IBE-XKMS：一个基于XML的IBE密钥管理服务体系

doi:10.3969/j.issn.1000-0801.2010.07.007

摘要/Abstract

摘要：

本文详细分析了基于身份的公钥加密体制（IBE）较PKI在XKMS方面的应用优势，提出了一个面向IBE的XKMS服务体系———IBE-XKMS，阐述了系统管理、身份认证、密钥生成、密钥管理等模块的功能架构以及系统服务的逻辑关系，设计了4类IBE密钥服务，除实现基本的XKMS密钥操作接口外，还设计了支持零客户端安全应用开发的数字信封和数字签名等服务接口，为下一代网络开发环境提供了一个完整的IBE密钥管理服务解决方案。本文实现了一个IBE-XKMS原型系统，并给出IBE-XKMS和PKI-XKMS在密钥服务响应时间和SOAP消息通信量等方面的测试结果，测试结果体现了IBE-XKMS的性能优势。

关键词: PKI, IBE, XKMS, XML, WebService, 密钥管理

Abstract:

In this paper,the differences between PKI and identity-based encryption（IBE）are firstly analyzed,and the advantages of building XKMS infrastructure for IBE are in detail discussed. An XKMS-like service architecture for IBE, named IBE-XKMS, is then proposed, and the modules of system management, identity authentication, key generation and key management are designed, as well as the service component logic relationships are described. Next, the key management service interfaces of four categories are proposed. Besides the basic XKMS services, IBE-XKMS also provides two types of key involved operations to implement the IBE encryption envelope and signature service, which can be utilized to develop some IBE-enabled secure web application without code on client. It is noted that IBE-XKMS provides a service framework with full IBE application supported for the next generation network of web service. At last, a prototype of IBE-XKMS is developed, on which the tests on the service response performance and the SOAP message communication cost are conducted, comparing with that of PKI-enabled XKMS.

Key words: PKI, IBE, XKMS, XML, Web Service, key management

陈铁明,李伟,蔡家楣,马世龙. IBE-XKMS：一个基于XML的IBE密钥管理服务体系[J]. 电信科学, 2010, 26(7): 22-31.

Tieming Chen,Wei Li,Jiamei Cai,Shilong Ma. IBE-XKMS: XML-Based IBE Key Management Service Infrastructure[J]. Telecommunications Science, 2010, 26(7): 22-31.

图/表 10

图1

图2

图3

图4

图5

图6

表1

图7

图8

图9

参考文献 24

1	Koblitz N ， Menezes A . A survey of publick-key cryptosystems， SIAM Review Archive， 2004,46(4): 599-634.
2
3	. A survey of public key infrastructures，
4	Papazoglou M P ， Heuvel W J . Web services management：a survey. IEEE Internet Computing， 2005,9(6): 58-64
5	. XML key management specificationXKMS 2.0). , May22005
6	Crampton J , Lim H W , Paterson K G . What can identity-based cryptography offer to web service? In: Proceedings of the 2007 ACM Workshop on Secure Web Services, New York,ACM, 2007
7	lin J , Jing J , Liu P . A framework for intrusion tolerant certification authority system evaluation. In: Proceedings of IEEE Symposium on Reliable Distributed Systems, October 2007
8	Shamir A , . Identity-based cryptosystems and signature schemes. . advances in cryptology.In:Proceedings of CRYPTO 84,, Berlin, 1984
9	Boneh D , Franklin M K , Identity-based encryption from the weil pairing advances in cryptology. In: Proceedings of CRYPTO 2001, Berlin, 2001
10	Boyen X . Multipurpose identity-based signcryption a swiss army knifer for identity-based cryptography.
11
12
13
14	Martin L . Identity-based encryption and beyond. IEEE Security and Privacy, 2008,6(5): 62-64
15	胡亮，初剑峰，林海群等. IBE 体系的密钥管理机制. 计算机学报， 2009，32(3): 544~556
16	张剑青, 刘旭东, 怀进鹏 . 基于XML的密钥管理的研究与实现. 计算机研究与发展， 2003，40（1）: 75～80
17	Park N . Moon K . Jang J , etal. Implementation of streamlining PKI system for Web services. In：Proceedings of ICCSA 2005，Singapore， May 2005
18	唐邵华，甘志勇 . 基于XKMS的PKI服务的设计与实现. 电子与信息学报， 2005，27(2): 314-317
19	Alvaro G , Farrell S . Lindberg T , 等. XKMS working group interoperability status report. In：Proceedings of Public Key Infrastructure， Berlin， 2005
20	Central authentication service. an opensource project.
21	CAS generic handler：a generic authentication handler for CAS.
22	Apache CXF：an open source service framework. .
23	Bethencourt J , Sahai B . Waters A . Ciphertext-policy attribute-based encryption. In: Proceedings of the 2007 IEEE Symposium on Security and Privacy, Washington, 2007
24	Bobba R , Khurana H . AlTurki M , et al. PBES: a policy based encryption system with application to data sharing in the power grid In: Proceedings of the 4th International Symposium on Information, Computer, and Communications Security, Sydney, Australia, March2009

