基于短消息的數字證書狀態發布系統的研究

（1.國家信息安全工程技術研究中心， 北京 100093； 2.清華大學 計算機科學與技術系， 北京 100084; 3.江南計算技術研究所， 江蘇 無錫 250031； 4.總參謀部 第58研究所， 北京 100091）

摘 要： 在任何一個基于公鑰基礎設施的安全應用系統中，數字證書的驗證對保證系統的安全具有至關重要的作用。簡要描述了因特網中通過OCSP進行在線證書狀態查詢的方法，說明了目前加密手機無法像因特網一樣進行在線數字證書狀態查詢的原因，提出了一種基于短消息的數字證書撤銷狀態發布方案，有效地解決了無線環境中的數字證書狀態驗證問題，提高了加密手機的安全水平。

關鍵詞： 公鑰基礎設施； 證書狀態發布； 短消息； OCSP

中圖法分類號： TP3932 文獻標識碼： A

文章編號： 1001 3695(2006)08 0148 04

Research on Short Message based Digital Certificate Status Broa dcasting System

HONG Huan jian 1，2，TENG Ran ran 3，ZHE NG Jian hua 4，DAI Yi qi 2

(1. National Information Security Engineering Technology Research Cen ter， Beijing 100093， China;2. Dept. of Computer Science Techno logy， T singhua University， Beijing 100084， China; 3. Jiangnan Computing Technology Research Institute， Wuxi Jiangsu 250031， China;4. No. 58 Institute，PLA Headquarters of the General Staff， Beijing 100091， China)

 Abstract: In any security applications based PKI， the validation of the digital certificates is important to the system’ s security. This paper briefly describes the actual impl ementation of the On line Certificate Status Protocol(OCSP) on Internet and explains why the crypto mobile phone cannot check the certificate status on line as on Internet. It introduces a new certifi cate revocation status broadcasting scheme that efficiently resolves the problem of checking certificate revocation status in wireless environment and improves the security level of crypto mobile phone.

Key words: Public Key Infrastructure;Certifi cate Status Broadcasting;Short Message; OCSP(On line Certificate Status Protocol)

1引言

隨著移動通信的迅猛發展，越來越多的無線應用提出了很高的信息安全需求，GSM，CDMA等 系統提供的鑒權、話音加密等安全功能在一定程度上解決了空中接口的安全問題。WPKI作為無線通信的一種安全解決方案，解決了移動終端到某個應用服務器的安全問題，WPKI技術也處在發展之中，還有很多問題沒有得到很好的解決[5]。

為了實現話音的端到端加密服務及雙向身份認證功能，出現了專用加密手機，該加密手機采 用PKI技術，基于公鑰基礎設施，利用證書認證中心（CA）簽發的數字證書來達到提供端到端安全的目的。CA為每一部手機簽發一個數字證書，兩部手機在進行通信前，需要利用該證書對對方的身份進行鑒別，并可對話音和短信內容進行加密。

進行身份鑒別的前提是首先要保證證書的有效性。證書的有效性驗證包括三個方面的內容:①證書的時間有效性，即證書是否過期，這通過查看證書中的時間標志即可實現；②對證書的真實性和完整性進行驗證，這可以通過對證書中CA的數字簽名進行驗證來實現；③通過查詢LDAP或OCSP服務器來獲取證書的狀態，主要是查詢證書撤銷列表（CRL）或訪問OCSP服務器，以確認該證書是否被撤銷。其中及時獲得證書的狀態在現實網絡環境中是非常必要的，其具體實現直接關系到應用系統的性能和安全性。

目前在因特網中可以通過OCSP等協議很好地解決證書狀態的實時查詢問題。由于移動終端有 限的帶寬和計算能力，因特網中獲取用戶證書狀態的方法在無線通信環境中不適用。有人提出了在無線因特網中采用客戶端部分緩存的CPC OCSP[6]，MBS OCSP[7] 等改進的OCSP方案來查詢用戶證書的狀態，其基本思想都是通過在用戶端設備（如手機或PDA 等）中設置一小塊緩存區，用于存儲OCSP響應器端發來的響應，通過采用哈希鏈或Merkle哈希樹等算法盡量減少計算量來達到提高系統性能的目的。這些方法需要手機支持WAP和WPKI，我們從另一個角度提出一種發布證書狀態的方案。因為移動通信中話音通道的不透明，加密手機目前只能采用電路交換的數據通道進行加密話音的傳輸，在兩部手機建立通聯后，無法像在因特網中一樣再發起一個連接訪問OCSP服務器以查詢證書的狀態，因此都默認證書始終是有效的，這樣顯然是不安全的。如果經常通過人工主動發送指令對證書狀態進行頻繁查詢，不僅不方便，也會帶來一些問題：頻繁地對證書狀態進行查詢，不僅增大了網絡的負載，而且降低了系統的效率，并且由于有時證書被撤銷了而又沒有主動進行查詢，帶來了安全隱患。

我們知道，證書被撤銷以前，證書查詢所獲得的證書狀態通常都是有效的，證書被撤銷以后，證書查詢所獲得的證書狀態都是無效的，證書狀態從有效變為無效的這個事件是極其重要的。在理想情況下，應該立即將這個事件通知所有的證書依賴方[8]。根據證書狀態變化的這個特點，我們認為通過實時可靠地將證書撤銷消息通知所有的依賴方，避免頻繁地主動查詢證書狀態是解決無線環境中證書狀態發布的好方法。本文根據我國移動通信短消息服務非常發達的這個特點，提出了利用短消息服務進行證書狀態的主動發布，即在證書簽發后就認為該證書一直有效，只有在證書被撤銷時，才會及時向各證書依賴方（手機）發布證書的撤銷消息，并且通過采取嚴格的措施保證該過程的安全與有效。由于短消息服務和話音服務是獨立的，這樣的機制對話音通信也不會造成影響，從而有效地解決了無線環境下用戶證書狀態的及時獲取問題，既提高了效率，又提高了移動通信端到端的安全水平。

2OCSP在線證書狀態查詢協議［1］

OCSP(On line Certificate Status Protocol)定義了一個可被依賴方用于查詢X.509證書當 前狀態的網絡協議。依賴方可以通過OCSP基于證書的唯一標識符來查詢證書的有效性。

在因特網中，通常由于私鑰泄漏等原因CA撤銷了某個證書，CA將該證書的撤銷列表CRL發送到OCSP服務器。OCSP服務器接收到CRL列表后，首先對CRL的合法性進行驗證，主要是通過利用CA的證書對該CRL進行源認證和完整性驗證，驗證通過后，OCSP服務器針對每一個證書重新生成證書狀態發布信息，并且利用OCSP的私鑰對該信息簽名，存放在OCSP應答服務器上，供依賴方訪問。

通常在因特網中，互相通信的雙方在進行安全通信之前，首先由一方發起安全通信請求，然后雙方交換數字證書，并通過挑戰應答的方式驗證對方的身份。在這個過程中，驗證對方證書的有效性是保證身份驗證過程正確的前提，通常是用戶將證書中的主體唯一標識符通過OCSP發往OCSP服務器以獲取該證書的狀態，如果得到有效的應答，則認為該證書有效，并可利用該證書對用戶的身份進行進一步驗證。

應用系統可通過OCSP對證書狀態進行實時查詢，但在實際應用中，證書狀態在OCSP服務器上的更新通常并不是實時的，即CA不是在某證書撤銷后實時向OCSP發布CRL，而是通過制定證書狀態更新策略，如每15分鐘更新一次，或者根據用戶的需要靈活設定更新周期，這樣既能有效地提高系統的性能和效率，又能滿足用戶的安全性需求。

3證書狀態短消息發布系統的體系結構

為了實現對手機使用的數字證書狀態的及時發布，我們設計了基于短消息服務的移動證書狀態發布系統，圖1簡要描述了證書狀態短消息發布系統的邏輯結構及其與CA的關系。

證書狀態短消息發布系統有一主控模塊，根據系統收到的各種消息，調動各處理模塊。由于證書狀態的發布要求較高的實時性，所以本系統采用實時的短消息處理機制，即短消息Modem接收到短消息后，向系統發出一條短消息到達信息，系統則主動取得新到達的短消息并對其進行處理，有效地提高了系統的實時性。

4基于短消息的證書狀態發布過程

利用短消息服務進行用戶證書狀態發布的基本原理是：根據因特網中證書狀態信息的發布原理，我們將證書狀態短消息發布系統作為證書認證服務系統的一部分，與CA相連。CA授權該系統為移動用戶提供證書狀態發布服務，該系統具有CA簽發的證書和公私鑰對。注意此處采用的是證書狀態的主動發布模式而不是因特網中常用的查詢模式。

該服務的完整過程如下：

（1）首先用戶A向CA申請數字證書，CA接收用戶A的申請，對用戶A的身份進行審核無誤后向用戶A簽發一個數字證書，用戶A也稱證書持有者或證書主體，用戶B也像用戶A一樣申請數字證書。

（2）當用戶A要與用戶B通信時，用戶A與用戶B交換數字證書，用戶A，B同時也稱對方證書的依賴方。交換證書的方式可以有多種，通話發起時雙方互相發送證書，或通過短消息平臺、WAP等其他方式從網上獲取對方證書。

（3）用戶B得到用戶A的證書后，首先從證書中解析出該證書的CA，如果該CA支持本文描述的證書狀態發布方式，則用戶B手機主動向該CA的證書狀態短消息發布系統進行注冊，表明用戶B手機為用戶A證書的依賴方。注冊信息中包括用戶A證書的序列號、用戶B手機號碼以及用戶B的數字簽名。證書狀態短消息發布系統收到該注冊信息后，首先驗證該信息的真實性和完整性，驗證通過后，即將該用戶B添加到數據庫中用戶A證書的依賴方列表。同樣，用戶A也進行相同的操作過程。注意，證書狀態短消息發布系統中需從LDAP中獲取所有的用戶證書。

（4）CA根據策略向LDAP、OCSP、證書狀態短消息發布系統發布CRL，證書狀態短消息發布系統收到該CRL后，首先驗證該CRL的真實性，從中提取撤銷的證書序列號，在數據庫中查詢該證書的依賴方列表，證書狀態短消息發布系統生成該證書的撤銷列表信息，并用自己的私鑰進行簽名，群發給該證書的所有依賴方。

（5）該證書的依賴方即某個手機收到該證書撤銷消息后，首先對該消息的真實性進行驗證，驗證通過后，即將該證書從手機中刪除，或記入黑名單，并且向證書狀態短消息發布系統發送回執。

（6）證書狀態短消息發布系統只有在收到回執后才停止向該用戶發布證書狀態更新信息，否則將定時重復發送證書狀態信息。

通過以上步驟，有效地解決了手機用戶數字證書的狀態發布問題。

證書狀態更新的周期可以采用與因特網中CA發布CRL相同的策略。由于在因特網中證書狀態的發布通常也不是實時的，也具有一定的周期，所以短消息平臺盡管有一定的時間延遲，也完全能滿足實際的安全需求。

5證書狀態短消息發布系統的短消息編碼

通常有三種方式來發送和接收短消息：塊模式、文本模式和PDU 模式。其中PDU 模式被所有手機支持，可以使用任何字符集。由于我們發送的證書狀態信息需要利用證書狀態短消息發布平臺的私鑰進行簽名，產生二進制數據，所以用PDU 模式來傳送數據比較理想。

PDU串表面上是一串ASCII碼，由“0”～“9”、 “A”～“F”這些數字和字母組成。它們是八位字節的十六進制數。PDU串不僅包含可顯示的消息本身，還包含很多其他信息，如SMS服務中心號碼、目標號碼、回復號碼、編碼方式和服務時間等。發送和接收的PDU串，結構是不完全相同的。

在PDU 模式中，可以采用三種編碼方式來對發送的內容進行編碼，它們是7bits，8bits和UCS2編碼。8bits編碼通常用于發送數據消息，如圖片和鈴聲等，PDU串的用戶信息(TP UD)段最大容量是140Bytes。根據本系統的特點，我們采用8bits編碼，一條短消息可以發送140Bytes的數據。

PDU串的用戶信息長度(UDL)在采用8bits編碼時，表示發送的數據字節數，這里指UDHL、CPI、版本號、簽名算法標識、證書序列號、撤銷時間、數字簽名的數據長度。進行簽名運算的數據包括PDU中數字簽名字段以外的所有字段。

表1是證書狀態短消息的基本數據結構。若采用1024bits的RSA算法，數字簽名的長度為128Bytes，加上其他信息整個短消息長度將超過140Bytes，也就是說一條短消息無法包含所有的信息。雖然可以將短消息分成多條進行發送，但是為了簡化系統的設計、提高效率，我們采用192bits的ECC算法，這樣既可以提高系統的強度，同時減小了短消息的長度，使得在一條短消息中就能發送我們所需要的所有信息。

系統在收發普通短消息時，將用戶數據頭標志TP UDHI默認設為0，因為我們收發的短消息具有特殊的功能，所以要將用戶數據頭標志TP UDHI設為1，指示該短消息為一特殊消息，手機可以根據頭信息進行相應的處理。參考TS23.048標準，我們將IEI（CPI）設置為0x7E和0x7F，表示用戶自定義的頭信息，采用用戶自定義的處理方法來對信息進行處理[2～4]。

6手機短消息處理模塊

要實現本系統的功能還需要手機的配合。目前的加密手機已經集成了加密模塊，可以對短消息或話音進行加密和簽名操作。為了實現對該系統的支持，需要手機支持相應的短消息處理功能，即支持TS23.048協議，手機接收到該類型短消息時，根據短消息的頭信息標志調用自定義的消息處理模塊，驗證短消息的真實性、完整性，然后根據短消息的內容對相應的證書進行處理，將該證書列入黑名單。

7通信協議的安全性分析

安全性是該證書狀態發布系統的關鍵，為此我們對該系統使用的通信協議進行簡要的分析和說明。系統與手機的通信通過AT指令進行，PDU數據中包含SMS服務中心號碼、目標號碼、回復號碼、編碼方式、有效期和用戶數據等信息。其中我們最關心的證書狀態信息存放在用戶數據部分，可以認為短消息信道是透明的，我們只需對證書狀態信息進行安全性保護。

（1）短消息的完整性和真實性是需要保證的首要問題。為此本系統采用滿足國家有關部門批準的散列算法和簽名算法，對該系統發出的證書狀態信息進行數字簽名，確保信息的真實性和完整性，也實現了抗抵賴性，此處可不考慮證書狀態的保密性。

（2）手機對其發出的應答信息也進行數字簽名，從而保證安全性。

（3）在因特網中我們通常比較重視重放攻擊對系統的威脅，而這種重放攻擊通常是對有效的證書狀態的重放，本系統發布的是證書撤銷信息，該信息的重放不會對系統構成嚴重威脅，所以一般也不需要采用序列號、隨機數等機制來進行保護。

（4）本系統使用ECC算法，在同樣密碼強度的情況下，可以減小簽名后短消息內容的長度，在一條短消息中完成證書狀態的發布，ECC算法參數p和N要求192bits以上。

（5）雖然短消息服務的實時性不是很高，但是我們可以看到在因特網中用戶證書狀態的更新也不是實時的，該平臺完全可以達到因特網中的性能要求。所以我們認為該系統能提供與因特網中OCSP服務器同樣的安全水平，從工程角度來看這樣的延遲是可以接受的。

（6）關于該系統自身證書撤銷的檢測問題可采用與RFC 2560中規定的OCSP服務器相同的策略[1]。

（7）短消息服務是非連接的通信方式，其可靠性不是很高，所以為了保證該系統的可靠性，需要采取一定的控制措施，如證書撤銷消息發布以后，證書依賴方（手機）可能處于關機或不可達狀態，無法接收信息并給平臺發送回執。所以系統一定要周期性地不斷重復發送證書撤銷信息，直到接收到該證書依賴方的回執為止，或采取一定的策略，通過人工等其他方式解決。 

（8）本系統以廣播方式發布證書的狀態信息，同時本系統也支持對證書狀態的主動查詢，手機可以通過發送指令的方式下載某個用戶的證書，也可以通過發送指令的方式主動地查詢用戶證書的狀態。本文所描述的方案主要解決在不需要用戶主動操作的情況下完成證書狀態的獲取與更新。

（9）該方案的好處是服務端對每個證書撤銷信息只需要進行一次簽名運算，有效地降低了系統的負載。不像普通的OCSP服務器，為了防止重放攻擊，通常客戶端向服務端發送隨機數，服務端需要對每次證書狀態應答信息進行簽名運算，系統的負載很大。

8需進一步做的工作

本文只是對移動用戶證書狀態的查詢方式提出了一種新的思路，一定程度上解決了手機中證書狀態的實時查詢問題，但是在大規模的網絡部署中還存在一些具體問題需要解決。目前對于單一CA的處理比較容易實現，對于不同CA發布的移動證書的維護問題，需要采用相同的協議和標準來實現對不同CA的支持，才能在更大的范圍內進行該系統的部署。

整個系統的性能還依賴于很多環節，如加密芯片的處理速度等，由于手機本身的計算能力有限，為了提高簽名、驗簽的速度，需要采用高速密碼芯片來解決這個問題。目前可用于手機中的國產加密芯片已取得了很大的進步，完全可以達到應用水平，但是成本還需要進一步降低。

9結束語

我們對該方案進行了具體實現，其機制是安全可靠、完全可行的。我們認為采用短消息機制進行數字證書狀態的發布是一種新穎的證書狀態發布方式，具有成本低廉、實現簡單的優勢，在用戶數量小時，可以通過普通的移動Modem實現；在用戶數量大時，可通過中國移動或中國聯通的短消息網關來實現，具有良好的擴展性。該方式有效地解決了移動證書狀態查詢問題，為移動證書的推廣和應用起到了良好的促進作用。

參考文獻：

[1] RFC 2560，X.509 Internet Public Key Infrastructure On line Certificate Status Protocol[EB/OL]. http://www.ietf.org/rfc/rfc2560.txt.

[2] 3GPP TS 22.048， v5.0.0，Security Mechanisms for the (U)SIM Applic ation Toolkit Stage1[EB/OL].http://www.3gpp.org/ftp/Specs/archive/22_series/22.048/22048 500.zip.

[3] 3GPP TS 23.048， v5.8.0，Security Mechanisms for the (U)SIM Application Toolkit Stage2[EB/OL]. http://www.3gpp.org/ftp/Specs/archive/23_series/23.048/23048 580.zip.

[4] 3GPP TS 23.040， v6.5.0，Technical Realization of the Short Message Service (SMS) [EB/OL]. http://www.3gpp.org/ftp/Specs/archive/23_series/23.040/23040 650.zip.

[5] Wireless Application Protocol Public Key Infrastructure Definition， WPKI WAP 217 WPKI[EB/OL]. http://www.wmlclub.com/docs/especwap2.0/WAP217 WPKI 20010424 a.pdf.

[6] Jose L，Muoz， Jordi Forné. Certificate Revocation Policies for Wireless Communications[C]. Proceedings of the IASTED International Conference Communication Systems and Networks， 2002.427-32.

[7] Diana Berbecaru. MBS OCSP: An OCSP based Certificate Revoca tion System for Wireless Environments[C]. Proceedings of the 4th IEEE International Symposium on Signal Processing and Information Technology， 2004.267-72.

[8] Diana Berbecaru， Antonio Lioy， Marius Marian. Security Aspects in Standard Certificate Revocation Mechanisms: A Case Study for OCSP[C]. Proceedings of the 7th International Symposium on Computers and Communications， 2002.48-49. 

作者簡介：洪煥健(1968-)，男，副研究員，主要研究方向為信息安全與網絡安全；滕然燃(1955-)，女，工程師，主要研究方向為信息安全；鄭建華(1956 )，男，研究員，博士生導師，主要研究方向為信息安全；戴一奇(1946 )，男，教授，博士生導師，主要研究方向為信息安全、算法設計分析。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。