一個(gè)應(yīng)對(duì)主動(dòng)攻擊的WTLS握手協(xié)議

1、一個(gè)應(yīng)對(duì)主動(dòng)攻擊的wtls握手協(xié)議一個(gè)丿應(yīng)對(duì)主動(dòng)攻擊的wtls握手協(xié)議摘要：作為-個(gè)wap的安全協(xié)議的wtls使得tls適合于無(wú)線壞境屮1。tls是一種 為了 tcp安全用丁無(wú)線互聯(lián)網(wǎng)的協(xié)議。而且wtls得忖的是為了捉供安全和冇效的服務(wù)。 wtls協(xié)議包括四個(gè)協(xié)議,如握手協(xié)議,changecipherspec, alert,應(yīng)用數(shù)據(jù)。在本文 中，我們分析性能的握手協(xié)議的性能并建立詳細(xì)掌握的建立主秘密的程序。然后，我們?cè)?以他們?yōu)榛A(chǔ)分析了安全應(yīng)對(duì)服務(wù)器攻擊的模式。此外，我們捉出了一種新的握手協(xié)議， 它是幾種避免主動(dòng)攻擊的模式，并可以提供各種安全服務(wù)。關(guān)鍵詞：wtls ,握手協(xié)議，主動(dòng)攻擊，橢岡

2、曲線密碼體制1. 介紹最近，的客戶和服務(wù)在不斷發(fā)展由于快速增長(zhǎng)的無(wú)線互聯(lián)網(wǎng)市場(chǎng)。這童味著移動(dòng)通信系 統(tǒng)和客戶端的移動(dòng)設(shè)備現(xiàn)在可以接入因特網(wǎng)。為了使運(yùn)營(yíng)商和制造商以更先進(jìn)的服務(wù)應(yīng)付 未來(lái)的挑戰(zhàn)，多樣和快速/靈活的服務(wù)創(chuàng)建的wap論壇泄義了一整套的協(xié)議在傳輸(wap), 安全(wtls),交換(wtp),會(huì)議(wsp),應(yīng)用(wsp)層。在wap架構(gòu)中安全層協(xié)議被稱為 無(wú)線傳輸層安全，wtls。wtls的主要fl標(biāo)是提供隱私，數(shù)據(jù)的完整性，身份驗(yàn)證和在實(shí)體 之間的密鑰溝通。wtls提供的功能類似于10并整合了新的功能，如數(shù)據(jù)支持，握手協(xié)議 優(yōu)化和動(dòng)態(tài)密鑰刷新。wtls協(xié)議用于相對(duì)較長(zhǎng)的潛伏期的低帶

3、寬承載網(wǎng)，由四個(gè)協(xié)議組 成：握手協(xié)議，預(yù)警協(xié)議，更改密碼規(guī)格協(xié)議，記錄協(xié)議。wtls握手協(xié)議被用于在wap wtls層結(jié)構(gòu)3的安全屬性的商定。然而，現(xiàn)冇的wtls握手協(xié)議冇嚴(yán)重的安全問(wèn)題，在主動(dòng)攻擊模式中，如積極模仿，關(guān) 鍵損害模擬，轉(zhuǎn)發(fā)安全，稱為關(guān)鍵被動(dòng)攻擊，已知的主要模仿攻擊等等。在本文中，我們 分析握手協(xié)議的性能和反対幾種攻擊模式安全。此外，我們捉出了一種新的握手協(xié)議模式 而口可以提供各種安全服務(wù)。其余本文安排如下。第2節(jié)中，我們概述了現(xiàn)有的町ls握手協(xié)議，分析了阻止一些積 極的攻擊模式的安全功能。第3節(jié)中，我們介紹了擬提出的wtls握手協(xié)議的它保護(hù)使其 免一些活動(dòng)攻擊模型，月與現(xiàn)有的w

4、tls握手協(xié)議相比較。結(jié)論是在第4節(jié)提出。2. 現(xiàn)有的wtls握手協(xié)議wtls握手協(xié)議為一個(gè)安全會(huì)議產(chǎn)生加密參數(shù)并運(yùn)作在wtls記錄層頂部。當(dāng)一個(gè)wtls客 戶端和服務(wù)器第一次啟動(dòng)通信時(shí)，雙方同意在一個(gè)協(xié)議版本中，選擇加密算法，驗(yàn)證對(duì) 方，并使用公共密鑰加密技術(shù)，以創(chuàng)造一個(gè)共同的密鑰。wtls握手協(xié)議的涉及以下步驟為達(dá)成一致算法交換你好信息，交換隨機(jī)值。交換必要的加密參數(shù)，使客戶端和服務(wù)器同意得到一個(gè)預(yù)先掌握的秘密。交換證書(shū)和 加密信息，使客戶端和服務(wù)器以驗(yàn)證它們it己。從已了解的秘密和交換的隨機(jī)值生成一個(gè)主秘密。為記錄層提供安全參數(shù)。允許客戶端和服務(wù)器以證實(shí)他們的同行已經(jīng)計(jì)算出了相同的安全參

