一個(gè)對(duì)抗主動(dòng)攻擊的無(wú)線傳輸安全層的握手協(xié)議

1、一個(gè)對(duì)抗主動(dòng)攻擊的無(wú)線傳輸安全層的握手協(xié)議JONGSU HAN,EUNSUNG SHO,DONGHO WON,信息和通訊工程學(xué)院，Sungkyunkwan大學(xué),300 chunchun-dong,Jangan-gu,Suwon,Gyeonggi韓國(guó)摘要WTLS作為一個(gè)WAP的可靠的協(xié)議，使得TLS適合于無(wú)線環(huán)境，TLS適用于無(wú)線英特網(wǎng)協(xié)議TCP。WTLS的目的是提供安全和高效的服務(wù)。WTLS協(xié)議有四個(gè)協(xié)議組成，如握手協(xié)議，改變加密算法協(xié)議（ChangeCipherSpec）,警告（Alert）協(xié)議,和應(yīng)用數(shù)據(jù)協(xié)議。在本文我們將分析握手協(xié)議的性質(zhì)和建立主要秘密的過(guò)程的細(xì)節(jié)。然后，我們分析本協(xié)議對(duì)

2、幾種攻擊模型的安全性。我們也提出了一個(gè)新的握手協(xié)議，這個(gè)協(xié)議對(duì)幾種主動(dòng)的攻擊模型都是具有安全性的，同時(shí)提供各種安全性的服務(wù)。關(guān)鍵詞：無(wú)線傳輸層安全性，握手協(xié)議，主動(dòng)攻擊，橢圓曲線密碼一、 介紹近來(lái)，由于無(wú)線英特網(wǎng)的快速增長(zhǎng)，新的顧客和服務(wù)已經(jīng)形成了。這意味著移動(dòng)通訊系統(tǒng)和客戶移動(dòng)設(shè)備能夠進(jìn)入網(wǎng)絡(luò)。為了使操作員和產(chǎn)品能滿足進(jìn)步的服務(wù)，區(qū)別和快速/靈活的服務(wù)標(biāo)準(zhǔn)的挑戰(zhàn)。WAP論壇定義了一套傳輸層（WDP），安全層（WTLS），處理層（WTP），會(huì)話層（WSP）,和應(yīng)用層（WAE）協(xié)議。安全層協(xié)議在WAP結(jié)構(gòu)中稱為無(wú)線安全傳輸層，WTLS。WTLS主要的目標(biāo)是提供兩個(gè)通訊實(shí)體之間的保密，數(shù)據(jù)完善，認(rèn)

3、證和密鑰協(xié)商等。WTLS在功能上類似與TLS1.0，并融合了一些新的特征，如數(shù)據(jù)包的支持，優(yōu)化的握手和動(dòng)態(tài)的密鑰更新。該WTLS協(xié)議適合于相對(duì)較長(zhǎng)延遲的低帶寬網(wǎng)絡(luò)，并且有四個(gè)協(xié)議組成：握手協(xié)議，預(yù)警協(xié)議，更改密碼規(guī)范協(xié)議和記錄協(xié)議。WTLS握手協(xié)議是用于商議WAP體系中WTLS層安全會(huì)話的屬性。 但是，目前的WTLS握手協(xié)議在主動(dòng)攻擊模式中有幾種安全的問(wèn)題，例如積極的模仿，密鑰折衷的模仿，前向保密，已知密鑰被動(dòng)攻擊，已知密鑰模仿攻擊等。在本文中，我們分析握手協(xié)議的性能和對(duì)抗幾種攻擊模式的安全性。我們也提出了一個(gè)新的握手協(xié)議，它對(duì)抗幾種主動(dòng)攻擊模式十分安全，并且能提供各種安全服務(wù)。本文剩下部分將

4、作如下組織：在第2節(jié)，我們列出了現(xiàn)有的WTLS握手協(xié)議和分析對(duì)若干主動(dòng)攻擊模式的安全功能。在第3節(jié)，我們介紹了推薦的WTLS握手協(xié)議（該協(xié)議對(duì)若干主動(dòng)攻擊模型具有安全性）并分析安全的特征和與其它現(xiàn)有的WTLS握手協(xié)議的服務(wù)的比較。在第4節(jié)給出結(jié)論。二、 現(xiàn)有的WTLS握手協(xié)議 WTLS握手協(xié)議產(chǎn)生密碼系統(tǒng)參數(shù)，用于安全會(huì)話和WTLS的記錄層頂部的操作。當(dāng)一個(gè)WTLS客戶端和服務(wù)器第一次啟動(dòng)通訊時(shí)，他們協(xié)商在一個(gè)協(xié)議版本，選擇加密算法，彼此驗(yàn)證，并使用公開(kāi)密鑰加密技術(shù)來(lái)生成一個(gè)共享的秘密。WTLS握手協(xié)議包括以下步驟：交換Hello消息商定算法，交換隨機(jī)值。交換必要的加密參數(shù)，以便客戶端和服務(wù)器

