一個對抗主動攻擊的無線傳輸安全層的握手協(xié)議

1、一個對抗主動攻擊的無線傳輸安全層的握手協(xié)議摘要wtls作為一個wap的可靠的協(xié)議，使得tls適合于無線壞 境，tls適用于無線英特網(wǎng)協(xié)議tcpo wtls的冃的是提供安全和高效 的服務。wtls協(xié)議有四個協(xié)議組成，如握手協(xié)議，改變加密算法協(xié) 議（changecipherspec），警告（alert）協(xié)議，和應用數(shù)據(jù)協(xié)議。在 本文我們將分析握手協(xié)議的性質(zhì)和建立主要秘密的過程的細節(jié)。然 后，我們分析本協(xié)議對幾種攻擊模型的安全性。我們也提出了一個新 的握手協(xié)議，這個協(xié)議對兒種主動的攻擊模型都是具有安全性的，同 時提供各種安全性的服務。關鍵詞：無線傳輸層安全性，握手協(xié)議，主動攻擊，橢圓曲線密碼 一、

2、介紹近來，由于無線英特網(wǎng)的快速增長，新的顧客和服務已經(jīng)形成 to這意味著移動通訊系統(tǒng)和客戶移動設備能夠進入網(wǎng)絡。為了使操 作員和產(chǎn)品能滿足進步的服務，區(qū)別和快速/靈活的服務標準的挑戰(zhàn)。 wap論壇定義了一套傳輸層（wdp）,安全層（wtls）,處理層（wtp）, 會話層（wsp），和應用層（wae）協(xié)議。安全層協(xié)議在wap結構中稱 為無線安全傳輸層，wtlso wtls主要的目標是提供兩個通訊實體之 間的保密，數(shù)據(jù)完善，認證和密鑰協(xié)商等。wtls在功能上類似與 tls1.0,并融合了一些新的特征，如數(shù)據(jù)包的支持，優(yōu)化的握手和動 態(tài)的密鑰更新。該wtls協(xié)議適合于相對較長延遲的低帶寬網(wǎng)絡，并 且

3、有四個協(xié)議組成：握手協(xié)議，預警協(xié)議，更改密碼規(guī)范協(xié)議和記錄 協(xié)議。wtls握手協(xié)議是用于商議wap體系中wtls層安全會話的屬性。但是，目前的wtls握手協(xié)議在主動攻擊模式中有幾種安全的問 題，例如積極的模仿，密鑰折衷的模仿，前向保密，已知密鑰被動攻 擊，已知密鑰模仿攻擊等。在本文中，我們分析握手協(xié)議的性能和對 抗幾種攻擊模式的安全性。我們也提出了一個新的握手協(xié)議，它對抗 幾種主動攻擊模式十分安全，并且能提供各種安全服務。本文剩下部分將作如下組織：在第2節(jié)，我們列出了現(xiàn)有的wtls 握手協(xié)議和分析對若干主動攻擊模式的安全功能。在第3節(jié)，我們介 紹了推薦的wtls握手協(xié)議（該協(xié)議對若干主動攻擊模

4、型具有安全性） 并分析安全的特征和與其它現(xiàn)有的wtls握手協(xié)議的服務的比較。在 第4節(jié)給出結論。二、現(xiàn)有的wtls握手協(xié)議wtls握手協(xié)議產(chǎn)生密碼系統(tǒng)參數(shù)，用于安全會話和wtls的記錄 層頂部的操作。當一個wtls客戶端和服務器第一次啟動通訊時，他 們協(xié)商在一個協(xié)議版本，選擇加密算法，彼此驗證，并使用公開密 鑰加密技術來生成一個共享的秘密。wtls握手協(xié)議包括以下步驟： 交換hello消息商定算法，交換隨機值。交換必要的加密參數(shù)，以便客戶端和服務器商立一項預主秘 密。交換證書和加密信息，以允許客戶端和服務器認證彼此。從前一個主秘密和交換的隨機值中生成一個主秘密。提供安全參數(shù)給記錄層。計算了相同

5、的安全參數(shù)，允許客戶端和服務器來驗證他們的 同伴，沒有被任何攻擊篡改時握手發(fā)生。二（一）、參數(shù)現(xiàn)有的wtls握手協(xié)議中，系統(tǒng)的參數(shù)定義如下：v： : wtls的版本 e：終端實體（ee）-sid：安全會話的id secnege:實體e支持的信息，如密鑰交換訴訟，密碼訴訟，壓縮方法，新的密鑰等。昭:前主秘密 km :主秘密加）：單向散列函數(shù)忑:實體e的私人密鑰 pe：實體e的公共密鑰 c叫:實體e的身份證明 re：實體e產(chǎn)生的隨機數(shù) ek （$ ）：使用密鑰k對稱加密（解密） xpy ： x和y的串聯(lián) g :橢圓曲線發(fā)生器二（二）、現(xiàn)有協(xié)議的操作在握手協(xié)議中所有安全相關的參數(shù)都被協(xié)商。這些參數(shù)包

