PKI技術(shù) 第十八講 COCA

PKI技術(shù)第十八講COCA1COCA:CornellOnlineCertificationAuthorityCOCA:ASecureDistributedOnlineCertificationAuthorityLIDONGZHOU,MicrosoftResearchFREDB.SCHNEIDERandROBBERTVANRENESSE,CornellUniversityACMTransactionsonComputerSystems,November2002.2本課內(nèi)容COCA的總體特點(diǎn)同時(shí)簡(jiǎn)要說明門限密碼和BQS理論如何使用2種Operation來實(shí)現(xiàn)通常意義的證書、簽發(fā)、更新、撤銷、和查詢Operations:UpdateandQuery系統(tǒng)結(jié)構(gòu)2種Operation的協(xié)議詳細(xì)過程討論COCAPrototype3COCA的目標(biāo)提供高安全的、高可用的證書服務(wù)包括證書簽發(fā)、撤銷、更新、證書查詢服務(wù)通過：對(duì)CA密鑰的保護(hù)證書存儲(chǔ)服務(wù)器的冗余設(shè)置使用同一套的設(shè)備，提供了證書簽發(fā)、證書查詢的服務(wù)掌握CA密鑰的服務(wù)器群，同時(shí)也存儲(chǔ)用戶證書容忍一定數(shù)量服務(wù)器的失效4CA密鑰的保護(hù)－機(jī)密性CA密鑰的機(jī)密性CA密鑰是用于簽發(fā)用戶證書（和CRL）的，如果CA密鑰被攻擊，則攻擊者可以偽造證書（和CRL），危害PKI系統(tǒng)和應(yīng)用系統(tǒng)使用thresholdcryptography，將密鑰分散到k個(gè)部件中，其中任意的t個(gè)合作，能夠完成密碼計(jì)算（簽名操作）通常是分布在網(wǎng)絡(luò)不同位置的k臺(tái)服務(wù)器5CA密鑰的保護(hù)－CA密鑰的可用性CA密鑰的可用性使用thresholdcryptography之后，則至少需要t臺(tái)服務(wù)器在線而不是原先的1臺(tái)必須保證在各種環(huán)境中，至少能夠與t臺(tái)服務(wù)器通信，才能實(shí)現(xiàn)服務(wù)的可用性在分布式網(wǎng)絡(luò)環(huán)境中，路由器、交換機(jī)的鏈路錯(cuò)誤，也會(huì)影響到可用性6證書撤銷的處理—查詢要求在COCA中，撤銷問題是如下解決的：不簽發(fā)CRL要求在使用證書之前，到COCA進(jìn)行證書查詢COCA保證能夠回復(fù)最新的證書用戶證書需要撤銷時(shí)，就進(jìn)行證書更新操作那么，CA的安全性還包括了證書查詢的可靠性服務(wù)可用－能夠查詢到服務(wù)正確－得到最新的證書注意：服務(wù)器有可能死機(jī)、出錯(cuò)、失效等等7CA的安全性－證書查詢的可靠冗余配置，多臺(tái)服務(wù)器同時(shí)存儲(chǔ)了最新的證書保證查詢能夠獲得最新的用戶證書、而不是過時(shí)的保證有足夠數(shù)量的服務(wù)器回應(yīng)否則服務(wù)不可用前提是將最新的證書寫入到足夠多的服務(wù)器中8COCA的特點(diǎn)CA同時(shí)提供了證書查詢和更新（簽發(fā)）服務(wù)CertificateUpdate/Query注意：通常，Query服務(wù)是由repository提供的使用thresholdcryptography保護(hù)CA密鑰3t+1服務(wù)器，t+1才能合作進(jìn)行數(shù)字簽名最多t個(gè)服務(wù)器被攻占，不會(huì)泄漏私鑰結(jié)合ByzantineQuorumSystem理論—證書查詢Internet環(huán)境下，能夠完成任務(wù)，得到最新的證書證書查詢的可靠性3t+1服務(wù)器，最多t個(gè)服務(wù)器失效，保證協(xié)議能正確執(zhí)行、執(zhí)行成功（服務(wù)可用）9適用于各種門限密碼學(xué)方案COCA并非針對(duì)特定的thresholdcryptographyscheme，作者認(rèn)為COCA的系統(tǒng)結(jié)構(gòu)適用于各種（t+1,3t+1）門限密碼簽名方案私