对称密码学及其应用 第10章 对称密码学与数字通信安全.ppt

第十章对称密码学与数字通信安全 数字保密通信GSM的安全机制3G移动通信安全无线局域网的安全技术蓝牙技术的安全IP安全 10 2数字保密通信 关键技术 加解密技术是实现通信内容保密性的基本技术 数字签名 散列函数 单向函数等都是实现通信内容的完整性和不可否认性的基本密码算法 通信实体认证是对通信对象的确认过程 即身份认证 使用的主要密码算法包括数字签名等 密钥管理和分配技术是信息保密性 完整性 身份认证的核心 通常由认证中心 CA 来实现 这一般是通信安全中最易被攻击的环节 密码协议是与具体的密码应用紧密结合 为特定的密码应用提供安全规范 10 2数字保密通信 典型保密数字通信系统原理 10 2GSM的安全机制 GSM简介 GlobalSystemforMobilecommunications SpecifiedbyETSI Digitalcellularcommunicationssystem Highmobility internationalroaming ServicesVoicecommunication ShortMessagingService callwaiting callforwarding callinglineidentity circuit switcheddata packet switcheddatawithGPRS GSM系统网络结构 移动终端 基站子系统 交换子系统 网络管理 用户和终端设备数据库 MSC VLR HLR EIR OMC AUC BSC GSM安全目标 防止未经授权的用户接入网络保护用户的隐私权 GSM安全相关参数和算法分布 AuC A3 A8 Ki IMSI Kc A5 Kc BTS HLR RAND SRES Kc VLR RAND SRES Kc MS MSC SIM A3 A8 IMSI Ki Kc A5 Kc 两种密钥Ki和Kc三个算法A3 A8和A5 HLR HomeLocationRegisterMSC MobileSwitchCenterAuC AuthenticationCenterRAND RandomSRES SignedResponse 用户鉴权 鉴权的目的鉴别SIM卡的合法性保护网络免受非授权使用建立会话密钥鉴权方案通过IMSI或TMSI标识用户通过挑战 应答方式由网络认证用户 用户鉴权 2 鉴权场合移动用户发起呼叫 不含紧急呼叫 移动用户接受呼叫移动台位置登记移动用户进行补充业务操作切换 包括同一MSC内从一个BS切换到另一个BS 在不同MSC之间切换 用户鉴权 3 MSBSS MSC VLRAuC GSM用户鉴权协议 用户鉴权 4 A3 移动终端 空中接口 GSM网络 A3 挑战 RAND 应答 SRES SRES SRES SRES 随机数产生 RAND 认证的前提是终端中的SIM卡和网络共享密钥Ki及认证算法A3 GSM用户鉴权过程 GSM加密密钥生成 A8 移动终端 空中接口 GSM网络 A8 挑战 RAND Kc 随机数产生 RAND 认证成功及A8算法的一致性能够保证两边生成的会话密钥Kc的一致性 Kc不会在空中传输 A3和A8算法的实现 COMP128 RAND 128bit Ki 128bit 输出128bit 32bit作为SRES 54bit作为Kc A3和A8算法都在SIM卡和AuC中实现A3和A8算法在SIM卡中的运算时Ki不出卡算法的具体实现由运营商决定大部分的GSM网络运营商都选用COMP128作为A3和A8算法的实现COMP128是一个带密钥的散列函数 GSM系统空中接口加密 终端 基站子系统 交换系统 网络管理 用户和终端设备数据库 BSC MSC VLR HLR EIR AUC OMC GSM系统加密 GSM中使用A5加密算法 A5算法 