（计算机系统结构专业论文）宽带无线ip网络中的密钥交换协议.pdf

摘要 摘要 宽带无线i p 网络将是未来网络发展的方向，同传统通信技术相比，其优势在 于数据通信速率高、移动性好等。但是伴随着i p 网络的发展安全问题一只益突出。 就现有的安全技术而言，i p s e c 是目前适用于所有i n t e m e t 通信的唯一一种安全技 术，也是目前最易于扩展、最完整的一种网络安全方案，可为运行于i p 上层的任 何一种协议( t c p 、u d p 等) 提供保护。由于无线网络相对于有线网络有其特殊 的安全需求，i p s e c 在无线网络应用中也存在一些闯题，特别是其中的密钥交换协 议，因此我们重点讨论了宽带无线i p 网络中的密钥交换协议。 目前i p s e c 的密钥交换协议i k e 过于复杂，不能有效的防止d o s 攻击，协议 轮数太多，这些都严重影响了协议的性能和互操作性，同时导致了许多安全漏洞。 i k e 的替换协议i k e v 2 在很大程度上对i k e 进行了简化，大大减少了协议的轮数， 删除了极少使用的参数和认证方法，提高了协议执行的性能，增强了协议的安全 性和健壮性。但是i k e v 2 目前还处于草案阶段，有些内容还不完善，并且在无线 i p 网络中应用时还存在一些缺陷。在深入分析了无线i p 网络的安全威胁和现有的 设计要求的基础上，我们提出了无线i p 网络中设计密钥交换协议的要求和目标。 基于此，我们提出了无线i p 网络中的密钥交换协议一w i k e 。新的协议解决了无 线网络中比较突出的两个问题：对发起者的主动身份保护和不可否认性。并且对 协议进行了逻辑分析和仿真。分析结果表明：新的协议在安全性上要强于i k e v l 和t k e v 2 ，在性能上大大优于i k e v l 关键词：密钥交换宽带无线i p i k eb a n 逻辑n s 一2 a b s t r a c t a b s t r a c t b r o a d b a n dw i r e l e s si pn e t w o r ki st h ed i r e c t i o no fn e t w o r kd e v e l o p m e n ti nt h e f u t u r e c o m p a r e dw i t ht r a d i t i o n a lc o m m u n i c a t i o nt e c h n o l o g i e s ，i th a st h ea d v a n t a g e so f h i g hs p e e do f d a t ac o m m u n i c a t i o n ，g o o dm o b i l i t ye t c t h ed e v e l o p m e n to fi pn e t w o r k h a sb r o u g h tt h es e c u r i t yp r o b l e m s i p s e ci st h eo n l yo n es u i t a b l es o l u t i o nf o rp r e s e n t s e c u r i t yp r o b l e m so f a l lt h ei n t e m e tc o m m u n i c a t i o n s ，i ti sa l s ot h em o s ti n t a c ts e c u r i t y s c h e m ea n de a s i e s tt ob ee x p a n d e d ，w h i c hc a no f f e rp r o t e c t i o nf o ra n yp r o t o c o l s ( t c p , u d p , e t c ) o v e ri pl a y e r b e c a u s eo ft h es p e c i a ls e c u r i t yd e m a n d so ft h ew i r e l e s s n e t w o r k ，i p s e cf a c e ss o m ep r o b l e m si nw i r e l e s sn e t w o r ka p p l i c a t i o n s ，e s p e c i a l l yi t s k e ye x c h a n g e sp r o t o c o l ，t h a t i s w h yw ew i l ld i s c u s st h ek e ye x c h a n g ep r o t o c o l o f b r o a d b a n dw i r e l e s si pn e t w o r k t h ec u r r e n ti n t e m e tk e ye x c h a n g ep r o t o c o li k ei st o oc o m p l i c a t e dt oe f f e c t i v e l y p r e v e n td o s a t t a c ka n