一個對抗主動攻擊的無線傳輸安全層的握手協(xié)議

1、一個對抗主動攻擊的無線傳輸安全層的握手協(xié)議JONGSU HAN,EUNSUNG SHO,DONGHO WON,信息和通訊工程學院，Sungkyunkwan大學,300 chunchun-dong,Jangan-gu,Suwon,Gyeonggi韓國摘要WTLS作為一個WAP的可靠的協(xié)議，使得TLS適合于無線環(huán)境，TLS適用于無線英特網(wǎng)協(xié)議TCP。WTLS的目的是提供安全和高效的服務(wù)。WTLS協(xié)議有四個協(xié)議組成，如握手協(xié)議，改變加密算法協(xié)議（ChangeCipherSpec）,警告（Alert）協(xié)議,和應(yīng)用數(shù)據(jù)協(xié)議。在本文我們將分析握手協(xié)議的性質(zhì)和建立主要秘密的過程的細節(jié)。然后，我們分析本協(xié)議對

2、幾種攻擊模型的安全性。我們也提出了一個新的握手協(xié)議，這個協(xié)議對幾種主動的攻擊模型都是具有安全性的，同時提供各種安全性的服務(wù)。關(guān)鍵詞：無線傳輸層安全性，握手協(xié)議，主動攻擊，橢圓曲線密碼一、 介紹近來，由于無線英特網(wǎng)的快速增長，新的顧客和服務(wù)已經(jīng)形成了。這意味著移動通訊系統(tǒng)和客戶移動設(shè)備能夠進入網(wǎng)絡(luò)。為了使操作員和產(chǎn)品能滿足進步的服務(wù)，區(qū)別和快速/靈活的服務(wù)標準的挑戰(zhàn)。WAP論壇定義了一套傳輸層（WDP），安全層（WTLS），處理層（WTP），會話層（WSP）,和應(yīng)用層（WAE）協(xié)議。安全層協(xié)議在WAP結(jié)構(gòu)中稱為無線安全傳輸層，WTLS。WTLS主要的目標是提供兩個通訊實體之間的保密，數(shù)據(jù)完善，認

3、證和密鑰協(xié)商等。WTLS在功能上類似與TLS1.0，并融合了一些新的特征，如數(shù)據(jù)包的支持，優(yōu)化的握手和動態(tài)的密鑰更新。該WTLS協(xié)議適合于相對較長延遲的低帶寬網(wǎng)絡(luò)，并且有四個協(xié)議組成：握手協(xié)議，預(yù)警協(xié)議，更改密碼規(guī)范協(xié)議和記錄協(xié)議。WTLS握手協(xié)議是用于商議WAP體系中WTLS層安全會話的屬性。 但是，目前的WTLS握手協(xié)議在主動攻擊模式中有幾種安全的問題，例如積極的模仿，密鑰折衷的模仿，前向保密，已知密鑰被動攻擊，已知密鑰模仿攻擊等。在本文中，我們分析握手協(xié)議的性能和對抗幾種攻擊模式的安全性。我們也提出了一個新的握手協(xié)議，它對抗幾種主動攻擊模式十分安全，并且能提供各種安全服務(wù)。本文剩下部分將

4、作如下組織：在第2節(jié)，我們列出了現(xiàn)有的WTLS握手協(xié)議和分析對若干主動攻擊模式的安全功能。在第3節(jié)，我們介紹了推薦的WTLS握手協(xié)議（該協(xié)議對若干主動攻擊模型具有安全性）并分析安全的特征和與其它現(xiàn)有的WTLS握手協(xié)議的服務(wù)的比較。在第4節(jié)給出結(jié)論。二、 現(xiàn)有的WTLS握手協(xié)議 WTLS握手協(xié)議產(chǎn)生密碼系統(tǒng)參數(shù)，用于安全會話和WTLS的記錄層頂部的操作。當一個WTLS客戶端和服務(wù)器第一次啟動通訊時，他們協(xié)商在一個協(xié)議版本，選擇加密算法，彼此驗證，并使用公開密鑰加密技術(shù)來生成一個共享的秘密。WTLS握手協(xié)議包括以下步驟：·交換Hello消息商定算法，交換隨機值。·交換必要的加密