5、商定一項(xiàng)預(yù)主秘密。交換證書和加密信息，以允許客戶端和服務(wù)器認(rèn)證彼此。從前一個(gè)主秘密和交換的隨機(jī)值中生成一個(gè)主秘密。提供安全參數(shù)給記錄層。計(jì)算了相同的安全參數(shù)，允許客戶端和服務(wù)器來(lái)驗(yàn)證他們的同伴，沒(méi)有被任何攻擊篡改時(shí)握手發(fā)生。二（一）、參數(shù) 現(xiàn)有的WTLS握手協(xié)議中，系統(tǒng)的參數(shù)定義如下： V：WTLS的版本 E：終端實(shí)體（EE） SID：安全會(huì)話的ID ：實(shí)體E支持的信息，如密鑰交換訴訟，密碼訴訟，壓縮方法，新的密鑰等。 ：前主秘密 ：主秘密 ：?jiǎn)蜗蛏⒘泻瘮?shù) ：實(shí)體E的私人密鑰 ：實(shí)體E的公共密鑰 ：實(shí)體E的身份證明 ：實(shí)體E產(chǎn)生的隨機(jī)數(shù) ：使用密鑰K對(duì)稱加密（解密） ：和的串聯(lián) ：橢圓曲線發(fā)生

6、器二（二）、現(xiàn)有協(xié)議的操作 在握手協(xié)議中所有安全相關(guān)的參數(shù)都被協(xié)商。這些參數(shù)包括屬性如使用的協(xié)議版本，使用的加密算法，用于認(rèn)證的信息和公共密鑰技術(shù)來(lái)生成一個(gè)共享的秘密。 握手始于一個(gè)Hello消息?？蛻舳税l(fā)送一個(gè)ClientHello消息發(fā)送到服務(wù)器。服務(wù)器必須用SeverHello消息來(lái)響應(yīng)消息。在這兩個(gè)Hello消息后，通信雙方同意會(huì)話能力。發(fā)送Hello消息之后，如果實(shí)體需要被驗(yàn)證，服務(wù)器必須發(fā)送它的身份通行證。此外，如果被需要或服務(wù)器可能會(huì)要求客戶端身份驗(yàn)證，如果這些適合密鑰交換程序，一個(gè)服務(wù)器密鑰交換信息也可以被發(fā)送。接下來(lái)，服務(wù)器發(fā)送一個(gè)服務(wù)器問(wèn)候結(jié)束消息，表明握手的Hello消息

7、階段完成。然后，服務(wù)器等待客戶端的響應(yīng)。如果服務(wù)器發(fā)送了一個(gè)身份驗(yàn)證請(qǐng)求消息，客戶端必須發(fā)出一個(gè)身份驗(yàn)證信息。如果客戶端的身份驗(yàn)證信息沒(méi)有包含密鑰交換的足夠的數(shù)據(jù)或者根本就沒(méi)有發(fā)送，一個(gè)客戶端密鑰交換消息被發(fā)送。信息的內(nèi)容依賴于客戶端問(wèn)候信息和服務(wù)器問(wèn)候信息之間的公共密鑰算法的選擇。在這之后，預(yù)主秘密被設(shè)置。如果客戶端使用簽署能力進(jìn)行身份驗(yàn)，發(fā)送一個(gè)驗(yàn)證信息去通過(guò)數(shù)字的簽名明確地證明身份。在這一點(diǎn)上，客戶端發(fā)送一個(gè)ChangeCipherSpec消息，并且客戶端復(fù)制待加密說(shuō)明到當(dāng)前的寫入加密說(shuō)明。隨即，客戶端在新算法、密鑰和秘密下發(fā)送一個(gè)完成信息。當(dāng)服務(wù)器收到ChangeCipherSpec消

