CN116506118A - 一种pki证书透明化服务中身份隐私性保护方法 - Google Patents

一种pki证书透明化服务中身份隐私性保护方法 Download PDF

Info

Publication number
CN116506118A
CN116506118A CN202310567496.XA CN202310567496A CN116506118A CN 116506118 A CN116506118 A CN 116506118A CN 202310567496 A CN202310567496 A CN 202310567496A CN 116506118 A CN116506118 A CN 116506118A
Authority
CN
China
Prior art keywords
domain name
certificate
editing
owner
monitor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310567496.XA
Other languages
English (en)
Inventor
李冰雨
林璟锵
孙傲卓
张志金童
李灵慧
伍前红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beihang University
Original Assignee
Beihang University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beihang University filed Critical Beihang University
Priority to CN202310567496.XA priority Critical patent/CN116506118A/zh
Publication of CN116506118A publication Critical patent/CN116506118A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/72Signcrypting, i.e. digital signing and encrypting simultaneously

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开一种PKI证书透明化服务中身份隐私性保护方法,涉及信息安全领域,该方法包括:服务提供方根据域名所有者的域名信息生成陷门并发送到域名所有者;域名所有者基于域名信息验证服务提供方生成的陷门的正确性;若正确则域名所有者向证书认证机构发送编辑证书生成请求;证书认证机构根据域名信息生成编辑证书并将其提交到日志服务器;日志服务器为编辑证书生成签名证书时间戳,将其发送到证书认证机构;证书认证机构将签名证书时间戳与编辑证书发送到域名所有者;监视器从日志服务器中检索与域名所有者相关的编辑证书,协助掌握陷门的域名所有者对检索到的编辑证书进行审计。本发明在保障证书透明化服务有效性的同时,提升域名隐私性。

