一個(gè)對(duì)抗主動(dòng)攻擊的無(wú)線傳輸安全層的握手協(xié)議

1、一個(gè)對(duì)抗主動(dòng)攻擊的無(wú)線傳輸安全層的握手協(xié)議摘要wtls作為一個(gè)wap的可靠的協(xié)議，使得tls適合于無(wú)線壞 境，tls適用于無(wú)線英特網(wǎng)協(xié)議tcpo wtls的冃的是提供安全和高效 的服務(wù)。wtls協(xié)議有四個(gè)協(xié)議組成，如握手協(xié)議，改變加密算法協(xié) 議（changecipherspec），警告（alert）協(xié)議，和應(yīng)用數(shù)據(jù)協(xié)議。在 本文我們將分析握手協(xié)議的性質(zhì)和建立主要秘密的過(guò)程的細(xì)節(jié)。然 后，我們分析本協(xié)議對(duì)幾種攻擊模型的安全性。我們也提出了一個(gè)新 的握手協(xié)議，這個(gè)協(xié)議對(duì)兒種主動(dòng)的攻擊模型都是具有安全性的，同 時(shí)提供各種安全性的服務(wù)。關(guān)鍵詞：無(wú)線傳輸層安全性，握手協(xié)議，主動(dòng)攻擊，橢圓曲線密碼 一、

2、介紹近來(lái)，由于無(wú)線英特網(wǎng)的快速增長(zhǎng)，新的顧客和服務(wù)已經(jīng)形成 to這意味著移動(dòng)通訊系統(tǒng)和客戶移動(dòng)設(shè)備能夠進(jìn)入網(wǎng)絡(luò)。為了使操 作員和產(chǎn)品能滿足進(jìn)步的服務(wù)，區(qū)別和快速/靈活的服務(wù)標(biāo)準(zhǔn)的挑戰(zhàn)。 wap論壇定義了一套傳輸層（wdp）,安全層（wtls）,處理層（wtp）, 會(huì)話層（wsp），和應(yīng)用層（wae）協(xié)議。安全層協(xié)議在wap結(jié)構(gòu)中稱 為無(wú)線安全傳輸層，wtlso wtls主要的目標(biāo)是提供兩個(gè)通訊實(shí)體之 間的保密，數(shù)據(jù)完善，認(rèn)證和密鑰協(xié)商等。wtls在功能上類似與 tls1.0,并融合了一些新的特征，如數(shù)據(jù)包的支持，優(yōu)化的握手和動(dòng) 態(tài)的密鑰更新。該wtls協(xié)議適合于相對(duì)較長(zhǎng)延遲的低帶寬網(wǎng)絡(luò)，并 且

3、有四個(gè)協(xié)議組成：握手協(xié)議，預(yù)警協(xié)議，更改密碼規(guī)范協(xié)議和記錄 協(xié)議。wtls握手協(xié)議是用于商議wap體系中wtls層安全會(huì)話的屬性。但是，目前的wtls握手協(xié)議在主動(dòng)攻擊模式中有幾種安全的問(wèn) 題，例如積極的模仿，密鑰折衷的模仿，前向保密，已知密鑰被動(dòng)攻 擊，已知密鑰模仿攻擊等。在本文中，我們分析握手協(xié)議的性能和對(duì) 抗幾種攻擊模式的安全性。我們也提出了一個(gè)新的握手協(xié)議，它對(duì)抗 幾種主動(dòng)攻擊模式十分安全，并且能提供各種安全服務(wù)。本文剩下部分將作如下組織：在第2節(jié)，我們列出了現(xiàn)有的wtls 握手協(xié)議和分析對(duì)若干主動(dòng)攻擊模式的安全功能。在第3節(jié)，我們介 紹了推薦的wtls握手協(xié)議（該協(xié)議對(duì)若干主動(dòng)攻擊模

