(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf_第1页
(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf_第2页
(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf_第3页
(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf_第4页
(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf_第5页
已阅读5页,还剩62页未读 继续免费阅读

(计算机软件与理论专业论文)移动通信中带认证的密钥协商协议.pdf.pdf 免费下载

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

摘要随着全球性访问的发展,移动通信系统中的安全问题受到越来越多的重 视,而认证通信双方身份的协议更是倍受关注。一旦正确确认参与者的身份,就可 以建立一个共享的会话密钥,并利用选择的协议和算法为无线通信提供进一步的安 全。 本文在回顾以往著名的无线环境下的密钥建立协议基础上,对无线通信系统 中认证和密钥建立协议的设计原则和技术进行了比较深刻的思考,并提出了一 个可相互认证的密钥协商协议m a k e p 。:在b e l l a r e 和r _ 0 9 a 啪y 的模型下,本文证明 m a k a p 协议的安全性关于这个协议的其他性质和同以前协议的比较,也做了 简单说明。 另外,虽然公钥加密方案提供了更好的密钥管理方案和更好的匿名性,但实际 上,很少有基于两黼律翻的认证协议隐藏用户i d 本文借鉴对称加密耄案l 塑 别名构造方案,也提出了一个公钥加密环境下的生成别名并利用别名验证身份的方 案。 户篇翟黼燃嚣糍蒜蓑一釉枷 户移动端基站网络端域移动系统的安全司证安全的协议 a na u t h e n t i c a t e dk e y a g r e e m e n t p r o t o c o l w i t hk e yc o n f i r m a t i o ni nw i r e l e s s q u o m m u n l c a 上l o n a b s t r a c tw i t ht h ed e v e l o p m e n to ft h eg l o b a la e c e s 8 ,m o r ea n dm o r ea t t e n t i o n h a sb e e nf o c u s e do nt h es e c u r i t yi s s u e si nm o b i l ec o m m u n i c a t i o n ,w h i l et h em u t u a l a u t h e n t i c a t i o np r o t o c o lf o rt h em o b i l ee n v i r o n m e n ti st h em o s ti m p o r t a n to n ea m o n g t h e m o n c et h et w op a r t i e sh a v eb e e na u t h e n t i c a t e d it h e yc a ng e n e r a t e as h a r e ds e s s i o n k e y , w h i c hc a np r o v i d ef u r t h e rs e c u r i t yf o rm o b i l ec o m m u n i c a t i o nt o g e t h e rw i t ht h e s e l e c t e da l g o r i t h m sa n dp r o t o c o i s a f t e rr e v i e w i n gs o m ef a m o u sa u t h e n t i c a t e dk e yg e n e r a t i o np r o t o c o l si nw i r e l e s s e n v i r o n m e n t ,w ed i s c u s s8 0 m et e c h n o l o g i e sa n dr u l e si nd e s i g n i n gp r o t o c 0 1 a n dw e a l s op r o p o s eam u t u a la u t h e n t i c a t i o nk e ya g r e e m e n tp r o t o c o l ,m a k a p i nb e l l a r e - r o g a w a y 8m o d e l 。