8、息，服務(wù)器也復(fù)制待加密說(shuō)明到當(dāng)前的讀加密說(shuō)明。作為回應(yīng)，服務(wù)器也發(fā)送自己的ChangeCipherSpec信息，設(shè)置它的當(dāng)前的些加密說(shuō)明到到待加密說(shuō)明，并且在新的加密說(shuō)明下發(fā)送它自己的完成信息。在這一點(diǎn)上，握手已經(jīng)完成，客戶端和服務(wù)器可能會(huì)開(kāi)始交換應(yīng)用層數(shù)據(jù)。圖1表明使用一個(gè)基于Ec的DH密鑰交換和EC-DSA的完整握手協(xié)議的消息流。 圖1 現(xiàn)有的WTLS握手協(xié)議二（三）、e -握手的安全性分析（1） 主動(dòng)攻擊模型在這一小節(jié)中，我們分析現(xiàn)有的WTLS握手協(xié)議的安全性。在本文中在所考慮的協(xié)議的安全性目標(biāo)是主動(dòng)模仿（AI），前向保密（FS），密鑰危害模仿（KCI），已知密鑰安全性，它們的定義如下：

9、主動(dòng)模仿（AI）：一個(gè)帶有實(shí)體U的敵人進(jìn)入了會(huì)話層，假冒另一個(gè)實(shí)體V并計(jì)算U和V之間的會(huì)話密鑰。前向保密（FS）：即使一個(gè)或多個(gè)實(shí)體的長(zhǎng)期的私人密鑰被危害時(shí)，通過(guò)一個(gè)忠實(shí)的實(shí)體建立的先前的會(huì)話密鑰的保密也不會(huì)受影響時(shí)，該協(xié)議用于提供前向保密。有事在一個(gè)單獨(dú)的私人密鑰被危害時(shí)（半前向保密）的情景和兩個(gè)實(shí)體的私人密鑰都被危害時(shí)（全前向保密）的情景之間存在差別。密鑰危害模仿（KCI）：假設(shè)實(shí)體U的長(zhǎng)期的私人密鑰被鎖定。顯然對(duì)手知道這個(gè)值并模仿實(shí)體U，因?yàn)檎沁@個(gè)值標(biāo)識(shí)了實(shí)體U。但是，在某些情況如損失并不能使對(duì)手模仿其他實(shí)體到U，這一點(diǎn)可能是可取的。然后密鑰協(xié)議援助提供一個(gè)密鑰危害模仿的應(yīng)變能力。已知

10、密鑰安全（KKS）：盡管在一個(gè)對(duì)手已了解其它的一些會(huì)話密鑰時(shí)，這個(gè)協(xié)議應(yīng)該也能達(dá)到它的目的。下面有兩種已知密鑰的攻擊。- 已知密鑰被動(dòng)攻擊：一個(gè)對(duì)手獲得了先前使用過(guò)的密鑰，然后用這些信息去決定一個(gè)新的密鑰。- 已知密鑰模擬攻擊：一個(gè)對(duì)手進(jìn)入了會(huì)話，將自己冒充為一個(gè)有先前會(huì)話密鑰的有效的實(shí)體V，并初始密鑰標(biāo)記，最終計(jì)算實(shí)體U和實(shí)體V之間的會(huì)話密鑰。（2） 安全性分析對(duì)抗AI：當(dāng)對(duì)手試圖去冒充為EE去要求產(chǎn)生主秘密時(shí)，他（她）不只是確認(rèn)彼此的身份確認(rèn)信息，而且他（她）不知道EE的私人密鑰。對(duì)抗FS：一個(gè)對(duì)手A知道客戶或者服務(wù)器的私人密鑰進(jìn)入了會(huì)話，并用客戶或者服務(wù)器的私人密鑰計(jì)算主秘密，公共密鑰和

11、隨機(jī)數(shù)如下：1） 一個(gè)對(duì)手A用危害的私人密鑰和的公共密鑰，計(jì)算先前的主秘密。2） 一個(gè)對(duì)手A用先前的主秘密和隨機(jī)數(shù)來(lái)計(jì)算主秘密。對(duì)抗KCI: 一個(gè)對(duì)手A知道客戶C的私人密鑰進(jìn)入會(huì)話，并且將自己冒充為服務(wù)器S，然后和客戶計(jì)算主秘密如下：1） 一個(gè)對(duì)手A在收到客戶C的后，發(fā)送隨機(jī)數(shù)給客戶C。2） 一個(gè)對(duì)手A計(jì)算先前的主秘密和主秘密。對(duì)抗KKS：有先前主秘密和傳輸信息的對(duì)手A進(jìn)入會(huì)話并冒充自己為有效的EE，然后用先前主秘密，傳輸信息和公共信息計(jì)算主秘密。1） 一個(gè)對(duì)手A知道以前的先前秘密有一個(gè)長(zhǎng)期的密鑰組成。2） 一個(gè)對(duì)手A用一個(gè)先前的主秘密和一個(gè)隨機(jī)數(shù)計(jì)算主秘密。三、 推薦的WTLS握手協(xié)議三（一