4、型具有安全性） 并分析安全的特征和與其它現(xiàn)有的wtls握手協(xié)議的服務(wù)的比較。在 第4節(jié)給出結(jié)論。二、現(xiàn)有的wtls握手協(xié)議wtls握手協(xié)議產(chǎn)生密碼系統(tǒng)參數(shù)，用于安全會(huì)話和wtls的記錄 層頂部的操作。當(dāng)一個(gè)wtls客戶端和服務(wù)器第一次啟動(dòng)通訊時(shí)，他 們協(xié)商在一個(gè)協(xié)議版本，選擇加密算法，彼此驗(yàn)證，并使用公開密 鑰加密技術(shù)來(lái)生成一個(gè)共享的秘密。wtls握手協(xié)議包括以下步驟： 交換hello消息商定算法，交換隨機(jī)值。交換必要的加密參數(shù)，以便客戶端和服務(wù)器商立一項(xiàng)預(yù)主秘 密。交換證書和加密信息，以允許客戶端和服務(wù)器認(rèn)證彼此。從前一個(gè)主秘密和交換的隨機(jī)值中生成一個(gè)主秘密。提供安全參數(shù)給記錄層。計(jì)算了相同

5、的安全參數(shù)，允許客戶端和服務(wù)器來(lái)驗(yàn)證他們的 同伴，沒有被任何攻擊篡改時(shí)握手發(fā)生。二（一）、參數(shù)現(xiàn)有的wtls握手協(xié)議中，系統(tǒng)的參數(shù)定義如下：v： : wtls的版本 e：終端實(shí)體（ee）-sid：安全會(huì)話的id secnege:實(shí)體e支持的信息，如密鑰交換訴訟，密碼訴訟，壓縮方法，新的密鑰等。昭:前主秘密 km :主秘密加）：?jiǎn)蜗蛏⒘泻瘮?shù)忑:實(shí)體e的私人密鑰 pe：實(shí)體e的公共密鑰 c叫:實(shí)體e的身份證明 re：實(shí)體e產(chǎn)生的隨機(jī)數(shù) ek （$ ）：使用密鑰k對(duì)稱加密（解密） xpy ： x和y的串聯(lián) g :橢圓曲線發(fā)生器二（二）、現(xiàn)有協(xié)議的操作在握手協(xié)議中所有安全相關(guān)的參數(shù)都被協(xié)商。這些參數(shù)包

6、括屬 性如使用的協(xié)議版木，使用的加密算法，用于認(rèn)證的信息和公共密 鑰技術(shù)來(lái)生成一個(gè)共享的秘密。握手始于一個(gè)hello消息?？蛻舳税l(fā)送一個(gè)clienthello消息 發(fā)送到服務(wù)器。服務(wù)器必須用severhello消息來(lái)響應(yīng)消息。在這兩 個(gè)hello消息后，通信雙方同意會(huì)話能力。發(fā)送hello消息之后， 如果實(shí)體需要被驗(yàn)證，服務(wù)器必須發(fā)送它的身份通行證。此外，如 果被需要或服務(wù)器可能會(huì)要求客戶端身份驗(yàn)證，如果這些適合密鑰 交換程序，一個(gè)服務(wù)器密鑰交換信息也可以被發(fā)送。接下來(lái)，服務(wù) 器發(fā)送一個(gè)服務(wù)器問(wèn)候結(jié)束消息，表明握手的hello消息階段完成。 然后，服務(wù)器等待客戶端的響應(yīng)。如果服務(wù)器發(fā)送了個(gè)身份