w ep r o v em a k a p i 8s e c u r ei ft h ed h a s s u m p t i o ni sr i g h ta n d t h e r e e x i s tas e c u r ea s y m m e t r i c a le n c r y p t i o ns c h e m e ,as e c u r es i g n a t u r e s c h e m ea n dc o l l i s i o n f r e eh a s hf u n c t i o n w ec o m p a r ej t sa t t r i b u t e s 而t ho t h e rp r o t o c o l s ,t o o , a s y m m e t r i c a le n c r y p t i o ns y s t e mp r o v i d e s b e t t e rk e ym a n a g e m e n ta n da n o n y m o u s s c h e m e s ,b u tn oo t h e rp a p e r se x c e p to u r sd i s c u s sh o w t og e n e r a t ea l i a si np u b l i ck e y e n v i r o n m e n t k e y w o r d s a u t h e n t i c a t e dk e yg e n e r a t i o np r o t o c o lk e ya g r e e m e n tp r o t o c o l m u 。 t u a la u t h e n t i c a t i o n m o b i l ec o m m u n i c a t i o nu s e r m o b n e 8 t a t i o nb a s e s t a t i o n n e t w o r k d o m a i n s e c u r i t yi nm o b i l es y s t e mp r o t o c o lw i t hp r o v a b l es e c u r i t y l 引言 随着全球往访问( g i o b 越a c c e s s ) 的发展,基于无线陌络( w i r e l e s sn e t w o r k ) 的分雍式系统媳群始受到广泛重视。移动通信系统( m o b i l ec o m m u n i c a t i o ns y s - t e r n ) 1 获戳横拟技术为特征的第一代( t h ei s tg e n e r a t i o n ,i g ) ,发展到以数字化 话啻业务和低速数据业务为特征的第二代( t h e2 n dg e n e r a t i o n ,2 g ) ,只用了短短 十几年;蓠进入以移动嚣蟪下的多媒体业务颡宽带数据业务为特征的第三代( t h e 3 r dg e n e r a t i o n ,3 g ) ,潆简将会曼短。 舀前,比较流行的第二代移动避偿系统魁撂欧洲数g s 弘蒙统f 3 8 ,5 2 l 、北美 的d e c t 系统f 2 4 1 和d a m p s 系统。虽然第二代系统替代第一代系统完成了献模拟技 术列数字技术的转变,但囊予用户只能在阏一剑式覆盖的范围内进行漫游。所以它 已不荐适合飞速发展酌无线应用需求。箍第曼代系统能实现“殿户手持一枧走逮垒 球”的理念,让用户在任何时候、任何地方访问网络成为可能;且无论用户漫游郅 耀燕,都哥以毫无察觉地获锝楣同的服务;用户也可以方便地褒秽动环境下上阏漫 游、收发e m a i l 、收看交互式新闻、实现虚撅办公等等蕊之,第三代移动遴傣 系统为人们的实际生游提供了极大方便。 在移动通信技术的为用户带来了诸多好处的同时,也给他们增加了不少麻烦, 最突践黪阀题就是穆动遵绩系统的安全( s e c u r i t y ) 。虽然所商的通信系统( 包括固 定两络) 都面稿安全威胁,餐无线避信系统医其嗣有的特殊要求和脆弱性2 f 2 】,以及 实际威弼环境的改变,它的安全问题变褥更加复杂。在设计和实现安全服务时,必 须进行更多的权衡藕考虑。 1 在后薅,如果没有特别说明,不区分“无线通信”和“移动通倍”两个概念 2 参看附录a ,无线通信中的安垒与限制 1 1 第三代移动通信系统中的安全问题 当前的数字移动网络提供了一系列安全措施来保证无线通信的安全( 比 如g s m 系统提供了传送的数据的私密性、用户的身份认证和匿名性等等| 5 2 1 ) , 但是它也暴露出很多安全弊端【3 9 】。比如,因为它只提供单向身份认证( i d e n t i t y a u t h e n t i c a t i o n ) ,所以就无法防止冒充网络设备的攻击;由于用户身份认证时使用 的密钥不可改变,因此它无法抗击重放攻击( r e p l a ya t t a c k ) ;而且在用户漫游时, 被访问网络所采用的认证参数不能与归属网络问建立有效的联系;同样,第二代系 统对安全升级及安全功能的改进缺乏详细考虑,系统升级能力差等等。 第三代移动通信系统是在全球范围内覆盖并使用的网络系统,它不仅要支持第 二代系统中已经提供的话音和数据业务,还要受理新的交互式业务和分布式业务, 因此,第三代系统处于一个全新的业务环境【3 】: 具有多个网络管理员( n e t w o r ka d m i n s t r a t o r ) 。