5、參數(shù)，以便客戶端和服務(wù)器商定一項預(yù)主秘密。·交換證書和加密信息，以允許客戶端和服務(wù)器認證彼此。·從前一個主秘密和交換的隨機值中生成一個主秘密。·提供安全參數(shù)給記錄層。·計算了相同的安全參數(shù)，允許客戶端和服務(wù)器來驗證他們的同伴，沒有被任何攻擊篡改時握手發(fā)生。二（一）、參數(shù) 現(xiàn)有的WTLS握手協(xié)議中，系統(tǒng)的參數(shù)定義如下： ·V：WTLS的版本 ·E：終端實體（EE） ·SID：安全會話的ID ·：實體E支持的信息，如密鑰交換訴訟，密碼訴訟，壓縮方法，新的密鑰等。 ·：前主秘密 ·：主秘密 ·

6、;：單向散列函數(shù) ·：實體E的私人密鑰 ·：實體E的公共密鑰 ·：實體E的身份證明 ·：實體E產(chǎn)生的隨機數(shù) ·：使用密鑰K對稱加密（解密） ·：和的串聯(lián) ·：橢圓曲線發(fā)生器二（二）、現(xiàn)有協(xié)議的操作 在握手協(xié)議中所有安全相關(guān)的參數(shù)都被協(xié)商。這些參數(shù)包括屬性如使用的協(xié)議版本，使用的加密算法，用于認證的信息和公共密鑰技術(shù)來生成一個共享的秘密。 握手始于一個Hello消息?？蛻舳税l(fā)送一個ClientHello消息發(fā)送到服務(wù)器。服務(wù)器必須用SeverHello消息來響應(yīng)消息。在這兩個Hello消息后，通信雙方同意會話能力。發(fā)送Hell

7、o消息之后，如果實體需要被驗證，服務(wù)器必須發(fā)送它的身份通行證。此外，如果被需要或服務(wù)器可能會要求客戶端身份驗證，如果這些適合密鑰交換程序，一個服務(wù)器密鑰交換信息也可以被發(fā)送。接下來，服務(wù)器發(fā)送一個服務(wù)器問候結(jié)束消息，表明握手的Hello消息階段完成。然后，服務(wù)器等待客戶端的響應(yīng)。如果服務(wù)器發(fā)送了一個身份驗證請求消息，客戶端必須發(fā)出一個身份驗證信息。如果客戶端的身份驗證信息沒有包含密鑰交換的足夠的數(shù)據(jù)或者根本就沒有發(fā)送，一個客戶端密鑰交換消息被發(fā)送。信息的內(nèi)容依賴于客戶端問候信息和服務(wù)器問候信息之間的公共密鑰算法的選擇。在這之后，預(yù)主秘密被設(shè)置。如果客戶端使用簽署能力進行身份驗，發(fā)送一個驗證信息

8、去通過數(shù)字的簽名明確地證明身份。在這一點上，客戶端發(fā)送一個ChangeCipherSpec消息，并且客戶端復(fù)制待加密說明到當前的寫入加密說明。隨即，客戶端在新算法、密鑰和秘密下發(fā)送一個完成信息。當服務(wù)器收到ChangeCipherSpec消息，服務(wù)器也復(fù)制待加密說明到當前的讀加密說明。作為回應(yīng)，服務(wù)器也發(fā)送自己的ChangeCipherSpec信息，設(shè)置它的當前的些加密說明到到待加密說明，并且在新的加密說明下發(fā)送它自己的完成信息。在這一點上，握手已經(jīng)完成，客戶端和服務(wù)器可能會開始交換應(yīng)用層數(shù)據(jù)。圖1表明使用一個基于Ec的DH密鑰交換和EC-DSA的完整握手協(xié)議的消息流。 圖1 現(xiàn)有的WTLS握

9、手協(xié)議二（三）、e -握手的安全性分析（1） 主動攻擊模型在這一小節(jié)中，我們分析現(xiàn)有的WTLS握手協(xié)議的安全性。在本文中在所考慮的協(xié)議的安全性目標是主動模仿（AI），前向保密（FS），密鑰危害模仿（KCI），已知密鑰安全性，它們的定義如下：·主動模仿（AI）：一個帶有實體U的敵人進入了會話層，假冒另一個實體V并計算U和V之間的會話密鑰。·前向保密（FS）：即使一個或多個實體的長期的私人密鑰被危害時，通過一個忠實的實體建立的先前的會話密鑰的保密也不會受影響時，該協(xié)議用于提供前向保密。有事在一個單獨的私人密鑰被危害時（半前向保密）的情景和兩個實體的私人密鑰都被危害時（全前向保密