Description

一种PKI证书透明化服务中身份隐私性保护方法
技术领域
本发明涉及信息安全技术领域,特别是涉及一种PKI证书透明化服务中身份隐私性保护方法。
背景技术
公钥基础设施(Public Key Infrastructure,PKI)是一种基于公钥密码学算法的安全基础设施服务。基于数字证书的PKI系统为互联网中的任意实体之间安全通信提供身份认证,支撑加密传输以及数据完整性验证等服务。在PKI体系中,证书认证机构(Certification Authority,CA)作为信任锚,负责为网络实体签发数字证书(简称证书),用于绑定实体的身份与公钥信息。客户端在与网站服务器建立链接时,通过预置的CA证书信任列表验证对方证书完成身份确认,进而完成密钥协商、加密传输等步骤。因此,在PKI体系中,通常假设CA机构是完全可信,并在此基础上,基于CA签发证书实现网络中不同实体间的信任建立与传递。
然而,近年来的一些安全事件表明,CA机构可能因为操作不当或遭受攻击而签发虚假证书。攻击者利用虚假证书,将持有公钥与不属于自己的身份信息标识绑定,进而发起中间人或假冒攻击。传统PKI体系缺乏对CA机构执行监管与发现虚假证书的能力,客户端即使严格执行证书检查与验证,也无法识别虚假证书。虚假证书的出现在很大程度上削弱了PKI体系提供的信任。
为解决上述问题,证书透明化(Certificate Transparency,CT)方案被提出,用于及时发现虚假证书,提高对CA问责的能力。相比于传统PKI系统,CT引入了仅可添加、不可篡改的日志服务器(Log Server),用于公开记录CA签发的每一个证书,同时为证书生成一个签名证书时间戳(Signed Certificate Timestamp,SCT)用于承诺将在规定时间内将其发布到日志服务器中,以供加入CT生态系统的浏览器验证证书是否已被日志公开记录、可被审计。此外,CT还引入了监视器(Monitor)这一核心组件,用于任意实体对日志中记录的证书信息进行检索、监视,进而发现可疑证书。任何域名所有者或公共第三方都可以充当监视器,实现证书检索或监视服务。
在PKI体系中引入CT机制能够有效解决虚假证书带来的问题,但是同时也不可避免地引入了一些隐私泄露问题。一方面,证书中的域名信息可能会泄露企业内部网络结构、合作关系及未发布产品信息等。例如,2017年10月,甲公司申请的一个包含“samsungtv”子域名的“dst.tv”证书被记录到日志服务器中,而这一相关应用直到8个月后才在甲公司设备中上线。另一方面,一些服务提供商,例如,云托管服务商、网站建站服务商和同态DNS提供商等,需要为自己的用户申请独立的私有子域名证书,这些用户通过此类服务商搭建自己的私有服务平台用于个人或内部组织使用。提供商为这些子域名所申请的证书中可能包含用户的私有域名、相关号码、邮箱地址等敏感信息,而这些证书记录到日志服务器上会直接导致用户的隐私泄露。例如,存在一个博客服务提供商,该提供商所持有的域名为blog.com,用户的个人主页域名为secret.blog.com,其中secret字段包含用户的敏感信息需要加密保护。
针对上述隐私问题,现有的CT增强技术方案主要实现思路是将证书中域名信息需要隐藏的部分以加密或杂凑的方式进行转换,此类证书通常称之为“编辑证书”。现有的基于编辑证书实现隐私保护的方案可以分为两类。
一类方案通过对域名做可重复的单向变换(例如,做杂凑函数操作),将证书中需要隐藏的域名信息替换为其变换后的结果。例如,用Hash(secret).example.com代替secret.example.com,其中Hash(secret)表示secret的哈希值。掌握域名信息的实体可以通过做同样的单向变换之后对比日志服务器中检索到的编辑证书集合,确定与其期望查找的域名相关的证书。该类方案保留了CT方案引入的透明性,即域名所有者能够通过CT日志服务器实现对与其域名相关的所有证书的审计与监视。然而,因为域名通常具有确定的语义,且单向变换的输入中除了域名之外,通常不包含其他的秘密信息,所以这种方案容易受到字典攻击以及彩虹表攻击。
另一类方案则直接利用某个不包含任何信息的标识(例如,“?”或“*”符号)替换域名中的隐私信息,或者在单向变换中引入秘密信息。例如,用?.example.com或COMMIT(secret,r).example.com代替secret.example.com,其中,COMMIT(secret,r)表示一个对secret的密码学承诺。这导致即使已知域名也无法判断该域名与证书的绑定关系。因此这类方案能够抵御字典攻击,但也丧失了一定的透明性,也就是说域名所有者无法准确地识别出日志中记录的所有与其域名相关的证书,而这与CT的最初设计目标是矛盾的。这类方案适用于,域名所有者是某个机构,而隐藏的信息是其子机构的场景。例如上述甲公司的例子,可当所要隐藏的信息本身是一个独立实体的身份信息时,例如上面的博客系统。这种方案不再适用。
综上所述,现有隐私增强方案未能有效兼顾域名隐私性与证书透明化需求。
发明内容
本发明的目的是提供一种PKI证书透明化服务中身份隐私性保护方法,在提升域名隐私性的同时,提升现有PKI证书透明化服务的有效性。
为实现上述目的,本发明提供了如下方案:
一种PKI证书透明化服务中身份隐私性保护方法,包括:
服务提供方根据域名所有者的域名信息生成陷门并发送到所述域名所有者;
所述域名所有者基于域名信息验证所述服务提供方生成的陷门的正确性;若所述域名所有者验证陷门正确,则所述域名所有者向证书认证机构发送编辑证书生成请求;
所述证书认证机构接收到所述域名所有者发送的编辑证书生成请求后,根据所述域名所有者的域名信息生成编辑域名,并根据所述编辑域名生成编辑证书,将所述编辑证书发送到日志服务器;
所述日志服务器为所述编辑证书生成一个签名证书时间戳,将所述签名证书时间戳发送到所述证书认证机构;
所述证书认证机构将所述签名证书时间戳与所述编辑证书发送到所述域名所有者;
当所述域名所有者验证所述签名证书时间戳与所述编辑证书正确后,为所述编辑证书生成域名绑定承诺,TLS客户端向所述域名所有者发起域名的连接请求;所述域名绑定承诺是根据所述域名信息生成的;
所述域名所有者接收到所述连接请求后,将域名绑定承诺、所述签名证书时间戳和所述编辑证书发送到所述TLS客户端;
所述TLS客户端根据接收到的所述域名绑定承诺、所述签名证书时间戳和所述编辑证书,验证所述编辑证书和所述连接请求对应的域名是否匹配,若匹配则所述TLS客户端与所述域名所有者继续通信,否则所述TLS客户端与所述域名所有者中止连接;
监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计;所述域名所有者的域名相关的编辑证书为属于同一个父域名的编辑证书。
可选地,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为所述域名所有者时,所述域名所有者根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书;
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书;
所述域名所有者对检索到的编辑证书进行审计。
可选地,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为未获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名;
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书,将检索到的子域名编辑证书反馈给所述域名所有者;
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书;
所述域名所有者对检索到的编辑证书进行审计。