dh a st o om u c h r o u n d s ，w h i c hw i l li n f l u e n c et h ep e r f o r m a n c ea n d i n t e r o p e r a b i l i t ya n dc a u s eal o to fs e c u r i t yh o l ea tt h es a l t l et i m e i k e v 2h a ss i m p l i f i e d i k et oag r e a te x t e n t ，f o re x a m p l e ，i tm d u c e dt h ei n t e r a c t i o n a lr o u n d sg r e a t l y , d e l e t e dt h e p a r a m e t e ra n da u t h e n t i c a t i o nm e t h o dt h a ts e l d o mu s e sa n ds p e c i f i e dt h ea c t i o nw h e nt h em i s t a k e s o c c u r b u ti k e v 2i ss t i l la tt h es t a g eo fd r a f ta tp r e s e n t ，s o m ec o n t e n ti ss t i l ln o t p e r f e c t ， a n ds o m ed e f e c t se x i s ty e tw h i l eu s i n gi nw i r e l e s si pn e t w o r k o nt h eb a s i so f d e e p l y a n a l y z i n gt h ew i r e l e s si pn e t w o r ks e c u r i t yt h r e a ta n de x i s t i n gd e s i g nr e q u i r e m e n t ，w e p u tf o r w a r dt h ed e s i g nr e q u i r e m e n t so fk e ye x c h a n g ep r o t o c o li nw i r e l e s si pn e t w o r k b a s e do nt h e s er e q u i r e m e n t s ，w ep r o p o s ea nn e w k e ye x c h a n g ep r o t o c o lo f w i r e l e s si p n e t w o r k w i k e t h en e w p r o t o c o lh a ss o l v e dt w om o r eo u t s t a n d i n gp r o b l e m si nt h e w i r e l e s sn e t w o r k ：t h ea c t i v ei d e n t i t yp r o t e c t i o nt ot h ei n i t i a t o ra n dt h ep e e r sc a nn o t d e n i a b l ef o rt h ei n t e r a c f i o nb e t w e e nt h e m a l s ow eh a sc a r d e do nt h el o g i ca n a l y s i sa n d s i m u l a t i o nt ot h ep r o t o c 0 1 t h ea n a l y s i sr e s u l t ss h o w ：t h en e w p r o t o c o li ss t r o n g e rt h a n i k e v la n di k e v 2o nt h es e c u r i t ya n di ss u p e r i o rt oi k e v lg r e a t l yo n p e r f o r m a n c e k e y w o r d s ：k e ye x c h a n g e b r o a d b a n dw i r e l e s si pi k eb a n l o g i c n s - 2 创新性声明 v 5 8 3 3 5 3 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果；也不包含为获得西安电子科技大学或 其它教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做 的任何贡献均已在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名 辍 嗍邋丝 关于论文使用授权的说明 本人完全了解西安电子科技大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属西安电子科技大学。