鑰由3t+1個(gè)服務(wù)器分享、任意的其中t+1個(gè)服務(wù)器可以完成簽名操作即能夠容忍一部分服務(wù)器的失效（t個(gè)服務(wù)器）BQS理論也有類似能力能容忍部分服務(wù)器的失效COCA的創(chuàng)新點(diǎn)不在于提出新的門限密碼方案，而在于將門限密碼學(xué)方案與BQS理論的相結(jié)合下面先簡(jiǎn)單介紹thresholdcryptography和ByzantineQuorumSystem10thresholdcryptography進(jìn)行密碼計(jì)算，需要使用密鑰Key，要保證Key的安全注意：此處為了方便，簽名門限用t表示，而COCA門限是t+1表示不同而已，實(shí)質(zhì)一樣將Key進(jìn)行拆分，分成k個(gè)子密鑰（SK1,SK2,…,SKk），由k個(gè)不同的設(shè)備掌握進(jìn)行密碼計(jì)算FKey(M)，多個(gè)設(shè)備分別進(jìn)行計(jì)算（至少t個(gè)），得到t個(gè)結(jié)果F1SK1(M)、F1SK2(M)、F1SK3(M)…1<t<k再將t個(gè)結(jié)果進(jìn)行計(jì)算F2(F1SK1(M),F1SK2(M),F1SK3(M)…)=FKey(M)F1,F2可以是不同于F的函數(shù)F是某種密碼計(jì)算函數(shù)（例如，數(shù)字簽名、解密）11Thresholdcryptography可繼續(xù)參考：P.S.Gemmell.AnIntroductiontoThresholdCryptography.InCryptoBytes,atechnicalnewsletterofRSA,1977.機(jī)密性攻擊者需要攻擊t個(gè)服務(wù)器，才能獲得Key，增加了攻擊難度，提高機(jī)密性等級(jí)可用性只要是其中的任意t個(gè)服務(wù)器，就能夠完成密碼操作需要攻擊(k-t+1)個(gè)服務(wù)器，使其不可用，才威脅到CA密鑰的可用性可以根據(jù)機(jī)密性和可用性的權(quán)衡，調(diào)整t/k的大小12門限密碼學(xué)不同于SecretShare不同于SecretShare秘密分享秘密分享是將某個(gè)機(jī)密信息X，進(jìn)行拆分，拆分為k份，其中任意t（1<t<k）個(gè)，能夠重新組合得到X少于t個(gè)，不能組合得到X在thresholdcryptography中，t個(gè)合作的結(jié)果是“密碼運(yùn)算的結(jié)果”，而不是密鑰Key也就是說，被拆分的是Key，但是Key始終沒有被組合出來運(yùn)算輸出結(jié)果僅僅是“數(shù)字簽名結(jié)果”或者是“解密運(yùn)算結(jié)果”13BQSMalkhiandReiter.1998.Byzantinequorumsystems.JournalofDistributedComputing11(4).通過冗余備份、解決分布式環(huán)境中的數(shù)據(jù)存儲(chǔ)、讀寫問題冗余備份的服務(wù)器中，可能有failure針對(duì)arbitraryfailure，即出錯(cuò)服務(wù)器的行為是被攻擊者完全控制的、不能預(yù)期的任意行為、而不是簡(jiǎn)單的停機(jī)又稱為Byzantinefailure，失效的服務(wù)器可能發(fā)送正確數(shù)據(jù)、也可能發(fā)送錯(cuò)誤數(shù)據(jù)、也可能不響應(yīng)14BQS的基本原理如圖Q表示全體服務(wù)器集合Q1：Write操作的目標(biāo)服務(wù)器集合Q2：Read操作的目標(biāo)服務(wù)器集合B表示失效服務(wù)器集合Byzantinefailure15BQS的Read/Write為了Read/Write正確執(zhí)行，也就是能夠讀取到正確的、最新的數(shù)據(jù)：一致性：對(duì)任意的Q1,Q2，Q2中包含了Q1的元素，且能排除B的干擾得到最新的數(shù)據(jù)可用性：存在Q1和Q2，使得Q1與B無交集、Q2與B無交集協(xié)議能夠執(zhí)行完畢16BQS理論的作用討論對(duì)于各種不同的環(huán)境假設(shè)（同步、異步）、不同的數(shù)據(jù)（有無時(shí)戳、是否