基于AESCCM模式的IPsec應用及其安全機制的分析

1、基于AES-CCM形式的IPsec應用及其平安機制的分析摘要本文就IPse應用中如何采用AES-形式進展了相關討論。由于該形式結合AES算法和形式的加密和認證方式各自優(yōu)點，因此在應用中具有優(yōu)良的平安性能。另外，本文也對AES-形式如何保證消息的完好性和機密性進展了分析，并提出對網(wǎng)絡平安防范的補充見解。關鍵詞AES；加密與認證美國標準與技術研究院NIST于2002年5月26日制定了新的高級加密標準5AES標準。該標準采用Rijndael算法的設計謀略是寬軌跡策略ideTrailStrategy,寬軌跡策略是針對差分分析和線性分析提出的，它的最大優(yōu)點是可以給出算法的最正確差分特征的概率及最正確線性

2、逼近的偏向的界，由此可以分析算法抵抗差分密碼分析及線性密碼分析的才能。Rijndael算法采用的是替代/置換網(wǎng)絡。每一輪變換由三層組成：線性混合層，用于在多輪變換上的高度擴散；非線性層，由16個S-盒并置而成，起混淆的作用；密鑰加層，子密鑰簡單的異或到中間狀態(tài)。S-盒選取的是有限域GF28中的乘法逆運算，因此它的差分均勻性和線性偏向都到達了最正確。Rijndael算法的平安性非常良好。4輪Rijndael算法的最正確差分特征的概率和最正確線性逼近的偏向分別為2-150和2-76；8輪Rijndael算法的最正確差分特征的概率和最正確線性逼近的偏向分別為2-300和2-151。此外，“Squar

3、e攻擊是針對Square算法提出的一種攻擊方法，同樣適用于Rijndael算法，7輪以上的Rijndael算法對“Square攻擊是免疫的。因此，AES加密算法的優(yōu)點顯而易見：有良好的數(shù)學理論作為根底，沒有明顯的缺點和平安破綻，加密、解密相似但不對稱，因此具有更高的平安性，分組支持128bit、192bit和256bit和密鑰長度支持128bit、192bit和256bit的多重選擇也表達了該算法的靈敏性。2.1AES加密算法的形式對稱密碼已經(jīng)廣泛應用于數(shù)據(jù)的保密和數(shù)據(jù)完好性認證。每一種不同算法的分組密碼在詳細運用時，都會選擇一種詳細的操作形式12，如電子密碼本形式EB、密碼分組鏈接形式B或計

4、數(shù)形式TR等。這些形式僅提供加密效勞而不提供鑒別效勞，但有些應用中除了需要加密效勞外還要求鑒別效勞。IPSe是一個負責IP平安協(xié)議和密鑰管理的平安體系，需要對IP傳輸提供了數(shù)據(jù)保密、數(shù)據(jù)完好性保護、身份認證和反重放保護，以到達保護網(wǎng)絡平安通信的目的。由于常規(guī)的操作形式僅提供數(shù)據(jù)加密效勞，因此在IPSe應用存在平安破綻。而數(shù)據(jù)完好性保護、身份認證和反重放保護都需要鑒別效勞。目前，IPSe只支持正式B形式和TR形式。但是，由Dughiting等提出的5unterithipherBlkhaining-essageAuthentiatinde形式是一種同時提供加密和鑒別效勞的全新操作形式。形式具有許多

5、優(yōu)秀的性質(zhì)，它提供了帶鑒別的加密效勞，并且不會發(fā)生“錯誤傳播ErrrPrpagatin。另外，形式還具有同步性Synhrnizatin和一定程度的并行性Parallelizability在加密過程具有并行性而在鑒別過程那么沒有。因此相對于其他形式，形式在IPSe應用中更具優(yōu)勢。形式是分組密碼一種全新的操作形式，它同時提供了加密與鑒別效勞，其中加密效勞由計數(shù)形式unterde提供,而鑒別效勞由B-AipherBlkhaining-essageAuthentiatinde算法提供。我們可以理解為形式結合了計數(shù)形式與B形式兩者各自的優(yōu)點。使用形式的根本條件包括，發(fā)送方和接收方定義一樣的分組密碼算法這

