【毕业学位论文】（Word原稿）Internet密钥交换协议的分析改进与实现

兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 1 第一章 绪论 研究的背景及意义 当今 世界已进入了信息化、网络化、栅格化的时代 ， 网络空间的影响已经深入到人们生活的方方面面，对世界各国都产生了深远的影响，信息化建设水平也逐渐成为国家间竞争的核心内容之一。在信息化高速发展的同时，信息安全在国家整体安全中的地位和作用日益凸显，成为影响国家安全的核心因素之一。信息安全保障能力和水平也已成为各国综合国力、经济竞争实力和网络生存能力的重要组成部分，成为世界各国奋力攀登的至高点。 网络安全是信息安全的重要内容之一。由于 设计之初只重视实现其联 通性，而未考虑安全因素，使得其成为一个开放的 网络体系 ，严重缺乏对通信双方真实身份的验证能力，缺乏对网上传输的数据的机密性、完整性和可靠性保护。特别地，由于 址可在应用层配置，而目前的认证机制往往是基于源址的认证，使得 存在着网络数据包被监听、窃取、截获、 址欺骗、信息泄露和数据项被篡改等攻击，导致现在面临的网络安全威胁多元而复杂，如果不能很好的加以解决，将会使我国的网络空间安全面临巨大的危险和挑战，影响我政治、军事、经济、文化以及社会的方方面面。 网络安全协议技术是解决网络空间安全问题的有 效途径和手段。虚拟专用网（ 术采用专用的网络加密和通信协议，可以在公共网络上建立虚拟的 “加密通道 ”，构筑安全的 “虚拟专网 ”，进而实现网络的安全性。在支持 各种技术中， 其强大的安全性、极大的包容性成为目前最易于扩展、最完整的一种网络安全方案，已成为构建 主流协议，获得了广泛的支持 1。 议主要实现了对网络层以上应用的数据机密性、完整性和身份认证保护，要实现这些功能，首先需要为通信实体间协商经过安全认证的共享密钥。钥交换协 议 ，就是为了协商、产生和管理通信实体间的共享密钥，并对通信双方进行身份认证的协议。 在 议 体系当中， 钥交换协议 是最基础、最核心、最重要的组成部分，必须深入分析 钥交换协议 面临的复杂多样的网络威胁和攻击手段，采取更加有效的信息安全技术和方法，不断改进 钥交换协议 ，杜塞可能的安全漏洞和隐患，从而满足 日益增长的网络 安全 应用要求。 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 2 钥交换协议的研究从 1976 年的 钥交换协议开始，先后经历了 。其中， 议的标准。 1994 年，互联网体系结构委员会 (出 要 对因特网采取防非法访问网络基础设施、控制网络通信业务流量、建立密码加密认证机制等必要的安全机制。1995 年，互联网工程任务组（ 向外界 公布了 议文档 ，但是发现存在很多的问题，又于 1998 年发布了改进的 议文档，其中 议文档为 过实践检验， 议仍 存在很多缺陷和隐患， 2002 年， 划重新设计一种更加安全、简洁、有效的密钥交换协议，开始着手起草 议 2。 2005 年，针对 议在复杂性、安全性和性能等方面存在的缺陷， 推出了新一代 准 。 近年来，对 议的研究与分析一直是国内外网络安全协议研究的热点方向之一。国外方面， 1999 年， 电气和电子工程师协会（ 公布了对 钥交换协议的分析结果 4。 2000 年， 出，在 钥交换协议中，响应方往往是服务器，其身份信息是公开的，因此，应重点保护通信发起方的身份信息 5。 2000 年 ， 也提 出了一个针对于 中间人攻击的方法并进行了改进。 2001 年， 提出了一种针对 议 验证机制缺陷的改进办法 7。国内方面，文献 8分析了 出了具体的改进意见。文献 9对 议 协商 过程的安全性进行了分析，提出了增强安全性的方法。文献 10对 字签名方式下密钥协商消息进行了重构。