自驗(yàn)證）下，Q/Q1/Q2/B各個(gè)集合之間的關(guān)系從而有各種不同類型的BQS系統(tǒng)MaskingBQSDisseminationBQSOpaqueMaskingQuorumsystemSmallBQS……17BQS理論的結(jié)論之一在異步的、無帶寬要求的分布式環(huán)境中，讀寫“帶時(shí)戳的”、“Self-Verifying”的數(shù)據(jù)即DisseminationBQS，COCA所使用的證書是Self-Verifying，因?yàn)榫哂蠧A的簽名證書是帶時(shí)戳的對(duì)于2個(gè)“Subject一樣、具有CA有效簽名”的證書使用有效期、或者證書序列號(hào)，能夠確定其新舊某些CA，后簽發(fā)的證書將具有更大的序列號(hào)；例如COCA結(jié)論：假設(shè)最多有t臺(tái)服務(wù)器Byzantine失效，要求服務(wù)器總數(shù)至少是3t+1（滿足一致性、可用性）寫：至少對(duì)2t+1臺(tái)服務(wù)器完成操作（其中可能有失效服務(wù)器）讀：至少對(duì)2t+1臺(tái)服務(wù)器完成操作（其中可能有失效服務(wù)器）18COCA對(duì)部署環(huán)境有如下假設(shè)FairLink（有無限小、但大于零的帶寬；沒有帶寬要求）Acommunicationchannelthatdoesnotnecessarilydeliverallmessagessent,butifaprocesssendsinfinitelymanymessagestoasingledestinationtheninfinitelymanyofthosemessagesarecorrectlydelivered.Inaddition,messagesintransitmaybedisclosedtooralteredbyadversaries.所以，COCA要求各個(gè)服務(wù)器和Clients之間的通信使用數(shù)字簽名保護(hù)，就可以檢測(cè)到篡改Asynchrony.Thereisnoboundonmessagedeliverydelayorserverexecutionspeed.對(duì)于速度沒有同步要求上述的鏈路假設(shè)，就是DisseminationBQS的鏈路假設(shè)部署環(huán)境要求低19本課內(nèi)容COCA的總體特點(diǎn)如何使用2種Operation來實(shí)現(xiàn)通常意義的證書、簽發(fā)、更新、撤銷、和查詢Operations:UpdateandQuery系統(tǒng)結(jié)構(gòu)2種Operation的協(xié)議詳細(xì)過程討論COCAPrototype20COCA支持的2種OperationUpdate實(shí)現(xiàn)了通常意義上的：證書簽發(fā)，將某個(gè)entity與公鑰綁定撤銷，解除entity與公鑰的綁定關(guān)系更新，entity原來與某公鑰綁定，Update操作后，則與另一公鑰綁定Query證書查詢，得到某entity的、最新的公鑰綁定關(guān)系Client發(fā)起Update/Query操作請(qǐng)求，COCA回應(yīng)執(zhí)行結(jié)果21COCA中的Update操作Update操作Alice原來綁定PubKey1，變化為綁定PubKey2舊證書{Alice,PubKey1}產(chǎn)生新證書{Alice,PubKey2}Client得到新的證書新證書是由COCA簽名的同時(shí)保證：在Update操作之后，至少已經(jīng)向2t+1個(gè)服務(wù)器寫入了新證書正確實(shí)現(xiàn)查詢的前提條件也是BQS的“Write”的要求22通常意義的證書功能如何用Update操作實(shí)現(xiàn)通常意義的證書功能證書簽發(fā)系統(tǒng)初始時(shí)，所有用戶都與某個(gè)“無意義的公鑰”相綁定將該“無意義的公鑰”，Update成為某個(gè)新的公鑰證書撤銷將原有的、與某個(gè)公鑰的綁定關(guān)系，變成與“無意義的公鑰”相綁定證書更新更換公鑰，進(jìn)行Update23COCA中的Query操作Query操作Clients查詢“Bob的最新證書是什么”