6、里為AES算法、密鑰K、記數(shù)器發(fā)生函數(shù)unterGeneratinFuntin、格式化函數(shù)FFrattingFuntin和鑒別標記長度Tlen。在形式下，發(fā)送者的輸入包括隨機值Nne、有效載荷和附加鑒別數(shù)據(jù)，分別記為N、P、A。計算步驟如下：Step1.計算格式化函數(shù)FN,A,P，產(chǎn)生數(shù)據(jù)塊序列B0,B1,Br每塊為128bitStep2.Y0=EKB0Step3.Fri=1tr,dYj=EKBiYi-1Step4.T=SBTlenYr取二進制串Yr的左邊Tlen個二進制位Step5.計算計數(shù)器發(fā)生函數(shù)，產(chǎn)生計數(shù)塊theunterblkstr0,tr1,tr,=Plen/128Step6.Fr

7、j=0t,dSj=EKtrjStep7.S=S1|S2|S“|表示連接運算Step8.Return=PSBPlenS|TSBTlenS0經(jīng)過以上步驟后，最終產(chǎn)生發(fā)送方加密后發(fā)送的密文。一般來說，承受方得到N、A和后，首先對密文進展解密恢復有效載荷和A值T；然后承受方再利用B-A算法對N、A和解密的有效載荷進展重新計算B-A值T1，并與從密文中恢復的A值T進展比照認證。假如認證通過，那么接收方從密文中解密得到的有效載荷P是真實有效的。否那么，將得到一個無效的有效載荷，這時就要求發(fā)送方重新加密發(fā)送該有效載荷。即使后一種情況真的發(fā)生，除了一個“錯誤的T值以外接收方將不會泄漏任何其他的信息包括解密的密

8、文、正確的T值和其他一些入侵者“感興趣的信息。2.2AES-形式在IPSe中的應用優(yōu)勢形式包括兩組相關的處理過程：初始化-加密Generatin-Enryptin、解密-鑒別Deryptin-Verifiatin。在初始化-加密階段，形式利用B-A算法產(chǎn)生A值，然后再利用計數(shù)形式對A值和有效載荷進展加密傳送。而在解密-鑒別階段那么次序相反，先解密再鑒別。在形式中由B-A算法提供的鑒別效勞比一般的校驗碼或錯誤檢測碼方式heksurErrrDetetingde在數(shù)據(jù)完好性方面具有更強的平安性。校驗碼或錯誤檢測碼方式僅僅被設計用于檢測數(shù)據(jù)傳送過程中的意外錯誤，而A方式不僅可以檢測出數(shù)據(jù)的意外錯誤，而

9、且也能檢測出攻擊者成心的、未經(jīng)受權的數(shù)據(jù)篡改。另外，在形式中使用計數(shù)形式對數(shù)據(jù)進展加密和解密，這正是形式另一個優(yōu)點的本質(zhì)來源，這一點與純計數(shù)形式一樣。計數(shù)形式的平安性在理論上已經(jīng)被證明6，其本質(zhì)在于平安的分組加密函數(shù)具有偽隨機變換特性。在形式中，由于在計算Sj=EKtrj時各個數(shù)據(jù)塊的加密可以獨立的進展，這在軟件實現(xiàn)中，可以充分利用現(xiàn)代體系構造的并行性。假如使用硬件實現(xiàn)加解密，那么可以設置多個功能單元，每個功能單元獨立完成各個數(shù)據(jù)塊的加解密，這樣可以極大的進步性能。此外，由于每一個接收的數(shù)據(jù)包的tr值都是按一定原那么分配的，所以tr值是可以預計的。當處理器有空閑時，可預先計算EKtr0，EKt

10、r1，等，以進一步進步性能。當然，形式的性能還稍遜于純計數(shù)形式，這是因為形式只在加密時具有并行性，而在鑒別時那么沒有。但是形式那么通過鑒別效勞機制提供了比純計數(shù)形式更高的平安性。我們可以認為形式綜合了B形式和計數(shù)形式這兩種形式的優(yōu)點，并在平安和性能之間獲得了很好的平衡。因此，形式在IPSe作為網(wǎng)關的實現(xiàn)中也可以在更高的平安保障下具有較高的性能。AES-形式要求發(fā)送方為每一個數(shù)據(jù)包生成一個唯一值IVInitializatinVetr，并通知接收方該值，那么該IV值就構成了Nne的一部分。出于平安的考慮，一樣的IV值和密鑰決不能重復使用，同時必須確保發(fā)送方生成IV值時的唯一性。IV值的生成可以采用

11、普通的方法，通過每一個包的遞增序列號和線性反響移位存放器來產(chǎn)生。3.1性能與效率分析在IPSe應用中，我們可以使用ESP序列號SequeneNuber替代IV值，但要考慮到計數(shù)塊可能的沖突問題。出于系統(tǒng)開銷的考慮，在形式下可以規(guī)定加密方來確定IV值。因為只有加密方可以確保IV值的使用不會多于一個數(shù)據(jù)包，假設選擇一種允許解密方也偵測計數(shù)塊是否沖突的機制是沒有優(yōu)勢的，這反而會增加了系統(tǒng)開銷。此外，無論解密方發(fā)現(xiàn)與否，計數(shù)塊沖突帶來的損害都會發(fā)生。一般的，IV值的產(chǎn)生可以使用計數(shù)器方式、線性反響移位存放器方式和其他一些方式，這都取決于加密方的時間預算。在形式使用的是計數(shù)器方式，這是因為計數(shù)器方式的應

12、用簡單，系統(tǒng)開銷小，可以進步加密方的效率。此外，每個計數(shù)塊IV值的分配需要在一個平安邊界AssuraneBundary內(nèi)，這樣可以確保IV值的唯一性。在IPSe應用中使用序列號SequeneNuber替代IV值，序列號的分配正是在一個平安邊界內(nèi)完成的。IV值是緊跟在別離的序列號和每個包的計數(shù)塊值的后面產(chǎn)生，這種額外的系統(tǒng)開銷64bit的IV域是可以承受的，這種開銷少于B形式的開銷。一般的，為了產(chǎn)生IV值，B形式要求完好的分組，但這樣平均下來有一半的分組需要填充padding。而AES-形式的以上開銷僅為B形式開銷的1/3，并且這種對每一個包的開銷都是恒定的。在IPSe中，涉及加密的還有SA的建

13、立過程。ISAKP定義了協(xié)商的兩個獨立階段：包括第一階段，主要目的在于認證通信雙方的身份，從而協(xié)商出ISAKPSA，為第二階段交換建立平安信道；第二階段，利用平安信道建立實際的用于IPSe處理SA即IPSeSA。AES-形式應用于SA的建立過程詳細做法可以參照純計數(shù)形式的方法，使用每一次交換過程中的唯一essageID標識這些塊序號即tr值。3.2平安分析AES優(yōu)良的平安特性，正是在IPSe中應用AES-形式的堅實平安基矗此外，關于操作形式自身的平安，JakbJnssn6已經(jīng)從理論上給出了完好的數(shù)學證明，結論是形式提供的加密與鑒別的平安程度與其他操作形式處于同一程度線上。必須引起注意的是，AE

14、S-形式使用計數(shù)形式來提供加密效勞，那么假如一個計數(shù)塊的值曾使用一樣密鑰加密的數(shù)據(jù)包中屢次使用，那么一樣的子密鑰序列也將在所有數(shù)據(jù)包中加密。這將無法保證數(shù)據(jù)的機密性。證明如下：設兩個數(shù)據(jù)包的明文序列號分別為：P1,P2,P3和Q1,Q2,Q3,它們的子密鑰序列為K1,K2，K3.加密后它們的密文為P1,XR,K1,P2,XR,K2,P3,XR,K3Q1,XR,K1,Q2,XR,K2,Q3,XR,K3假如攻擊者獲得這兩個密文，這將對數(shù)據(jù)的平安性帶來災難性的后果。這是因為：P1,XR,K1XRQ1,XR,K1=P1XRQ1P2,XR,K2XRQ2,XR,K2=P2XRQ2P3,XR,K3XRQ3,

15、XR,K3=P3XRQ3一旦攻擊者獲得兩個明文的異或值，那么他就很容易的別離出明文。任何分組密碼使用同一密鑰加密兩個明文，都會導致明文的泄漏。因此，AES-形式不應使用靜態(tài)手工配置密鑰方式，以確保不會使用同一密鑰加密兩個明文。在AES-形式下，我們使用IKE協(xié)議用于建立全新的密鑰FreshKey。AES-形式作為一種全新的操作形式，由于同時提供加密與認證效勞，在IPSe中應用中，與其他操作形式相比具有宏大的優(yōu)勢。目前，已經(jīng)證明AES算法具有良好的平安保障。由于工程施行的平安與加密算法有關而與操作形式無關，AES-形式的平安性也同樣可以得到保障。因此在基于IPSe的應用中，AES-形式具有良好的使用前景。但是，IPSe在實際應用中存在缺乏，會對其他協(xié)議產(chǎn)生不良影響。在多播源驗證和密鑰管理上，還存在著一些如今無法妥善解決的問題。另外在使用AES算法時，要根據(jù)IPSe協(xié)議的定義和實際應用情況