本人保证毕 业离校后，发表论文或使用论文工作成果时署名单位仍然为西安电子科技大学。 学校有权保留送交论文的复印件，允许查阅和借阅论文；学校可以公布论文的全 部或部分内容，可以允许采用影印、缩印、或其它复印手段保存论文。( 保密的 论文在解密后遵守此规定) 本人签名 导师签名 日期：塑盟：! ： 日期：地生j ! - i 鹦川j 第一章绪论 第一章绪论 随着社会的发展和通讯技术的日新月异，人们希望随时随地不受限制地访问 网络资源，宽带无线i p 技术应运而生。与此同时，网络安全问题也日益突出。 1 1宽带无线i p 网络的安全 2 0 0 1 年由西安电子科技大学综合业务网理论与关键技术国家重点实验室承担 的“8 6 3 ”信息领域重大课题一“宽带无线i p ”技术在西安通过了专家组验收，研 制的“宽带无线i p ”实验系统集无线通信、移动通信、扩频与网络技术于一体， 由无线接入终端、无线接入点和无线接入服务器组成，可支持单区网、多区网和 漫游、视频点播、域名浏览等功能。毋庸置疑，宽带无线技术的出现将极大地改 变人们现有的工作、学习和生活方式。但是人们在享受宽带无线i p 技术带来的便 利的时候却不得不为宽带无线网的安全问题而担忧。目前，宽带无线i p 网络的安 全问题还没有种有效的解决方案，但就现有的安全技术而言，1 p s e c 博j 是目前唯 一适用于所有i n t e m e t 通信的一种安全技术，也是前最易于扩展、最完整的一种网 络安全方案。它不仅适用于当前的i p v 4 ，也适用新的i p v 6 ，同时可为运行于i p 顶 部的任何一种协议( t c p 、u d p 等) 提供保护。目前i p s e c 并不能很好的应用到宽 带无线i p 网络中，特别是其密钥交换协议i k e ，存在诸多缺陷。因此本文重点研 究了宽带无线i p 网络中的密钥交换协议。 1 2密钥交换协议及其研究现状 密钥交换协议是宽带无线i p 网络安全问题的一个核心部分，可在两个或多个 实体之间建立共享秘密。通常用于建立一次通信时所用的会话密钥。两个实体之 间建立共享秘密的协议问题，可采用单钥、双钥技术实现，有时也要借助于可信 赖的第三方参与。密钥交换可以扩展到多方共享密钥，如会议密钥的建立，但随 着参与方的增多协议会变得很复杂。一般双方进行通信都采用可认证密钥的交换 技术，它将用户身份认证和密钥交换相结合，使通信双方既获得会话密钥、又对 对方的身份进行确认，以便有效地抵抗现有的各种不同的攻击。 i p s e c 的密钥交换协议i k e 用于建立保护通信的安全关联。但是i k e 协议轮数 太多、太复杂并且不能有效的防止d o s 攻击，因此，i e t f 工作组相继提出了 i k e v 2 t 6 1 、j f k 5 1 和s i g m a t l 现协议。其中j f k 由一些著名的密码学家，像a t & t l a b 的s t e v eb e l l o v i n 等提出的，i k e v 2 是由另些安全界的著名专家，像曾经起草过 i k e 的d a nh a r k i n s 等人提出的，而s i g m a 则是由令人尊敬的密码学家h u g o k r a w c z y k 提出的。每种协议都去掉了i k e 的一些属性，这意味着i k e 的替换协议 将更严格，并且不需要配置太多的复杂参数，因而用户建立安全信道的时候将更 宽带无线i p 网络中的密钥交换协议 容易。j f k 和i k e v 2 都提出了有效防止d o s 攻击的方法，而i k e v 2 做的更好，但 j f k 比较简单。经过一段时间的发展和完善，i e t fi p s e cw g 最终选择了i k e v 2 作为i k e 的替换协议。i k e v 2 极大的简化了i k e ，并且在安全性上由很大的提高， 但该协议在设计时考虑到了无线移动环境但它并非专门为无线i p 网络而设计，且 协议目前还不完善，因此必须根据无线移动网络的实际安全需求，提出了一种新 的适用于无线i p 网络的密钥交换协议，来更好地为i p s e c 及所有无线i p 网络中需 要建立安全信道的应用进行服务。后面在第五章我们提出了新的密钥交还协议， 称之为w i k e ( w i r e l e s si k e ) 。协议中引入了“别名”，并且对对方身份进行签名， 实现了无线i p 网络中对发起者的主动身份保护和双方对交互过程的不可否认性。 最后用一种b a n 类逻辑一w k 逻辑对协议进行了分析，并且在n s 2 平台下对协 议进行仿真。分析结果表明：在综合考虑安全性和性能的情况下，新的协议优于 i k e 和i k e v 2 ，可很好的应用于宽带无线i p 网络中。 l - 3 内容安排 本文第二章介绍基本的密钥交换协议及其设计原理，最后给出了密钥交换协 研究重点方面。第三章讨论了i p s e c 的密钥交换协议i k e ，虽然目前i p s e c 工作组 对其存在的问题在进行积极的修改，但是人们普遍认为t k e 太复杂且在无线网络 中有些问题需要解决，所以后来提出了i k e v 2 ，因此在第四章重点对其进行讨论。 