7、驗(yàn)證 請(qǐng)求消息，客戶端必須發(fā)出一個(gè)身份驗(yàn)證信息。如果客戶端的身份 驗(yàn)證信息沒有包含密鑰交換的足夠的數(shù)據(jù)或者根本就沒有發(fā)送，一 個(gè)客戶端密鑰交換消息被發(fā)送。信息的內(nèi)容依賴于客戶端問(wèn)候信息 和服務(wù)器問(wèn)候信息之間的公共密鑰算法的選擇。在這之后，預(yù)主秘 密被設(shè)置。如果客戶端使用簽署能力進(jìn)行身份驗(yàn)，發(fā)送一個(gè)驗(yàn)證信 息去通過(guò)數(shù)字的簽名明確地證明身份。在這一點(diǎn)上，客戶端發(fā)送一 個(gè)changcciphcrspoc消息，并且客戶端復(fù)制待加密說(shuō)明到當(dāng)前的寫 入加密說(shuō)明。隨即，客戶端在新算法、密鑰和秘密下發(fā)送一個(gè)完成 信息。當(dāng)服務(wù)器收到changecipherspec消息，服務(wù)器也復(fù)制待加密 說(shuō)明到當(dāng)前的讀加密說(shuō)明

8、。作為回應(yīng)，服務(wù)器也發(fā)送自己的 changecipherspec信息，設(shè)置它的當(dāng)前的些加密說(shuō)明到到待加密說(shuō) 明，并且在新的加密說(shuō)明下發(fā)送它自己的完成信息。在這一點(diǎn)上， 握手已經(jīng)完成，客戶端和服務(wù)器可能會(huì)開始交換應(yīng)用層數(shù)據(jù)。圖1 表明使用一個(gè)基于ec的dh密鑰交換和ec-dsa的完整握手協(xié)議的消息流。client |cserver |s|clienthellolrc y, s?d, secneg crsjsld,secne sserverhellos scertificatepl scertificaterequest心m k 坨l|禺）cert rserverhellod one)certii

9、icateckp =2嘰 | 婦| rs)s = ( h llandshake ) + r)f' mod qh(handshake ) |r | certificateverifyu - h handshake ) 點(diǎn)r?=穴(" g + rs& )cha ngec iph erspec)c haneecipherspec|finishedfinishedapplicanon data).application data|« q : a large prime q = k : a ramdom value selected by the client. （p

10、 = （x. y） = x 圖1 現(xiàn)有的wtls握手協(xié)議二（三）、e -握手的安全性分析（1）主動(dòng)攻擊模型在這一小節(jié)中，我們分析現(xiàn)有的wtls握手協(xié)議的安全性。在 本文屮在所考慮的協(xié)議的安全性目標(biāo)是主動(dòng)模仿（ai）,前向保 密（fs）,密鑰危害模仿（kci）,已知密鑰安全性，它們的定義 如下:主動(dòng)模仿（ai）： 個(gè)帶有實(shí)體u的敵人進(jìn)入了會(huì)話層，假 冒另一個(gè)實(shí)體v并計(jì)算u和v之間的會(huì)話密鑰。前向保密（fs）：即使一個(gè)或多個(gè)實(shí)體的長(zhǎng)期的私人密鑰被 危害時(shí)，通過(guò)一個(gè)忠實(shí)的實(shí)體建立的先前的會(huì)話密鑰的保密也不 會(huì)受影響時(shí)，該協(xié)議用于提供前向保密。有事在一個(gè)單獨(dú)的私人 密鑰被危害時(shí)（半前向保密）的情景和兩

11、個(gè)實(shí)體的私人密鑰都被 危害時(shí)（全前向保密）的情景之間存在差別。密鑰危害模仿（kci）：假設(shè)實(shí)體u的長(zhǎng)期的私人密鑰被鎖 定。顯然對(duì)手知道這個(gè)值并模仿實(shí)體u,因?yàn)檎沁@個(gè)值標(biāo)識(shí)了 實(shí)體u。但是，在某些情況如損失并不能使對(duì)手模仿其他實(shí)體到 u,這一點(diǎn)可能是可取的。然后密鑰協(xié)議援助提供一個(gè)密鑰危害 模仿的應(yīng)變能力。已知密鑰安全（kks）：盡管在一個(gè)對(duì)手已了解其它的一些 會(huì)話密鑰時(shí)，這個(gè)協(xié)議應(yīng)該也能達(dá)到它的目的。下面有兩種已知 密鑰的攻擊。- 己知密鑰被動(dòng)攻擊：一個(gè)對(duì)手獲得了先前使用過(guò)的密 鑰，然后用這些信息去決定一個(gè)新的密鑰。- 已知密鑰模擬攻擊：一個(gè)對(duì)手進(jìn)入了會(huì)話，將自己冒充 為一個(gè)有先前會(huì)話密鑰的