将来的移动通信网络中,必 然会出现更多的服务提供商和网络管理者,他们同时提供多种新业务。网络应该对 不同业务提供并发支持。 是一个复合的环境。网络中的通信设备既包括固定的无线装置,又包括移动设 备和卫星等;信息传输既经过全开放的无线链路,也经过开放的全球有线网络。网 络间和接口上的安全都必须仔细考虑 拥有多商家多标准的接口。第三代移动通信系统除了支持传统的语音业务 外,还将提供多媒体业务、数据业务,以及电子商务、电子贸易、互联网服务等多 种信息服务。网络安全也面临各商家相互竞争、各标准共存的局面。 使用w a r c 指定的f p l m i 工i s 波段。国际电信联盟( i n t e r n a t i o n a lt e l e c o m m u n i - c a t i o nu n i o n ,i t u ) 在1 9 8 5 年提出了未来陆地移动通信系统,即f p l m t s 。1 9 9 2 年 世界无线电行政大会( w a r c ) 将其频率定在2 0 0 0 m h z 频段,并预期在2 0 0 0 年左右 进入商用在一些国家的建议下,1 9 9 6 年f p l m t s 正式更名为i m t 2 0 0 0 。使用这种 波段,无线网络的传输速率最高可达至u 2 m b s 。 与现在的第二代无线通信系统兼容。 第三代移动通信系统是在第二代系统的基础上发展起来的,它必然要继承第二 代系统的优点,也要克服它的缺点;更主要的是,在新的业务环境中,第三代系统 需要重新检查自己的安全特征( s e c u r i t yc h a r a c t e r ) 。因此,为了吸取第二代系统的 2 教调,也为了逶森实舔应瘸熬发嶷器簧,第三哉移动遁售系统必须加强以下安全服 务( s e c u f i t ys e v i c e ) : 实体试证( e n t i t ya u t h e n t i c a t i o n ) 。瑷在熬移动远傣强调豹是用户囱劂络涯实是 己静身份,蔼裾络并没有趣鼹户进行身劈铁诞可以这么说,用户使用无线朗络是 建立在对禁令鼹终警疆者始绩妊的基础上豹。但是在第三代无线通信系统中,网络 管理袭班及照务掇供脔会越来越多,这就簧求他们应该明确对方的身份。 密镭分发技术。弼户辍鼹络端嚣要进行翅互认证,予是密钥的建立和管理就是 一个蘩要愆瑟。薪憨密犍分发技零,应该使缮两个用户安全地在噪音存在的信道里 共享一伞整甥。 蹭箍赉辱热密稀被授校豹镑骣( w a r r a n t e di n t e r c e p t i o n ) 。在所有安全特征中, 稍端裔搴蕊密燕最令人头攥憨。军| 起这个月题她擐因是在强调保密性的同时,又允许 一些特定熬枫擒在适当熬场台( 比如拄壹犯罪) 介入无线通信:而这种情况向来鄱 是最难处理黪 f l l 户和他所懿豹僚l 保密性( i n d e t i t y a n dl o c a t i o np r i v a c y ) 。现在的无线通信 系统提供7 一定程度抟慰户身毋保密,但是眨着业务范围的拓宽和新技术的使用, 这些槐制会交德琴逶会。同对,魍户的位置保密性与他身份认证也是相甄矛盾的概 念,懿姆妥甍处理这些闯题也焉瑟进一步研究。 等穆理终蠖樱关豹安全。瑷在鹣移动鄹终不仅提供了被盗终端的黑名单,而且 一蛊在检测没骞逶过类型检验豹终端设备。朱来的网络巾,这样的需求和处理量必 然会璞热。缀是,因为丈多数移动终端郝是价格相对便宜的设备,所以耀否有必要 袋鼹一个针对爨存终端的通用的检测方案,现在还是一个备受争议的话题。 苓管怎么样,对擐户鞍嬲终身份的认证还是最受关注的。一且确认通信双方的 身份,能织就可以建应一个共享囊电会话密钥( s e s s i o nk e y ) ,并利用选择的协议和算 法为光线遥揍提供进一步的安全。这种认证通信双方身份并为他们建立共享密销的 游议,就髂为带认证的密钥建立协议( a u t h e n t i c a t e dk e yg e n e r a t i o np r o t o c 0 1 ) 3 0 1 2 相关工作 很久以来,人们都致力子设计安全的带认 芷的密钥建囊协议,蠢曩针对不月 的系统也提出了许多协议,院如f 4 甄4 7 ,7 ,8 ,4 8 】是蒸予黠称密璐体制( s y s m e t r i c a l 3 以厢把带认证的密钥建立协议简称为认证协议( a u t h e n t i c a t i o np r o t o c 0 1 ) 或者密绸建立按议( k e y g e n e r a t i o np r o t o c 0 1 ) 3 c r y p t o g r a p h y ) 的协议,f i ,1 7 , 2 1 ,4 研是萋于释对称密髑体涮( a s y s m e t r i c a le r y p 争 r a p h y ) 静协议。一般来说,慕予对称密爵俸翻静协议器葵嚣个遥倍实俸共享令长 期密钥,或者一个可信鹃第三方( 幽t e dt h i r dp a r t y ,t t p ) 分入协议憨执纷。戆 一种情嚣,毒手每个躅户_ 秘零同的弱传拥毒不同的密钥,所以她舞要维护一个密钥 集;鼷一挚争馕汉,可信豹第三方必须在认证时一踅在线。所以当这些协议付诸实践 时+ 农甥簧璎翔可扩艘性( s c a l a b i l t y ) 就成了主要问趟。 