A5是一个序列密码算法可以在硬件上高效实现该算法的设计没有公开但最终还是泄漏出去了算法的变种A5 1 较强的版本A5 2 较弱的版本A5 3GSM联盟安全组和3GPP设计基于3GPP中使用的Kasumi算法 加密算法协商 加密命令 选用的算法 MSBTS BSC 认证请求 RAND 认证响应 SRES GSM鉴权和空口加密小结 用户身份保密 IMSI InternationalMobileSubscriberIdentityTMSI TemporaryMobileSubscriberIdentityTMSI在空中接口代替用户的IMSI身份 以防止通过窃听识别用户的身份 TMSI用于在无线链路上识别用户 如寻呼请求 位置更新请求 attach请求 detach请求 业务请求 连接重新建立请求等 TMSI由MS所在区域的VLR SGSN分配每次发生位置更新时都由网络给MS分配一个新的TMSI MS关机时TMSI存储在SIM卡中 等待下次使用 10 33G移动通信安全 3G系统网络结构 3G中新的环境及业务特点 基于IP网络运营商越来越多业务提供商越来越多非话音服务的多样性和重要性将增强用户服务范围的控制和对其终端能力的控制存在对用户的主动攻击终端将用做电子商务应用和其它应用的平台 3G安全目标 确保用户相关的信息安全 以防止滥用或盗用确保服务网络和归属网提供的资源和业务得到足够的保护 以防止滥用和盗用 确保安全特征的充分标准化 保证全世界范围内的漫游和互通能力确保给用户和业务提供者提供的安全水平高于当前正在使用的固定网络和移动网络确保3G安全特征的可扩展性 能够根据新的威胁和业务要求进行升级或更新 3G安全体系结构 I 接入安全II 网络安全III 用户安全IV 应用安全V 安全可见性与可配置性 3G安全体系结构 接入安全作用 提供用户安全接入3G提供的业务 防止在无线信道上的攻击 内容 用户身份的机密性 用户位置的机密性 用户不可跟踪性 用户身份认证 加密算法和完整性算法的协商 加密密钥和完整性密钥的协商 用户数据和信令数据的机密性和完整性保护等 3G安全体系结构 网络域安全作用 运营商网络领域内的节点之间安全的交换信令数据 主要防止在固定有线网内部的攻击内容 网络实体之间的相互认证 信息加密 信息的完整性保护和欺骗信息的收集 3G安全体系结构 用户域安全作用 用户安全使用移动终端内容 1 用户和智能卡 USIM 之间的认证2 智能卡和终端设备之间的认证3 智能卡和终端设备之间链路的保护 3G安全体系结构 应用安全作用 用户和网络运营商或应用提供商之间的应用能够安全的交换信息内容 随应用的不同而不同 3G安全体系结构 安全的可视性和可配置性作用 使用户得知一个安全特征是否在使用 并且业务的使用和提供是否依赖于该安全特征内容 可视性提示用户接入网络加密提示用户安全的级别可配置性是否采用用户和USIM卡之间的认证接受 拒绝非加密方式的被叫设置或不设置非加密方式的呼叫接受 拒绝使用某一特定加密算法 3G安全功能结构 身份标识机制 通过临时身份进行识别 TMSI P TMSI 需要附加位置区域识别码 LocationAreaIdentification LAI 或路由算法识别码 RoutingAreaIdentification RAI 通过永久身份进行识别 IMSI 用户第一次在服务网络注册或服务网络不能从临时移动用户身份TMSI重新得到永久用户身份IMSI时属于对提供用户身份机密性的一种安全漏洞 临时移动用户身份TMSI的再分配 TMSI LAI 在无线访问链上识别用户TMSI再分配规程应该在初始化加密之后执行 MS 临时移动用户身份TMSI分配命令TMSIn LAIn 临时移动用户身份TMSI分配完成 VLR SGSN 认证与密钥协商 AKA AKA的目的 完成网络与用户的双向认证生成加密密钥 CK 和完整性密钥 IK 确保CK IK的新鲜性 即以前没有使用过AKA的前提条件 认证中心 