文献 11分析了中间人攻击和拒绝服务攻击，设计了一种新的口令认证密钥交换协议。 论文的主要内容 本文全面地阐述了 全协议理论体系，并在系统研究 钥交换协议规范、基础理论、技术框架及应用与研究现状的基础上，详细分析了 议中存在的问题和不足，提出了一个基于 份识别 12思想的 钥交换协议。然后在深入研究当前比较流行的 源技术方案的基础上，对改进的 钥交换协议进行了具体的实现。所做的具体工作包括： （ 1） 议体系结构研究； 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 3 （ 2） 钥交换协议的安全性分析，包括 议等 3种典型 钥交换协议； （ 3）基于 身份识别思想，提出两种更加实用、安全、可靠的 钥交换 改进 协议，并对改进后协议的安全性及实 际 性能进行 了充分分析； （ 4） 钥交换 改进 协议的具体实现。 论文的组织结构 第一章，绪论。讲明课题研究的背景及意义、 钥交换协议的发展与现状、论文的主要 内容和组织结构 。 第二章， 全 协议体系。 简要阐述了 议的 原理、体系结构 以及 议的地位与 作用。 第三章， 钥交换协议的 安全性 分析。系统研究 钥交换协议规范、基础理论、技术框架及应用与研究现状，并对 议等 3 种典型 钥交换协议进行详细分析，指出其中存在的问题和不足。 第四章 ， 钥交换协议的改进设计。 基于 身份识别思想，提出两种更加实用、安全、可靠的 钥交换 改进 协议，并对改进后协议的安全性及实 际 性能进行 了 充分分析。 第五章 ，改进后的 钥交换协议的实现。 对于改进的 钥交换协议，借鉴当前比较流行的 钥交换协议开源技术方案，进行协议的模块结构划分，并详细阐述了各模块的基本功能。 第六章 ，总结及展望。 工作总结与下一步展望，阐述后续进一步改进的思路。 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 4 第二章 协议的目的和意义在于，充分运用密码技术在数据的机密性、完整性和身份认证保护方面的作用，为网络层以上协议提供数据安全保护服务，并且可以根据通信实体对数据安全性的具体要求提供安全服务 13 ，它实质上是 一组 议集， 同时也是目前公认的 安全协议标准。 议在 示。 P/ 议在 P 中的位置 由图 知， 够保护所有基于 服务或应用。 议在技术实现上同时支持 议，目前，结合 络体系结构实际，议在 议中属于选择项，但是在 要求必须具备该功能 14。 议 主要包括 4 个部分 ： 括封装安全载荷 5和认证头 6，用于支持 据包的 身份 认证 以及 完整性和机密性 保护， 其中 同时保证数据通信的完整性和机密性 ，而 能 保护数据的 完整性。 通信 的发起方和响应方之间 经 过特定信息的交换， 协商建立起来的一种 关联关系 。 是 议中的重要部分，是 通信 的发起方和响应方之间对密钥进行有效管理所采取的技术手段和方法。 述应用于 议的各种通信加密算法和身份认证算法。 支持 议的设备或 系统可根据对 数据通信 安全强度的实际需求，灵活选择安全机制 及 加密 认证 算法 ，从而提供安全保护服务。 安全关联（ 安全关联 通信 双方之间 协商建立起来的一种 单 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 5 向的逻辑关联关系， 主要是为双方建立一条安全的逻辑通信信道。 数据流进行认证和加密保护都要依托 一安全逻辑通信信道 ，而 密钥交换协议 一个主要功能就是 建立、管理和维护。 是发送方与响应方之间的一种单向关系，当需要进行双向安全信息交换时，必须建立两个安全关联，即一个出 个入 可实现双向的安全通信。