i k e v 2 对i k e 进行了简化，并且安全性有所提高，但i k e v 2 目前处于草案阶段，还 不成熟，不能适应无线i p 网络的安全需求，故在第五章我们根据无线i p 网络的 特点和安全需求给了密钥交换协议的设计要求和目标，并协议设计要求提出了宽 带无线i p 网络中的密钥交换协议唧i k e 。在第六章采用一种b a n 类逻辑w k 逻辑 对w i k e 进行了分析。同时在第七章给出了协议在n s 一2 平台下的仿真情况。最后 对全文进行总结。后面的章节中为了便于标识不同的协议，我们称i k e 为i k e v l 。 第二章认证的密钥交换协议 第二章认证的密钥交换协议 一个安全的密钥交换协议不但能够抵抗被动攻击，还要能够抵抗主动攻击。 而要抵抗主动攻击，必须提供密钥认证。认证的密钥交换协议结合了认证协议与 密钥交换协议，用于保证在一个通信实体与另一身份已被证实或可被证实的实体 之间建立共享秘密。有关这方面的详细内容可参看l ，1 6 ，2 3 。 2 1 密钥交换协议简介 认证的密钥交换协议将认证和密钥交换结合在一起，用于解决计算机网络中 普遍存在的一个问题：a l i c e 和b o b 是网络的两个用户，他们将通过网络进行安全 通信。a l i c e 和b o b 如何做到在进行密钥交换的同时，确信正在和自己通信的另 方不是m a l l o r y ? 单纯的密钥交换协议有时还不足以保证安全的建立密钥，与认证 结合能可靠的确认双方的身份，实现安全密钥建立，使参与双方( 和多方) 确信 没有其他人可以共享该秘密。密钥认证分为三种： ( 1 ) 隐式( i m p l i a t ) 密钥认证，若参与者确信可能与他共享一个密钥的参与 者的身份时，第二个参与者无需采取任何行动。 ( 2 ) 密钥确认( k e yc o n f i r m a t i o n ) ，一个参与者确信第二个可能未经识别参 与者确实具有某个特定密钥。 ( 3 ) 显式( e x p l i c i t ) 密钥认证，已经识别的参与者具有给定的密钥。具有 隐式和密钥确证双重特征。 密钥认证的中心问题是对第二参与者的识别，而不是对密钥体制的识别，而 密钥确认则恰好相反，是对密钥值的认证，密钥确认通常包含从第二参与者送来 的消息，其中含有证据，稍后可证明密钥的主权人。事实上密钥的主权人可通过 多种方式，如生成密钥本身的一个单向杂凑值、采用密钥控制的杂凑函数以及采 用密钥加密一个己知量等来证明。这些技术可能会泄漏有关密钥本身的信息，而 采用零知识证明技术可以证明密钥的主权人而不会泄露有关密钥的任何消息。认 证的密钥交换协议分为如下三类： ( 1 ) 基于单钥体制的密钥交换协议 ( 2 ) 基于双钥体制的密钥交换协议 ( 3 ) 基于混合体制的密钥交换协议 后面几节我们对这三类密钥交换协议分别进行介绍。 2 2 基于单钥体制的密钥交换 基于单钥体制的密钥交换协议均借助于t r e n t 。在一个具有n 个节点的网络中， 为实现任意节点之间的保密通信，每个节点都只需保存一个与密钥分配中心t r e n t 宽带无线i p 网络中的密钥交换协议 共享的主密钥密钥分配中心也只需保存对应n 个节点的n 个主密钥，网络共需n 个主密钥。该类协议有：大嘴青蛙协议、y a h a l o m 协议、n e e d h a m s c h r o e d e r 协议、 o t w a y r e e s 协议、k e r b e r o s 协议、n e u m a n s t u b b l e b i n e 协议等。下面以k e r b e r o s 协议为例对单钥体制进行说明。 k e r b e r o s 协议是从n e e d h a m s c h r o e d e r 协议演变而来的。在基本的k e r b e r o s v 5 协议中，a l i c e 和b o b 各自与t r e n t 共享一个密钥，采用时戳的方式。 ( 1 1a l i c e 向t r e n t 发送她的身份和b o b 的身份：a ，b 。 f 2 1t r e n t 生成一条消息，其中包含时戳、有效期l 、随机会话密钥k 和a l i c e 的身份，并采用与b o b 共享的密钥加密。t r e n t 将时戳、有效期、会话密 钥k 和b o b 的身份采用与a l i c e 共享的密钥加密。最后将这两条加密的消 息发送给a l i c e ：e a ( t ，l ，k ，b ) ，e a ( t , l ，k ，a ) 。 ( 3 ) a l i c e 采用k 对其身份和时戳加密，并连同从t r e n t 收到的、属于b o b 的 那条消息发送给b o b ：e k ( a ，t ) ，e b ( t , l ，k ，a ) 。 ( 4 ) b o b 先用k 解密消息，将时戳加1 ，并用k 加密后发送给a l i c e ：e k ( t + 1 ) 。 此协议运行的前提条件是假设每个用户必须具有一个与t r e n t 同步的时钟。实 际上，同步时钟是由系统中的安全时间服务器来保持的。通过设立一定的时间间 隔，系统可以有效的检测到重发攻击。 无论是系统故障还是计时误差，都有可能使时钟失去同步。