AuC 和USIM卡共享 用户唯一的秘密认证密钥K消息认证函数f1 f1 f2密钥产生函数f3 f4 f5 f5 AuC有随机数产生函数AuC能够产生新的序列号USIM能够验证收到的序列号的新鲜性 AKA中用到的变量和函数 K 由USIM和AuC共享的主密钥RAND 由AuC产生的随机数 认证时的挑战 Challenge XRES f2K RAND 由AuC计算的期望响应RES f2K RAND 由USIM计算出的响应CK f3K RAND 空中接口加密密钥IK f4K RAND 空中接口完整性保护密钥AK f5K RAND 匿名密钥 AnonymityKey SQN 序列号AMF 认证管理域 AuthenticationManagementField MAC f1K SQN RAND AMF 网络侧消息认证码AUTN SQN AK AMF MAC 网络认证令牌AV RAND XRES CK IK AUTN 认证五元组或认证向量 认证和密钥协商过程 USIM ME VLR SGSN HE HLR 产生认证向量AV 1 n 存储认证向量AV 1 N 选择认证向量AV i 验证AUTN i 计算RES i 比较RES i 和XRES i 计算CK i 和IK i 选择CK i 和IK i RAND XRES CK IK AUTN AuC中认证向量的产生 各变量和参数的长度 K128比特RAND128比特SQN48比特AMF16比特MAC64比特XRES32比特CK128比特IK128比特AK48比特AUTN128比特 USIM卡中的认证功能 1 USIM卡接收到用户认证请求数据RAND AUTN 2 把RAND和K输入f5 产生匿名密钥 然后得到SQN 3 计算XMAC 并与MAC比较是否相等 若不相等 发送用户认证拒绝消息给VLR SGSN 并放弃该过程 4 检查SQN是否在正确的范围内 若不在 发送同步失败消息给VLR SGSN 并放弃该过程 USIM和HLR AuC的再同步 MS HLR AuC 同步失败指示和一个 AUTS RAND 对 AKA的安全性分析 双向认证 认证完成后提供加密密钥和完整性密钥 防止假基站攻击密钥的分发没有在无线信道上传输 AV在固定网内的传输也由网络域安全提供保障密钥的新鲜性 由新的随机数提供 防止重放攻击对有可能暴露用户位置信息和身份信息的SQN用AK异或 达到隐藏SQN的目的MAC的新鲜性 SQN和RAND变化 防止重放攻击 3G中的加解密算法 f8 适用于所有用户业务信息和关键信令信息的加密采用序列密码来实现 有不同的算法可以选择 算法标识符占4位 在终端和RNC中实现 0000 UEA0 不加密 0001 UEA1 基于Kasumi算法 3G中的加解密示意 CK128比特COUNT C32比特BEARER5比特DIRECTION1比特LENGTH16比特 密钥流分组长度 3G中的完整性算法 f9 适用于所有用户业务信息和关键信令信息的加密完整性保护机制是基于消息认证码概念 是由IK控制下的一个单向函数 采用和加密算法同样的核心算法实现 在终端和RNC中实现 0001 UIA1 基于Kasumi算法 3G中的完整性保护示意 FRESH f9 COUNT I MESSAGE DIRECTION FRESH IK MAC I f9 COUNT I MESSAGE DIRECTION IK XMAC I 发送端 UE或RNC 接收端 RNC或UE IK 128比特COUNT I 32比特FRESH 32比特DIRECTION 1比特MESSAGE 信令消息长度 MAC I XMAC I 32比特 基于Kasumi的f8算法 COUNT BEARER DIRECTION 0 0 A CK BLKCNT 0 KASUMI CK KASUMI CK KASUMI CK KS 0 KS 63 KS 64 KS 127 KS 128 