6、括屬 性如使用的協(xié)議版木，使用的加密算法，用于認證的信息和公共密 鑰技術來生成一個共享的秘密。握手始于一個hello消息?？蛻舳税l(fā)送一個clienthello消息 發(fā)送到服務器。服務器必須用severhello消息來響應消息。在這兩 個hello消息后，通信雙方同意會話能力。發(fā)送hello消息之后， 如果實體需要被驗證，服務器必須發(fā)送它的身份通行證。此外，如 果被需要或服務器可能會要求客戶端身份驗證，如果這些適合密鑰 交換程序，一個服務器密鑰交換信息也可以被發(fā)送。接下來，服務 器發(fā)送一個服務器問候結束消息，表明握手的hello消息階段完成。 然后，服務器等待客戶端的響應。如果服務器發(fā)送了個身份

7、驗證 請求消息，客戶端必須發(fā)出一個身份驗證信息。如果客戶端的身份 驗證信息沒有包含密鑰交換的足夠的數(shù)據(jù)或者根本就沒有發(fā)送，一 個客戶端密鑰交換消息被發(fā)送。信息的內(nèi)容依賴于客戶端問候信息 和服務器問候信息之間的公共密鑰算法的選擇。在這之后，預主秘 密被設置。如果客戶端使用簽署能力進行身份驗，發(fā)送一個驗證信 息去通過數(shù)字的簽名明確地證明身份。在這一點上，客戶端發(fā)送一 個changcciphcrspoc消息，并且客戶端復制待加密說明到當前的寫 入加密說明。隨即，客戶端在新算法、密鑰和秘密下發(fā)送一個完成 信息。當服務器收到changecipherspec消息，服務器也復制待加密 說明到當前的讀加密說明

8、。作為回應，服務器也發(fā)送自己的 changecipherspec信息，設置它的當前的些加密說明到到待加密說 明，并且在新的加密說明下發(fā)送它自己的完成信息。在這一點上， 握手已經(jīng)完成，客戶端和服務器可能會開始交換應用層數(shù)據(jù)。圖1 表明使用一個基于ec的dh密鑰交換和ec-dsa的完整握手協(xié)議的消息流。client |cserver |s|clienthellolrc y, s?d, secneg crsjsld,secne sserverhellos scertificatepl scertificaterequest心m k 坨l|禺）cert rserverhellod one)certii

9、icateckp =2嘰 | 婦| rs)s = ( h llandshake ) + r)f' mod qh(handshake ) |r | certificateverifyu - h handshake ) 點r?=穴(" g + rs& )cha ngec iph erspec)c haneecipherspec|finishedfinishedapplicanon data).application data|« q : a large prime q = k : a ramdom value selected by the client. （p

10、 = （x. y） = x 圖1 現(xiàn)有的wtls握手協(xié)議二（三）、e -握手的安全性分析（1）主動攻擊模型在這一小節(jié)中，我們分析現(xiàn)有的wtls握手協(xié)議的安全性。在 本文屮在所考慮的協(xié)議的安全性目標是主動模仿（ai）,前向保 密（fs）,密鑰危害模仿（kci）,已知密鑰安全性，它們的定義 如下:主動模仿（ai）： 個帶有實體u的敵人進入了會話層，假 冒另一個實體v并計算u和v之間的會話密鑰。前向保密（fs）：即使一個或多個實體的長期的私人密鑰被 危害時，通過一個忠實的實體建立的先前的會話密鑰的保密也不 會受影響時，該協(xié)議用于提供前向保密。有事在一個單獨的私人 密鑰被危害時（半前向保密）的情景和兩

11、個實體的私人密鑰都被 危害時（全前向保密）的情景之間存在差別。密鑰危害模仿（kci）：假設實體u的長期的私人密鑰被鎖 定。顯然對手知道這個值并模仿實體u,因為正是這個值標識了 實體u。但是，在某些情況如損失并不能使對手模仿其他實體到 u,這一點可能是可取的。然后密鑰協(xié)議援助提供一個密鑰危害 模仿的應變能力。已知密鑰安全（kks）：盡管在一個對手已了解其它的一些 會話密鑰時，這個協(xié)議應該也能達到它的目的。下面有兩種已知 密鑰的攻擊。- 己知密鑰被動攻擊：一個對手獲得了先前使用過的密 鑰，然后用這些信息去決定一個新的密鑰。- 已知密鑰模擬攻擊：一個對手進入了會話，將自己冒充 為一個有先前會話密鑰的

12、有效的實體v,并初始密鑰標 記，最終計算實體u和實體v之間的會話密鑰。（2）安全性分析對抗ai：當對手試圖去冒充為ee去要求產(chǎn)生主秘密時， 他（她）不只是確認彼此的身份確認信息，而且他（她） 不知道ee的私人密鑰。對抗fs： 個對手a知道客戶或者服務器的私人密鑰進入 了會話，并用客戶或者服務器的私人密鑰計算主秘密，公共密鑰和隨機數(shù)如下：1) 一個對手a用危害的私人密鑰&和場的公共密鑰， 計算先前的主秘密kp二叫空。2) 一個對手a用先前的主秘密和隨機數(shù)re來計算主秘 密 km = hkp p心 p©)。對抗kci: 一個對手a知道客戶c的私人密鑰藝進入會話, 并且將自己冒充為

13、服務器s,然后和客戶計算主秘密如下:1) 一個對手a在收到客戶c的尺后,發(fā)送隨機數(shù)ra給客 戶co2) 一個對手a計算先前的主秘密和主秘密。kp=xcpsikm=h(kp rcwr,)對抗kks：有先前主秘密和傳輸信息的對手a進入會話并 冒充自己為有效的ee,然后用先前主秘密，傳輸信息和公 共信息計算主秘密。1) 一個對手a知道以前的先前秘密有一個長期的密鑰 組成。2) 一個對手a用一個先前的主秘密和一個隨機數(shù)計算 主秘密。km=hkpre | )三、推薦的wtls握手協(xié)議 三(一)、參數(shù)在推薦的wtls握手協(xié)議屮用到的系統(tǒng)參數(shù)的定義如下:xca:權威證明的私人密鑰 pca:權威證明的公共密鑰

14、%： ee的長期的私人密鑰 仏：ee的長期的公共密鑰 x£： ee的臨時的私人密鑰pe： ee的臨時的公共密鑰 嘰：中間的朵亂值cie： ee的說明信息 n： g 的順jti 1=1 /?（） i 剩下的與二（一）節(jié)中的相同。三（二）、問題說明end entity |e|certification authority |ca|long-term key pair)吃4）pe 嚴 ggpca=xcagc/£g = kog = (x，yj加ca lluj-ra mod n叫=mc/£ | q j八certe =(/>*|5£)cert e,ci ee

15、v £ h £/seg-uepca =(,>?；) = r£心'？=穴(仕)一個末尾實體有一個長期的密鑰對（xee'pe,此處 也=飛&。ee還有一個被ca在公共密鑰生中發(fā)布的證明書 qerteo讓:變成ca的密鑰對，此處的巴衛(wèi)二gg。在公 共密鑰乙中的證明書3e是ca的修改自己的證明書簽名，證明書 簽名是在一些ca準備的證明信息c仏中，它包含序列號，長期公共密 鑰，簽字者的身份，發(fā)行者的身份，有效的期限，延伸部分等。為了 發(fā)行qerh, ca選擇并計算z （二），re -兀（忌”和*。se = g h（c】e 11'） +

16、kca mod n它的有效性通過下式證明"上=力（cqi松） sfi-uepca =（xl>yl）=re re? = 7r（re）ee保持一個長期的密鑰也和說明信息*。三（三）、推薦協(xié)議的操作推薦的wtls協(xié)議由一下算法組成。密鑰的產(chǎn)生：一個末端實體通過用一個長期的密鑰對 （牝訂隹）,和一個證明書"叫來計算一個臨時的密鑰對（xea）。1） 服務器密鑰產(chǎn)生：xs = x es + ss，ps pes + ca ' us + rs（where us = h（cis | 心）2） 客戶密鑰產(chǎn)生:xc = xec +> pc = pec + ca 'uc

17、 + rc(where uc = h(cic | d簽名：使用臨時的簽名密鑰忑，在信息和證明書certe基礎上，ee計算一個修改的scsio3) 服務器簽名- 選擇一個隨機值化亍并計算丁。ts = ksg , ts'=7t(ts)- 準備一個相關的信息cis ill'll 厲- 計算一個簽名。ss =xs-h(cis ill'll 7；')+ zrs mod n4) 客戶簽名- 選擇一個隨機值k并計算。tc =kcg, tcojc)- 準備一個相關的信息ii = (handshake), h cis | 心- 計算一個簽名。sc = xc- h(ii | cic