若发生时钟失步， 所有依赖于同步时钟的协议都有可能遭到攻击。如果发送者的时钟超前于接收者 的时钟，m a l l o r y 可以截获发送者的某个消息，等该消息中的时戳接近于接收者的 时钟时再重发这条消息。此攻击被称为等待重发攻击( a u p p r e s s r e p l a ya t t a c k ) ， 它造成的后果是十分严重的。 由于密钥分配中心保存有网络中所有节点的主密钥且任意两个节点进行通信 都必须通过k d c 来交换会话密钥，所以单钥体制都有如下缺点： ( 1 ) 这种协议依赖于k d c 的绝对安全，应保护它免受破坏。m a l l o r y 一旦侵 入k d c ，网络中所有节点的安全都将受到严重威胁。 ( 2 ) 当大容量网络中的节点频繁通信时，k d c 会成为系统瓶颈。一旦k d c 受到攻击崩溃，则整个网络中的保密通信将会中断。 2 3 基于双钥体制的密钥交换协议 a l i c e 和b o b 使用公钥密码体制协商会话密钥，并用协商的会话密钥加密数据。 在一些实际的实现中，a l i c e 和b o b 签名的公钥可在数据库中获得。这使得密钥交 换协议更容易，及时b o b 从来没有听说过a l i c e ，a l i c e 也能够把消息安全地发送 给b o b 。 ( 1 ) a l i c e 从k d c 得到b o b 的公钥。 第二章认证的密钥交换协议 ( 2 ) a l i c e 产生随机会话密钥，用b o b 的公钥加密它，然后将它传给b o b 。 ( 3 ) b o b 用他的私钥解密a l i c e 的消息。 ( 4 ) 两人用同一会话密钥对他们之间的通信进行加解密。 基于双钥体制的密钥交换协议密钥管理简单，可升级性好，但计算复杂性太 高。因此密钥交换协议中一般不单独采用双钥体制，而是采用单钥体制和双钥体 制的混合体制：密钥管理简单，可升级并且有较高的效率，但协议的安全分析比 较复杂。下一节对混合体制的密钥交换协议进行讨论。 2 4基于混合体制的密钥交换 基于混合体制的密钥交换协议有很多，象d a s s 协议，是由d e c 公司丌发的， 既采用了双钥体制又采用了单钥体制，还有d e n n i n g s a c c o 协议、w o o - l a m 协议， e k e 协议等。这些协议中最常用的的认证方式有签名和预共享秘密。签名认证方 式密钥管理简单、可升级好，并且协议相对来说比较简洁；共享秘密认证方式要 求参与者预先共享一些秘密信息，双方可以通过带外机制或安全的信道来分配共 享密钥。这种方式灵活、方便。另外，口令也是共享秘密的一种，可以通过口令 达到强认证，i e e ep 1 3 6 3 2 d 7 ( d r a f tv e r s i o n7 ) t 2 3 】对此进行了详细说明。下面介绍 一下几个基本的协议。 2 4 1d i f f i e h e l l m a n 密钥交换协议 d i f f i e h e l l m a n 2 l 算法是在1 9 7 6 年提出的，它是第一个双钥算法。它的安全性 来自于有限域上计算离散对数的难度。d i f f i e h e u m a n 协议可以用作密钥交换， a l i c e 和b o b 可以采用这个算法共享一个秘密的会话密钥，但不能采用它来对消息 进行加密和解密。 首先，a l i c e 和b o b 约定两个大的素数，n 和g ，使得g 是群 上的本 原元。这两个整数不必保密，a l i c e 和b o b 可以通过不安全的信道传递它们。即使 许多用户知道这两个数，也没有关系。 ( 1 ) a l i c e 选择一个随机的大整数x ，并向b o b 发送以下消息x = 9 1 m o dn 。 ( 2 ) b o b 选择一个随机的大整数y ，并向a l i c e 发送以下消息y = g y m o d n 。 ( 3 ) a l i c e 计算：k = y xm o dn 。 ( 4 ) b o b 计算：k = x m o d n 。 至此，k 和k 均等于g x m o dn 。搭线窃听的任何人均不会计算得到该值。 除非攻击者能够计算离散对数来得到x 和y ，否则他们无法获得该密钥。所以，k 可被a l i c e 和b o b 用作会话密钥。 g 和n 的选择对于系统的安全性有着根本的影响。( n 1 ) 2 应该是素数，最 重要的是n 应该足够大。这样，系统的安全性就基于分解与n 具有同样长度的数 宽带无线l p 网络中的密钥交换协议 的难度。可以选择g 使得g 是群 上的本原元，也可以选择最小的g ( 通常 只有一位数) 。实际上，g 不一定必须是本原元，只要用它能够生成乘法群 的一个大子群即可。另外，d i f f i e h e l l m a n 密钥交换协议不能抵抗中间人攻击。 2 , 4 2e k e 协议 加密密钥交换e k e ( e n c r y p t e dk e ye x c h a n g e ) 协议3 1 是由s b e l l o v i n 和 m m e r r i t t 于1 9 9 2 年提出的。协议既采用了单钥体制，又采用了双钥体制。