基于AES-CCM模式的IPsec應(yīng)用及其安全機(jī)制的分析(1)

1、基于AES-CCM模式的IPsec應(yīng)用及其安全機(jī)制的分析(1)    摘 要 本文就IPsec應(yīng)用中如何采用AES-CCM模式進(jìn)行了相關(guān)討論。由于該模式結(jié)合AES算法和CCM模式的加密和認(rèn)證方式各自優(yōu)點(diǎn)，因而在應(yīng)用中具有優(yōu)良的安全性能。另外，本文也對(duì)AES-CCM模式如何保證消息的完整性和機(jī)密性進(jìn)行了分析，并提出對(duì)網(wǎng)絡(luò)安全防范的補(bǔ)充見解。        關(guān)鍵詞 AES；CCM；加密與認(rèn)證       

2、60;1 AES加密算法性能分析    美國(guó)標(biāo)準(zhǔn)與技術(shù)研究院（NIST）于2002年5月26日制定了新的高級(jí)加密標(biāo)準(zhǔn)5（AES）規(guī)范。該標(biāo)準(zhǔn)采用Rijndael算法的設(shè)計(jì)策略是寬軌跡策略（Wide Trail Strategy）, 寬軌跡策略是針對(duì)差分分析和線性分析提出的，它的最大優(yōu)點(diǎn)是可以給出算法的最佳差分特征的概率及最佳線性逼近的偏差的界，由此可以分析算法抵抗差分密碼分析及線性密碼分析的能力。    Rijndael算法采用的是替代/置換網(wǎng)絡(luò)。每一輪變換由三層組成：線性混合層，用于在多輪變換上的高度擴(kuò)散；非線性

3、層，由16個(gè)S-盒并置而成，起混淆的作用；密鑰加層，子密鑰簡(jiǎn)單的異或到中間狀態(tài)。S-盒選取的是有限域GF（28）中的乘法逆運(yùn)算，因此它的差分均勻性和線性偏差都達(dá)到了最佳。    Rijndael算法的安全性非常良好。4輪Rijndael算法的最佳差分特征的概率和最佳線性逼近的偏差分別為2-150和2-76；8輪Rijndael算法的最佳差分特征的概率和最佳線性逼近的偏差分別為2-300和2-151。此外，“Square”攻擊是針對(duì)Square算法提出的一種攻擊方法，同樣適用于Rijndael算法，7輪以上的Rijndael算法對(duì)“Square”攻擊是免疫

4、的。    因此，AES加密算法的優(yōu)點(diǎn)顯而易見：有良好的數(shù)學(xué)理論作為基礎(chǔ)，沒有明顯的缺點(diǎn)和安全漏洞，加密、解密相似但不對(duì)稱，因而具有更高的安全性，分組（支持128bit、192bit和256bit）和密鑰長(zhǎng)度（支持128bit、192bit和256bit）的多重選擇也體現(xiàn)了該算法的靈活性。 2 AES-CCM模式在IPSec中的應(yīng)用 2.1 AES加密算法的CCM模式    對(duì)稱密碼已經(jīng)廣泛應(yīng)用于數(shù)據(jù)的保密和數(shù)據(jù)完整性認(rèn)證。每一種不同算法的分組密碼在具體運(yùn)用時(shí)，都會(huì)選擇一種具體的操作模式12，如電子密碼本模式（EC

5、B）、密碼分組鏈接模式（CBC）或計(jì)數(shù)模式（CTR）等。這些模式僅提供加密服務(wù)而不提供鑒別服務(wù)，但有些應(yīng)用中除了需要加密服務(wù)外還要求鑒別服務(wù)。    IPSec 是一個(gè)負(fù)責(zé)IP安全協(xié)議和密鑰管理的安全體系，需要對(duì)IP傳輸提供了數(shù)據(jù)保密、數(shù)據(jù)完整性保護(hù)、身份認(rèn)證和反重放保護(hù)，以達(dá)到保護(hù)網(wǎng)絡(luò)安全通信的目的。由于常規(guī)的操作模式僅提供數(shù)據(jù)加密服務(wù)，因此在IPSec應(yīng)用存在安全漏洞。而數(shù)據(jù)完整性保護(hù)、身份認(rèn)證和反重放保護(hù)都需要鑒別服務(wù)。    目前，IPSec只支持正式CBC模式和CTR模式。但是，由Doug Whiting

6、等提出的CCM5（Counter with Cipher Block Chaining-Message Authentication Code）模式是一種同時(shí)提供加密和鑒別服務(wù)的全新操作模式。CCM模式具有許多優(yōu)秀的性質(zhì)，它提供了帶鑒別的加密服務(wù)，并且不會(huì)發(fā)生“錯(cuò)誤傳播”（Error Propagation）。另外，CCM模式還具有同步性（Synchronization）和一定程度的并行性（Parallelizability）在加密過程具有并行性而在鑒別過程則沒有。因此相對(duì)于其他模式，CCM模式在IPSec應(yīng)用中更具優(yōu)勢(shì)。    CCM模式是分組密碼一種

7、全新的操作模式，它同時(shí)提供了加密與鑒別服務(wù)，其中加密服務(wù)由計(jì)數(shù)模式（Counter Mode）提供,而鑒別服務(wù)由CBC-MAC（Cipher Block Chaining-Message Authentication Code）算法提供。我們可以理解為CCM模式結(jié)合了計(jì)數(shù)模式與CBC模式兩者各自的優(yōu)點(diǎn)。    使用CCM模式的基本條件包括，發(fā)送方和接收方定義相同的分組密碼算法（這里為AES算法）、密鑰K、記數(shù)器發(fā)生函數(shù)（Counter Generation Function）、格式化函數(shù)F（）（Formatting Function）和鑒別標(biāo)記長(zhǎng)度Tle

8、n。在CCM模式下，發(fā)送者的輸入包括隨機(jī)值Nonce、有效載荷和附加鑒別數(shù)據(jù)，分別記為 N、P、A。計(jì)算步驟如下：    Step 1. 計(jì)算格式化函數(shù)F（N, A, P），產(chǎn)生數(shù)據(jù)塊序列 B0, B1, , Br （每塊為128bit）    Step 2. Y0= EK（B0）    Step 3. For i = 1 to r, do Yj = EK（BiYi-1）    Step 4. T=MSBTlen（Yr）（取二進(jìn)制串Yr

9、的左邊Tlen 個(gè)二進(jìn)制位）    Step 5. 計(jì)算計(jì)數(shù)器發(fā)生函數(shù)，產(chǎn)生計(jì)數(shù)塊（the counter blocks） Ctr0, Ctr1, Ctrm,    m = Plen/128    Step 6. For j = 0 to m, do Sj = EK（Ctrj）    Step 7. S= S1 | S2 | | Sm（“|”表示連接運(yùn)算）    Step 8. Return C=

10、（PMSBPlen（S） | （TMSBTlen（S0）    經(jīng)過以上步驟后，最終產(chǎn)生發(fā)送方加密后發(fā)送的密文C 。一般來說，接受方得到N、A和C后，首先對(duì)密文C 進(jìn)行解密恢復(fù)有效載荷和MAC值T；然后接受方再利用CBC-MAC算法對(duì)N、A和解密的有效載荷進(jìn)行重新計(jì)算CBC-MAC值T1，并與從密文中恢復(fù)的MAC值T進(jìn)行對(duì)比認(rèn)證。如果認(rèn)證通過，則接收方從密文中解密得到的有效載荷P是真實(shí)有效的。否則，將得到一個(gè)無效的有效載荷，這時(shí)就要求發(fā)送方重新加密發(fā)送該有效載荷。即使后一種情況真的發(fā)生，除了一個(gè)“錯(cuò)誤”的T值以外接收方將不會(huì)泄漏任何其他的信息（包括解密的

11、密文、正確的T值和其他一些入侵者“感興趣”的信息）。 2.2 AES-CCM模式在IPSec中的應(yīng)用優(yōu)勢(shì)    CCM模式包括兩組相關(guān)的處理過程：初始化-加密（Generation-Encryption）、解密-鑒別（Decryption- Verification）。在初始化-加密階段，CCM模式利用CBC-MAC算法產(chǎn)生MAC值，然后再利用計(jì)數(shù)模式對(duì)MAC值和有效載荷進(jìn)行加密傳送。而在解密-鑒別階段則次序相反，先解密再鑒別。    在CCM模式中由CBC-MAC算法提供的鑒別服務(wù)比一般的校驗(yàn)碼或錯(cuò)誤檢測(cè)碼方式（

12、Checksum or Error Detecting Code）在數(shù)據(jù)完整性方面具有更強(qiáng)的安全性。校驗(yàn)碼或錯(cuò)誤檢測(cè)碼方式僅僅被設(shè)計(jì)用于檢測(cè)數(shù)據(jù)傳送過程中的意 外錯(cuò)誤，而MAC方式不僅可以檢測(cè)出數(shù)據(jù)的意外錯(cuò)誤，而且也能檢測(cè)出攻擊者故意的、未經(jīng)授權(quán)的數(shù)據(jù)篡改。    另外，在CCM模式中使用計(jì)數(shù)模式對(duì)數(shù)據(jù)進(jìn)行加密和解密，這正是CCM模式另一個(gè)優(yōu)點(diǎn)的本質(zhì)來源，這一點(diǎn)與純計(jì)數(shù)模式一樣。計(jì)數(shù)模式的安全性在理論上已經(jīng)被證明 6，其本質(zhì)在于安全的分組加密函數(shù)具有偽隨機(jī)變換特性。在CCM模式中，由于在計(jì)算Sj = EK（Ctrj）時(shí)各個(gè)數(shù)據(jù)塊的加密可以獨(dú)立的進(jìn)行，這在

13、軟件實(shí)現(xiàn)中，可以充分利用現(xiàn)代體系結(jié)構(gòu)的并行性。如果使用硬件實(shí)現(xiàn)加解密，則可以設(shè)置多個(gè)功能單元，每個(gè)功能單元獨(dú)立完成各個(gè)數(shù)據(jù)塊的加解密，這樣可以極大的提高性能。此外，由于每一個(gè)接收的數(shù)據(jù)包的Ctr值都是按一定原則分配的，所以Ctr值是可以預(yù)計(jì)的。當(dāng)處理器有空閑時(shí)，可預(yù)先計(jì)算EK（Ctr0），EK（Ctr1），等，以進(jìn)一步提高性能。    當(dāng)然，CCM模式的性能還稍遜于純計(jì)數(shù)模式，這是因?yàn)镃CM模式只在加密時(shí)具有并行性，而在鑒別時(shí)則沒有。但是CCM模式則通過鑒別服務(wù)機(jī)制提供了比純計(jì)數(shù)模式更高的安全性。我們可以認(rèn)為CCM模式綜合了CBC模式和計(jì)數(shù)模式這兩種模式

14、的優(yōu)點(diǎn)，并在安全和性能之間取得了很好的平衡。    因此，CCM模式在IPSec作為網(wǎng)關(guān)的實(shí)現(xiàn)中也可以在更高的安全保障下具有較高的性能。 3 AES-CCM模式在IPSec中的安全機(jī)制分析    AES-CCM模式要求發(fā)送方為每一個(gè)數(shù)據(jù)包生成一個(gè)唯一值IV（Initialization Vector），并通知接收方該值，那么該IV值就構(gòu)成了Nonce的一部分。出于安全的考慮，相同的IV值和密鑰決不能重復(fù)使用，同時(shí)必須確保發(fā)送方生成IV值時(shí)的唯一性。IV值的生成可以采用普通的方法，通過每一個(gè)包的遞增序列號(hào)和線性反饋移

15、位寄存器來產(chǎn)生。 3.1 性能與效率分析    在IPSec應(yīng)用中，我們可以使用ESP序列號(hào)（Sequence Number）替代IV值，但要考慮到計(jì)數(shù)塊可能的沖突問題。出于系統(tǒng)開銷的考慮，在CCM模式下可以規(guī)定加密方來確定IV值。因?yàn)橹挥屑用芊娇梢源_保IV值的使用不會(huì)多于一個(gè)數(shù)據(jù)包，若選擇一種允許解密方也偵測(cè)計(jì)數(shù)塊是否沖突的機(jī)制是沒有優(yōu)勢(shì)的，這反而會(huì)增加了系統(tǒng)開銷。此外，無論解密方發(fā)現(xiàn)與否，計(jì)數(shù)塊沖突帶來的損害都會(huì)發(fā)生。一般的，IV值的產(chǎn)生可以使用計(jì)數(shù)器方式、線性反饋移位寄存器方式和其他一些方式，這都取決于加密方的時(shí)間預(yù)算。在CCM模式使用的是計(jì)數(shù)器方

16、式，這是因?yàn)橛?jì)數(shù)器方式的應(yīng)用簡(jiǎn)單，系統(tǒng)開銷小，可以提高加密方的效率。此外，每個(gè)計(jì)數(shù)塊IV值的分配需要在一個(gè)安全邊界（Assurance Boundary）內(nèi)，這樣可以確保IV值的唯一性。在IPSec應(yīng)用中使用序列號(hào)（Sequence Number）替代IV值，序列號(hào)的分配正是在一個(gè)安全邊界內(nèi)完成的。 IV值是緊跟在分離的序列號(hào)和每個(gè)包的計(jì)數(shù)塊值的后面產(chǎn)生，這種額外的系統(tǒng)開銷（64bit的IV域）是可以接受的，這種開銷少于CBC模式的開銷。一般的，為了產(chǎn)生IV值，CBC模式要求完整的分組，但這樣平均下來有一半的分組需要填充（padding）。而AES-CCM模式的以上開銷僅為CBC模式開銷的1/3，并且這種對(duì)每一個(gè)包的開銷都是恒定的。 在IPSec中，涉及加密的還有SA的建立過程。ISAKMP定義了協(xié)商的兩個(gè)獨(dú)立階段：包括第一階段，主要目的在于