10、）的情景之間存在差別。·密鑰危害模仿（KCI）：假設(shè)實體U的長期的私人密鑰被鎖定。顯然對手知道這個值并模仿實體U，因為正是這個值標識了實體U。但是，在某些情況如損失并不能使對手模仿其他實體到U，這一點可能是可取的。然后密鑰協(xié)議援助提供一個密鑰危害模仿的應(yīng)變能力。·已知密鑰安全（KKS）：盡管在一個對手已了解其它的一些會話密鑰時，這個協(xié)議應(yīng)該也能達到它的目的。下面有兩種已知密鑰的攻擊。- 已知密鑰被動攻擊：一個對手獲得了先前使用過的密鑰，然后用這些信息去決定一個新的密鑰。- 已知密鑰模擬攻擊：一個對手進入了會話，將自己冒充為一個有先前會話密鑰的有效的實體V，并初始密鑰標記，最

11、終計算實體U和實體V之間的會話密鑰。（2） 安全性分析對抗AI：當對手試圖去冒充為EE去要求產(chǎn)生主秘密時，他（她）不只是確認彼此的身份確認信息，而且他（她）不知道EE的私人密鑰。對抗FS：一個對手A知道客戶或者服務(wù)器的私人密鑰進入了會話，并用客戶或者服務(wù)器的私人密鑰計算主秘密，公共密鑰和隨機數(shù)如下：1） 一個對手A用危害的私人密鑰和的公共密鑰，計算先前的主秘密。2） 一個對手A用先前的主秘密和隨機數(shù)來計算主秘密。對抗KCI: 一個對手A知道客戶C的私人密鑰進入會話，并且將自己冒充為服務(wù)器S，然后和客戶計算主秘密如下：1） 一個對手A在收到客戶C的后，發(fā)送隨機數(shù)給客戶C。2） 一個對手A計算先前

12、的主秘密和主秘密。對抗KKS：有先前主秘密和傳輸信息的對手A進入會話并冒充自己為有效的EE，然后用先前主秘密，傳輸信息和公共信息計算主秘密。1） 一個對手A知道以前的先前秘密有一個長期的密鑰組成。2） 一個對手A用一個先前的主秘密和一個隨機數(shù)計算主秘密。三、 推薦的WTLS握手協(xié)議三（一）、參數(shù) 在推薦的WTLS握手協(xié)議中用到的系統(tǒng)參數(shù)的定義如下：權(quán)威證明的私人密鑰：權(quán)威證明的公共密鑰：EE的長期的私人密鑰：EE的長期的公共密鑰：EE的臨時的私人密鑰：EE的臨時的公共密鑰：中間的雜亂值：EE的說明信息：G的順序剩下的與二（一）節(jié)中的相同。三（二）、問題說明圖2 問題說明過程一個末尾實體有一個長

13、期的密鑰對，此處。EE還有一個被CA在公共密鑰中發(fā)布的證明書。讓變成CA的密鑰對，此處的。在公共密鑰中的證明書是CA的修改自己的證明書簽名，證明書簽名是在一些CA準備的證明信息中，它包含序列號，長期公共密鑰，簽字者的身份，發(fā)行者的身份，有效的期限，延伸部分等。為了發(fā)行，CA選擇，并計算和。它的有效性通過下式證明EE保持一個長期的密鑰和說明信息。三（三）、推薦協(xié)議的操作推薦的WTLS協(xié)議由一下算法組成。·密鑰的產(chǎn)生：一個末端實體通過用一個長期的密鑰對和一個證明書來計算一個臨時的密鑰對。1） 服務(wù)器密鑰產(chǎn)生：2） 客戶密鑰產(chǎn)生：簽名：使用臨時的簽名密鑰，在信息和證明書基礎(chǔ)上，EE計算一個

14、修改的SCSI。3） 服務(wù)器簽名- 選擇一個隨機值并計算。 - 準備一個相關(guān)的信息- 計算一個簽名。4） 客戶簽名- 選擇一個隨機值并計算。 - 準備一個相關(guān)的信息 - 計算一個簽名。 ·證明：檢驗這檢查的有效性如下：5） 服務(wù)器證明- 計算客戶的臨時公共密鑰。 - 用下列步驟證實簽名。 6） 客戶證明- 計算客戶的臨時公共密鑰。 - 用下列步驟證實簽名。 推薦的WTLS握手協(xié)議的過程如下： 客戶和服務(wù)器發(fā)送一個問候信息，包括一個先前計算的隨機值，版本V，會話ID SID和其它安全協(xié)商要求的信息。 服務(wù)器用密鑰產(chǎn)生（1）計算一個臨時密鑰對. 服務(wù)器用簽名（3）產(chǎn)生一個簽名并發(fā)送到客戶

