考虑减少联合签名CA的数量的同时又不失安全性，解决方案是CA由系统随机选择，那么即使某个CA被恶意攻击者控制，但是系统不一定能随机选择到，即使选择到恶意CA了，在处理Web服务器提交的证书注册申请过程中，合法的CA在合成联合签名的时候会探测到恶意CA的行为。另外，考虑到实际过程中，如果指定给Web服务器签名的CA过于遥远，不便于注册资料的提交，因此本发明采用“指定+随机”相结合的方式选定进行联合签名的2个CA。

具体实施过程如下，当Web服务器提交证书注册申请的时候，在X.509证书扩展域内指定可信CA作为联合签名的成员(该CA可以是CA联盟成员，也可以在联盟之外)，另外一个CA由系统随机选择，随机算法部署于CA联盟中的所有成员。当Web提交证书请求时，CA联盟随机算法被触发，算法输出一个CA，与Web服务器制定的CA进行联合签名。这样，既能解决CA单点失效的问题，提高安全性，也符合实际，便于Web服务器的操作。CA之间的竞争关系可以通过区块链的激励机制转变为积极的合作关系。

随机选择算法设计思路如下，Web服务器将证书请求消息广播到CA联盟中，各成员计算证书请求消息的hash值以及自身id的hash值，取两个hash值的差值的绝对值，绝对值最小的CA即被选定。当有多个CA差值一致时，对证书请求消息的hash值再进行一次hash，直到最终确定一个CA即可。

2.2个CA为Web服务器提交的证书进行签名

这个步骤主要负责给Web服务器提交的证书进行联合签名，其目的是为了避免CA的单点失效造成的影响。

联合签名方案使基于BLS签名扩展而来，BLS签名方案由三个算法组成：密钥生成算法KeyGen(λ)->(x，g^x)，签名算法：Sign(x，m)->σ，验证算法Verify(σ，m，g^x)->b，b∈(0，1)，当b＝1时验证通过，否则未通过。签名算法的操作为σ＝H(m)^x，H(m)为消息m的hash函数。

联合签名方案设计如下：

设群G为p(p为素数)阶乘法循环群，为模p加法群，其生成元为g，H()为hash函数，m为需要签名的证书消息，λ为安全参数。

1密钥生成算法keyGen(λ)：各成员选择随机数生成公私钥对

2子签名生成算法PSign(，):参与签名的CA分别计算自签名

3联合签名生成算法CoSign(，…，)：联合签名σ＝∏；

4联合签名验证算法Verify(，…，，，σ):先合成联合公钥再根据BLS签名验证算法对联合签名进行验证，验证通过时输出1，否则输出0。

具体实施过程如下，当2个CA(一个由Web服务器指定CA₁，另一个由系统随机选择CA_i)接收到证书申请的时候，利用BLS联合签名算法分别为该证书计算子签名，，然后分别将子签名发给对方，此时双方可以验证对方签名是否合法，当CA_i发现签名无误时，通过签名合成算法生成联合签名σ并计算相应的hash值，然后将其广播到CA联盟(CA充当区块链中的矿工)，当某个CA即矿工生成区块之后，将该hash值存在区块里，当下一个区块生成即当前区块被确认，CA_i将签名证书即证书hash所在区块高度值h发送给Web服务器。

3.区块链及相关操作

由于引入了区块链技术，必不可少的需要矿工产生区块，以及共识协议。在本发明中，CA联盟中的CA充当矿工，共同维护一个联盟链。由于工作量证明(Proof Of Work，POW)共识协议需要耗费极大的计算代价，对于CA来说，造成极大资源浪费，本发明采用权益证明(Proof Of State，POS)，不仅可以避免计算资源的浪费，也符合联盟链的要求。

在这个过程中，CA联盟中的每一个CA充当矿工，以信誉值奖励作为激励机制。信誉值的意义在于，CA签发证书的数量直接与其经济利益挂钩，而信誉值作为Web服务器指定CA时的一个重要的参考依据，换句话说，当CA的信誉值越高，Web服务器指定该CA为其签名的概率就越大，这样CA获得的经济利益也越高。

值得注意的是，被系统随机选择签名的CA与挖矿成功的CA并不是同一个CA，因为，在一段时间内，产生区块的矿工CA只有一个，而签名证书的数量却有多个，即参与签名CA有多个，这样是为了保证每次给证书签名的2个CA中一定有一个是随机的。

区块链技术的引入，保证了证书的不可篡改，省略了证书专用存储服务器及相应的监督审计服务器，打破了CA之间的层次关系，去除了CA之间的中心，使得CA之间形成一种相互合作，又相互监督的关系，允许系统中少部分CA被攻击，不影响合法签名证书的生成。