服务类型	服务名称	服务功能	请求参数	响应参数
X-PPIS	Locate	查询ID所在域的公开参数及其安全密钥策略	ID,DN（domain name）	用户公开参数 PP 和相应的密钥
				策略参数（Si,i=1,2,3）
	Validate	验证ID 所在域获取的PP（public parameters）是否有效	ID,DN,PP	公开参数PP是否有效
X-PKIS	Register	用户通过Web Service 注册ID，获取ID 公开参数PP，并获取ID的私钥	ID,DN,Rc（revocation code，撤销验证码），	公开参数PP 和ID 私钥SK_ID（采用相应的安全密钥策略）
			Ac（authentication code，身份认证码）,Si（i=1,2,3）
	Revoke	用户通过验证码撤销注册的密钥	ID,Rc	撤销是否成功，若成功则注销ID注册信息
	Recover	用户重新请求并恢复ID私钥	ID,DN,Ac,Si（i=1,2,3）	用户公开参数PP和恢复的ID私钥
	Reissue	用户可重新设置策略参数，并可重新分发ID私钥	ID,DN,Ac,Si（i=1,2,3）	重新发布的ID私钥
X-PPCS	Envelope	用户请求生成XML 数字信封，即以接收方ID公钥加密对称密钥生成数字信封，由对称密钥加密明文形成密文	ID,DN,Ac；消息 M，接收方ID，接收方DN,Si（i=1,2,3）	用接收方ID公钥加密的数字信封
	Verify	用户请求发送方 ID 对消息 M 的 XML 签名验证	签名值σ，消息M；发送方ID和DN	ID对M签名是否有效
X-PKCS	Sign	用户请求自己对消息散列H（M）的XML 数字签名	ID,DN,Ac，消息散列H（M）	ID对H（M）的签名是否成功
	Unenvelope	用户请求对XML数字信封的解封	ID,DN,Ac，用ID公钥对消息M的数字信封	用ID 私钥解封数字信封得到的消息M

[1]	苏莹莹, 李丹, 叶洪琳. 资源公钥基础设施RPKI：现状与问题[J]. 电信科学, 2021, 37(3): 75-89.
[2]	陈园,陈铁明,宋琪杰,马栋捷. IBEXSec：一种面向工业互联网终端的通用安全服务框架[J]. 电信科学, 2020, 36(3): 19-26.
[3]	汤阳,张翼英,何业慎,王聪,雷明. 一种基于PKI的能源信息系统多渠道统一身份认证方法[J]. 电信科学, 2019, 35(6): 41-49.
[4]	程文彬,刘佳. 基于ECC的智能家居密钥管理机制的实现[J]. 电信科学, 2017, 33(6): 121-128.
[5]	李志华,谷全琦,唐建飞,薛亮,赵继军. 基于RESTful Web Services的智能家居管理系统设计与实现 ^*[J]. 电信科学, 2014, 30(11): 99-104.
[6]	关汉男,易平,俞敏杰,李建华. 卫星通信系统安全技术综述[J]. 电信科学, 2013, 29(7): 98-105.
[7]	黄泽龙,张文安,谢云. 移动支付密钥体系研究[J]. 电信科学, 2011, 27(6): 21-27.
[8]	王培海,刘宴兵,肖云鹏,陶长顺. 面向云服务的移动中间件研究[J]. 电信科学, 2011, 27(12): 16-20.
[9]	孙磊,戴紫珊,郭锦娣. 云计算密钥管理框架研究[J]. 电信科学, 2010, 26(9): 70-73.
[10]	林庚,乔占西,薛楠. 基于认知无线电网络的Huffman密钥分发树[J]. 电信科学, 2010, 26(12): 68-71.
[11]	崔晓臣,张串绒,张强. 无线传感器网络安全研究[J]. 电信科学, 2010, 26(11): 51-55.
[12]	柏洪涛,刘海龙,任晓明,刘斐. 移动通信业务安全综述[J]. 电信科学, 2009, 25(2): 21-28.
[13]	柏洪涛,刘海龙,任晓明,刘斐. 移动通信业务安全综述[J]. 电信科学, 2009, 1(2): 21-28.
[14]	李洪,杨雁武. 中国电信集团电子运维系统整合研究[J]. 电信科学, 2009, 25(11): 73-77.
[15]	张云勇. 基于IEEE 802.16d的WiMAX安全研究[J]. 电信科学, 2007, 23(8): 13-16.