5、數(shù)月沒(méi)有被一個(gè)握手 攻擊發(fā)生篡改。2. 1參數(shù)定義的系統(tǒng)參數(shù)用于現(xiàn)有的wtls握手協(xié)議如下。v: wtls版本e:尾部實(shí)體(ee)sid： 一個(gè)安全會(huì)議的idsecnege |±|實(shí)體e的信息支持，如密鑰交換程序，密碼程序，比較方法，密鑰更新等。kp:已精通的秘密km：精通秘密h()：?jiǎn)蜗蛏⒘泻瘮?shù)xe：實(shí)體e的私鑰pe：實(shí)體e的公鑰certe：實(shí)體e的證書(shū)re：實(shí)體e產(chǎn)生的隨機(jī)數(shù)ek (dk):使用密鑰k均衡編碼(解碼)x| |y:x和y的相關(guān)實(shí)體g：橢圓曲線的發(fā)生器2. 2現(xiàn)有協(xié)議的運(yùn)算所有安全相關(guān)的參數(shù)在握手協(xié)議期間同意。這些參數(shù)包括屬性，如使用協(xié)議的版木，使 用加密算法，論證的

6、使用和以產(chǎn)半一個(gè)共有的秘密的公共密鑰技術(shù)的信息。握手開(kāi)始于一個(gè)hello消息?？蛻舳税l(fā)送一個(gè)clientllello郵件給服務(wù)器。服務(wù)器必須 響應(yīng)信息以serverhello信息。在這兩個(gè)您好訊息，溝通雙方同意會(huì)議的能力。下面的 hello消息,如果需要驗(yàn)證,服務(wù)器發(fā)送它的的證書(shū)。此外，serverkeyexchange信息 可能也會(huì)被發(fā)送，如果需?；蚍?wù)器可以從客戶端請(qǐng)求一個(gè)證書(shū)，如果那適合密鑰交換程 序選擇。接f來(lái)，服務(wù)器發(fā)送serverhellodone消息，這表明您好消息階段的握手已完 成。然后，服務(wù)器等待客戶端的響應(yīng)。如果服務(wù)器己發(fā)送了一個(gè)certificaterequest信 息，

7、客戶端必須發(fā)送一個(gè)證書(shū)信息。一個(gè)客戶密鑰交換郵件被發(fā)送，如果客戶端證書(shū)為密 鑰交換沒(méi)有包含足夠的數(shù)據(jù)，或者如果它是完全發(fā)送。信息內(nèi)容將取決于公鑰算法，在一 個(gè)clientllello和一個(gè)serverllello之間選擇。此消息后，預(yù)先掌握秘密被設(shè)置。如果 客戶端為了證明以一個(gè)簽名能力而使用證書(shū)，一個(gè)證書(shū)驗(yàn)證郵件被發(fā)送為了通過(guò)一個(gè)數(shù)字 簽名核實(shí)其證書(shū)。在這一點(diǎn)上，客戶端發(fā)送一個(gè)changecipherspec郵件，冃客戶端復(fù)制 待加密的密碼說(shuō)明到li前的收件密碼規(guī)格。緊接著，客戶端根據(jù)新的算法，密鑰和秘密發(fā) 送一個(gè)完成的消息。當(dāng)服務(wù)器收到一個(gè)changecipher規(guī)格的信息時(shí)，它也復(fù)制待加密

8、說(shuō) 明到目前的閱讀密碼規(guī)格。對(duì)此，該服務(wù)器也發(fā)送它自己的changecipherspec消息,設(shè) 置它li前套寫(xiě)密碼規(guī)格到待加密說(shuō)明，并以新密碼觀則發(fā)送自己的成品信息。在這一點(diǎn) 上，握手已經(jīng)完成，客戶端和服務(wù)器可能開(kāi)始交換應(yīng)用層的數(shù)據(jù)4。圖.1顯示了信息流 動(dòng)，其中使用一個(gè)基于ec的dh密鑰交換和ec-dsa為一個(gè)完全握手協(xié)議。client cserver sseiverhelloj certificate c ernf:c3terequest senerhellodone2嘰 &|&)clieathellor“sidgn磚cert p5 = xcpxcert e certif