4.区块数据存储

在本发明中，区块链保证了两类证书的不可篡改，一类是合法证书列表，第二类证书是撤销证书列表。两类证书均是以Merklehash树的数据结构存储，如图4所示。二者的区别在于，签名证书存在于该证书提交到矿工的时间段内产生的区块中，合法证书的验证需要依据该证书hash值所在区块的高度值，找到相应的区块即可验证。而验证证书是否被撤销，只需要找当前最新区块，因为，每一次区块的生成，就意味着证书撤销列表(CRL)被更新一次，去掉已经过期的撤销证书，添加新的被撤销的证书，重新构建Merklehash树。因此，区块链中同步保存了两个Merkleroot hash。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims

1.一种基于区块链的公钥基础设施系统，其特征在于：由用户Client、Web服务器和若干证书授权中心CA组成；若干证书授权中心CA组成CA联盟，所述Web服务器向若干证书授权中心CA申请证书，若干证书授权中心CA联合签名后，将证书存储在区块链中，存储完成之后，证书授权中心CA将证书颁发给Web服务器，然后用户Client与Web服务器进行TLS连接时，用户需要验证Web服务器的证书的合法性。

2.一种半随机联合证书签名方法，应用于基于区块链的公钥基础设施系统中；其特征在于，包括以下步骤：

步骤1：证书注册；

步骤2：证书撤销；

步骤3：证书更新；

步骤4：证书验证。

3.根据权利要求2所述的半随机联合证书签名方法，其特征在于，步骤1的具体实现包括以下子步骤：

步骤1.1：证书申请；

Web服务器生成公私钥对(pk，sk)，将公钥pk与身份id进行绑定成证书提交给所有证书授权中心CA进行签名；其中，CA₁由Web服务器指定，CA_i为系统随机选择算法在CA联盟中选定；

步骤1.2：证书签名；

CA₁、CA_i各自运行联合签名算法，分别计算子签名σ₁、σ_i，然后将子签名发送给对方，双方分别根据联合签名子签名验证算法验证对方的子签名，若签名无效，则将错误广播到CA联盟中；若无误，CA_i合成联合签名σ并计算联合签名证书的hash值；

步骤1.3：证书存储；

CA_i将签名证书的hash值广播发送给矿工，矿工挖出区块后将其存放于区块中，所有的证书均是以Merkle Hash树的数据结构存放；

步骤1.4：证书颁发；

当下一个区块生成之后，即当前区块被确认，CA_i将签名证书及该证书hash值所在区块链的高度值h发送给Web服务器。

4.根据权利要求2所述的半随机联合证书签名方法，其特征在于，步骤2的具体实现包括以下子步骤：

步骤2.1：撤销申请；

当Web服务器需要撤销证书时，由Web服务器向CA_i提交证书撤销申请，CA_i验证该证书的联合签名σ以及Web服务器身份，若无误，将该证广播到CA联盟中；

步骤2.2：生成证书撤销列表CRL；

当区块生成，矿工将当前区块生成时间段内收到的撤销申请的证书存于区块中，并删除已经存在于证书撤销列表CRL但已经过期的证书，建立最新的证书撤销列表，仍然以Merkle Hash树的数据结构记录当前撤销证书。

5.根据权利要求2所述的半随机联合证书签名方法，其特征在于，步骤3的具体实现过程与证书注册过程一致，Web服务器向证书授权中心CA申请新证书即可。

6.根据权利要求2-5任意一项所述的半随机联合证书签名方法，其特征在于：用户Client验证证书，包括以下步骤：

步骤4.1：证书联合签名签证；

先合成联合公钥，根据联合签名验证算法验证签名是否合法，若合法则进行步骤4.2操作，否则直接向CA联盟举报证书不合法；

步骤4.2：证书存在性验证；

根据该证书hash值所在区块高度值，查找到对应区块，根据Merklehash树特性，可快速查询该证书是否存在于区块链中，若存在，则验证通过，则进行步骤4.3验证，否则向CA联盟举报证书不存在；

步骤4.3：证书撤销验证；

查找当前最新区块，验证证书是否存在于证书撤销列表中，若存在，则说明该证书被撤销，中止TLS连接，若不存在，则说明证书可使用，可以进行TLS安全连接。

7.根据权利要求3所述的半随机联合证书签名方法，其特征在于，步骤1.2中合成联合签名的具体实现过程是：

设群G为p阶乘法循环群，p为素数，为模p加法群，其生成元为g，H()为hash函数，m为需要签名的证书消息，λ为安全参数；

①密钥生成算法keyGen(λ)：各成员选择随机数生成公私钥对

②子签名生成算法PSign(x_i，m)：参与签名的证书授权中心CA分别计算自签名

③联合签名生成算法CoSign(σ₁，…，σ_i)：联合签名σ＝∏_iσ_i。

8.根据权利要求7所述的半随机联合证书签名方法，其特征在于，步骤4.1中所述联合签名验证算法Verify(X₁，…，X_i，m，σ)：先合成联合公钥再根据BLS签名验证算法对联合签名进行验证，验证通过时输出1，否则输出0。