冤一方委,基于j # 对称技术豹整锈建立协议却越来越成熟。b e l l e r 、c h a n g 和y a c o b i 同 聪傻擐嚣慰猿热密技本靼对称加密技术,设计了一系列光线环蟪下的獭钥建 立协议1 1 2 ,1 3 ,1 4 】。他们使用姗媾法【2 0 1 来减少移动端的计算惫,并利用d e f i l e - h e t l m a n 密钥交换协议【l 】来建立会话密钥。这怒一个很好的开始,鼹然后来c a r l s e n 2 5 指 出这个协议容易道受慧放攻击但也改正了它们。m u 和v a r a d h a r a j a n 2 6 ,3 5 i 展示了 个利用证书格式( f o r m a t ) 来攻击协议的方法,他们提供的抗攻击的策酪被广泛趣 使用在以后的协议设计中。 b e l l e r 等人似乎也受到其它协议的启发,他们后来利用e 1 g a m a l 算法f 2 7 l 来改进 他们的最韧设计这个协议在利用e 1 g a m a i 预计算的性质来减少移动端的反应辩闯 的同时,也造成7 新的中间入攻击( b o y d 和m a t h u r i a 4 ,5 】) 。b o y d 秘m a t h u r i a 在露 一篇论文中也指鲢j a 如和d e 最e f 2 l 】的协议容荔遭蹙中阉入攻击( m a n - i n - t h e - m i d d l e a t t a c k ) ,虽然它兵有良好前向安全校( f o r w a r ds e c u r i t y ) 。 p a r k 等人基于y a e o b i 和s h m u l e y 自 j 密诵交换方巢【3 0 j 也挺出了一个新静协议f 2 l 。 _ 墼m a r t i n 、m i t c h e u 3 1 和b o y d 5 先后椅造了两个攻击来谎明这个协议是不安全静。 最近钟对无线环境提出静两个方案是【3 笱帮海翻。在洚锈串提蹬豹镑议透过颈计算 来提供有效瞧,僵这个协议的扩展性毽不好,嚣鼓怀疑套在i n t e r l e a v i n g 攻击。 在 3 2 】中,w o n g 等人瓣密锈建立协议霹戳在震户端有效实现,嚣且瞧提供了大多数 系统下豹每扩展经,毽是这令方案豹扩展牲并没有纯粹的公铒体制下的可扩展性 磐。 憨翡来说,蕊予转慰祢攘密体铡鲍舞法器矮扰较巍的计算复杂性。比如, 在1 6 m h z 黥掌上彀醢( p a l m ) 上产生s 1 2 经豹r s a 密钥大概器樊3 至4 分钟的时间,产 生一个数字签名嚣要7 _ 秒钟对阅墨1 j ,傲一含5 1 2 使豹模指运算需簧超过一分钟的时 期f 酬等。虽然土甄提到的协议都试图减少移动端的计算开销,但实际上它们矮终都 使用丁成百上千的横莱运算( m o d u l a rm u f i 姆l i c a t i o n ) 。大羹的运算需要很大的时 空开销,也导致了基于非对称加密技术的协议在光线领域始终得不到充分利稻,因 为无线通信设备的计算能力和电漉容簟都是非常有限的( 7 5 1 。 同时协议的可诞安全( p r o v a b l es e c u r i t y ) 也慢懂得到羹视。很多入定义了不 4 同的安全模塑来检验这磐方案f 4 】,4 2 ,8 ,7 + 1 1 ,4 羽e 在茏线遥信的认证协议证明中 下面两个安垒模鹜被使露锫蓑多: b e u a r e 和r o g a w a y 在f 7 ,8 】中提出的模型( 在f l o 】中增加了这个模疆对抗字典攻 击( d i c t i o n a r ya t t a c k ) 的讨论) 。这个模垄定义攻击肴可戬帮掰裔参与者交嚣,缓 期获得与某个会话密钥有关的更多的信怠。翔采簧证鞠协议安全,那么只嚣诞明对 攻击者来说,会话密锶和随机值之闯怒不可区分( i n d i s t i n g u i s h a b l e ) 蚋就足够了。 b e l l 鑫距,c a n e t t i 翱k r a w c z y k 1 1 提出的基于多方模仿技术( m u l t i p a r t y s i m u l a - t i o n ) 的安全模型。她们的意图是,先定义密锈交换方案的一个理想横型,并诞鞠游 议在这个模型下憝安金的,然后,通过证明现实世界中的任何竣番者捧哥l ;乏模仿理 想模型中的攻击者的所有操作,来证孵协议在凝实世莽中落是安全的。 带认涯鸵密钥建立协议对通信双方是否能建立安全的会话藿关蘑要。众掰鼹 知,如果这含协议设计不好,就会导致后面的会话不安全。然而,撮据蘸久鹃王俸 缀验,要设计一个安全的密钥建支协议是j # 常困难的。 l 。3 本文的工作 本文在回顾以往著名无线远信中豁带菰涯鑫孽密键建立蜘议的基础上,对移动 环境下的认证和密鞠建寇协议靛设计霖璺| l 鼗技术进行了比较深刻的阐述,并提出 了一个可相麓认证静密锈协赛协议m a k e p 。其安全性是在b e l l a r e 和r o g a w a y 的模 黧f 7 ,研下 芷明静。关于这今镑议熊其健性质靼同其它协议的比较,论文也傲了简单 谎贸。 众所周知,掇然公钠耱密方案提供了更好的密钢管理方豢和更好的匿名性,但 实际上,很少有蓥予公锈热密体制豹认涎协议隐藏月户i d 本文借鉴对称加密方案 下前掰名梅造方案,提壤7 一令在公钥期密环境下敷成别名,并利用另h 名验证身份 懿方案。 疆个论文的撰写捧缓离子实鞴靛应嬲。因为,许多协议虽然在设计的时候已经 在理论横壅下被证鞠是安全熬7 ,健在实际应用中。它们并不定安全a 理论证嚼 往往缺乏对实瑗者敲安全认识水平的考虑,同时,也没包含那魑“不按牌理出牌” 转攻毒豢转攻击水平。 5 1 4 文章的结构安排 文章第二部分是澍已有协议的回顾。其中选择了第二代移动通信系统g s m 的 认涯势议,早期身臼基子对称和嚣对称加密技术的m s r 协议,和最近的两个新协 议,j p 协议和c l i e n t - s e r v e rm a k e p 协议。 逶过对这拣协议戆回顾,文章的第三素阐述了无线认证协议的设计原则,包括 采用的如褒技寒、密钥管理的办法和证明思路。文章柱这一章也提出了一种在公钥 体制下实现匿名性的办法。这章的最后是m a k a p 协议设计的动机和总体目标。 第滔耄毽接对m a k a p 捺议熬撼述期它豹安全性证明。m a k a p 协议的其他性质 及毒撩关按议艟比较也在遮一章中给出。 最后,是辩已有工作熬葱缓和瓣未来移动邋售系统的认 正协议的展望。 6 2 现有协议的回顾 这一章主簧霞颟了冗个磁较寄代表性鼢无线後证豁谈,惑援剃露霁争稼加密体麓 静g s 酝系统认诞游议( 2 。l 节) ,基予条含技术1 约溺嚣+ d 壬差据议( 2 。2 节) ,襄最 薪提密懿嚣个协议;j a k o b s s o n p o h l t c h e 嘲按议( 2 。3 苓) 及c l i e n t - s e r v e rm a k e p 协 议( 2 4 节) 。这些势谈郝各蠢密搬的独判之处。男鲣,b e l l e r - y a c o b i 协议、a z 妊 d e f f i e 协议秘p a r k 按议筹也备霄优缺点粒值褥借鉴的地方。 2 1 g s m 系统中的认证协议 g s m 系统是第:代移动通信系统中的典范,它的认证协议不仪包含了第二代系 统中的成功经验,也暴露出许多协议设计时的不成熟。这对予第三代移动通倍系统 中认证协议的设计,具有很好的借落意义。 g s m 系统巾认迸协议的执行过程如下。在每个用户最初注册( r e g i s t e r y ) 时,他 就从归属网络( h o m en e t w o r k ) 的认诞中心获得一个秘密的认证密钢砥和一个睢 的身份标识f 耐s f 。用户利用三个算法向网络证明裔己的身份: 氐一个公开的单向函数,用来产生会话密钥。 a 6 秘密的加密解密算法。 a a 单向函数,用户用这个算法来产生对被访问两络提问的回镣。 图2 1 展示_ 在位譬改变肘,用户利用,膨s ,向被访闯网络进行身份认证的过 程。当用户试图向网络说明自醴的身份时,他酋先发出自己的i m s i ,被访问网络接 收剃这个,m 钳值艨,把它转发给姻属黼络的认证服务器( a u t h e n t i c a t i o ns e r v e r ) 。 归属网络的认证服务器根据i m s i 获得他与该糟户共享的秘密密铜蕊,然后谲淆算 法也和算法a 3 ,计算凼k 帮s r e , 9 ,并将这两个缓与m s 、舰d 一起返圈给被 访简鼯络。 1 杂合技术就是同时使用对称加密技术和非对称加辩技术 7 j m o u 耳 l v 城- 耐n o 如 l 醚鞋 一s 麟 s 托瞵誊 t 矗椰墨毯麟- 当墨:蹩生 丘- 成仰置) a c r j h # 盥s a 性 堂幽致塑瑟黑激:, 谴融憾鞣e s n 口m 删n n d 哪。抽删。 e 即咖 第2 1 圈:g s m 系统审的试证利带孑膨s 7 被谤翊霹络获得f 魑j s ? 、r a n d 、k o 期s 姻s 后,囊用户提阏r a n d 。用户髑 囊已的甄产生斑雾| s 嬲s = a s ( r a n d ,致) 。如粜这个s r e s i 与被访问网络先前从 归属髓络获德的s 怠e s 根等。那么被访阀网络就认为用户已经通过认证,并产生 个临时身份t m s i ,用恐加密后发送给用户如果用户正确获得t m s i ,就发送一 个确认信息给被访阀网络。如果s 册s 与s r e s 不相等,那么被访问两络就终止认 证过稷的执行,并认为该用户是非法用户。 i ;l 羼,用户可以剩用t m s l 来向网络证明自己的身份了。实际上,在每次认证 的时候,披访阕网络( v i s i t e dn e t w o r k ) 都会选择个新的t m s i ,并以密文的形式 传送纷用户它认为只有合法用户才能解密这个消息。在后来的认证中,对被访问 网络端提出的r a n d ,用户只需要用s 冗目s = a 3 ( r a n d ,砥) 作替就w l ;盂了,且这 个认诋过程同样会产生一个会话密钥托= a a ( r a n d ,西) ( 用? 掰s j 认证的过程粥 表2 1 所示) 。 a _ b :t 酝s l a 卜b :删d a _ b :s 聃s 第2 1 袋:利罴t m s i 敬认涯 这个协议非常简荦,而置也提供7 用户身份豹傈密毪,并采雳7 计算速度很捷 的对称加密算法,僵罴协议仍撩存在蔽下缺点: 1 t m s i y f g - j 疹f 8 j 造成r 膨s ,不阔步的原因可能楚信芍不荮或其它类型酶系统 失效。子蔗用产必须雨瞻定形式把涮掰传送给被访简瓣络。这样,对瘸户嚣寄就举 能提供匿名性了。 8 2 在图2 1 弗,鲡栗弼灌露( 麴已稚疆文攻齿) ,鄹么竣壹者只荐蘩垂教已经髑 疆文传送过豹r a n d 秘s 勰s ,裁霉戳雾充一令会法弱被访阅朋终了。 3 。有熬系绞在实现慰,把( a a n d ,s r e s , 蚴存储越来,以加快认诞过程。但是 这样徽也l 加丁泄露敏感馈息( s e n s i t i v ei n f o r m a t i o n ) 的风险。 2 2 b e l l e r - c h a n g - y a c o b i 协议 b e i i e r 、c h a n g 和y a c o b i 使用对称和非对称的加密技术构造了一系辫杂合( h y b r i d ) 的协议【1 2 ,1 3 ,1 4 l 。这照把注_ j 蠢力都集中在b e l i e r 等如何j | f 用算法构造漭议主,丽不 太关心具体的计算缅节。这些协议的蓑大优点是,需要实蕊静公稍加密运算是在移 动端的计算能力之内的为了后面箭叙述方便,这里篱犟介络一下协议串瘸到豹符 号: 伽 表示用密锈k 加密信意( 不管是公稍还整私锯 c e r $ ( l 表示莱个篇户的谣书 鹭表示移动鞴的耧有谣书 用户的证书( 包括私有证书) 都怒由w 信螽孽第三方签发的,并胃瓣焉第三方浆 公钥进行骏证。私有证书( s e c r e t ec e r t i f i c a t i o n ) 每一般匏涯书不瓣,宏不应该棱箕 饱移动用户或蠲络窃酹者知邋,否j l 玻老者就琴戳裂鼹熬骞滠褰甓充这个移动趣户 了。 基本的m s r 协议赫表2 2 所示。协议产鸯懿会话密镌藏是羯户选撵麴蓬援 数嚣。c a r l s e n 在 2 5 1 串捂岛这个协议裔螽下缺貉 b 靛p g s 没有涯豢,锼缀每个 入都胃潋霹充嚣;瓣丑来说,不能分辨一个蛰 ;l 是剐舞始执器,还是一个踅放攻遗 ( r e p l a ya t t a c k ) ,那么至少熊慰露发起搀绝服务攻击( d e n y o fs e r v i c e ) 。而且, 魏果莱次瓣会诿密甥溅瓣,那么从该畦刻开始,攻滤者城可以羁充用户a 了,因为足 覆婺重发霉就可以做到避一点。 s t e p l a 卜嚣:嚣p k s s t e p 2 a 畸8 :懈p x e s t e p 3 a 呻嚣: 囊s 繇k 第2 2 表:基本的m s r 协议 b e l l e r 等人也自己发现了协议的弱点【1 4 】,于题他们在第一个消息篷增加了口静 证书,但这个改进并没肖解决蘩放攻击的问题。c a r l s e n 建议使用“携闯应祷 9 ( e h u e n g e - r e s p o n c e ) ”的方法,让引毙够检测到会话中的密钥重放攻击【2 5 】。同时, 在证书中增加一个有效期限( v a l i dd a t e ) 来限定证书是否过期。他们取消了证书 中廖的身份信息,但v a r a d h a r a j a n 和m u 指m 2 6 这个做法使得攻击者冒充基站成为 可能1 2 6 】。改进的m s r 协议如表2 3 所示。 s t e p1a + _ b :b ,地,p k s ,c e r t ( b ) s t e p2a + b : z ) 尸肋 s t e p3a 叶b : 。曩欺式弱 剐名方案一般楚莲子带密钥韵m a c 涵数,即在给定消息秘密镪的博熬下,产生一 个n 位的散列谣数输港。在共事剐名方案中,双方共享一个长期密铜,从这个密 锈产生两个予密钥,露每方又分别恩这两个子密钥来产生肌t g 值。用户和归属域 分别产生隧枕数,并相要发送给对方,也作为m a c 函数的输入。用这个方法产生 t 搀m a c 馕就是双方本次会话的密镑和下次会话的羽名f l 讶。 公钫拓密方案提供7 更好豹密钥管理方案| 靼更好的匿名瞧,但实际上,很少有 基于公钥加密体割的认诞协议隐藏用户i d 。因为爱掇供醮名性,登须采精动态的别 名,期在每次连接的时候,雨户都使用瞧一的澍名闯鼹是,一量涯书权威机构将 2 l 涯书签发绘用户或移动端质。 芷书中的信息就不能再修改了。也就是说,虫爨果裴巍 接使糟证书来实瑗动态别名最不可能的;除非里面不包含拥有者的个入信怠( 如糯 户i d ) 兢个人信息的变形2 ( 如直接分配固定的耧时身份) ,薅这嚣秘做法都是与办 法证书的意图是梗违背的。 其实这个问题和对称方案下的j 材豇的闯惩是一样懿。为了避免这令闯题的发 生,根据诞书静一般槐造( u s e r l d ,尸尬o ,s i g c x ) ,其中能军 f 厢的只有证书中酌公甥 信息了。于楚,假设在移动环壤下,会话豹某个参与学( 可能是移动端也可能楚 基站,或者弱者同时) 已经持有可信诚书权威颁发驹有效诞拳,这里不妨假设是 网络端廖爵经获得证带。那么,剥用公钥加密的特点,用户a 可以随机选择个嗣 名a l i a s ,并用b 的公钥p k s 加密后传送给翻络。君在认诞好a 的囊份以盛,就把这个 骧槐数“l 船作热a 的别名,在a 以后继续访问曰| 挎时候,可戮通过这个糕黠身份恕君 馆身份试证。 假设a l i a s 是a 上次选用豹别名,那么利用临时身份作入诞的:蓬程如袭3 1 。 s t e p i a :a l i a s 昱 s t e p2a o 嚣: 寤? 配砖妇。, s t e p3a 卜b :h ( a l i a s o a r i a s ) 第3 1 表:利用剐名进行试诞 很湿然,这个认诬过程豹安全性悬建立在b 获得的第一个剐名蹩安全韵 ;擎提下 豹;面只有引毙获褥第一个澍名是基予公锯翔密体制是安全的假设。在利用别名认 蓬於过程中,只有获褥上一次的剐名,才可戳解密用对称翔密方式勰密豹掰别名 ( 按照 n f t 口8 ) 柏,的构造) ,闷爨孝绘出反馈信息h ( a l i a s o a l i a s ) 在m a k a p 协议中,只农购终端持有纯粹的公钥证书,所懿,可戳用这个方秦来 生成a 的临时身份,并用在潋瑶的认涯过程中使用它t 3 。6 协议的目标 任何密锈建立协议最基本灼舅橼就是分发密钥( k e yd i s t r i b u t i o n ) 。理想的 情况是,用这些协议建立的密钥的效果,寂该和霪对匿变换密钥( k e ye x c h a n g e f a c e - t o - f a c e ) 的性质是样的。一个其有这样性质的协议,群以餍来杖罄懑对驻地 3 使用固定的尉名仍然育哿靛诖锯舄荦者或者爨络上触勰索者跟踪劐用户 交换密锯蕊不褥簧对宅镪戆安全性再馓证明;就有点象伪随机产生器可以替代随机 产生嚣榉。 如3 1 带所述,本文选择设计一个d e 正扣珏e l l m 戤型的密钥协商协议,并期艇它具 有很好豹经震。毽是黎设诗出安全的协议并不是件简单的事情。其实上,簧明确 密锈建立锛议熬纛袋款已经不是一件简单事了。这里列出了些近年来被广泛接受 安全瓣标【1 8 l : 薰零辩安全磊标馁没盖狂丑鼹两个诚实的协议参与者,也就是说,他们楚严格 按照协议攫是捷镗按议豹会法的参与者。 戆式密钥认 芷( i m p l i c i tk e ya u t h e n t i c a t i o n ) 一个密锯游聪协议披豁为 ( 由廖向a ) 提供隐式密镝认证,如聚实体a 被保证,狳特定的另一个参与者占外, 没有其他实体能获得共享的密镅值。注意,黪式密键谩诞势没有愈a 保证,嚣实际上 已经获得了这个金话密镄 显式密钥认诞( e x p l i c i tk e ya u t h e n t i c a t i o n ) 一个密销游蘧按议被熬为 ( 由县向a ) 提供显式密钥认证,如采实体a 被保证,参考客已经谤算如共享 的会话密钥。一个协议被称为揽供髭式密销确认( e x p l i c i tk e yc o n f i r m a t i o n ) ,如 果a 确信丑能计算出会话密铜。黧然肴起来,显式密钥认汪比悠式密钥认证提供的保 证更强,但在实际实现中,两者往往是榉熬。般馕况下,协议只要傲到隐茂密 钥认证就足够了。懿采需要密锈确铁,壤要采恩其他方法。因此,密钥确定本舟并 不怒一个有掰的服务,它只是伴髓黪式赛键认证# 茸来的个方法。 如果一个密钥协商协议如果提供隐式密铸诀证稀密镅确认,藏秫它了提供湿式 密钥认证。如果双方都向对方提供隐式密锈认证翁镰没,靛称建带认证的密钥协 商协议( a u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c 0 1 ) 。双方罄内慰方撮供晟式密钥认诚 的协议,称为带认证的确信的密锈协商协议( a u t h e n t i c a t e d 蚺a g r e e m e n tw i t hk e y c o a t i r m a t i o n ) 。 安垒性质一个协议能提供的安全性质蚕依鬏子协议襞处的具体环境。一般而 言,密钥协商协议所期望的安众往菔包括: 抗邑知密锈缓壹( a g a i n s tk n o w n - k e ya t t a c k ) 每次在a 和b 之陌执行的密锈 铸鬻秘汉,莽戏该产生唯的会话密钥。会话密钥的产生可以减少攻谐者获褥的霄 效信息约数量,也可以减少( 会话) 街钥暴露次数。在攻击者知道其继一鳖会话爨 织媳时候,协议仍然应该舆有这个性质。 提供前商安全( f o r w a r ds e c u r i t y )鲡暴暹傣串熬一寿或多方静长麓密锭效港 露,德靛; 静建立静会话密键雹不痤该受裂影貔。在单令实髂长撄密铝泄露黔愤涎 下提供豹j l 蓼患安全,称先半翦肉安全( h a l ff o r w a r ds e c u r i t y ) ;农嚣个实体的长期 密钥帮泄露魏馕提下实瑗黪兹嬲安全,称为全翦肉安全( f u l lf o r w a r ds e c u r i t y ) 。 抗密锈澈露攻击( a g a i n s tk e y - c o m p r o m i s ei m p e r s o n a t e )骰设蠢静长鬻私奔 密锈被公开,箍然期遴这个值豹入鄂哥戮嚣充a 谤闯鼹络。健在强留懿侯,帮不缝 诖竣击者雷宠箕德实体来欺装蠢( 虽然a 鹣长鬟密明泄露) 。 抗未知密钥共事( a g a i n s tu n k n o w nk e y - s h a r e ) 实体嚣不能被强追与一个 没有他的知识的实体a 共享一个密钥也就是说,当丑试为他楚在和荔矫的实 体g a 共事密钥的时候,a 帮认为他融经藕b 共事整锈盼情况蹙不允许静。 另外一些值得提出的谯质包括,最小的回含数( 即交换的信息数簸少) 、最少 的通信( 传输的总位数) 、降低计髯消耗( 褥要的算术搽作数) 、增加预计算的 可能性( 减少在线计舅的数量) ,以及提供实体的匿名往、角色酌对称性、菲交嚣 性、符合出口限制、无对闯葡步等等。 m a k a p 协议的性质根据前面的讨论,设计m a k a p 协议时希望京具有如下髋 质: 1 它是个相互认诞的协议这是首先簧保证的性质 2 。网对袋鼹基予公钥密妈体制的技术季莲予私钥密码体制的技术就目前移动端 的硬件条 串丽蛮,不可能完全抛弃第二代系统中的对称密码算法。要是服务器采用 大熏的模搬运算,其计算消耗也会使它成为整个系统的瓶颈。所以在实现速度和安 全服务之阅要: 毪择折中的处理办法。 3 + 使用数列丞数( h a s hf u n c t i o n ) 。教列函数有两个作用。是可以用来进 行消息认证( m e s s a g ea u t h e n t i c a t i o n ) ,= 是可以提供销钥的相对独立性( k e y i n d e p e n d e n c y ) 。 4 协议是一个密钥协囊协议两不是爨钥传播协议。 5 ,游浚醇涯安全。采用b e l l a r e 和r o g a w a y i t , 翅的模型寒诞明 6 箕他一蟹性质,鲡前向安全、信患确认等t 7 伎能比较好,有较少的信息传输羹和计算量。 4m a k a p 协议 这一章提出了一个新的可相互认证的密钥协商协议一- - m a k a p ( m u t u a la u - t h e n t i c a t e dk e ya g r e e m e n tp r o t o c 0 1 ) 协议,并在b e u a r e - r o g a w a y 模型下证明了它的 相互认证性。关于它的其它性质也进行了分析。 m a k a p 协议借鉴了许多可认证的d e 伍e - h e l l m a n 型密钥协商协议的设计方 法f 4 4 】,并参考y b y 协议、m s r + d h 协议的改进过程。同w o n g 等人提出的c l i e n t s e n ,e rm a k e p 协议相比,m a k a p 协议虽然在服务器端的计算量有所增加,但是在 安全性质和安全服务上有较明显的优势。 4 1m a k a p 协议 m a k a p 协议中,每个网络端服务器日有一对密钥( e k s ,s k a ) ,其e e p k b 是b 的 公钥,s k 8 是日的私钥;每个用户有拥有一个长期的秘密口密钥的可信度由证书权 威机构颁发的证书证明为统一证书格式,证书权威机构把把9 4 作为a 的公钥进行签 名1 ,即用户端证书的形式是 c e r t ( a ) := 服务器端的证书格式是 c e r t ( b 1 = 前面提到,为了避免攻击者同时冒充用户和网络对协议进行攻击,要在证书中使用 一个特殊符号表示证书拥有者的身份。另外,假设通信双方在会话前都是不知道对 方身份的,即协议的传送过程中,用户或网络端都需要明确地发送消息告诉对方自 己的身份2 。协议如图4 1 所示。 1 这只是为表示的习惯和方便对协议的安全性没有任何影响 o 其实这个假设也不是必须的,这里大可以假设服务器的公钥已经是公开的,这个假设只是为与以前 的协议保持一致 j 。曼, m o m u m v 螺帆 垒! ! 里! :! 鱼! ! ! 丝:! 蛐 y e - 硅t 蚣趣蛆婴姚一慧= 芒翻“ 孤# _ l = f l _ ) 一 腻乜 第4 1 阐:霹相互认证翡密钥旃蘸豁议m a k a p m a k a p 撼议假设a 、置黾协议的两个忠实执行糟,其中a 是用户,b 是网络服 务爨。 1 鼹络壤嚣驻执选择一含鲈_ o ,l ,计算矿,并连同c e r t ( b ) - 起,用自己 豹公钥徽一个数字签名 沏印,g 。 。堙暑。b 把矿、g e r t ( 妫和( c e r t ( 嚣) ,9 ”) 啦。传送 绘建。 2 a 检查鸯静数字签名,并捡娄1 矿 p ,且( 擘) 口= l ( 聃d p ) 。如果不成立,那 么j 哇终止协议执嚣,势擐豢网络端认谖不成功。否则,协议转下一步 3 a 随梳选择一个茹- o ,l p ,并羯b 瓣公钥p k a l m 密。计算( 黟。) 。和a = l ( ( 矿) 8 ) , 弗用嚣龆密翻g 秽t 盖) 。a 将 鬈 p 拦。秘 姚,c e r t ( a ) 。传送给日 4 日用s 确解密妇 p 耳。,并焉霉解密佟,一翟) 。,获撂a = h l ( 9 = y ) f 团c e r t ( a ) 然后露验i 芷c e r t ( a ) ,翔栗不成功,酃么器认为a 没逶过验涯,终止协议执行。否 刚,转下一多 5 + b 计算斧= h i ( 矿) 。) ,并毙较它是否靼接收劐的口相等。如果不据等,b 就认 为这个满患不是a 发送出黪,结束

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论