它的目 的是为计算机网络上的用户提供安全性和认证业务。这个协议的新颖之处是：采 用共享密钥来加密随机生成的公钥。通过运行这个协议，两个用户可以实现相互 认证，并共享一个会话密钥k 。协议假设a l i c e ( a ) 和b o b ( b ) 共享一个口令p a 协议 描述如下： ( 1 ) a b ：a ，e 。( k ) ( 2 ) a b ：e p e k , ( ( k ) ) ( 3 ) a b ：e k ( i u ) ( 4 ) a b ；e x r o ( 5 ) a b ；e k ( r b ) 协议的详细描述如下： ( 1 ) a 产生一随机公私密钥对，并用对称算法和密钥p 对公钥k 加密； ( 2 ) b 知道p ，解密消息得到k ，然后产生随机会话密钥k ，用a 的公钥k 和p 加密k ： ( 2 ) a 解密消息得到k ，并产生一随机串r a ，用k 加密； ( 3 ) b 解密消息得到r a ，并产生随机串r b ，用k 加密这两个串：e k ( r a r b ) ； ( 4 ) a 解密消息得到r b 和r 。，若得到的r 与发送给b 的r a 一样，就加密r b ； ( 5 ) b 解密得到r b ，看与发送给a 的r b 是否一致，相同即可用k 作为会话密 钥进行通信。前两步用于密钥交换，得到共享的单钥算法的密钥。后四步 用于对交换的密钥进行确证。e k e 可以采用各种双钥算法实现，如r s a 、e l g a m a l 、 d i f f i e h e l l m a n 算法等。 2 4 3p a k 协议 p a k 协议【4 】是vb o y k o ，p m a c k e n z i e 和s p a t e l 于2 0 0 0 年提出的，该协议 是第一个针对主动攻击者和被动攻击者提出的，经正式安全性证明的并且是基于 d i f f i e h e l l m a n 口令密钥交换协议，同时提供了显式的双向认证。协议执行过程如 下所示： 第二章认证的密钥交换协议 a f 置疡 i t - - - - 矿e 丌) ) r 口= 扩 啮t j j 兰如( a ，b ，m ，如q 丌) = h 2 b ( a ，b ，码p ，曲 k = 凰似，b ，仇，脾毋 | ) f t , k t e b t m 0 m o d p y 丘舀 弘= 矿 盯= ( 咖) 9 七= 玩( a ，b ，p ，q 百) i 吼f 呈( a ，b ，m 毋丌) k = 岛( a ，e 帆f ，o ，7 r ) 图1 1 密钥交换协议p a k 其中，x ，y 分别为a ，b 选择的随机数，行为双方共享的口令，h 为单向杂凑 函数，k 为协商的共享会话密钥，且p - - - - r q + 1 。协议只需三次交互。 2 5 密钥交换协议研究重点 目前人们对认证的密钥交换协议的研究重点在三个方面： ( 1 ) 安全性分析。可证明安全的认证的密钥交换协议已经提出了1 0 多年， 但远没有成熟，每年都有新的安全模型和证明技术出现。 ( 2 ) 基于口令的认证密钥交换协议。这类协议是目前有广泛应用前景的技 术，也存在一些己证明安全的协议。 ( 3 ) 认证密钥交换协议在无线环境中的应用。由于无线环境中设备计算能 力和存储容量的有限性，对这类协议的研究正在进行中。 本文将对其中的一个方面一无线i p 网络中的密钥交换协议进行讨论。 宽带无线i p 网络中的密钥交换协议 第三章i n t e r n e t 密钥交换协议一i k e s a 是i p s e c 的基础，而s a 的建立、更新和删除是由i p s e c 中的密钥交换协议 i k e 7 1 来完成的。本章重点讨论i p s e c 的密钥交换协议一i k e ，介绍了i k e 不同的 的阶段和模式以及i k e 中不同的认证方式有。有关i p s e c 的详细内容可参考 8 , 9 ，1 0 】。 3 1i k e 概述 i k e 是一种混合协议，目的是以一种安全的方式来协商安全关联并为它提供经 过验证的密钥生成材料。i k e 是使用了部分o a k l e y | n 1 协议、部分s k e m e i l 4 1 协议并 结合i s a k m p ! 1 1 】的一种协议，其中i s a k m p 对验证和密钥交换提出了结构框架， 但没有给出具体定义。i s a k m p 用来独立的进行密钥交换，并支持多种不同的密 钥交换；o a k l e y 描述了一系列被称为“模式”的密钥交换，并详述了每一种协议 提供的服务；s k e m e 描述了一种通用密钥交换技术。i k e 使用i s a k m p 来得到已 验证的用于生成密钥和其它安全关联( 如a h ，e s p ) 中用于i p s e ed o i 的材料。 o a k l e y 和s k e m e 各自定义了建立认证密钥交换的方法，其中包括载荷的构造， 信息载荷的传输，处理的顺序以及使用的方法。另外o a k l e y 还定义了“模式”， i s a k m p 定义了“阶段”，i k e 描述了分别在两个阶段中进行的、不同的、称为模 式的交换。 第一阶段指西个i s a k m p 对等实体间建立一个安全的、验证过的信道来进 行通信。