由于通信实体对特定的数据流有机密性、完整性、准确性等需求，因此，每个 都应详细说明所采用的 议、加密算法、认证方式、密钥资源及生存期等相关参数。一个 能为一个 者 一个 供安全服务，但不能同时为这两个协议 提供服务， 当在通信双方之间需要同时运用多个 议和 议进行数据保护时，就需要对应的 建立 多个 一个三元组 标识。其中，安全参数索引 用来作为唯一标识一个 生成的 32 位 的数据结构； 目的 址是安全关联的终端地址；安全协议标识符用于标识该 是 安全关联数据库和安全策略数据库 安全关联数据库（ 常数量多而且较为复杂，为合理有效地保存和使用 要用科学的方 法将 中保存在数据库中，这个数据库即安全关联数据库（ 17，如图 示，其中每一行定义一个 于 分为入 出 别用于记录入 出 图 示。在 ，存放着由许多 成的记录，每个 需要用三元组 来进行索引。 索引 F H/T 安全关联数据库 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 6 图 安全关联的建立 当主机应用 发出的 据包进行处理时，需要在出 查找与之相匹配的 录，以便根据 的参数，加密认证算法、密钥对该数据包实施安全保护。如果不存在对应的 录处理数据包， 统将创建相应的 ，并将 入出 。当主机应用 接收的数据包进行处理时，系统同样从接收的 据包中提取 三元组，在入 查找相应的 录，并对该数据包进行处理，如果没有 目与选择符相匹配，则丢弃该输入包。 安全策略数据库（ 安全策略 义了数据包发送或接收时应对该包提供何种安全服务。在 为数据包 查询 前，系统通常首先确定 其对应的 安全策略 P 全部 保存在安全策略数据库 18中。 对于 据包， 议 首先 要 查询 到对应的 样分出 入 种， 的表项用以下六个索引来访 问：源地址、目的地址、名称、协议、源端口和目的端口，如图 示。 索引 策略 图 安全策略数据库 对于所有的输入或输出数据包， 依据安全策略做出判断，分别采取丢弃数据包 、 绕过 或者应用 全服务 等 三种处理策略 。当应用 全服务时 ， 应包含一个 指向 指针，便于进行安全 协商 。 通信实体 A 通信实体 B 出 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 7 验证头（ 议（协议号为 51）用于鉴别源主机的身份并确保 据包所携带的有效载荷的完整性。该协议使用散列函数和对称密钥产生鉴别数据，然后将鉴别数据插入到鉴别首部中，用于验证数据完整性和 身份认证保护 。 都是 常用的散列函数 19。 据头由下一个首部、有效载荷长度、保留、 号、和鉴别数据等组成， 据头结构如图 示。 下一个首部 有效载荷长度 保留 号 鉴别数据 图 据头结构 当 要处理一个输出数据包时，主要步骤如下： 总长度满足特定的散列函数要求； 成鉴别数据； H 头中插入鉴别数据； 1 后（当 据报携带 时，在 据报首部中的协议字段值应更改为 51），加上这个 部，发送数据包到目的地。 当 要处理一个输入数据包时，主要步骤如下： 整性校验值（ 将 该 字段清零； 的所有不定字段也被清零； 3. 计算 与保存的 比较， 若 不符，丢弃该包， 否则 ， 即认为 据 包通过完整性验证， 将其 发送到 议栈的传输层或指定的节点。 封装安全载荷（ 议只提供报文鉴别和完整性认证，未提供机密性服务。为此， 封装安全载荷 议号为 50），其主要作用是提供机密性、数据源认证、完整性、抗重放攻击等安全服务。其所提供的具体服务集合依赖于建立 根据实际需求所选择而定。 议支持 的 加密 算法 和认证算法 很多 ， 但是在实际应用过程当中， 加密算法和 认证算法 要根据具体 参数确定 ， 常用的加密算法 有 3，常用的认证算法有 。 