15、。 客戶計算服務(wù)器的臨時公共密鑰并用證明（6）證明服務(wù)器的簽名。 客戶計算先前的秘密和主秘密。 客戶用密鑰產(chǎn)生（2）計算臨時的密鑰對。 客戶能夠簽名（4）生成一個簽名并將C發(fā)送到服務(wù)器。 客戶計算先前的主秘密和主秘密。 服務(wù)器解碼C并用證明（5）證實客戶簽名。 這時，客戶和服務(wù)器發(fā)送ChangeCipherSpec和一個完成信息給彼此。握手完成，交換應(yīng)用層數(shù)據(jù)開始。三（四）、分析（1） 安全性分析 ·對抗AI：當一個對手試圖去冒充自己為一個有效的實體去同客戶和服務(wù)器建立主秘密，他（她）不能產(chǎn)生一個有效的數(shù)字簽名， 因此他（她）不知道秘密信息和CA的私人密鑰和隨機值。·對抗F

16、S：在推薦的算法中，即使兩個實體的私人密鑰被破壞，先前的主秘密將被保護，因此對手不知道客戶和服務(wù)器之間的隨機值。推薦的協(xié)議能夠提供全部的前向保密。 ·對抗KCI：即使對手獲得一個實體的長期私人密鑰，他（她）不能計算主秘密，因為他（她）不知道秘密證明信息。因此，即使對手知道實體的長期私人密鑰，他（她）也不能冒充為一個有效的實體。 ·對抗KKS：在推薦的協(xié)議中，由于兩個實體的隨機值包含在先前的主秘密中，即使對手獲得先前的主秘密和傳輸信息，他（她）也不能從計算當前主秘密的信息中得到任何好處。因此，所推薦的協(xié)議對于KKP和KKI攻擊是非常安全的。 現(xiàn)有協(xié)議的安全性分析結(jié)果及推薦協(xié)議

17、的總結(jié)如下表。 表1 安全性分析結(jié)果主動攻擊模型現(xiàn)有的協(xié)議推薦的協(xié)議AI安全安全FS不提供提供全部FSKCI不安全安全KKP不安全安全KkI不安全安全（2）性質(zhì)在本小節(jié)中，我們分析推薦協(xié)議的性質(zhì)。推薦的協(xié)議能提供共同的實體認證，一個單向密鑰信息，一個共同的密鑰更新，用戶匿名等。表2是現(xiàn)有協(xié)議和推薦協(xié)議比較的總結(jié)。表2 現(xiàn)有協(xié)議和推薦協(xié)議的比較性質(zhì)現(xiàn)有協(xié)議推薦協(xié)議n-通道54實體認證單向共同密鑰證實不提供單向隱式密鑰證實共同共同顯式密鑰證實不提供單向密鑰更新共同共同用戶匿名不提供提供四、總結(jié)我們考慮WTLS握手協(xié)議的性質(zhì)及安全性和建立主秘密的過程。在本文中，我們分析了現(xiàn)有的WTLS握手協(xié)議的安全

18、性和推薦的協(xié)議在幾種主動攻擊模型（如主動冒充，密鑰損害冒充，前向保密，已知密鑰主動攻擊，已知密鑰模仿攻擊）中的安全性。推薦的WTLS握手協(xié)議對前面提到的幾種主動攻擊模式具有安全性，并且提供各種安全性服務(wù)。推薦的協(xié)議執(zhí)行容易，并且提供具有本文所分析的幾種額外的安全特征。此外，它可以用在無線互聯(lián)網(wǎng)通信。參考文獻1 A. Freier, P. Karlton, P. Kocher ,3.0版本SSL協(xié)議，IETF互聯(lián)網(wǎng)草案，1996年。2 T. Dierks, C. Allen, 1.0版本TLS協(xié)議，IETF RFC 2246，1999年。3 WAP論壇，無線應(yīng)用協(xié)議無線傳輸層安全規(guī)范版本18 FEB-2000，2000年。4 Dong Jin Kwak, Jae Cheol Ha, Hoon Jae Lee Hwan Koo Kim, Sang Jae Moon, “具有用戶匿名性和前向保密的WTLS握手協(xié)議”，CIC2002LNCS2524，2003年，219-230頁。5 Y. Zheng, 一個移動計算的身份驗證和安全協(xié)議，電機工程IFIP，1996年， 249-257頁。6 Soohyun Oh, Jin K