可选地,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名和所述域名所有者的陷门;
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书;
所述监视器根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书,将检索到的编辑证书反馈给所述域名所有者;
所述域名所有者对检索到的编辑证书进行审计。
可选地,监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书,具体包括:
监视器按照设定周期根据所述服务提供方提供的父域名从所述日志服务器中检索当前设定周期内新增的与所述父域名对应的子域名编辑证书。
可选地,服务提供方根据域名所有者的域名信息生成陷门并发送到所述域名所有者,具体包括:
所述服务提供方根据Trapdoor=H1(id)α生成陷门,其中,Trapdoor表示陷门,id表示域名信息,H1()表示第一种哈希函数,α表示服务提供方的私钥。
可选地,所述域名所有者基于域名信息验证所述服务提供方生成的陷门的正确性,具体包括:
所述域名所有者验证等式是否成立,若成立,则所述域名所有者验证陷门正确;
其中,H1()表示第一种哈希函数,H2()表示第二种哈希函数,Trapdoor表示陷门,id表示域名信息,是定义为的双线性映射,其中/>和/>均是q阶群,g是群的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数。
可选地,所述证书认证机构接收到所述域名所有者发送的编辑证书生成请求后,根据所述域名所有者的域名信息生成编辑域名,并根据所述编辑域名生成编辑证书,将所述编辑证书发送到日志服务器,具体包括:
所述域名所有者向所述证书认证机构发送编辑证书生成请求,同时将所述域名信息和随机数发送到所述证书认证机构;其中,随机数为当前生成的随机数;
所述证书认证机构接收到所述编辑证书生成请求后,验证所述域名信息是否有效,若有效则根据所述随机数和所述域名信息生成编辑域名;
所述证书认证机构根据所述编辑域名生成编辑证书,将所述编辑证书发送到所述日志服务器。
可选地,所述编辑域名的生成公式表示为:
其中,R(id)表示所述编辑域名,R1表示第一中间参数,R2表示第二中间参数,r表示随机数,id表示域名信息,H1()表示第一种哈希函数,H2()表示第二种哈希函数,是定义为/>的双线性映射,/>和/>均是q阶群,g是群/>的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数。
可选地,所述TLS客户端根据接收到的所述域名绑定承诺、所述签名证书时间戳和所述编辑证书,验证所述编辑证书和所述连接请求对应的域名是否匹配,若匹配则所述TLS客户端与所述域名所有者继续通信,否则所述TLS客户端与所述域名所有者中止连接,具体包括:
验证等式与等式/> 是否同时成立,若同时成立则所述编辑证书和所述连接请求对应的域名匹配,若不同时成立则所述编辑证书和所述连接请求对应的域名不匹配;
其中,H1()表示第一种哈希函数,H2()表示第二种哈希函数,Aux表示所述域名绑定承诺,id表示域名信息,R1表示第一中间参数,R2表示第二中间参数,是定义为/>的双线性映射,/>和/>均是q阶群,g是群/>的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数;
Aux=H1(id)r,r表示随机数。
根据本发明提供的具体实施例,本发明公开了以下技术效果:
本发明基于公钥可搜索加密技术设计,实现了证书中的域名在密文状态下,通过一个陷门(Trapdoor)进行搜索,域名所有者能够持有陷门及通过将陷门信息共享给可信实体对其授权,从而实现被加密的域名仅对持有陷门的实体是可搜索的,在提升域名隐私性的同时,提升现有PKI证书透明化服务的有效性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种PKI证书透明化服务中身份隐私性保护方法流程示意图;
图2为本发明实施例提供的各方之间信息交互的关系图;
图3为本发明实施例提供的陷门生成阶段交互细节示意图;
图4为本发明实施例提供的编辑证书生成阶段交互细节示意图;
图5为本发明实施例提供的证书验证阶段交互细节示意图;
图6为本发明实施例提供的证书监视/检索阶段(强隐私性)交互细节示意图;
图7为本发明实施例提供的证书监视/检索阶段(弱隐私性)交互细节示意图;
图8为本发明实施例提供的编辑证书的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的目的是提供一种PKI证书透明化服务中身份隐私性保护方法,在提升域名隐私性的同时,提升现有PKI证书透明化服务的有效性。
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
本发明提供一种PKI证书透明化服务中身份隐私性保护方法为在CT生态系统中实现身份隐私保护服务的方法。本发明在保护证书域名隐私的同时,确保证书在CT系统中能够被透明化审计,即掌握相应陷门信息的实体(例如,域名所有者(Domain Owner,DO)、域名所有者授权的相关实体)可以高效精确地检索到CT日志服务器中与其域名绑定的相关证书,而这些证书对于其他实体则是完全不可识别的。
本发明首先将证书的域名进行加密以实现隐私保护,而被加密的域名对特定实体(例如,域名所有者、域名所有者授权的相关实体)是可识别/搜索的。具体的,本发明基于公钥可搜索加密技术设计,实现了证书中的域名在密文状态下,可通过一个陷门(Trapdoor)进行搜索。理想状态下仅有DO能够持有陷门及通过将陷门信息共享给可信实体对其授权,从而实现被加密的域名仅对持有陷门的实体是可搜索的。因此,本发明充分考虑了陷门的私有性,保证在证书生成、验证、搜索等阶段,DO都无需提供陷门隐私。
本发明中包含五方参与者:DO、服务提供方(Server Provider,SP)、CA、安全传输层协议(TLS)客户端、CT Monitor(监视器)。DO即需要隐藏隐私域名信息的实体,该实体接受由SP(例如,云服务厂商)提供的相关网络服务,并向CA申请证书,用于向TLS客户证明身份,进一步基于CT Monitor帮助发现与其域名相关的可疑证书,各方之间信息交互如图2所示。
为进一步对本发明中技术方案的安全性质进行说明,首先给出如下安全假设:(1)DO和TLS客户端是可信的,DO严格监视和检查虚假证书,TLS客户端严格执行证书验证;(2)SP和CA是恶意或受到攻击,试图去假冒DO,但不会主动泄露DO的隐私;(3)为了实现更加细粒度的操作,对CT Monitor做如下两种安全假设。一种假设是考虑Monitor是半诚实的,其严格执行证书监视和检索协议,但试图获取DO的隐私信息;另一种假设是考虑Monitor是诚实的,其严格执行协议且不会主动收集DO的隐私信息。针对Monitor的两种不同假设,本发明方案可以实现不同程度的隐私性,并将其区分为“强隐私性”与“弱隐私性”。
域名隐私保护是本发明所要实现的一个主要安全目标,因此对隐私保护的范围做如下说明:DO实体在SP处注册,并接受SP提供的服务,DO身份信息对SP来说是已知的,因此无需考虑针对SP来保护DO隐私。在本发明中由SP为DO生成陷门,这种做法没有造成额外的隐私泄露。
本发明除TLS证书场景外,还可以应用于,证书包含隐私信息且存在透明化审计需求的其他PKI应用场景(例如,电子认证、邮箱证书、代码签名等),以实现在保证证书隐私信息不泄露的情况下,完成透明化审计。
本发明的技术方案包括如下五个阶段:
第一阶段是初始化阶段,SP基于双线性映射生成可搜索加密的相关参数,其中私钥为SP的私有参数,其余参数为公共参数,接下来四个阶段的运算都是基于该参数完成的。同时,SP申请证书时,将请求CA将公共参数以X.509扩展的形式嵌入到其证书当中,此类证书被称为“参数证书”,各参与方通过参数证书来安全可信地传递公共参数。随后,SP或为SP签发参数证书的CA将参数证书提交给日志服务器。