据包由 列号、载荷数据、填充域、填充长度、邻接报头、完 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 8 整性校验值等组成， 据包结构如图 示。 验 证 范 围 部 序列号 加 密 范 围 载荷数据 填充项 部 填充长度 下一头 验证数据 证 图 据包结构 当 要处理一个输出数据包时，主要步骤如下： ； 部； 部、有效载荷以及 部共同生成鉴别数据； 部数据末端； 0 后（当 据报携带 部和尾部时，在据报首部中的协议字段值应更改为 50），加上这个 部，将数据包发往目的节点。 当 要步骤如下： 入 数据包的 与认证域中的值比较， 若相同，则通过，否则丢掉 该包并 进行 审计； P 协议栈的传输层或指定的 节点。 议完全具备 议的所有功能，随着网络技术和产品的不断更新换代， 议将逐渐被淘汰。 两种工作模式：传输模式和隧道模式。 支持这两种工作模式。在传输模式下， 位于传输层和网络层之间；在隧道模式下，整个数据流是从网络层到 ，再返回网络层。 传输模式一般用于主机与主机之间的安全通信， 护由 传 输层交付给 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 9 网络层的数据，即只对上层协议（ ）及数据进行加密和认证，对 头不进行加密和认证。简 而言之，传输模式只为上层协议提供安全保护。 输模式下数据包结构如图 示。 始 据 始 扩展头 据 （ a）应用 前 始 据 始 扩展头 据 （ b）应用 的数据包结构 始 据 证 始 扩展头 据 证 （ c）应用 的数据包结构 图 输模式下数据包结构 隧道模式应用于主机与网关之间、安全网关之间的安全通信， 护整个 组，它在整个分组上应用 全方法，然后再增加新的 部。工作在隧道方式下的 保护原始 部。 示。 始 据 始 扩展头 据 （ a）应用 前 始 据 扩展头 始 据 （ b）应用 的数据包结构 原始 据 证 扩展头 原始 据 证 （ c）应用 的数据包结构 图 道模式下数据包结构 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 10 传输层或者链路层数据包到达 ，均需要对其进行处理。 接收包处理：对于链路层数据包，首先要进行路由。对本地包进行分片重组，若包内不包含 ，则查找入 到对应的入 按照安全策略处理；如果 据包中包含 ，则查找入 有对应的入 据入数据包进行处理，然后查询入 按照入 略进行处理，否则丢弃。对于外地包，要进行转发，查找出 据对应出 择丢弃、旁路或者应用 对该数据包进行 理，则查找出 到相应的出 无对应的出 向 块申请建立并存入 ，然后按照出 求对数据包进行处理；最后对 理后的包进行分片处理，发送到相应的物理接口。 发送包处理：对于传输层数据包，检查出 据对 应出 择丢弃、旁路或者应用 进行 理，则查找出 到相应的出 无对应的出 向 块申请建立并存入 ，然后按照出 求对数据包进行处理，处理完后进行分片处理，然后将包发送到链路层处理。 钥交换协议是一种混合协议， 件对其进行了描述和规范，主要作用是为 信实体之间协商协议、加密算法等安全参数以及在数据交换中需要进行验证的动态密钥，也就是所谓的为两者之间建立安全关联 钥交换协议由 议、 议和 议组合而成，汲取了三个协议的优点。它建立在因特网安全关联和密钥管理协议0定义的理论结构总体框架上；借鉴 1协议一系列被称为 “模式 ”的密钥交换技术，建立了密钥交换的模式，吸纳 22协议 的 技术 优势 ，定义了加密密钥生成验证以及共享策略协商技术。 关于 钥交换协议的具体实现机理等内容，我们将在后面章节进行详细阐述。 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 11 第三章 议 吸取 议、 议和 议各自的特点 组合而 成 23，同时还重新 定义了两种密钥交换方式 23。 