这称为i s a k m ps a 。“主模式”和“积极模式”都能用于完成第 一阶段的交换，但只能在第阶段使用。 第二阶段指协商各种服务的安全关联，这些服务可以是i p s e c 或任何其它需 要密钥材料或者协商参数的服务。快速模式用于完成第二阶段的交换，且 只能用于第二阶段。 “新群模式”并不真正发生在第一阶段或第二阶段中。它紧接着第一阶段， 用于建立可在以后协商中使用的新的群。“新群模式”只能在第一阶段之后 使用。 i s a k m ps a 是双向的，即一旦建立，任何一方都可以发起快速模式交换、信 息交换以及新群模式交换。i s a k m ps a 由发起者的c o o k i e 后跟响应者的c o o k i e 来标识( 在第一阶段的交换中各方的角色决定了哪一个c o o k i e 是发起者的) 。由第 一阶段的交换所建立的c o o k i e 顺序继续用于标识i s a k m ps a 而不管快速模式、 信息、新群模式交换的方向。 单个第一阶段协商可以用于多个第二阶段的协商，而单个第二阶段协商可以请 求多个安全关联。由于这种优化，实现中每个s a 的协商可以少于一个传输往返， 第三章i n t e r n e 密钥交换协议- - i k e 以及少于一次d h 求幂运算。第一阶段中的“主模式”提供了身份保护。当不需 要身份保护时，可以使用“积极模式”以进一步减少传输往返。值得指出的是当 使用公共密钥加密进行验证时，积极模式仍然可以提供身份保护。 i s a k m ps a 包括如下属性：加密算法、h a s h 算法、验证方法、进行d i f f i e h e l l m a n 操作的群的有关信息，并且这些属性只属于i s a k m p 安全关联，而不属于i s a k m p 为所代表的服务进行协商而建立的任何安全关联。另外，可以( 可选的) 协商。 个伪随机函数( p r f ) 。但是i k e 中没有定义可协商的伪随机函数，在双方都同意时 可以通过使用私有属性值来协商p f f 。如果没有协商p r f ，协商的h a s h 算法的h m a c 形式就作为伪随机函数。另外，i k e 的实现必须支持3 d e s 加密、用t i g e r ”1 作为 h a s h 、数字签名标准、r s a 、使用r s a 公共密钥加密的签名和验证以及使用群2 进行m o d p 。 3 2 协议中用到的符号 在介绍i k e 协议的过程中要用到的符号： h d r是i s m 伸的报头，当写成h d r 时意味着载荷加密。 s a 安全关联( s a ) 是用来保护信息的策略和密钥套件。 b 表示载荷 主体部分，不包括i s a k m p 的通用报头。 s a ib 是s a 载荷的主体部分。 c k y - i ，c k y - r 分别是i s a l a 伸报头中发起者和响应者的c o o k i e 。 g x i 和矿，分别是d i f f i e - h e l l m a n 交换中发起者和响应者的公共值。 g q是d i f f i e h e l l m a n 的共享秘密。 k e 是包含了用于d i f f i e h e l l m a n 交换的公共信息的密钥交换载 荷。没有对k e 载荷的数据进行特殊的编码( 如t l v ) 。 n x 是n o n c e 载荷：x 可以是i 和r ，分别代表发起者和响应者。 i d x 是x 的身份载荷。“i i ”或“i r ”，分别表示第一阶段协商中的 i s a k m p 发起者和响应者；“l l i ”或“u r ”，分别表示第二阶 段的发起者和响应者。用于互联网d o i 的i d 载荷格式在【1 3 】 中定义。 s i g是数字签名载荷。 c e r t 是证书载荷。 h a s h是h a s h 载荷。 p r f ( k e y , m s g )是带密钥的伪随机函数( 通常是带密钥的h a s h 函数) ，用于 产生有伪随机性的确定输出，p r f 用于导出密钥和验证( 即作 为有密钥的m a c l 。 s k e y i d 是从秘密材料中推导出的字符串，只有参与某次交换的双方 宽带无线l p 网络中的密钥交换协议 s k e y i de s k e y i da s k e y i dd v i 【x 】 d o i p f s d h 交换 才知道。 是i s a k m ps a 用来保护消息的机密性的密钥材料。 是i s a k m ps a 用来验证消息所使用的密钥材料。 是非i s a k m p 安全关联用来推导其密钥所使用的密钥材料。 表示x 是由密钥“y ”加密的。 表示“发起者到响应者”的通信( 请求) 。 表示“响应者到发起者”的通信( 回答) 。 表示信息的串联一如x 1 y 表示x 和y 是串联的。 表示x 是可选的。 d o m a i n o f i n t e r p r e t a t i o n 【2 4 1 。 完美的前向保密性，即限制单密钥只能访问到受该密钥保护 的数据，要满足p f s ，对于已存在的用来保护数据传输的密 钥来说，就不能用于衍生其它的密钥，如果用来保护数据传 输的密钥是从其它密钥材料中衍生出来的，则这些材料就不 能衍生其它的任何密钥， d i f f i e - h e l l m a n 交换。 