第二阶段是陷门生成阶段,DO向SP发起生成陷门请求,SP根据DO所要隐藏的域名信息,使用自己的私钥为其生成陷门。DO可以根据公共参数验证所生成的陷门的正确性,确保SP不能提供错误的Trapdoor致使DO无法搜索与其相关的证书,验证通过后执行后续步骤。
第三阶段是证书生成阶段,DO向CA发送域名、一个随机数、参数证书以发起申请证书请求。CA验证DO身份以及参数证书的有效性(包括签名、有效时间、SCT等信息)后,根据所提供的随机数和公共参数加密域名中需要被隐私保护的部分,生成编辑证书。然后,CA将编辑证书提交给日志服务器,收到反馈的SCT后将其与证书以内嵌或非内嵌的形式一起发送给DO。由于随机数和公共参数都是DO已知的,DO可以重复CA编辑域名的过程以验证编辑证书的正确性,确保编辑证书严格遵守协议生成,验证通过后执行后续步骤。
第四阶段是证书验证阶段,当DO与TLS客户端建立通信链接,DO将编辑证书和参数证书发送给客户端以证明自己的身份,而TLS客户端需要验证编辑证书与DO的域名的绑定关系、以及编辑证书的可搜索性,即通过相应的陷门可以识别编辑证书所对应的实际域名。因为证书中隐去了域名明文信息,所以TLS客户端无法直接根据域名验证证书的正确性;此外考虑到陷门的私有性,不能要求TLS客户端通过获取陷门来验证证书的可搜索性。因此,本发明设计一个DO发送的“验证域名绑定承诺”给TLS客户端,域名绑定承诺由DO利用其发送给CA的随机数及自己的私有域名生成,该验证域名绑定承诺能够证明编辑证书与域名的绑定关系、以及编辑证书对其绑定的域名的DO是可搜索的,并且不会泄露有关陷门的任何信息,不掌握域名信息的实体无法仅根据域名绑定承诺获得任何与域名绑定关系相关的信息。
第五阶段是证书监视/检索阶段,DO利用所持有的陷门在日志中搜索与其域名绑定的证书。当存在第三方Monitor时,DO可以将证书搜索的任务委托给第三方Monitor完成。根据第三方Monitor的受信任程度,委托的执行情况可以做如下区分。如果DO不信任第三方Monitor,则DO仅提供SP的信息给Monitor,即DO未向该Monitor授权,Monitor仅从日志服务器中检索与所述父域名对应的子域名编辑证书,将检索到的子域名编辑证书反馈给域名所有者;域名所有者根据陷门从子域名编辑证书中检索与其域名绑定的编辑证书。如果DO完全信任第三方Monitor,DO可以将陷门也委托给第三方Monitor,即DO向该Monitor授权,Monitor根据陷门从日志服务器中检索与域名所有者的域名绑定的编辑证书。此外,第三方Monitor存在两种工作模式,第一种工作模式中DO主动向Monitor发起查询请求,Monitor搜索日志将所有相关证书发送给DO;第二种工作模式中DO订阅Monitor的服务,Monitor定期搜索日志,仅向DO发送相较于前一次搜索结果新增的相关证书。
本发明中涉及的两种密码学工具定义如下:
1)双线性映射:令与/>是两个q阶群(q是一个大素数),定义双线性映射为此映射包含3点性质:(i)双线性性:/> (ii)非退化性:/>不会将/>中所有的点对映射到/>的单位元,如果g1和g2分别是/>的生成元,则/>是/>的生成元;(iii)可计算性:对于任意的/>和/>映射/>是可计算的。
2)哈希函数:
本发明中利用上面两种密码学工具来实现编辑证书的隐私性及可搜索性。
本实例中涉及的所有符号信息的含义如下:
id:表示DO想要隐藏的身份信息。
server.com:表示SP提供的父域名信息。
id.server.com:表示DO的子域名。
Trapdoor:陷门。
q:一个大素数。
q阶群。
H1(m):第一种哈希函数,表示映射
H2(m):第二种哈希函数,表示映射
双线性映射。
pk:公钥。
sk:私钥。
模q的剩余类中所有与q互素的元素构成的集合。
R(id)=[R1,R2]:编辑域名,同时作为编辑证书的搜索索引。
Aux:DO生成的对编辑证书及其对应域名之间绑定关系的承诺。
本发明一种PKI证书透明化服务中身份隐私性保护方法,具体包括如下步骤:
第一、初始化阶段。
服务提供方生成私有参数和公共参数。
所述私有参数为所述服务提供方的私钥,所述公共参数包括循环群、生成元和公钥。
服务提供方选择参数:安全参数k,群 和/>的生成元g。生成公私钥对(pk,sk),其中pk=[g,h=gα],sk=α。
证书认证机构根据所述公共参数生成参数证书,并将所述参数证书发送到所述服务提供方和日志服务器,具体包括:
所述证书认证机构将所述公共参数以X.509扩展的形式嵌入到所述服务提供方证书当中,生成参数证书,并将所述参数证书发送到所述服务提供方和日志服务器。
第二、陷门生成阶段。
如图3所示,陷门生成阶段具体包括如下步骤。
步骤101:服务提供方根据域名所有者的域名信息生成陷门并发送到所述域名所有者。
域名信息为域名信息id。
其中,如图3所示,步骤101具体包括:
步骤1011:域名所有者向服务提供方发起陷门生成请求,并向服务提供方发送域名信息id。
步骤1012:所述服务提供方收到所述陷门生成请求后,利用所述私有参数SK和所述域名信息id生成陷门Trapdoor=GenTrap(SK,id),并将所述参数证书和生成的陷门通过安全信道发送到所述域名所有者。
作为具体实施方式,陷门的生成表示为Trapdoor=H1(id)α
步骤102:所述域名所有者基于域名信息验证所述服务提供方生成的陷门的正确性;若所述域名所有者验证陷门正确,则所述域名所有者向证书认证机构发送编辑证书生成请求。
其中,步骤102具体包括:
域名所有者接收到所述参数证书后,首先验证参数证书的有效性(包括验证参数证书的SCT、签名、有效时间等信息),验证通过后,利用从参数证书扩展中提取的SP的公钥pk以及自己的域名信息id验证陷门的正确性,若VerifyTrap(pk,id,Trapdoor)==True成立则验证通过,验证通过则执行后续步骤,否则中止。
其中,VerifyTrap(pk,id,Trapdoor)==True具体为
作为具体实施方式,步骤102具体包括:域名所有者接收到所述参数证书后,首先验证参数证书的有效性(包括验证参数证书的SCT、签名、有效时间等信息),验证通过后,从参数证书扩展中提取公钥pk,验证等式是否成立,如果成立则验证通过,保存陷门继续执行后续过程,否则中止过程。
第三、证书生成阶段。
步骤103:所述证书认证机构接收到所述域名所有者发送的编辑证书生成请求后,根据所述域名所有者的域名信息生成编辑域名,并根据所述编辑域名生成编辑证书,将所述编辑证书发送到日志服务器。
其中,如图4所示,步骤103具体包括:
步骤1031:所述域名所有者向所述证书认证机构发送编辑证书生成请求,同时将所述域名信息id、随机数r和所述参数证书发送到所述证书认证机构。
其中,步骤1031具体包括:DO向CA发送编辑证书生成请求,同时通过安全信道将DO的域名信息与随机数r发送给CA,同时可以通过某个普通信道将参数证书发送给CA。
步骤1032:所述证书认证机构接收到所述编辑证书生成请求后,验证所述域名信息id和所述参数证书是否有效,若有效根据所述参数证书、所述随机数和所述域名信息id生成编辑域名。
其中,步骤1032具体包括:证书认证机构接收到所述编辑证书生成请求后,验证DO的身份及收到的参数证书是否有效,验证通过则基于参数证书扩展中的公钥PK、随机数r以及DO域名信息id生成相应的编辑域名R(id)=GenRedactedName(PK,r,id),否则程序中止。
作为具体实施方式,步骤1032具体包括:CA验证DO的身份是否正确以及参数证书是否有效(即SCT、签名、有效时间等信息是否有效),如果正确继续后续步骤,否则中止过程。
CA验证DO的身份与参数证书正确后,根据参数证书扩展中提取的公钥PK=[g,h],DO发送的随机数r以及DO想要隐藏的域名信息id,生成编辑域名