一次 典型的 钥 协商交换可描述如下（第一阶段采用主模式和公钥签名身份验证）： （ 1） 荷交换，协商 认 证算法、加密算法等，交换 ； （ 2） 荷交换，提供计算共享密钥 的有关 参数信息。 （ 3）通信双方 分别计算 共享 密钥参数。 （ 4） 通信 双方进行身份验证， 构建 A； （ 5）进行 A 载荷和选择符信息交换，协商 A 的验证算法、加密算法，计算 构建 A。 由上可知 ， 议在两个通信实体间之间实现密钥协商的过程 实际上 分为 2 个阶段。第一阶段 构 建 A，第二阶段 构建 A。 在第一阶段，使用主模式或者积极模式，建立 A，为通信实体 之 间建成安全的通信信道，为第二阶段的密钥协商提供 安全保护 服务。 第二阶段，使用快速模式， 依托第一阶段创建的 建A，为 通信双方之间的 数据传输提供 机密性 、完整性和可靠性服务 。 两个阶段 的 商 相对增加了系统的初始开销，但是 由于 第一阶段协商建立的 以 为第二阶段 建立 多个 供保护 ，从而 简化了第二阶段的协商过程， 结合 第二阶段 商 总体数量较多 的实际， 仍然是节约了系统的资源 。 在 第一阶段 ，当需要对 协商双方 提供 身份保护 时使用主模式相对安全一些，而积极模式 实现起来简单一些，却无法提供 身份保护 服务 ；第二阶段使用的快速模式，在一个 A 的保护下可以同时进行多个协商；新组模式允许 通信双方根据安全性要求 协商私有 ，但 新组模式既不属于第一阶段也不属 于第二阶段， 且 必须在第一阶段完成后方可进行。 第一阶段 主模式或积极模式中 ，都支持 数字签名、 预 共享密钥 和 公钥加密 等身份 认证方法 。不同的身份认证方式，身份认证的原理不同，传递的密钥协商交 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 12 换消息也有所不同 。其中，数字签名 认证 是 利用公钥加解密原理，由 通信双方 生成数字 签名 信息 ， 再由另一方 对 数字签名信息 进行 解密、比较 ， 实现对通信双方的 身份认证； 预 共享密钥 认证 是 利用对称密钥加解密原理，由 通信双方利用 私 钥对认证内容计算 ， 再将 发送给对方进行解密、比较，完成 身份 认证； 公钥 加密 认证仍然 是 利用了公钥加解密原理，与数字签名认证不同的是，由通信双方利用对方的公钥 分别 加密 身份识别负载和当前时间负载的数据部分 ， 然后 根据对方返回的结果以确定对方的身份 。公钥加密认证方式有两种，区别在于加解密的次数不同。 下面，我们以数字签名为例，说明 2 个阶段的具体协商流程。 第一阶段密钥生成 使用 数字 签名验证的主模式描述如下： 使用数字 签名 认证 的积极模式描述如下： 在主 模式 和积极模式 中， X 取 I 或 R） 是 对 用 协商的数字签名算法所产生 的 数字 签名数据。 第二阶段密钥生成 每个快速模式可交换一个 荷生成 钥，为实体间的数据流提供保护。 快速模式交换的信息必须由 A 保护 即除了 头外，所有的负载都要加密 ，在 A 保护下，快速模式能够提供完美向前保密服务，即务：指当攻击者得到一个泄漏的密钥时，只能破解使用这个密钥加密的数据。快速模式，主要用于衍生新的密钥和协商 A 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 13 的共享策略。 快速模式 消息交换过程 如下： 以上交换 的 数 分别是： 议的安全缺陷 目前针对 议的安全性分析结果非常多，已发现的安全问题和隐患也非常多，归纳起来主要有以下几类。 拒绝服务（ 击 拒绝服务（ 击是 一种针对某些服务可用性的攻击，是一种通过耗尽存、带宽以及磁盘空间等系统资源，来阻止或削弱对网络、系统或应用程序的授权使用的行为 24。