9、icater =疔(eg)j = (h(handshake ) xe - r) mod qc ertific a revenfy*changec ipherspec i finishedapplication datau = hhmxdzhake )r? = (u -g-rspc)changecipherspec"finishedapplication data積極假冒（ai）:對(duì)手進(jìn)入會(huì)議提供了有效的實(shí)體u,并假冒另一個(gè)實(shí)體v和最后計(jì)算 一個(gè)會(huì)議密鑰在u和vz間。前向保密率（fs）:當(dāng)上屆會(huì)議的密鑰由誠(chéng)實(shí)實(shí)體所確立沒(méi)有受到影響，即使一個(gè)或 更多的實(shí)體的長(zhǎng)期私鑰被損害，協(xié)議說(shuō)提供前向

10、密碼。一個(gè)區(qū)分時(shí)有時(shí)在場(chǎng)景z間造成 的，其中一個(gè)單一實(shí)體的私鑰受到損害（半前向保密）h兩個(gè)實(shí)體z間私鑰的場(chǎng)景被損害 （完全前向保密）關(guān)鍵折衷模擬（kci）:假設(shè)實(shí)體的長(zhǎng)期私人鑰匙被披露。顯然敵人知道這個(gè)值現(xiàn)在可 以假冒u,因?yàn)槎xu的值是精確的。但是，它可能在某些環(huán)境中被描敘，這一損失無(wú)法 確保對(duì)手模擬其他實(shí)體uo然后密鑰協(xié)商協(xié)議幫助提供一個(gè)關(guān)鍵妥協(xié)模擬復(fù)原。已知的主要安全（kks）: 一份協(xié)議也將完成它的口標(biāo)，盡管有一個(gè)對(duì)手學(xué)會(huì)其他一些 會(huì)話密鑰。有兩種已知的密鑰攻擊。-己知的關(guān)鍵無(wú)源（kkp）攻擊：一個(gè)對(duì)手獲得一些當(dāng)前使用的密鑰然后使用此信息來(lái) 確定新的會(huì)話密鑰。-一已知的關(guān)鍵假冒（kki

11、 ）攻擊：對(duì)手進(jìn)入了會(huì)議并假冒他（/她）作為一個(gè)冇效的 實(shí)體v通過(guò)上屆會(huì)議密鑰和上屆密鑰令牌，然后最后在u和v之間計(jì)算會(huì)話密鑰。2. 3. 2安全性分析反ai：當(dāng)一個(gè)對(duì)手試圖假冒作為ee為了請(qǐng)求生成主秘密，他（她）不僅可以驗(yàn)證驗(yàn)證 對(duì)方信息，而月.他（她）不知道ee e的私鑰。反fs： 一個(gè)知道客服端和服務(wù)器的私鑰xe（l/2）進(jìn)入會(huì)議并計(jì)算一個(gè)主秘密以客服或服 務(wù)器的密鑰，公鑰和隨機(jī)數(shù)xe （1/2）進(jìn)入會(huì)議和通過(guò)客服端或（和）服務(wù)器的私鑰，公 鑰和隨機(jī)數(shù)re （1/2）如下：1） 一個(gè)對(duì)手a計(jì)算前主秘密kp二xe1pe2以損害的私鑰xel和e2的公鑰。2） 一個(gè)對(duì)手a計(jì)算主密鑰km=h （

12、kp|rel|re2）以前主秘密和隨機(jī)數(shù)re （1/2）。攻 擊kci： 一個(gè)了解客服c的私鑰xc的對(duì)手a進(jìn)入會(huì)議且扮演口己為服務(wù)器s然后用客服c 計(jì)算主秘密，如下：1） 一個(gè)ra對(duì)手a當(dāng)他（她）從客服c接收rc后，發(fā)送一個(gè)隨機(jī)數(shù)到客服c。2） 個(gè)對(duì)手a計(jì)算一個(gè)前主秘密和一個(gè)主秘密。kp=xcps, km=h (kp|rc|ra)攻擊kks： 一個(gè)擁有前預(yù)先掌握和傳遞信息的密鑰的對(duì)手a進(jìn)入會(huì)議且冒充自己作為合 法有效ee然后計(jì)算曲先前的前主密鑰、傳播信息和公共信息計(jì)算一個(gè)主密鑰。1) 一個(gè)對(duì)手a知道當(dāng)前的前主密鑰由一個(gè)長(zhǎng)期密鑰組成。2) 一個(gè)對(duì)手a通過(guò)前主密鑰和一個(gè)隨機(jī)數(shù)計(jì)算主密鑰。km二h