其中,R(id)表示所述编辑域名,R1表示第一中间参数,R2表示第二中间参数,r表示随机数,id表示域名信息,H1()表示第一种哈希函数,H2()表示第二种哈希函数,是定义为的双线性映射,/>和/>均是q阶群,g是群/>的生成元,h=gα,/>表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数。
步骤1033:所述证书认证机构根据所述编辑域名生成编辑证书,将所述编辑证书发送到所述日志服务器。
其中,步骤1033具体包括:证书认证机构将编辑域名嵌入到CA签发的编辑证书中生成编辑证书。
编辑证书的格式如图8所示。编辑证书包括数据、版本、颁发者、有效期、主体、主体公钥信息、X509v3扩展、签名算法和签名值。X509v3扩展包括X509v3主体可选名称、域名系统(Domain Name Syste,DNS)、编辑域名和其他扩展。
步骤104:所述日志服务器为所述编辑证书生成一个签名证书时间戳,将所述签名证书时间戳发送到所述证书认证机构。
步骤105:所述证书认证机构将所述签名证书时间戳与所述编辑证书发送到所述域名所有者。
其中,步骤105具体包括:证书认证机构将签名证书时间戳与编辑证书以内嵌或非内嵌的形式发送到域名所有者。
域名所有者验证签名证书时间戳(SCT)签名等信息是否正确,域名所有者重复执行编辑域名生成过程,验证编辑证书的签名以及嵌入的编辑域名是否正确。如果正确则继续执行后续步骤106,否则中止。
第四、证书验证阶段。
步骤106:当所述域名所有者验证所述签名证书时间戳与所述编辑证书正确后,为所述编辑证书生成域名绑定承诺,TLS客户端向所述域名所有者发起域名的连接请求;所述域名绑定承诺是根据所述域名信息生成的。
其中,如图5所示,步骤106具体包括:TLS客户端向DO服务器发起关于域名“id.server.com”的安全连接请求。
步骤107:所述域名所有者接收到所述连接请求后,将域名绑定承诺、所述签名证书时间戳和所述编辑证书发送到所述TLS客户端。
域名绑定承诺生成后在域名所有者本地进行存储,后续使用时直接读取。
其中,步骤107具体包括:域名所有者执行Aux=GenAux(r,id)=H1(id)r生成域名绑定承诺Aux,将编辑证书、SCT、域名绑定承诺连同参数证书一同发送给TLS客户端。
步骤108:所述TLS客户端根据接收到的所述域名绑定承诺、所述签名证书时间戳和所述编辑证书,验证所述编辑证书和所述连接请求对应的域名是否匹配,若匹配则所述TLS客户端与所述域名所有者继续通信,否则所述TLS客户端与所述域名所有者中止连接。
其中,步骤108具体包括:TLS客户端先后验证参数证书与编辑证书的签名、SCT、有效时间等信息是否有效。随后根据域名绑定承诺Aux验证编辑证书的正确性和可搜索性(VerifyCert(R(id),pk,id,Aux)==True),如果正确则继续建立安全链接,否则中止。
其中,VerifyCert(R(id),pk,id,Aux)==True具体为等式 与等式/>是否同时成立。
作为具体实施方式,步骤108具体包括:TLS客户端首先验证参数证书、编辑证书的SCT、签名、有效时间是否正确,如果正确则验证等式与等式/>是否同时成立。若两个等式同时成立,则证明编辑证书与域名相匹配,并且该域名的DO必定能够通过所持有的Trapdoor搜索到该证书,TLS客户端可以与DO继续通信。若验证失败,则TLS客户端中止连接。
步骤109:监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计。
监视器是执行从所述日志服务器中监视与检索可疑证书实体。
其中,步骤109具体包括三种情况:
第一种情况:当监视器为所述域名所有者时,所述域名所有者根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书。
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书。
所述域名所有者对检索到的编辑证书进行审计。
第二种情况:当监视器为未获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名。
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书,将检索到的子域名编辑证书反馈给所述域名所有者。
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书。
所述域名所有者对检索到的编辑证书进行审计。
第三种情况:当监视器为获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名和所述域名所有者的陷门。
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书。
所述监视器根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书,将检索到的编辑证书反馈给所述域名所有者。
所述域名所有者对检索到的编辑证书进行审计。
作为具体实施方式,当第二种情况和第三种情况时,域名所有者发起一次证书检索请求,监视器将根据所述服务提供方提供的父域名从所述日志服务器中检索所有与所述父域名对应的子域名编辑证书;或者域名所有者采用订阅模式,即监视器按照设定周期根据所述服务提供方提供的父域名从所述日志服务器中检索当前设定周期内新增的与所述父域名对应的子域名编辑证书。
第二种情况时,即当监视器未获得域名所有者授权时,即强隐私性服务时,具体包括:
所述域名所有者向所述监视器提交所述服务提供方的信息,查询或订阅SP的子域名编辑证书。
所述监视器接收到所述服务提供方的信息后,根据所述域名所有者的要求(查询或订阅),通过检查所述日志服务器,将符合要求的所述服务提供方的子域名编辑证书发送到所述域名所有者。
所述域名所有者根据所述参数证书和所述陷门判断所述子域名编辑证书与所述域名所有者的域名是否存在绑定关系,若存在绑定关系,则对所述子域名编辑证书进行审计。
审计是指检查所述编辑证书是否由所述域名所有者授权签发。域名所有者存储有授权签发的编辑证书。
当监视器为未获得域名所有者授权的监视器时,如图6所示,第二种情况更具体的包括:
DO向Monitor提交SP的信息(包括“server.com”),查询或订阅SP的所有子域名编辑证书。
Monitor根据DO的需求,针对查询请求检查日志服务器,找出所有SP的子域名编辑证书,并将其发送给DO;针对订阅请求定期检查日志服务器,找出相较于上一次检查结果新提交的SP的子域名编辑证书,并将其发送给DO。
DO对Monitor返回的所有证书,验证等式是否成立,判断此编辑证书是否与自己的域名绑定。进而对与自己域名绑定的证书进行审计,若发现虚假证书则报告CA的恶意行为。
第三种情况时,即当监视器获得域名所有者授权时,即弱隐私性服务时,如图7所示,具体包括:
所述域名所有者向所述监视器提交所述服务提供方的信息,查询或订阅SP的子域名编辑证书,同时将所述陷门发送到所述监视器。
所述监视器接收到所述服务提供方的信息后,根据DO的需求,针对查询请求搜索日志服务器中所述服务提供方的所有子域名编辑证书;针对订阅请求,通过检查所述日志服务器,获得所述服务提供方的所有相较于前一次搜索新增子域名编辑证书,并根据所述参数证书和所述陷门对搜索所得的所有子域名编辑证书进行逐一检查,即检查编辑证书与域名所有者的域名是否存在绑定关系,若存在绑定关系则通过检查,将通过检查的子域名编辑证书发送到所述域名所有者。
所述域名所有者对所述监视器返回的子域名编辑证书进行审计。
作为具体实施方式,当监视器为获得域名所有者授权的监视器时,第三种情况更具体的包括:
DO向Monitor提交SP的信息(包括“server.com”),查询或订阅SP的编辑子域名证书,同时,DO将陷门Trapdoor经安全信道发送给Monitor。