KS 191 KASUMI KASUMI CK KM BLKCNT 1 BLKCNT 2 BLKCNT BLOCKS 1 KS 最后位 基于Kasumi的f9算法 COUNT FRESH MESSAGE DIRECTION 1 0 0 KASUMI KASUMI KASUMI IK IK IK IK KASUMI KASUMI IK KM MAC I left32 bits PS 0 PS 1 PS 2 PSBLOCKS 1 Kasumi算法介绍 由日本三菱公司开发在MISTY的基础上分组密码在不改变已证实的安全性的前提下 增加了额外的功能以使得密码分析更复杂通过改进 简化了硬件实现 提高了计算速度 Kasumi算法 变换原理 第一步 输入I被分为两个32比特的比特序列L0和R0 即I L0 R0第二步 进入轮变换 对每个i 1 i 8 轮变换如下 Ri Li 1 Li Ri 1 fi Li 1 RKi 第三步 输出是8轮变换后的64比特的输出L8 R8 KASUMI算法流程图 KASUMI算法轮函数fi 变化顺序为 在第1 3 5 7轮 轮函数的变换顺序为 fi I RKi FOi FLi I KLi KOi KIi 在第2 4 6 8轮 轮函数的变换顺序为 fi I RKi FLi FOi I KOi KIi KLi KASUMI算法中子函数FL 设32比特的输入I分成两半即I L R 子密钥KLi也分成两半 即KLi KLi 1 KLi 2 子函数FL的变换为 R R ROL L KLi 1 L L ROL R KLi 2 其中 ROL D 数据块D向左旋转一位 D1 D2 数据块D1和D2按位或操作 D1 D2 数据块D1和D2按位与操作 子函数FL图 KASUMI算法中的子函数FO 变换原理 For intj 1 j 3 j Rj FIij Lj 1 KOi j KIi j Rj 1Lj Rj 1其中输入I和子密钥KOi和KIi分为 I L0 R0KOi KOi 1 KOi 2 KOi 3KIi KIi 1 KIi 2 KIi 3 KASUMI算法中的子函数FI 输入 16比特的I分成不相等的两部分 左边为9比特 右边为7比特 即I L0 R0 S9盒和S7盒扩展函数ZE 和截短函数TR ZE x 把长度为7比特的值x的最高位加上00序列转换成长度为9比特的值 TR x 去掉长度为9比特的值x的最高两比特序列转换成长度为7比特的值 KASUMI算法密钥扩展方案 128比特的密钥K分成8个16比特的密钥组 K K1 K2 K3 K4 K5 K6 K7 K8Ki与一个固定常数Ci异或 即 ki ki Ci 从而得到K K K1 K2 K3 K4 K5 K6 K7 K8 其中 C1 0 x0123 C2 0 x4567 C3 0 x89AB C4 0Xcedf C5 0Xfedc C6 0 xBA98 C7 0 x7654 C8 0 x3210 KASUMI算法密钥扩展方案 续 轮密钥按如下表格取密钥值 其中D n表示数据D向左旋转n位 KASUMI的数学分析 组件属性FL函数是一个线性函数 它的微小变化在输出端也只引起微小的变化 其目的是使单个的比特位在传输过程中更难被追踪 FI函数是KASUMI的基本随机函数 它由两个非线性S boxS7和S9的4次循环结构组成 S7和S9的使用避免了FI中出现线性结构 FO的作用和FI一样 通过在函数中增加循环来改善它的耗散特性 从而通过在复杂性和功率消费上的开销来提高KASUMI算法的总体安全系数 S7和S9为了使算法获得非线性特征 从而使算法抵抗线性 差分攻击 密钥安排 简单 但是在事实上没有发现会产生任何实际的漏洞 其中使用的常量C1 C8 使得连续的循环密钥之间没有固定重复的关系 可用来防范选择明文攻击 10 4无线局域网的安全技术 无线局域网的结构对等WLAN一般是在几个小型机器之间需要通信时暂时采用的网络基础结构 