COCA回應(yīng)Bob的最新證書，回應(yīng)消息也帶有CA簽名Resp={R,Certsig}sig其中R是請(qǐng)求消息標(biāo)識(shí)Cert是本來就具有CA數(shù)字簽名而且，整個(gè)回應(yīng)消息Resp，也是具有CA數(shù)字簽名的保證至少在其中的2t+1個(gè)服務(wù)器中都進(jìn)行查詢，然后比較證書序列號(hào)，得到最新的證書，然后回應(yīng)24本課內(nèi)容COCA的總體特點(diǎn)如何使用2種Operation來實(shí)現(xiàn)通常意義的證書、簽發(fā)、更新、撤銷、和查詢Operations:UpdateandQuery系統(tǒng)結(jié)構(gòu)2種Operation的協(xié)議詳細(xì)過程討論COCAPrototype25COCA的系統(tǒng)結(jié)構(gòu)包括若干Clients和3t+1臺(tái)服務(wù)器，如圖：26COCA的系統(tǒng)結(jié)構(gòu)3t+1臺(tái)服務(wù)器，構(gòu)成了COCA系統(tǒng)，分享了CA密鑰，其中任意t+1能合作完成數(shù)字簽名操作每臺(tái)服務(wù)器同時(shí)各都帶有自己的證書庫，存儲(chǔ)了用戶證書除了部分密鑰外（CA簽名密鑰的部分），每個(gè)服務(wù)器都有自己的公私密鑰對(duì)、而且是相互知道的才有可能完成服務(wù)器之間的相互認(rèn)證Client僅僅知道CA的公鑰即可，不需要知道各服務(wù)器的公鑰（即，不需要知道系統(tǒng)內(nèi)部的太多細(xì)節(jié)）27Operation-ClientsClients向任意t+1個(gè)服務(wù)器發(fā)起請(qǐng)求因?yàn)榭赡苷胻服務(wù)器已經(jīng)失效保證至少有1臺(tái)正確服務(wù)器收到請(qǐng)求至少要知道其中的t+1個(gè)服務(wù)器的地址周期性地重發(fā)請(qǐng)求，一直到得到COCA的回應(yīng)與Link的假設(shè)相對(duì)應(yīng)，不斷地重復(fù)發(fā)送將最終會(huì)被收到請(qǐng)注意：Clients不一定是PKISubscriber也可能是RA，也可能是最終用戶也可能是查詢接口服務(wù)器等等28請(qǐng)求消息格式Query{Query,c,seq,cid,cred}Query，表示是查詢請(qǐng)求c，Clients的名字seq，Clients維護(hù)的請(qǐng)求消息標(biāo)識(shí)，每次請(qǐng)求都不同cid，被查詢者的名字cred，credential，消息源認(rèn)證保證信息來自可靠的ClientUpdate{Update,c,seq,cert’,cid,key,cred}Update，表示是Updatecert’，用戶的舊證書因?yàn)樵贑OCA中，Update新證書的序列號(hào)是由舊證書計(jì)算出的cid，更新證書的實(shí)體名字。c和cid不一定相等，c可能是RA、cid是subscriberkey，新的PublicKey29Operation-Server至少會(huì)有1個(gè)服務(wù)器接收到Clients的請(qǐng)求因?yàn)镃lients向t+1個(gè)服務(wù)器不斷地重復(fù)發(fā)送接收到請(qǐng)求后，正確的Server如下處理Update簽名新的證書、將新證書發(fā)送到2t+1個(gè)服務(wù)器、簽名回應(yīng)消息、將回應(yīng)消息返回Client注意：有2次簽名操作（回應(yīng)消息與新證書不一樣）Query向2t+1個(gè)服務(wù)器進(jìn)行查詢、選出序列號(hào)最大的證書、簽名回應(yīng)消息回應(yīng)消息中，包括了查詢得到的最新證書上文的簽名均指CA簽名（利用門限密碼方案完成）30本課內(nèi)容COCA的總體特點(diǎn)如何使用2種Operation來實(shí)現(xiàn)通常意義的證書、簽發(fā)、更新、撤銷、和查詢Operations:UpdateandQuery系統(tǒng)結(jié)構(gòu)2種Operation的協(xié)議詳細(xì)過程討論COCAPrototype31COCA的協(xié)議詳細(xì)過程Update協(xié)議簽發(fā)證書、更新證書、撤銷證書Query協(xié)議獲得最新的證書32Update協(xié)議－1Clients向任意t+1服務(wù)器不停地重發(fā)請(qǐng)求{Update,c,seq,cert’,cid,key,cred}某臺(tái)服務(wù)器（后面，稱為delegateserver）接收到UpdateRequest之后，與其他服務(wù)器進(jìn)行通信：簽名新的證書、將新證書發(fā)送到2t+1個(gè)服務(wù)器、簽名回應(yīng)消息、將回應(yīng)消息返回Client注意：各COCA服務(wù)器都另有自己的密鑰對(duì)、而且都知道其他人的公鑰，用于Server之間通信的簽名和驗(yàn)證具體如下：33Update協(xié)議－2服務(wù)器簽名新的證書產(chǎn)生新的證書（未簽名的）新的證書序列號(hào)是按照預(yù)定的方式遞增，根據(jù)舊證書算出向所有的其他服務(wù)器發(fā)出“門限簽名請(qǐng)求”任意服務(wù)器，一旦接收到“門限簽名請(qǐng)求”，就檢查消息的正確性，然后進(jìn)行門限簽名，回應(yīng)門限簽名結(jié)果當(dāng)收到足夠多（至少t個(gè)）的門限簽名結(jié)果，加上自己，共t+1個(gè)，將其組成有效的證書如果收不到足夠的結(jié)果、或者不能組成有效的證書，則不斷地重復(fù)發(fā)出“門限簽名請(qǐng)求”34Update協(xié)議－3將新證書發(fā)送到2t+1個(gè)服務(wù)器根據(jù)t+1個(gè)門限簽名結(jié)果，組成新的證書存儲(chǔ)到自己的證書庫向所有的其他服務(wù)器廣播新的證書任意服務(wù)器，一旦接收到其他服務(wù)器發(fā)來的“新的證書”，就與本地存儲(chǔ)的證書進(jìn)行比較，如果的確是新的，就存儲(chǔ)在本地，然后發(fā)送確認(rèn)消息接收到2t個(gè)確認(rèn)消息后（包括自己，共有2t+1臺(tái)服務(wù)器擁有新的證書）如果收不到足夠的確認(rèn)消息，就不斷地重復(fù)廣播新的證書35Update協(xié)議－4簽名“給Client的回應(yīng)消息”將新的證書寫入到2t+1個(gè)服務(wù)器后BQS理論的要求服務(wù)器將會(huì)生成1個(gè)“給Client的回應(yīng)消息”回應(yīng)消息包括：新的證書+表示Update已經(jīng)成功完成的信息碼向所有的其他服務(wù)器發(fā)出“門限簽名請(qǐng)求”，要求簽名“給Client的回應(yīng)消息”過程與前面的簽名新證書類似36Update協(xié)議－5將簽名過的回應(yīng)消息，發(fā)送給Client服務(wù)器收集到足夠的門限簽名結(jié)果，并且組成了“簽名過的回應(yīng)消息”發(fā)送給Client，完成Update協(xié)議Client驗(yàn)證response的有效性37Update協(xié)議結(jié)果由t+1服務(wù)器合作產(chǎn)生新證書將新證書存儲(chǔ)到2t+1個(gè)服務(wù)器計(jì)算（最小計(jì)算量）2次門限簽名2*（t+1部分簽名，1次合成計(jì)算）（4t+3）次服務(wù)器簽名如下情況，則計(jì)算量更大消息傳遞有錯(cuò)誤失效服務(wù)器有意發(fā)送錯(cuò)誤信息有多個(gè)DelegateServer38Query協(xié)議－1Clients向任意t+1服務(wù)器不停地重發(fā)請(qǐng)求{Query,c,seq,cid,cred}某臺(tái)服務(wù)器（后面，稱為delegateserver）接收到UpdateRequest之后，與其他服務(wù)器進(jìn)行通信：向2t+1個(gè)服務(wù)器進(jìn)行查詢、選出序列號(hào)最大的證書、簽名回應(yīng)消息注意：各COCA服務(wù)器都另有自己的密鑰對(duì)、而且都知道其他人的公鑰，用于Server之間通信的簽名和驗(yàn)證具體如下：39Query協(xié)議－2服務(wù)器查詢最新的證書生成查詢消息向所有的服務(wù)器發(fā)出查詢消息任意服務(wù)器，一定接收到“查詢