12、）、參數(shù) 在推薦的WTLS握手協(xié)議中用到的系統(tǒng)參數(shù)的定義如下：權(quán)威證明的私人密鑰：權(quán)威證明的公共密鑰：EE的長(zhǎng)期的私人密鑰：EE的長(zhǎng)期的公共密鑰：EE的臨時(shí)的私人密鑰：EE的臨時(shí)的公共密鑰：中間的雜亂值：EE的說(shuō)明信息：G的順序剩下的與二（一）節(jié)中的相同。三（二）、問(wèn)題說(shuō)明圖2 問(wèn)題說(shuō)明過(guò)程一個(gè)末尾實(shí)體有一個(gè)長(zhǎng)期的密鑰對(duì)，此處。EE還有一個(gè)被CA在公共密鑰中發(fā)布的證明書。讓變成CA的密鑰對(duì)，此處的。在公共密鑰中的證明書是CA的修改自己的證明書簽名，證明書簽名是在一些CA準(zhǔn)備的證明信息中，它包含序列號(hào)，長(zhǎng)期公共密鑰，簽字者的身份，發(fā)行者的身份，有效的期限，延伸部分等。為了發(fā)行，CA選擇，并計(jì)算和

13、。它的有效性通過(guò)下式證明EE保持一個(gè)長(zhǎng)期的密鑰和說(shuō)明信息。三（三）、推薦協(xié)議的操作推薦的WTLS協(xié)議由一下算法組成。密鑰的產(chǎn)生：一個(gè)末端實(shí)體通過(guò)用一個(gè)長(zhǎng)期的密鑰對(duì)和一個(gè)證明書來(lái)計(jì)算一個(gè)臨時(shí)的密鑰對(duì)。1） 服務(wù)器密鑰產(chǎn)生：2） 客戶密鑰產(chǎn)生：簽名：使用臨時(shí)的簽名密鑰，在信息和證明書基礎(chǔ)上，EE計(jì)算一個(gè)修改的SCSI。3） 服務(wù)器簽名- 選擇一個(gè)隨機(jī)值并計(jì)算。 - 準(zhǔn)備一個(gè)相關(guān)的信息- 計(jì)算一個(gè)簽名。4） 客戶簽名- 選擇一個(gè)隨機(jī)值并計(jì)算。 - 準(zhǔn)備一個(gè)相關(guān)的信息 - 計(jì)算一個(gè)簽名。 證明：檢驗(yàn)這檢查的有效性如下：5） 服務(wù)器證明- 計(jì)算客戶的臨時(shí)公共密鑰。 - 用下列步驟證實(shí)簽名。 6） 客戶證

14、明- 計(jì)算客戶的臨時(shí)公共密鑰。 - 用下列步驟證實(shí)簽名。 推薦的WTLS握手協(xié)議的過(guò)程如下： 客戶和服務(wù)器發(fā)送一個(gè)問(wèn)候信息，包括一個(gè)先前計(jì)算的隨機(jī)值，版本V，會(huì)話ID SID和其它安全協(xié)商要求的信息。 服務(wù)器用密鑰產(chǎn)生（1）計(jì)算一個(gè)臨時(shí)密鑰對(duì). 服務(wù)器用簽名（3）產(chǎn)生一個(gè)簽名并發(fā)送到客戶。 客戶計(jì)算服務(wù)器的臨時(shí)公共密鑰并用證明（6）證明服務(wù)器的簽名。 客戶計(jì)算先前的秘密和主秘密。 客戶用密鑰產(chǎn)生（2）計(jì)算臨時(shí)的密鑰對(duì)。 客戶能夠簽名（4）生成一個(gè)簽名并將C發(fā)送到服務(wù)器。 客戶計(jì)算先前的主秘密和主秘密。 服務(wù)器解碼C并用證明（5）證實(shí)客戶簽名。 這時(shí)，客戶和服務(wù)器發(fā)送ChangeCipherSp