13、(kp|re1|re2)3. 擬提議的wtls握手協(xié)議3. 1參數(shù)用丁擬提出的wtls握手協(xié)議的系統(tǒng)參數(shù)的定義如下：xca：認(rèn)證機(jī)構(gòu)的私鑰pca：認(rèn)證機(jī)構(gòu)的公鑰xee： ee的長(zhǎng)期私鑰xe： ee的臨時(shí)私鑰pe： ee的臨時(shí)公鑰ue： g 的次序,|n| = |h(.)|具余的與2.1節(jié)相同。3. 2發(fā)行證書(shū)end entity ecertification authority calong-term key pan (xf<. pef)(-j,匕)e" =xf.fip廠饑g =(s)譏心)耳=和力(cze ii ) + ku mod n歸g-壓乙=(兀,”)= 0心'

14、？=心) kcx : a ramdom alue selected by ca t z (p = (x, y) = xcit;: sen?.l mimber. p?f . signer:dennty. issuer* identic. penod of vakdin e:ecs:on. e:.圖2發(fā)行證書(shū)的步驟一個(gè)最終實(shí)體有一個(gè)長(zhǎng)期密鑰對(duì)(xee, pee)，其屮pee=xeeg.ee在公鑰pee上也有一 個(gè)證書(shū)corte,有ca發(fā)行。讓(xca, pca)作為一個(gè)ca的密鑰對(duì)，其中pca二xcag。在公 鑰pee上的證書(shū)certe=(違 ,se)是ca'修改自己證書(shū)簽名(scs)在一

15、些證明信息 cie由ca準(zhǔn)備，其屮包括序列號(hào)，長(zhǎng)期公鑰，簽名人的身份，發(fā)行考的身份，有效期擴(kuò) 展,等7。為了發(fā)行certe ca選擇kca和計(jì)算r (, e=kcag)re ( kcag), re (re)和 se。se| xca. h(cie| |re) kcamod n它的有效性iii下面的步驟證明。ue h(cie|re)seg uepca (xt,yt) rexs xes ss,ps pes pca us rsus h(cis|rs)ee被保持秘密的長(zhǎng)期密鑰xee和一個(gè)證書(shū)信息seo3.3擬提出協(xié)議的運(yùn)算擬提出的wtls握手協(xié)議由下而算了組成。密鑰生成：一個(gè)完全實(shí)體通過(guò)使用一個(gè)長(zhǎng)期密鑰

16、對(duì)(xee, pee)和一個(gè)證書(shū)certe計(jì)算 一個(gè)暫時(shí)的密鑰對(duì)(xe, pe),如下：(1) 服務(wù)密鑰生成xs xes ss,ps pes pca us rs(其中)(2) 客服密鑰生成xc xec sc, pc pec pca uc rc (其中 us h(cis| |rc')簽名：使用暫時(shí)簽名密鑰xe, ee在消息(哈希值)和址明certe計(jì)算一個(gè)修改的scs 如下：(3) 服務(wù)器簽名選擇一個(gè)隨機(jī)值ks和計(jì)算ts' ots ksg, ts (ts)準(zhǔn)備一系列消息。cis | | rs'| |ts'計(jì)算一個(gè)簽名ss xs h(cis|irs'l|ts

17、') ksmod n(4) 客服簽名選擇一個(gè)隨機(jī)值并估算tc'tc kcg, tc' (tc)準(zhǔn)備一系列消息。h= (handshake) , h|cis|rs' i|ts'計(jì)算一個(gè)簽名sc xc h(il| |cic| |rc'| |tc') kc'證明：一個(gè)證實(shí)者證明(te| |se),cie, re的有效性如下。(5) 服務(wù)器證明計(jì)算一個(gè)客服暫時(shí)公鑰pc pec pca uc rc川下面步驟核實(shí)簽名。uec h(h|cic|rc'|tc')scg uecpc tc (xtc, ytc)tc' ? (t