Monitor根据DO所请求的服务,检测日志服务器中SP的相应子域名编辑证书,对其逐一验证等式是否成立,将所有使得等式成立的证书经安全信道发送给DO。等式/>成立,则编辑证书与域名所有者的域名存在绑定关系。
DO直接对Monitor返回的证书进行审计,如果发现虚假证书则报告CA的恶意行为。
本发明在PKI证书透明化生态系统中提供兼具隐私保护与透明化审计的证书编辑服务,通过对证书中绑定的域名信息进行编辑,实现对私有域名的隐私保护,同时掌握DO陷门的实体可以在日志服务器中检索DO的所有相关编辑证书;系统中任何实体都可以在不掌握陷门的情况下验证编辑证书的正确性与可检索性。
其中,编辑的对象为域名,编辑后的结果对持有陷门的实体具有透明性、可检索,对不持有陷门的实体保持隐私性,编辑的目的是要生成编辑证书。
编辑证书所绑定域名中包含不便于在日志服务器中公示的隐私信息,与对应DO的域名绑定,由CA完成编辑过程并签名生成;可以被掌握陷门的实体在日志服务器中检索到;可以在不泄露陷门信息的情况下验证编辑证书与域名的绑定关系。
陷门与DO的域名绑定,由SP利用私钥生成,用于检索编辑证书,保证编辑证书透明可审计,应该仅由SP、DO以及DO所信任的实体掌握。
检索编辑证书:基于双线性映射,使用SP的公钥/参数生成,利用陷门执行检索;检索可以由任何掌握陷门信息的实体完成,包括但不限于,DO以及DO信任并给出陷门信息的实体;检索的目的为保证编辑证书透明可审计。
验证编辑证书:执行验证的实体无需掌握陷门信息;执行验证的实体需要事先从DO处获得相应验证编辑证书的域名绑定承诺;执行验证过程需要域名绑定承诺以及SP公钥/参数的参与;通过验证的编辑证书与对应域名具有绑定关系。
SP的公钥/参数,通过SP域名证书传递,伪造易被察觉。
域名绑定承诺,由DO生成,用于帮助需要验证编辑证书的实体验证编辑证书的正确性,其特征在于与特定的所述编辑证书关联,且不会泄露陷门信息。
本发明应用到一些教育机构、云建站平台和网站托管平台(例如:wixsite.com)、动态DNS服务商(例如:duckdns.org),它们拥有大量的用户,为每个用户提供独立的域名,并且为该域名申请证书,证书会被提交到CT日志当中。域名可能透露用户的姓名、邮箱、手机号、从属关系、合作关系等,一旦域名中包含用户隐私,将永远无法被抹除。例如:作为一个网站的管理员,该网站通过网站托管平台托管,但是网站并不是一个对外服务的网站,它只对某个特定人群提供服务。因此,网站的管理员不想将网站的域名暴露在CT日志当中。作为某校的科研人员,学校为每个科研人员建立了独立的网站,并且以科研人员的姓名作为子域名(这是大概率的,因为这样的域名更具备可信性),科研人员不想把姓名、以及所属单位暴露在CT日志当中。网站可以删除,但是记录在CT日志当中的信息永远无法抹除。要实现对这些域名中的隐私的保护需要用到本发明应方案。
本发明在实现域名隐私保护的同时,还将确保CT系统原有透明化功能不被削弱,即支持域名所有者通过Monitor监视/检索日志服务器发现虚假证书。本发明中攻击者(例如,恶意CA、SP等)主要有两个目的:(1)试图冒充DO,以DO的身份与TLS客户端进行通信,并尽可能地规避CT的审计;(2)从日志当中尽可能地挖掘DO的隐私信息(例如,域名明文信息、哪些证书对应于某个DO)。
首先考虑第1种攻击目的:
在初始化阶段,攻击者(例如,恶意的CA)可能在这一步获得一个虚假参数证书,此时攻击者可以假冒一个合法的SP,进一步,攻击者利用此虚假参数证书向CA请求生成一个虚假编辑证书,并且在TLS链接时发送配套的虚假编辑证书和虚假参数证书,从而冒充某个DO与TLS客户端进行通信。由于所使用的公共参数不同,该虚假编辑证书无法被DO的陷门所识别,但虚假的参数证书会被利益相关方(例如,SP、其他DO)通过CT所发现,因此这种攻击无法实现,且即使该虚假参数证书已经生成了一系列的虚假编辑证书,但是由于在编辑证书使用时必须有配套的参数证书存在,即对参数证书的撤销等价于撤销了所有由该证书生成的编辑证书,此无需考虑这些虚假编辑证书所引发的安全问题。
在陷门生成阶段,恶意的SP可能为DO生成错误的陷门,致使DO失去发现虚假编辑证书的能力,但错误的陷门会被DO验证发现,因此这种攻击无法实现。
在证书生成阶段,CA遵守协议所生成的虚假编辑证书能够被DO通过CT所发现。另一方面,若CA违背协议生成虚假编辑证书,则无法通过TLS客户端的验证(即CA生成的编辑域名与双线性映射的结果不匹配),不被TLS客户端所信任,因此CA的两种恶意行为都无法完成攻击。
在证书验证和检查阶段,TLS客户端和Monitor都是严格遵照协议执行的,因此无需考虑此方面攻击。
接下来考虑第2种攻击目的:
仅通过编辑证书无法推出私有域名信息。在生成R(id)时,本发明使用了两个陷门单向函数保证域名信息的隐私性,在不掌握陷门与域名映射关系的情况下由R(id)推测出域名信息是不可行的。
在不知道陷门的情况下,Monitor无从得知日志服务器中哪些证书对应于同一个DO;仅当陷门委托给Monitor时,其才能获得这部分信息。在DO申请证书时,会使用不同的随机数。因此,对手不仅无法通过R(id)推测出id的信息,对手同样无法通过观察知道日志服务器中哪些编辑证书对应于同一DO。又因为陷门是与DO的域名信息直接绑定的,因此当DO将陷门委托给Monitor后,Monitor可以在无需掌握编辑域名随机数的情况下检索出DO的所有编辑证书。
抗字典攻击/彩虹表攻击,在之前的编辑域名方案中一种实现思路是对域名做可重复的单向变换,由于单向变换的过程是公开的,因此这种方法容易受到字典攻击及彩虹表攻击。这类攻击能够发生的原因在于攻击者能够掌握由域名生成编辑域名的整个过程,因此可以重复执行,并验证与目标编辑域名是否匹配,从而遍历找出真实的域名。本发明中,由域名生成编辑域名的过程引入了一个随机数作为“盐”值,能够实现抗彩虹表攻击;此外,由于陷门信息的隐私性,攻击者无法校验编辑域名与真实域名之间的对应关系,因此能够实现抗字典攻击。
由上述对安全假设的考虑,将R(id)作为编辑域名是合理的。首先,R(id)不会暴露DO的域名信息,保证了域名的隐私性。其次,在与客户端进行TLS连接时,客户端可以利用DO生成的域名绑定承诺验证R(id)与域名信息id之间的映射关系,且域名绑定承诺中仅包含生成对应的编辑证书所用的随机数,不会泄露陷门信息,同时保证了陷门的隐私性与证书的有效性。最后,利用陷门信息,可以快速验证R(id)与id之间的映射关系,保证了证书可以被掌握陷门的实体监视/检索,从而实现编辑证书透明化。
本发明中还实现了可控隐私保护,即DO可以选择可信的实体,将陷门信息共享给该实体,掌握陷门的实体可以利用陷门信息从日志服务器中监视/检索DO所有的编辑证书。在证书监视/检索阶段,因为缺少陷门信息,Monitor无法直接从SP的子域名编辑证书集合中精确找出与DO相关联的证书。此时,由于上述讨论的隐私性,Monitor无法获得任何有关DO域名的信息,诚实且好奇的Monitor不具备窃取DO隐私的能力。进一步,可以考虑Monitor可信的场景。此时,DO可以将陷门交给可信第三方Monitor实现托管服务,由Monitor自动检索筛选与其相关的虚假证书。这在一定程度上削弱了方案的隐私性,但却降低DO的工作量。在本发明中,分别将上述两种服务方式称为强隐私性与弱隐私性。
本发明的优点与积极效果如下:
采用本发明的技术方案,可以实现对域名隐私信息的有效保护。同时,利用可搜索加密思想,构造了一种保证域名隐私的同时兼顾证书透明化的证书编辑方案。该方案能够有效抵御彩虹表攻击与字典攻击;满足不同场景下的细粒度安全需求,实现根据需要调整隐私保护级别。
综合以上,借助本发明所提出的方法,在提升域名隐私性的同时,提升现有PKI证书透明化服务的有效性。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种PKI证书透明化服务中身份隐私性保护方法,其特征在于,包括:
服务提供方根据域名所有者的域名信息生成陷门并发送到所述域名所有者;
所述域名所有者基于域名信息验证所述服务提供方生成的陷门的正确性;若所述域名所有者验证陷门正确,则所述域名所有者向证书认证机构发送编辑证书生成请求;
所述证书认证机构接收到所述域名所有者发送的编辑证书生成请求后,根据所述域名所有者的域名信息生成编辑域名,并根据所述编辑域名生成编辑证书,将所述编辑证书发送到日志服务器;
所述日志服务器为所述编辑证书生成一个签名证书时间戳,将所述签名证书时间戳发送到所述证书认证机构;
所述证书认证机构将所述签名证书时间戳与所述编辑证书发送到所述域名所有者;
当所述域名所有者验证所述签名证书时间戳与所述编辑证书正确后,为所述编辑证书生成域名绑定承诺,TLS客户端向所述域名所有者发起域名的连接请求;所述域名绑定承诺是根据所述域名信息生成的;
所述域名所有者接收到所述连接请求后,将域名绑定承诺、所述签名证书时间戳和所述编辑证书发送到所述TLS客户端;
所述TLS客户端根据接收到的所述域名绑定承诺、所述签名证书时间戳和所述编辑证书,验证所述编辑证书和所述连接请求对应的域名是否匹配,若匹配则所述TLS客户端与所述域名所有者继续通信,否则所述TLS客户端与所述域名所有者中止连接;
监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计;所述域名所有者的域名相关的编辑证书为属于同一个父域名的编辑证书。
2.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为所述域名所有者时,所述域名所有者根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书;
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书;
所述域名所有者对检索到的编辑证书进行审计。
3.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为未获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名;
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书,将检索到的子域名编辑证书反馈给所述域名所有者;
所述域名所有者根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书;
所述域名所有者对检索到的编辑证书进行审计。
4.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,监视器从日志服务器中检索与所述域名所有者的域名相关的编辑证书,并协助域名所有者对检索到的编辑证书进行审计,具体包括:
当监视器为获得域名所有者授权的公共第三方监视器时,所述域名所有者向所述监视器发送所述服务提供方提供的父域名和所述域名所有者的陷门;
所述监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书;
所述监视器根据所述陷门从子域名编辑证书中检索与所述域名所有者的域名绑定的编辑证书,将检索到的编辑证书反馈给所述域名所有者;
所述域名所有者对检索到的编辑证书进行审计。
5.根据权利要求4所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,监视器根据所述服务提供方提供的父域名从所述日志服务器中检索与所述父域名对应的子域名编辑证书,具体包括:
监视器按照设定周期根据所述服务提供方提供的父域名从所述日志服务器中检索当前设定周期内新增的与所述父域名对应的子域名编辑证书。
6.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,服务提供方根据域名所有者的域名信息生成陷门并发送到所述域名所有者,具体包括:
所述服务提供方根据Trapdoor=H1(id)α生成陷门,其中,Trapdoor表示陷门,id表示域名信息,H1()表示第一种哈希函数,α表示服务提供方的私钥。
7.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,所述域名所有者基于域名信息验证所述服务提供方生成的陷门的正确性,具体包括:
所述域名所有者验证等式是否成立,若成立,则所述域名所有者验证陷门正确;
其中,H1()表示第一种哈希函数,H2()表示第二种哈希函数,Trapdoor表示陷门,id表示域名信息,是定义为/>的双线性映射,其中/>和/>均是q阶群,g是群/>的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数。
8.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,所述证书认证机构接收到所述域名所有者发送的编辑证书生成请求后,根据所述域名所有者的域名信息生成编辑域名,并根据所述编辑域名生成编辑证书,将所述编辑证书发送到日志服务器,具体包括:
所述域名所有者向所述证书认证机构发送编辑证书生成请求,同时将所述域名信息和随机数发送到所述证书认证机构;其中,随机数为当前生成的随机数;
所述证书认证机构接收到所述编辑证书生成请求后,验证所述域名信息是否有效,若有效则根据所述随机数和所述域名信息生成编辑域名;
所述证书认证机构根据所述编辑域名生成编辑证书,将所述编辑证书发送到所述日志服务器。
9.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,所述编辑域名的生成公式表示为:
其中,R(id)表示所述编辑域名,R1表示第一中间参数,R2表示第二中间参数,r表示随机数,id表示域名信息,H1()表示第一种哈希函数,H2()表示第二种哈希函数,是定义为的双线性映射,/>和/>均是q阶群,g是群/>的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数。
10.根据权利要求1所述的PKI证书透明化服务中身份隐私性保护方法,其特征在于,所述TLS客户端根据接收到的所述域名绑定承诺、所述签名证书时间戳和所述编辑证书,验证所述编辑证书和所述连接请求对应的域名是否匹配,若匹配则所述TLS客户端与所述域名所有者继续通信,否则所述TLS客户端与所述域名所有者中止连接,具体包括:
验证等式与等式/> 是否同时成立,若同时成立则所述编辑证书和所述连接请求对应的域名匹配,若不同时成立则所述编辑证书和所述连接请求对应的域名不匹配;
其中,H1()表示第一种哈希函数,H2()表示第二种哈希函数,Aux表示所述域名绑定承诺,id表示域名信息,R1表示第一中间参数,R2表示第二中间参数,是定义为/>的双线性映射,/>和/>均是q阶群,g是群/>的生成元,h=gα,/> 表示模q的剩余类中所有与q互素的元素构成的集合,q为大素数;
Aux=H1(id)r,r表示随机数。
CN202310567496.XA 2023-05-19 2023-05-19 一种pki证书透明化服务中身份隐私性保护方法 Pending CN116506118A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310567496.XA CN116506118A (zh) 2023-05-19 2023-05-19 一种pki证书透明化服务中身份隐私性保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310567496.XA CN116506118A (zh) 2023-05-19 2023-05-19 一种pki证书透明化服务中身份隐私性保护方法