更加形象直观的解释，是 指攻击者产生大量的请求数据包发往目标主机，迫使目标主机陷入对这些请求数据包的无效处理之中，从而消耗目标主机的 内存、计算资源和网络带宽等有限资源，使目标主机正常响应速度降低或者彻底处于瘫痪状态 。 击 是目前黑客常用的攻击方式之一。在钥交换协议中，由于响应 方 要占用 内存等进行大量的密集 的 模幂等复杂运算，而其存储和计算能力是有限的，鉴于这一瓶颈问题的制约，极易遭到 击。 虽然 钥交换 协议采用 了 制，可在一定程度上防止 据的随机性 又 极大的 制约 了其作用的发挥 25。同时，更有分析认为 钥交换 协议的 制会导致 更 加严重 的 击。因为协议规定 钥交换 的响应方必须对已经验证过的合法 立 求予以响应，攻击者可以利用这一规定，直接复制以前的 息，不更改其 值并发送给响应方，而响应者需要大量 间的运算后才能判别出发起者是非法的，从而无法从根本上防止 击。 中间人攻击 中间人攻击是指通信实体在通信时，第三方攻击者非法介入其中并与通信双 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 14 方建立会话密钥，作为真实的通信实体间消息通信的中转站，从而共享通信实体双方的秘密 信息 。中间人攻击的方法 主 要是对消息进行篡改、 窃听，重定向消息以及重放旧消息等 14，是一种攻击性很强的攻击方式，属于主动攻击方式的一种26。 图 细描述了中间人攻击 27，当 行 法密钥交换时， 算并发送公钥 X， 取 X，并假冒 送公钥 Z 给 而完成一次 钥交换，双方之间共享了一个密钥。同理， 间也可以共享一个密钥。这样，当真正的通信双方进行信息交换时，所有数据都经 由 转，而不会被发觉。 图 中间人攻击过程 议的身份验证机制可以有效防止中间人攻击，但仍有一些缺陷。 身份隐藏保护缺陷 议第一阶段有两种模式、四种认证方式，其中一个主要目的就是要能够提供发起方和响应方的身份隐藏保护功能，但是在积极模式下的数字签名认证和预共享密钥认证，以及主模式下的数字签名认证都无法提供身份隐藏保护。例如，在第一阶段主模式协商的数字签名认证方式中，一个主动攻击者就可以伪装响应方的地址并与发起方协商 开值，从而获 得发起方的身份信息 28。 一般来说，在无法同时保护通信双方身份的情况下，要优先考虑隐藏发起方的身份。因为绝大多数的响应方在 换中都是作为服务的一方，而服务器的身份信息一般是公共的，所以可以认为保护发起方的身份要比保护响应方的身份要更为重要 29。 其它安全缺陷 除了以上的安全缺陷外， 制还存在一些其它的问题，如难以抗重放攻击、新组模式定义多余等。 重放攻击是指攻击者采取网络数据包提取等技术手段，对发起方和接收方之I n i t i a t o r A t t a c k e r R e s p o n d e x 作为私钥 ， 并计算公钥z 作为私钥 ， 并计算公钥y 作为私钥 ， 并计算公钥 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 15 间的通信数据进行窃听或者截取，获得通信双方之间的任意消息，然 后将该消息重新发送给接收方，从而消耗网络资源，甚至瘫痪通信网络。在整个 钥 交换过程当中， 通信 双方都需要保存 部分 交换信息用 来 记录数据交换 情况 ，同时，当 建立以后，数据状态信息可以用来表示数据交换状态。此时，第三方攻击者利用网上截获的正常数据包进行 重新发送 ，或者攻击者截获后伪造假消息，由于该 是 真实 的，通信实体双方 仍然 会对伪造的 假消息进行处理，甚至再次解密消息，或者由于无法正常解密，从而发现消息 不真实 。这样会使系统被迫处理大量无效的操作，降低处理效率， 浪费大量系统 计算和存储 资源。 钥交换系统定义的新组模式在具体应用中有其优点，但是新组模式相对增加了协议的复杂性，当需要重新建立 时，响应方需要根据安全性要求对新建的 的 安全 强度进行测试，也会消耗大量的系统资源。 综上所述， 钥交换协议设计的目标是用于实现安全的密钥交换功能 ， 但是，为了满足各种不同的网络环境和安全性要求，共设计了两个阶段、四种模式，这从一定程度上提高了系统的兼容性和灵活性，但却使 钥交换协议机制显得过于复杂 ， 而复杂往往是协议安全的 最大敌人 。 前面的分析说明，在 钥协商过程中确实存在不少的缺陷和问题，很有必要针对其安全性方面存在的不足，进一步改进协议的工作流程和实现方法，有效提高和发挥钥交换协议作用和效能。我们将在后面结合上述安全缺陷，讨论有关改进办法，对 议进行有效的安全增强。 议继承了 议的身份保护、完美前向安全（ 密码认证算法协商等特征，注重协议的安全性、高效率 和 稳定性。 的作用仍和 议 一样， 担负密钥管理的重要职能，加密认证算法、密钥参数等很多重要敏感信息都需要经由 建立的经过认证的安全保密通道予以传递。在 计中始终将协议的安全性放在第一位，并对各种可能的网络攻击方法进行了有效防范 30。 议采用一个文档 进行了完整的 定义。 议通过 2 个阶段 的协商 完成 建立。第一阶段可以 采用预共享密钥认证 或者 数字签名认证 ，协商建立 为第二阶段密钥协商交换提供安全保护； 第二阶段建立 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 16 通信双方提供数据 安全保护 传输服务。 议密钥协商过程如下图所示 ： 。 图 议密钥协商过程示意图 图 ， 示 示 x表示根据不同认证方式 可 选择的载荷。 SKx指用密钥 消息 x 进行加密保护和数据完整性认证保护。 第 1条消息和第 2条消息完成 要进行 加密算法协商、 间载荷 交换以及一次 而生成密钥种子 ，并建立 A。 通过第 1、 2 条消息的协商交换， 用交换的随机时间载荷等相关参数和密钥材料，计算出根密钥 后用 计算出另外的7 个子密钥： 中 x 取 i 和 r，分别表示用在发起方的密钥和用在接收方的密钥。 第 3条消息和第 4条消息完成 段协商交换，验证第 1条消息和第 2条消息，并建立 建立起 A。 对 商交换阶段的载荷 提供密码加密保护、完整性保护和身份认证保护，所用的密钥都是第一阶段计算出 的子密钥。需要说明的是，在段协商交换中， 在 不同的认证方式 中应用与传输 不同的载荷。 系统选择并对公布一个适合的大素数 p，并且使得 因子中有一个足够大的素数 q， g 是 q 阶乘法元。通信双方分别拥有各自的私钥以及对应的验证公钥。 议交互流程如图 示。 用户 A 用户 B 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 17 , , , , K(A, , , , ) K(B, , , , ) 图 议交互流程 具体步骤如下： （ 1） A 选取一个随机元素 ,1 1a a q ，计算 m o g p，生成消息( , , , )A A s n，并将该消息发送给 B。 （ 2） B 选取一个随机元素 ,1 1b b q，计算 m o g p，生成消息( , , , )B B s n，并将该消息发送给 A。 （ 3） A 接收到消息后，首先利用两个随机数 , 。 然 后 A 计 算 一 个 认 证 值最 后 生 成 消 息( , ( , , , , ) )A A A S K A A u t h S A T S T S，并将该消息发送给 B。 （ 4） B 接收到消息后，首先利用两个随机数 , 。 