15、ec和一個(gè)完成信息給彼此。握手完成，交換應(yīng)用層數(shù)據(jù)開(kāi)始。三（四）、分析（1） 安全性分析 對(duì)抗AI：當(dāng)一個(gè)對(duì)手試圖去冒充自己為一個(gè)有效的實(shí)體去同客戶和服務(wù)器建立主秘密，他（她）不能產(chǎn)生一個(gè)有效的數(shù)字簽名， 因此他（她）不知道秘密信息和CA的私人密鑰和隨機(jī)值。對(duì)抗FS：在推薦的算法中，即使兩個(gè)實(shí)體的私人密鑰被破壞，先前的主秘密將被保護(hù)，因此對(duì)手不知道客戶和服務(wù)器之間的隨機(jī)值。推薦的協(xié)議能夠提供全部的前向保密。 對(duì)抗KCI：即使對(duì)手獲得一個(gè)實(shí)體的長(zhǎng)期私人密鑰，他（她）不能計(jì)算主秘密，因?yàn)樗ㄋ┎恢烂孛茏C明信息。因此，即使對(duì)手知道實(shí)體的長(zhǎng)期私人密鑰，他（她）也不能冒充為一個(gè)有效的實(shí)體。 對(duì)抗KK

16、S：在推薦的協(xié)議中，由于兩個(gè)實(shí)體的隨機(jī)值包含在先前的主秘密中，即使對(duì)手獲得先前的主秘密和傳輸信息，他（她）也不能從計(jì)算當(dāng)前主秘密的信息中得到任何好處。因此，所推薦的協(xié)議對(duì)于KKP和KKI攻擊是非常安全的。 現(xiàn)有協(xié)議的安全性分析結(jié)果及推薦協(xié)議的總結(jié)如下表。 表1 安全性分析結(jié)果主動(dòng)攻擊模型現(xiàn)有的協(xié)議推薦的協(xié)議AI安全安全FS不提供提供全部FSKCI不安全安全KKP不安全安全KkI不安全安全（2）性質(zhì)在本小節(jié)中，我們分析推薦協(xié)議的性質(zhì)。推薦的協(xié)議能提供共同的實(shí)體認(rèn)證，一個(gè)單向密鑰信息，一個(gè)共同的密鑰更新，用戶匿名等。表2是現(xiàn)有協(xié)議和推薦協(xié)議比較的總結(jié)。表2 現(xiàn)有協(xié)議和推薦協(xié)議的比較性質(zhì)現(xiàn)有協(xié)議推薦

17、協(xié)議n-通道54實(shí)體認(rèn)證單向共同密鑰證實(shí)不提供單向隱式密鑰證實(shí)共同共同顯式密鑰證實(shí)不提供單向密鑰更新共同共同用戶匿名不提供提供四、總結(jié)我們考慮WTLS握手協(xié)議的性質(zhì)及安全性和建立主秘密的過(guò)程。在本文中，我們分析了現(xiàn)有的WTLS握手協(xié)議的安全性和推薦的協(xié)議在幾種主動(dòng)攻擊模型（如主動(dòng)冒充，密鑰損害冒充，前向保密，已知密鑰主動(dòng)攻擊，已知密鑰模仿攻擊）中的安全性。推薦的WTLS握手協(xié)議對(duì)前面提到的幾種主動(dòng)攻擊模式具有安全性，并且提供各種安全性服務(wù)。推薦的協(xié)議執(zhí)行容易，并且提供具有本文所分析的幾種額外的安全特征。此外，它可以用在無(wú)線互聯(lián)網(wǎng)通信。參考文獻(xiàn)1 A. Freier, P. Karlton, P

18、. Kocher ,3.0版本SSL協(xié)議，IETF互聯(lián)網(wǎng)草案，1996年。2 T. Dierks, C. Allen, 1.0版本TLS協(xié)議，IETF RFC 2246，1999年。3 WAP論壇，無(wú)線應(yīng)用協(xié)議無(wú)線傳輸層安全規(guī)范版本18 FEB-2000，2000年。4 Dong Jin Kwak, Jae Cheol Ha, Hoon Jae Lee Hwan Koo Kim, Sang Jae Moon, “具有用戶匿名性和前向保密的WTLS握手協(xié)議”，CIC2002LNCS2524，2003年，219-230頁(yè)。5 Y. Zheng, 一個(gè)移動(dòng)計(jì)算的身份驗(yàn)證和安全協(xié)議，電機(jī)工程IFIP，1996年， 249-257頁(yè)。6 Soohyun Oh, Jin Kwak, Seun