infrastructrue 模式最终连接到有线通信的基础设施 如局域网或因特网 10 4无线局域网的安全技术 基础结构 infrastructrue 模式 802 11中的安全技术 WEP WiredEquivalentPrivacy 认证开放系统认证空密钥MAC访问控制表共享密钥认证基于用户拥有正确的密钥用户与访问点之间使用了挑战应答协议私密性WEP的核心RC4算法完整性 802 11 共享密钥认证 请求工作站 响应工作站 802 11 加密 IEEE802 11的安全问题 认证协议是单向认证且过于简单 不能有效实现访问控制 完整性算法CRC 32不能阻止攻击者篡改数据 WEP没有提供抵抗重放攻击的对策 使用IV和ShareKey直接级联的方式产生PacketKey 在RC4算法下容易产生弱密钥 IV的冲突问题 重用IV会导致多种攻击 802 11i的主要加密机制 802 11i WPA2鉴权使用802 1x中的鉴权加密TKIPCCMPWRAP 802 11i的主要加密机制 CCM模式与CCMP密码协议CTR模式CBC MAC模式CCMP密码协议 802 11i的主要加密机制 CTR模式最早由Diffie和Hellman于1979年提出的 示例 802 11i的主要加密机制 802 11i的主要加密机制 802 11i的主要加密机制 CCMP的安全性CCM是将CTR和CBC MAC有机结合CTR和CBC MAC在密码实践中都证明是安全的 但是CCM的安全性还有待于实践验证或证明目前的进展是Jonsson证明了CCM的安全性至少不低于OCB 802 11i的主要加密机制 WRAP 另一个可选协议 WRAP是基于128位的AES在OCB offsetCodeBook 模式下使用 OCB模式通过使用同一个密钥对数据的一次处理 同时提供了加密和数据完整性检测 AESOCB模式优点 并行处理非常高效可以证明是可靠的 10 5蓝牙技术的安全 蓝牙技术简介一种低成本 低功率 短距离的无线通信技术标准 包括硬件规范和软件体系结构目标是在像办公室或居室等小范围环境内通过无线连接一些设备 蓝牙网络的典型特征是网络设备之间保持了主从关系 蓝牙安全概述 三种安全模式安全模式1 无安全模式 安全模式2 加强的服务级安全模式 安全模式3 加强的链路级安全模式 每个蓝牙设备在特定时间里只能处于这三种模式之一 蓝牙安全概述 三个级别的信任等级 可信任设备 设备已通过鉴权 存储了链路密钥 在设备数据库中标识为 可信任 可信任设备可以无限制的访问所有的业务 不可信任设备 设备已通过鉴权 存储了链路密钥 但在设备数据库中没有标识为 可信任 不可信任设备访问业务是受限的 未知设备 无此设备的安全性信息 为不可信任设备 蓝牙安全概述 一个业务的安全等级由下述三个属性决定需授权 只允许信任设备自动访问的业务 例如 在设备数据库中已登记的那些设备 不信任的设备需要在授权过程完成后才能访问该业务 授权总是需要鉴权来确保远端设备是正确的设备 需鉴权 在连接到应用程序之前 远端设备必须接受鉴权 需加密 在允许访问业务前必须切换到加密模式下 蓝牙加密 初始化 生成初始密钥Kint 生成链路密钥 交换链路密钥 认证 生成加密密钥 蓝牙加密 加密过程 加密算法SAFER 加密算法的过程 初始化从Kc推导出K cK c x g2 L x Kc x modg1 L x 产生K c的多项式见下页把K c BD ADDR 26位蓝牙时钟以及常数111001共208位移入线性反馈移位寄存器 加密算法的过程 续 加密算法的过程 续 打开所有开关如图9 5所示 208bit输入分成4个序列 置所有LFSR状态为零 设t 0 开始将输入值移入LFSR 每个序列的最右边bit位先移入对应的LFSR 当每个序列的最右边Bit位到达其LFSR的最右边寄存器时 合上开关 当t 39时 清除混合单元中的