Publications (1)

Publication Number Publication Date
CN116506118A true CN116506118A (zh) 2023-07-28

Family

ID=87320205

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310567496.XA Pending CN116506118A (zh) 2023-05-19 2023-05-19 一种pki证书透明化服务中身份隐私性保护方法

Country Status (1)

Country Link
CN (1) CN116506118A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117176479A (zh) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 一种旁路解密国密流量审计的方法、装置及电子设备

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117176479A (zh) * 2023-11-02 2023-12-05 北京安博通科技股份有限公司 一种旁路解密国密流量审计的方法、装置及电子设备

Similar Documents

Publication Publication Date Title
AU2021206913B2 (en) Systems and methods for distributed data sharing with asynchronous third-party attestation
US10567370B2 (en) Certificate authority
Panda et al. A blockchain based decentralized authentication framework for resource constrained iot devices
Lai et al. Applying semigroup property of enhanced Chebyshev polynomials to anonymous authentication protocol
KR101405509B1 (ko) 온라인 제 3 신뢰 기관을 도입함으로써 엔티티 공개키 획득, 인증서 검증 및 인증을 수행하는 방법 및 시스템
CN114008968B (zh) 用于计算环境中的许可授权的系统、方法和存储介质
US20100138907A1 (en) Method and system for generating digital certificates and certificate signing requests
JP2006511104A (ja) セキュア認証の暗号方法および暗号装置
KR20140127303A (ko) 다중 팩터 인증 기관
US9398024B2 (en) System and method for reliably authenticating an appliance
CN112235260B (zh) 一种匿名数据存证方法、装置、设备和存储介质
Paquin U-prove technology overview v1. 1
JP2001186122A (ja) 認証システム及び認証方法
Bauer et al. Minimal information disclosure with efficiently verifiable credentials
JP2024501326A (ja) アクセス制御方法、装置、ネットワーク側機器、端末及びブロックチェーンノード
CN116506118A (zh) 一种pki证书透明化服务中身份隐私性保护方法
Liou et al. T-auth: A novel authentication mechanism for the IoT based on smart contracts and PUFs
CN113010871A (zh) 基于联盟区块链平台的电子学历证书验证方法
Bianchi et al. The SPARTA pseudonym and authorization system
AU2015271650A1 (en) Identity verification
Hedbom et al. Adding secure transparency logging to the prime core
Chen et al. SSL/TLS session-aware user authentication using a gaa bootstrapped key
CN114915494B (zh) 一种匿名认证的方法、系统、设备和存储介质
CN114005190B (zh) 用于课堂考勤系统的人脸识别方法
Chang et al. A dependable storage service system in cloud environment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination