应用 隐式安装 显示图标_隐式认证在移动设备中的应用
摘要:本文以ECQV为例介绍了隐式认证。论述了隐式认证优势:1)证书更小;2)认证速度更快。因此,隐式认证更适合应用于资源受限的移动设备。 随着手机、笔记本电脑、电子钱包等移动设备的普及,无线通信的安全成了一个重要问题。怎样才能确保原始信息不会被窃取、窃听,不被伪造、篡改?怎样才能确认信息发送者的真实性?怎样才能保证信息发送者无法抵赖?经过世界各国的多年研究,已初步形成了一套完整的解决方案――PKI (公钥基础设施)。PKI是Public Key Infrastructure的缩写,是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系[1]。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的核心是解决网络通信中的信任问题,确定网络通信中各行为主体身份的唯一性、真实性和合法性,确保通信各行为主体的安全利益。完整的PKI系统必须具有权威认证中心(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,PKI也将围绕着这五大系统来着手构建。数字证书类似于现实生活中的居民身份证,所不同的是数字证书不再是纸质的证照,而是一段含有证书持有者身份信息并经过认证中心审核签发的电子数据。数字证书由认证中心发布到公共站点,任何人都可以查询,从而更加方便灵活地运用在电子商务和电子政务中。数字证书是一种权威性的电子文档,由权威公正的第三方机构,即认证中心(CA)签发。它绑定了用户身份信息,以公钥密码技术为核心,对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性、不可抵赖性。使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。然而,数字证书需要投入存储空间、宽带等设施。为了减少这些投资,隐式证书(implicit certification)就应运而生了。虽然隐式认证已经在学术界研究了20多年,但是在产业界却鲜为人知。
通常来说,数字证书颁发过程是:用户首先产生自己的密钥对,并将公共密钥及部分个人身份信息传送给认证中心。认证中心在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来;然后,认证中心将发给用户一个数字证书,该证书内包含用户的个人信息和他的公钥信息,同时还附有认证中心的签名信息。得到数字证书后还需要对它进行验证,验证过程主要有:证书拆封,证书链验证,序列号验证,有效期验证,证书废止列表查询。验证通过后用户就可以使用自己的数字证书进行相关的各种活动。当证书因私钥泄密或丢失等原因需要废止时,应及时向认证中心声明作废。数字证书由独立的证书发行机构发布。数字证书各不相同,每种证书可提供不同级别的可信度,可以从证书发行机构获得自己的数字证书。X.509[2]是一个被广泛使用的PKI标准,它规定了一种数字证书的格式,主要包含如下内容:
◆ 版本号:指出该证书使用了哪种版本的X.509标准,即用来区分X.509的不同版本。
◆ 序列号:由认证中心给每一个证书分配的唯一数字型编号。
◆ 签名算法:用来指定认证中心签发证书时所使用的签名算法。如md5WithRSAEncryption,表明生成数字签名时所使用的散列算法是md5,而对散列得到的散列值进行加密所使用的是RSA算法。
◆ 颁发者:颁发该证书的机构,即认证中心的名字,指出了为证书签名的可信源。
◆ 有效起始日期:该证书可用的起始日期。
◆ 有效终止日期:该证书失效的日期。
◆ 主题信息:该证书所标识的个人或者实体就是主题。
◆ 公钥:和该主题的私钥相对应的公钥。
◆ 扩展信息:在不改变证书格式的前提下附加标识信息,可能包含证书的约束,密钥用途等内容。
在传统证书中,公钥和数字签名是不同的数据;而在隐式证书中,公钥和数字签名是被压缩在一起的,而用户可以从中提取公钥并且验证公钥。基于数字证书的应用角度分类,数字证书可以分为以下几种:服务器证书、电子邮件证书和客户端个人证书。传统认证经常使用RSA、ECDSA等方案进行签名;典型的隐式认证方案是ECQV,它的数学基础是椭圆曲线理论,它的安全性建立于椭圆曲线离散对数问题。ECQV方案[3]是由椭圆曲线密码领域中著名公司Certicom和加拿大Waterloo大学的研究员年提出。我们就以ECQV为例,介绍一下隐式认证过程:
首先认证中心生成一条椭圆曲线,然后选择一个基点G,并且满足它的阶为整数n。现在假设认证中心的私钥是c,公钥是QCA=cG。如果用户A需要一个隐式证书,则应该进行以下交互:
1)用户A产生一个随机数a,再计算aG,然后把aG传送给认证中心;
2)认证中心选择随机数k∈[1,n-1],并计算kG;
3)认证中心计算γ=aG+kG;
4)认证中心计算e=H(γ||IDA),其中是一个hash函数;
5)认证中心再计算s=ek+c(mod n), 最后把(s,γ)发给用户A。
用户A的私钥是a=ea+s(mod n),公钥是QA=eγ+QCA。如果另外一个用户B需要与用户A进行通信,则B获取γ,IDA和认证中心的公钥QCA后就可以计算出用户A的公钥;而A用相同的方法可以计算出用户B的公钥,然后他们就可以用密钥协商方案得到一个公共的密钥,接着他们就可以用这个公共密钥对通信内容进行加密,从而实现在一个不安全的信道中安全通信。用户A之所以需要和权威的认证中心进行交互,是为了让B相信:QA是用户A的公钥。这样做是为了抵抗中间人攻击。隐式认证有以下优势:
◆ 隐式证书比传统证书更小。当安全级别为112比特时,ECDSA证书的大小是673比特加身份信息数据,而隐式证书的大小为225比特加身份信息数据。这样隐式证书在传输过程中就可以减少带宽,更适合非接触式智能卡、电子邮戳、ad-hoc传感器网络等资源受限环境。表1是对隐式证书和传统证书进行了简单比较。
◆ 隐式认证比传统认证更快。在隐式认证中没有对签名的认证过程,取而代之的是重构公钥。而重构公钥计算量很小,而且一些计算可以融入到随后的协议交互中,从而减少了计算时间,提高了效率。
当用户个人身份信息发生变化,或者私钥丢失、泄露时,证书用户就需要向认证中心提出证书的撤销请求。传统的证书撤销方法是周期性地发布证书撤销列表。证书验证者定期查询和下载撤销列表,根据列表中是否包含该证书序列号来判断证书的有效性。但是撤销列表的使用有两个问题:第一是撤销列表的规模性,在大规模的网络环境中,撤销列表会变得非常庞大;第二是撤销列表的实时性,因为撤销列表是定期发布的,而撤销请求的到达是随机的,所以从用户请求撤销到实现证书撤销是有一定的时延。而且认证中心往往要求用户自已承担证书撤销前所造成的损失。而隐式证书则不同,它方便频繁颁发,证书就不再有必要撤销,而且证书认证中心(CA)也不再是简单地更新用户证书。这使得通信将更为安全。譬如,在传统认证中,一个用户的手提电脑或智能手机被偷,那么他的私钥也会一起被盗;而隐式认证中,私钥可以对应一个短期的隐式证书,那么私钥丢失只能造成短暂的危害。隐式认证还可以应用于以下环境:
◆ 在ad-hoc传感器网络中,可能会经常加入新成员。此时隐式认证就可以为这种受限环境提供一个轻量级的认证方案。
◆ 目前使用中机器可识别的二维邮戳就可以用隐式证书来代替。
◆ 当一个借来的U盘插到一个安全电脑时,这个电脑就需要用一个安全方案来快速认证这个U盘。此时隐式认证就可以有效地完成这一任务。
◆ 隐式认证还可以应用于电子邮件系统、逻辑和物理访问、安全在线传输或移动设备传输等。
隐式认证的研究开始于1989年,经过二十几年的论证,逐渐走向成熟。例如,ECQV已经成功应用于ZigBee无线通信领域。现在,国际相关组织也正在对ECQV制定标准[4]。传统证书可应用的地方,隐式证书也可以应用。但隐式认证在无线通信中比传统证书体现出更强的优势,它的安全更高、效率更快,从而将使得它的应用更广。
参考文献
[1] 荆继武, 林�锵, 冯登国. PKI技术[M], 北京: 科学出版社, 2008.
[2]ITU-X Recommendation X.509: Information techno- logy-Open Systems Interconnection -The Directory: Public-key and attribute certificate frameworks.省略, Explaining Implicit Certificates, Code and Cipher Vol. 2, no. 2.
[4]Certicom Research,Standards for efficient cryptogr- aphy, SEC 4: Elliptic Curve Cryptography, Draft document , November 11, 2006.
作者简介
顾海华,毕业于上海交通大学,获工学博士学位。目前在上海华虹集成电路有限责任公司设计部从事密码算法快速实现及安全性分析工作。