3 3i k e 交换中的阶段和模式 有两种基本方法可以用来建立安全关联：主模式和积极模式。都通过临时的 d h 交换来产生经过验证的密钥材料，实现中不能改变正在进行交换的交换类型。 主模式可以说是i s a k m p 身份保护交换：头两个消息协商策略，后两个消息 交换d h 交换的公共值和必要的辅助数据，最后的两个消息验证d h 交换。积极模 式前两个消息协商策略，交换d h 公共值以及必要的辅助数据，以及身份，第二 个消息还要对响应者进行验证，第三个消息对发起者进行验证，并提供参与交换 的证据。在i s a k m ps a 的保护下最后的消息可以不发送，这样允许每一方延迟求 幂的运算，直到这次交换完成以后再运算。 积极模式在安全关联协商中有一定的局限性。因为在消息构建请求中，不能 协商d h 交换所需要的群。另外，不同的验证方法可能进一步限制属性的协商， 例如，当使用修订的公共密钥加密方法来验证时，不能协商h a s h 算法。当要利用 i k e 协商大量属性时，就需要使用主模式了。在单个s a 载荷中，不能有多个提议 载荷，同时，也不允许有多个s a 载荷。但并不禁止在第二阶段的交换中出现这些 形式。 主模式或积极模式中都允许四种不同的验证方法一数字签名、公共密钥加密 的两种验证形式、和共亭密钥。由于用公钥加密认证方式和修订的公钥加密认证 方式很少用到，本章只针对对签名和预共享密钥认证方式来介绍i k e 的阶段和模 第三章i n t e m e t 密钥交换协议- - i k e 式。有关公钥加密认证的两种方式和新群模式的内容请参看【7 】。 3 3 1使用签名认证的i k e 第一阶段 签名认证方式的第二个传输往返中交换的辅助信息是n o n c e ；通过对得到的 h a s h 值的签名验证对交换进行认证。 使用签名方式进行认证的主模式描述如下： i + r ：h d r s a i r ：h d r s a i r ：h d r ，k e ，n i i r ：h d r ，k e ，n r i r ：h d r + ，i d i i ， c e r t , 】s i g _ i i r ：h d r + ，i d i r , c e r t , 】s i g _ r 积极模式描述如下： i r ：h d r ，s a ，k e ，n i ，i d i i i r ：h d i ls a ，k e ，n r , i d i t , 【c e r t , 】s i g r i r ：h d r ，【c e r t , 】s 1 g j 两种模式中，签名数据( s i ( l i ，s i g r ) 是协商的数字签名算法分别应用到 h a s l 王j 或h a s h _ r 所产生的结果。h a s h 使用协商的p r f 如果没有协商p r f 贝, l j 使用协商的h a s h 函数的h m a c 形式。有关h m a c 的内容请参看 1 5 ，1 6 。但是， 如果签名算法绑定于特定的h a s h 算法( 如d s s 只定义使用s h a1 6 0 位的输出) ， 则签名会不同。在这种情况下，仍然象上面一样对h a s h j 和h a s h _ r 签名，但 不能使用该h a s h 函数的h m a c 形式。 3 3 2 使用共享密钥认证的i k e 第一阶段 通过其它带外( o u t o f - b a n d ) 机制衍生出来的密钥也可用于验证交换。当进行 共享密钥验证时，主模式定义如下： i r ：h d r s a i r ：h d r s a i r ：h d r ，k e ，n i i r ：h d r ，k e ，n r i r ：h d r + ，i d i i ，h a s h _ i i r ：h d r + i d i r , h a s h _ r 积极模式定义如下： i r ：h d r ，s a ，k e ，n i ，i d i i i r ：h d r ，s a ，k e ，n r , i d i r , h a s h _ r 宽带无线l p 网络中的密钥交换协议 i r ：h d r ，h a s h j 当使用共享密钥的主模式时，因为h a s hl 必须在发起者处理i d i r 之前计算 出来，所以密钥只能通过双方的i p 地址来识别。积极模式允许使用大量的共享秘 密的标识符。另外，积极模式还允许双方维持多个不同的共享密钥。 3 3 3 第二阶段一快速模式 快速模式本身并不是一次完整的交换，因为它和第一阶段交换相关联。但它 作为s a 协商过程( 第二阶段) 的一部分可用来衍生密钥材料和协商非i s a k m p s a 的共享策略。快速模式交换的信息必须由i s a k m ps a 来保护。在快速模式中， h a s h 载荷必须紧跟在i s a k m p 报头后，s a 载荷必须紧跟在h a s h 载荷之后。 h a s h 用于验证消息，同时也提供了参与的证据。 在一个特定的i s a k m ps a 中，i s a k m p 报头中的消息