18、 | z'll tc')+ kc mod n 證明：檢驗這檢查(gt uleje 的有效性如下:5) 服務器證明-計算客戶的臨時公共密鑰。- 用下列步驟證實簽名。uec=h（hcicrc'tc'）sfg uec pc = tc = （x,c,兒）6）客戶證明- 計算客戶的臨時公共密鑰。ps = pes + ca '"s + rs- 用下列步驟證實簽名。%（4 | 閱"）ssg-uesps = ts = （xtsiyts）忌？ 5八）推薦的wtls握手協(xié)議的過程如下：%1 客戶和服務器發(fā)送一個問候信息，包括一個先前計 算的隨機值ku/s

19、）g，版本v,會話id sid和其它 安全協(xié)商sec:xec/s）要求的信息。%1 服務器用密鑰產(chǎn)生（1）計算一個臨時密鑰對%1 服務器用簽名（3）產(chǎn)生個簽名并發(fā)送（wii ss） | cis | 心到客戶。%1 客戶計算服務器的臨時公共密鑰&并用證明（6）證 明服務器的簽名。%1 客戶計算先前的秘密和主秘密。kp = rcrsgkm = h（kprcpsy%1 客戶用密鑰產(chǎn)生（2）計算臨時的密鑰對（xc4）。%1 客戶能夠簽名（4）生成一個簽名并將c發(fā)送到服務 器。c = ekm（tc'sc）cicrc%1 客戶計算先前的主秘密和主秘密。kp = rcrsg,= h（kp i

20、i xsg）%1 服務器解碼c并用證明（5）證實客戶簽名。%1 這時，客戶和服務器發(fā)送changecipherspec和一個 完成信息給彼此。握手完成，交換應用層數(shù)據(jù)開始。三（四）、分析（1）安全性分析對抗ai：當一個對手試圖去冒充白己為一個有效的實體去 同客戶和服務器建立主秘密，他（她）不能產(chǎn)生一個有效的數(shù) 字簽名ss因此他（她）不知道秘密信息和ca的私人密鑰 和隨機值o對抗fs：在推薦的算法中，即使兩個實體的私人密鑰被破壞, 先前的主秘密將被保護，因此對手不知道客戶和服務器之間的 隨機值推薦的協(xié)議能夠提供全部的前向保密。對抗kci：即使對手獲得一個實體的長期私人密鑰，他（她） 不能計算主秘

21、密，因為他（她）不知道秘密證明信息、尸。因此, 即使對手知道實體的長期私人密鑰，他（她）也不能冒充為一 個有效的實體。對抗kks：在推薦的協(xié)議中，由于兩個實體的隨機值包含在 先前的主秘密中，即使對手獲得先前的主秘密和傳輸信息，他(她)也不能從計算當前主秘密的信息屮得到任何好處。因此, 所推薦的協(xié)議對于kkp和kki攻擊是非常安全的。現(xiàn)有協(xié)議的安全性分析結果及推薦協(xié)議的總結如下表。表1安全性分析結果主動攻擊模型現(xiàn)有的協(xié)議推薦的協(xié)議ai安全安全fs不提供提供全部fskci不安全安全kkp不安全安全kkl不安全安全(2)性質(zhì)在本小節(jié)中，我們分析推薦協(xié)議的性質(zhì)。推薦的協(xié)議能提供共 同的實體認證，一個單

22、向密鑰信息，一個共同的密鑰更新，用戶匿名 等。表2是現(xiàn)有協(xié)議和推薦協(xié)議比較的總結。表2現(xiàn)有協(xié)議和推薦協(xié)議的比較性質(zhì)現(xiàn)有協(xié)議推薦協(xié)議n-通道54實體認證單向共同密鑰證實不提供單向隱式密鑰證實共同共同顯式密鑰證實不提供單向密鑰更新共同共同用戶匿名不提供提供四、總結我們考慮wtls握手協(xié)議的性質(zhì)及安全性和建立主秘密的過程。在本文中，我們分析了現(xiàn)有的wtls握手協(xié)議的安全性和推薦的協(xié)議 在兒種主動攻擊模型（如主動冒充，密鑰損害冒充，前向保密，已知 密鑰主動攻擊，已知密鑰模仿攻擊）中的安全性。推薦的wtls握手 協(xié)議對前面提到的幾種主動攻擊模式具有安全性，并且提供各種安全 性服務。推薦的協(xié)議執(zhí)行容易，并且提供具有本文所分析的