消息”，就從自己的證書庫中，找到該entity最新證書，然后回應(yīng)接收到2t個(gè)查詢回應(yīng)后（包括自己，共查詢了2t+1臺(tái)服務(wù)器）比較2t+1個(gè)證書，選出最新（序列號(hào)最大）的證書40Query協(xié)議－3簽名“給Client的回應(yīng)消息”生成“給Client的回應(yīng)消息”（未簽名）消息中包括了剛剛選出的最新證書+表示Query已成功完成的信息碼向所有的其他服務(wù)器發(fā)出“門限簽名請(qǐng)求”任意服務(wù)器，一旦接收到“門限簽名請(qǐng)求”，就檢查消息的正確性，然后進(jìn)行門限簽名，回應(yīng)門限簽名結(jié)果當(dāng)收到足夠多（至少t個(gè)）的門限簽名結(jié)果，加上自己共t+1個(gè)，將其組成有效的“給Client的回應(yīng)消息”如果收不到足夠的結(jié)果、或者不能組成有效的證書，則不斷地重復(fù)發(fā)出“門限簽名請(qǐng)求”41Query協(xié)議－4將簽名過的回應(yīng)消息，發(fā)送給Client消息中包括了剛剛選出的最新證書+表示Query已成功完成的信息碼Client驗(yàn)證response的有效性42Query協(xié)議結(jié)果比較2t+1個(gè)服務(wù)器中的證書，取出最新的由t+1服務(wù)器合作產(chǎn)生回應(yīng)消息計(jì)算（最小計(jì)算量）1次門限簽名（3t+2）次服務(wù)器簽名如下情況，則計(jì)算量更大消息傳遞有錯(cuò)誤失效服務(wù)器有意發(fā)送錯(cuò)誤信息有多個(gè)DelegateServer432種協(xié)議的分析－1回應(yīng)消息的簽名回應(yīng)消息具有CA的簽名，而不是某個(gè)特定服務(wù)器的簽名使得Clients可以不知道各個(gè)服務(wù)器的實(shí)現(xiàn)細(xì)節(jié)Clients僅僅需要知道COCA的公鑰（即CA證書），就可以驗(yàn)證回應(yīng)消息的有效性可以定期地更換服務(wù)器的公私密鑰對(duì)，不需要告訴Clients所以，在Update操作中，需要進(jìn)行2次門限簽名（1次是簽證書，1次是簽回應(yīng)消息）442種協(xié)議的分析－2在假設(shè)下，Update/Query協(xié)議是否能夠始終正確執(zhí)行結(jié)束最多t個(gè)服務(wù)器的Byzantine出錯(cuò)、FairLink/Asynchrony通信均是使用不斷重復(fù)廣播至少1個(gè)服務(wù)器能接收到ClientRequestYESDelegate能否收到t個(gè)門限簽名結(jié)果YES452種協(xié)議的分析－3在假設(shè)下，Update/Query協(xié)議是否能夠始終正確執(zhí)行結(jié)束最多t個(gè)服務(wù)器的Byzantine出錯(cuò)、FairLink/Asynchrony通信均是使用不斷重復(fù)廣播Delegate能否收到2t個(gè)確認(rèn)消息BQS理論的結(jié)論：YES2t個(gè)證書中（加上Delegate，共2t+1），是否包含了最新的證書BQS理論的結(jié)論：YES46BQS對(duì)讀寫操作的前提要求假設(shè)最多有t臺(tái)服務(wù)器失效，要求服務(wù)器總數(shù)至少是3t+1寫：至少對(duì)2t+1臺(tái)服務(wù)器完成操作讀：至少對(duì)2t+1臺(tái)服務(wù)器完成操作前提：“讀”“寫”操作是分別進(jìn)行的即，在“寫”操作完成之前，不進(jìn)行“讀”操作我們會(huì)看到，這導(dǎo)致了在COCA中，也有類似要求Query操作必須在Update操作執(zhí)行完成后進(jìn)行，才能保證查詢得到最新的證書47本課內(nèi)容COCA的總體特點(diǎn)系統(tǒng)結(jié)構(gòu)如何使用2種Operation來實(shí)現(xiàn)通常意義的證書、簽發(fā)、更新、撤銷、和查詢Operations:UpdateandQuery2種Operation的協(xié)議詳細(xì)過程討論DoSattackBQSProactiveRecoveryCOCAPrototype48COCAvs.DoSattack我們從COCA的協(xié)議中，可以看到，存在著很大的DoSattack隱患允許大量的廣播和轉(zhuǎn)發(fā)服務(wù)器之間，可以任意地轉(zhuǎn)發(fā)、廣播消息每次消息都將導(dǎo)致Server的公鑰密碼運(yùn)算公鑰計(jì)算，將會(huì)消耗大量的計(jì)算資源49DoSattack－ServerCOCA中的DoSattack假設(shè)有1臺(tái)服務(wù)器被攻占雖然不能得到CA密鑰，簽發(fā)虛假證書CompromisedServer可以緩存多個(gè)Clientrequest，不斷地向其他服務(wù)器廣播上述行為是允許的、正常的將大量地消耗其他服務(wù)器的計(jì)算資源需要注意：公鑰密碼是極其消耗資源的50DoSattack－ClientsCOCA中的DoSattack假設(shè)有Client被攻占不斷地進(jìn)行查詢，難以和正常Client區(qū)分開CompromisedClients可以同時(shí)向3t+1個(gè)服務(wù)器發(fā)送QueryRequest整個(gè)COCA系統(tǒng)的計(jì)算量就是：(3t+1)*(1次門限簽名+(3t+2)次服務(wù)器簽名)Server和Client之間的計(jì)算量極端不對(duì)稱計(jì)算資源消耗型的DoS51COCA對(duì)于DoS攻擊的應(yīng)對(duì)由于在系統(tǒng)整體設(shè)計(jì)上，COCA引入了巨大的DoSattack隱患所以采取了多種措施來抑制DoSattackRequest的源認(rèn)證CacheRequest的分類、輪流處理需要注意的是，這些抗DoS措施都是普遍的、并不是COCA專有的52Request的源認(rèn)證—1Update/Query請(qǐng)求消息中包括credential，Delegate發(fā)送的相應(yīng)門限簽名請(qǐng)求，也要包括完整的request(credential)credential也就是Client計(jì)算的數(shù)據(jù)源認(rèn)證所以，從CompromisedServer發(fā)起DoS攻擊，要使用緩存的ClientRequest；不能自己偽造credential增加了CompromisedServer發(fā)起DoS攻擊的難度53Request的源認(rèn)證—2對(duì)于每個(gè)Client發(fā)出的Request中的seq（請(qǐng)求消息序列號(hào)），必須是遞增的CompromisedServer只能重發(fā)每個(gè)Client的、最近的若干request如果正常Server發(fā)現(xiàn)：對(duì)于某一個(gè)Client，seq小于曾經(jīng)處理過的seq，則拒絕處理54Cache緩存最近幾次的計(jì)算結(jié)果經(jīng)過上面分析，CompromisedServer只能是轉(zhuǎn)發(fā)最近若干次的ClientRequest正常Server緩存了最近的計(jì)算結(jié)果，則不需要重新計(jì)算，僅僅取出緩存結(jié)果回復(fù)而已如果緩存命中率高，則難以形成DoS55Request的分類、輪流處理每個(gè)Server有多個(gè)處理隊(duì)列，進(jìn)行輪流處理。大致原理如下：來自不同服務(wù)器/Client的請(qǐng)求放入不同隊(duì)列各個(gè)隊(duì)列輪流處理，不讓某個(gè)服務(wù)器/Client獨(dú)占自己的計(jì)算資源，再次降低了DoS攻擊的風(fēng)險(xiǎn)如圖，處理順序如下Req11,Req21,Msg11,Msg21,Req12,Req22,Msg22,…56COCA與其他門限密碼CA系統(tǒng)的不同引入了BQS理論BQS是對(duì)于讀寫操作的理論Query等同于ReadUpdate接近于WriteUpdate等于：產(chǎn)生數(shù)據(jù)+Write數(shù)據(jù)57BQS理論的作用所以，Update操作可以視為2部分產(chǎn)生數(shù)據(jù)（證書）：普通的門限密碼簽名向2t+1服務(wù)器寫入數(shù)據(jù)：普通的BQSWrite操作Query操作