18、c)擬提出的wtls握手協(xié)議程序如下?？头撕头?wù)器發(fā)送一個(gè)hollo信息包括一個(gè)預(yù)計(jì)算隨機(jī)值r (c/s) g,版本v,會(huì)議 id sid,和其他必耍的信息為一個(gè)安全協(xié)商secneg (c/s)。服務(wù)器計(jì)算一個(gè)暫時(shí)密鑰対 (xs, ps)使用密鑰生成(1)。'服務(wù)器用簽名(3)式產(chǎn)生一個(gè)簽名并發(fā)送(te|se),cts|re到服務(wù)器?？头擞?jì)算一個(gè)服務(wù)器的暫時(shí)公鑰ps并用(6)式證明服務(wù)器簽名客服端計(jì)算一個(gè)前 主秘密和主秘密。kp rcrsg, km h(kp|rcps)client cchenthello；r.g sid. secneg cpx = p-十rx s十心 *(爼 ll

19、'|ir，)syg-%出=(xzi,jrx) = 7；7；心)kp = r.r.gcertificatevehnn% = % + sftc=ieg = (xrc,yfc)tc =才(a)h = h handshake )sc = & h(h | czc | rclf 7')+ mod n c = £xj(1 5e)|c7e ii qchaazecipherspecfinishedapphcariondata' -ke : a ramdom value selected by ead ercry, x (p = (x. y) = xsen-e*he：lo

20、xs =+ ssp$ = p" + py " + q 兀=(兀八兒) 兀(兀) s$ 為(cz$ |fj 厶)+ 屁mod” cmrh 五二 3館 _cenificatereouestsen-erheliodone kp = rersg = iixag) 2衛(wèi)=(昆ii se)| cic ii g 艮=+pca we十 h = h (handshake ) %*(e|c7jio scg-ugpc =(禮，兒)=tc ：?=譏) "*c hangec ipherspecfinished applicanondara*圖3擬提出的wtls握于協(xié)議客服端通過(guò)使用密鑰產(chǎn)生

21、式（2）計(jì)算一個(gè)暫時(shí)密鑰對(duì)（xc, pc）?？头耸勾ê灻剑?）產(chǎn)生一個(gè)簽名并發(fā)生c到服務(wù)器。c ekm（tc， |sc）|cic|rc客服端計(jì)算一個(gè)預(yù)主秘密和主秘密。kp rcrsg, km h（kp|ixsrcg）服務(wù)器翻譯c證實(shí)客服的簽名用證明式（5） o在這點(diǎn)上，一個(gè)changecipherspec和一個(gè)窕成的消息被發(fā)送通過(guò)客服端和服務(wù)器彼此 發(fā)送。握手然后成而且應(yīng)用層數(shù)據(jù)的交換能夠開(kāi)始。3. 4分析3. 4. 1安全分析對(duì)ai：當(dāng)一個(gè)對(duì)手嘗試扮演一個(gè)實(shí)體而和客服端和服務(wù)器建立一個(gè)主密鑰時(shí)，由于他 （她）不知道一個(gè)密鑰信息和ca的私鑰和隨機(jī)值kca,他（她）將不能產(chǎn)生一個(gè)有效的數(shù)字

22、sc,sso對(duì)fs：在擬提出的協(xié)議中，預(yù)主密鑰將被保護(hù)，即使兩個(gè)實(shí)體的私鑰被允許，因?yàn)橐粋€(gè) 對(duì)手不知道客服端和服務(wù)器之間的隨機(jī)值re。因此擬捉出的協(xié)議能夠捉供一個(gè)完全前向密鑰。對(duì)kci：即使一個(gè)對(duì)手獲得一個(gè)實(shí)體的長(zhǎng)期密鑰，他（她）不能計(jì)算主密鑰，因?yàn)樗?（她）不知道密鑰證明信息se。因此，一個(gè)對(duì)手不能假扮一個(gè)有效實(shí)體，盡管他（她）知道實(shí) 體的長(zhǎng)期密鑰。對(duì)kks：在擬提岀的協(xié)議中，因?yàn)閮蓚€(gè)實(shí)體的隨機(jī)值re被包括在前主秘密屮，即使一個(gè) 對(duì)手獲得預(yù)前主秘密和傳輸信息，他（她）不能從信息屮為了計(jì)算前主秘密得到任何好 處。因此，擬提出的協(xié)議時(shí)安全的對(duì)于kkp攻擊和kki攻擊。已存在的協(xié)議和擬提出的協(xié)議的安全分析的結(jié)構(gòu)總結(jié)在下表1中。表1.安全分析結(jié)構(gòu)active attack modelexisting protocolproposed protocolaisecuresecurefsdon't provideprovide full fskcinot securesecurekkpnot securesecurekkinot securesecure3. 4. 2性質(zhì)在這一小部分中，我們分析擬提出協(xié)議的性能。擬提出的協(xié)議能夠提供一個(gè)相互的實(shí)體 授權(quán)，一個(gè)單行道的