12、有效的實(shí)體v,并初始密鑰標(biāo) 記，最終計(jì)算實(shí)體u和實(shí)體v之間的會(huì)話密鑰。（2）安全性分析對(duì)抗ai：當(dāng)對(duì)手試圖去冒充為ee去要求產(chǎn)生主秘密時(shí)， 他（她）不只是確認(rèn)彼此的身份確認(rèn)信息，而且他（她） 不知道ee的私人密鑰。對(duì)抗fs： 個(gè)對(duì)手a知道客戶或者服務(wù)器的私人密鑰進(jìn)入 了會(huì)話，并用客戶或者服務(wù)器的私人密鑰計(jì)算主秘密，公共密鑰和隨機(jī)數(shù)如下：1) 一個(gè)對(duì)手a用危害的私人密鑰&和場(chǎng)的公共密鑰， 計(jì)算先前的主秘密kp二叫空。2) 一個(gè)對(duì)手a用先前的主秘密和隨機(jī)數(shù)re來(lái)計(jì)算主秘 密 km = hkp p心 p©)。對(duì)抗kci: 一個(gè)對(duì)手a知道客戶c的私人密鑰藝進(jìn)入會(huì)話, 并且將自己冒充為

13、服務(wù)器s,然后和客戶計(jì)算主秘密如下:1) 一個(gè)對(duì)手a在收到客戶c的尺后,發(fā)送隨機(jī)數(shù)ra給客 戶co2) 一個(gè)對(duì)手a計(jì)算先前的主秘密和主秘密。kp=xcpsikm=h(kp rcwr,)對(duì)抗kks：有先前主秘密和傳輸信息的對(duì)手a進(jìn)入會(huì)話并 冒充自己為有效的ee,然后用先前主秘密，傳輸信息和公 共信息計(jì)算主秘密。1) 一個(gè)對(duì)手a知道以前的先前秘密有一個(gè)長(zhǎng)期的密鑰 組成。2) 一個(gè)對(duì)手a用一個(gè)先前的主秘密和一個(gè)隨機(jī)數(shù)計(jì)算 主秘密。km=hkpre | )三、推薦的wtls握手協(xié)議 三(一)、參數(shù)在推薦的wtls握手協(xié)議屮用到的系統(tǒng)參數(shù)的定義如下:xca:權(quán)威證明的私人密鑰 pca:權(quán)威證明的公共密鑰

14、%： ee的長(zhǎng)期的私人密鑰 仏：ee的長(zhǎng)期的公共密鑰 x£： ee的臨時(shí)的私人密鑰pe： ee的臨時(shí)的公共密鑰 嘰：中間的朵亂值cie： ee的說(shuō)明信息 n： g 的順jti 1=1 /?（） i 剩下的與二（一）節(jié)中的相同。三（二）、問(wèn)題說(shuō)明end entity |e|certification authority |ca|long-term key pair)吃4）pe 嚴(yán) ggpca=xcagc/£g = kog = (x，yj加ca lluj-ra mod n叫=mc/£ | q j八certe =(/>*|5£)cert e,ci ee

15、v £ h £/seg-uepca =(,>?；) = r£心'？=穴(仕)一個(gè)末尾實(shí)體有一個(gè)長(zhǎng)期的密鑰對(duì)（xee'pe,此處 也=飛&。ee還有一個(gè)被ca在公共密鑰生中發(fā)布的證明書 qerteo讓:變成ca的密鑰對(duì)，此處的巴衛(wèi)二gg。在公 共密鑰乙中的證明書3e是ca的修改自己的證明書簽名，證明書 簽名是在一些ca準(zhǔn)備的證明信息c仏中，它包含序列號(hào)，長(zhǎng)期公共密 鑰，簽字者的身份，發(fā)行者的身份，有效的期限，延伸部分等。為了 發(fā)行qerh, ca選擇并計(jì)算z （二），re -兀（忌”和*。se = g h（c】e 11'） +

16、kca mod n它的有效性通過(guò)下式證明"上=力（cqi松） sfi-uepca =（xl>yl）=re re? = 7r（re）ee保持一個(gè)長(zhǎng)期的密鑰也和說(shuō)明信息*。三（三）、推薦協(xié)議的操作推薦的wtls協(xié)議由一下算法組成。密鑰的產(chǎn)生：一個(gè)末端實(shí)體通過(guò)用一個(gè)長(zhǎng)期的密鑰對(duì) （牝訂隹）,和一個(gè)證明書"叫來(lái)計(jì)算一個(gè)臨時(shí)的密鑰對(duì)（xea）。1） 服務(wù)器密鑰產(chǎn)生：xs = x es + ss，ps pes + ca ' us + rs（where us = h（cis | 心）2） 客戶密鑰產(chǎn)生:xc = xec +> pc = pec + ca 'uc

17、 + rc(where uc = h(cic | d簽名：使用臨時(shí)的簽名密鑰忑，在信息和證明書certe基礎(chǔ)上，ee計(jì)算一個(gè)修改的scsio3) 服務(wù)器簽名- 選擇一個(gè)隨機(jī)值化亍并計(jì)算丁。ts = ksg , ts'=7t(ts)- 準(zhǔn)備一個(gè)相關(guān)的信息cis ill'll 厲- 計(jì)算一個(gè)簽名。ss =xs-h(cis ill'll 7；')+ zrs mod n4) 客戶簽名- 選擇一個(gè)隨機(jī)值k并計(jì)算。tc =kcg, tcojc)- 準(zhǔn)備一個(gè)相關(guān)的信息ii = (handshake), h cis | 心- 計(jì)算一個(gè)簽名。sc = xc- h(ii | cic

18、 | z'll tc')+ kc mod n 證明：檢驗(yàn)這檢查(gt uleje 的有效性如下:5) 服務(wù)器證明-計(jì)算客戶的臨時(shí)公共密鑰。- 用下列步驟證實(shí)簽名。uec=h（hcicrc'tc'）sfg uec pc = tc = （x,c,兒）6）客戶證明- 計(jì)算客戶的臨時(shí)公共密鑰。ps = pes + ca '"s + rs- 用下列步驟證實(shí)簽名。%（4 | 閱"）ssg-uesps = ts = （xtsiyts）忌？ 5八）推薦的wtls握手協(xié)議的過(guò)程如下：%1 客戶和服務(wù)器發(fā)送一個(gè)問(wèn)候信息，包括一個(gè)先前計(jì) 算的隨機(jī)值ku/s

19、）g，版本v,會(huì)話id sid和其它 安全協(xié)商sec:xec/s）要求的信息。%1 服務(wù)器用密鑰產(chǎn)生（1）計(jì)算一個(gè)臨時(shí)密鑰對(duì)%1 服務(wù)器用簽名（3）產(chǎn)生個(gè)簽名并發(fā)送（wii ss） | cis | 心到客戶。%1 客戶計(jì)算服務(wù)器的臨時(shí)公共密鑰&并用證明（6）證 明服務(wù)器的簽名。%1 客戶計(jì)算先前的秘密和主秘密。kp = rcrsgkm = h（kprcpsy%1 客戶用密鑰產(chǎn)生（2）計(jì)算臨時(shí)的密鑰對(duì)（xc4）。%1 客戶能夠簽名（4）生成一個(gè)簽名并將c發(fā)送到服務(wù) 器。c = ekm（tc'sc）cicrc%1 客戶計(jì)算先前的主秘密和主秘密。kp = rcrsg,= h（kp i

20、i xsg）%1 服務(wù)器解碼c并用證明（5）證實(shí)客戶簽名。%1 這時(shí)，客戶和服務(wù)器發(fā)送changecipherspec和一個(gè) 完成信息給彼此。握手完成，交換應(yīng)用層數(shù)據(jù)開始。三（四）、分析（1）安全性分析對(duì)抗ai：當(dāng)一個(gè)對(duì)手試圖去冒充白己為一個(gè)有效的實(shí)體去 同客戶和服務(wù)器建立主秘密，他（她）不能產(chǎn)生一個(gè)有效的數(shù) 字簽名ss因此他（她）不知道秘密信息和ca的私人密鑰 和隨機(jī)值o對(duì)抗fs：在推薦的算法中，即使兩個(gè)實(shí)體的私人密鑰被破壞, 先前的主秘密將被保護(hù)，因此對(duì)手不知道客戶和服務(wù)器之間的 隨機(jī)值推薦的協(xié)議能夠提供全部的前向保密。對(duì)抗kci：即使對(duì)手獲得一個(gè)實(shí)體的長(zhǎng)期私人密鑰，他（她） 不能計(jì)算主秘

21、密，因?yàn)樗ㄋ┎恢烂孛茏C明信息、尸。因此, 即使對(duì)手知道實(shí)體的長(zhǎng)期私人密鑰，他（她）也不能冒充為一 個(gè)有效的實(shí)體。對(duì)抗kks：在推薦的協(xié)議中，由于兩個(gè)實(shí)體的隨機(jī)值包含在 先前的主秘密中，即使對(duì)手獲得先前的主秘密和傳輸信息，他(她)也不能從計(jì)算當(dāng)前主秘密的信息屮得到任何好處。因此, 所推薦的協(xié)議對(duì)于kkp和kki攻擊是非常安全的?，F(xiàn)有協(xié)議的安全性分析結(jié)果及推薦協(xié)議的總結(jié)如下表。表1安全性分析結(jié)果主動(dòng)攻擊模型現(xiàn)有的協(xié)議推薦的協(xié)議ai安全安全fs不提供提供全部fskci不安全安全kkp不安全安全kkl不安全安全(2)性質(zhì)在本小節(jié)中，我們分析推薦協(xié)議的性質(zhì)。推薦的協(xié)議能提供共 同的實(shí)體認(rèn)證，一個(gè)單

22、向密鑰信息，一個(gè)共同的密鑰更新，用戶匿名 等。表2是現(xiàn)有協(xié)議和推薦協(xié)議比較的總結(jié)。表2現(xiàn)有協(xié)議和推薦協(xié)議的比較性質(zhì)現(xiàn)有協(xié)議推薦協(xié)議n-通道54實(shí)體認(rèn)證單向共同密鑰證實(shí)不提供單向隱式密鑰證實(shí)共同共同顯式密鑰證實(shí)不提供單向密鑰更新共同共同用戶匿名不提供提供四、總結(jié)我們考慮wtls握手協(xié)議的性質(zhì)及安全性和建立主秘密的過(guò)程。在本文中，我們分析了現(xiàn)有的wtls握手協(xié)議的安全性和推薦的協(xié)議 在兒種主動(dòng)攻擊模型（如主動(dòng)冒充，密鑰損害冒充，前向保密，已知 密鑰主動(dòng)攻擊，已知密鑰模仿攻擊）中的安全性。推薦的wtls握手 協(xié)議對(duì)前面提到的幾種主動(dòng)攻擊模式具有安全性，并且提供各種安全 性服務(wù)。推薦的協(xié)議執(zhí)行容易，并且提供具有本文所分析的