然 后 B 计 算 一 个 认 证 值最 后 ， 生 成 消 息( , ( , , , , ) )B B A S K B A u t h S A T S T S，并将该消息发送给 A。 议相对于 议而言， 只保留了预共享密钥认证和数字签名认证方式 ，使用了 换、无状态的 换 31、标签交换 32等技术，可以较好的抵抗 击、版本欺骗、类型缺陷攻击等多种攻击行为 。但是， （ 1）难以预防基于分片的 击 33。由于 于 术，而大的 据包在网络流转中需要进行分片处理，到达接收端后再进行数据包重组，攻击者可向接收方发送大量的大的 据包，无限消耗接收方数据包重组资源，阻止合法数据包的到达和处理，最终形成基于分片的 击。 （ 2） 议易受退化消息类型的中间人攻击。 无论采 取哪种 认证方式，议 都 只能保护发起方的身份不受被动攻击， 而难以避免 主动攻击 类型的 中间人攻击， 从 而暴露发起方的身份。 （ 3）存在预共享密钥 被破解的安全缺陷。 采用预共享密钥认证时，受到中间人攻击 后 ，攻击者还可以根据已知信息暴力破解预共享密钥。 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 18 议设计的根本目的是为了进一步提高 钥交换协议 的安全性，同时进一步简化交换步骤和流程，降低对网络资源的消 耗。 议与 大的区别在于由之前 2 个阶段的密钥交换协商合二为一，只设计了 1个阶段，通信双方只需要进行 4 条消息的交换，即可完成 钥协商，但是消息所包含的内容复杂了许多。 议 采用 换 技术 ， 由于数的计算会消耗大量的计算资源，鉴于此，为了追求高效率，同时 有效抵抗 击， 议 对 换 技术的运用进行了改进，由原来对每一次会话使用不同 数，改为在一个固定的时间间隔内使用一个 数 ， 从而实现了阶段性的前向 安全 保密。 议又分为 个变种协议， 这两个协议的工作原理完全一致，区别在于： 议只能保护发起方的 身份 信息 ， 从而 使 发起方 能 够 抵抗主动攻击 ，主要 用于 “客户端 /服务器” 模式 ，因为在这种模式下，服务器的身份信息往往是公开的，无保护意义和价值； 议只能保护响应方的身份信息，从而使响应方能够抵抗主动攻击，主要用于“客户端到客户端”模式，在这种模式下，由于通信双方具有对等性，响应方作为服务一方更加重视保护自己的身份信息。 议通过 4 条消息完成密钥协商交换，其交互流程如下： 对于第 1 条消息， 功能是 使发起方可以 在 一个时间间隔内只 使用一个数值，同时 对于并行的 会话 使用不同的 会话密钥 ； 发起方 计算出的 值 ； 明 发起方要求响应方采取 的身份认证方式 。 第 2 条消息 中 ，由于 消了对加密算法和认证算法的协商，改为由 响应方 直接指定各类算法，因此，用 确了第 3、 4 条消息采用的密码算法 兰州大学硕士研究生学位论文 钥交换协议的分析改进与实现 19 和认证算法。 响应方 的身份信息， 同时响应方 用私钥生成数字签名 发给发起方 。 响应方用 钥对 希 计算，发送给发起方 ，用于第 3 条消息 中的 证。 第 3 条消息 包含有发起方 的身份、 所 请求 的 服务及 发起方 的数字签名等 信息，这些信息所用的加密认证算法在前面的消息中已经进行了明确，密钥为协商生成的 子密钥 。 响应方 接收到 该 消息后， 可以通过 计算 和比较 证数据的 身份 ， 以有效 抵抗 特定 类型的 击。 第 4 条消息 中发送的是一些 专用信息， 这些信息也需要 进行加密和认证 保护 。 通过这条消息的交互，发起方 可以验证 响应方的身份信息，而当响应方要 拒绝 发起方 的 交互 请求， 则 这条消息的内容 更改 为 拒绝信息。 议的消息交换 流程 和 议 是一致的，其 交互流程如下： 议是在借鉴 列协议的基础上，设计的一种新型的 钥交换协议， 但是仍存在一些安全缺陷。 （ 1） 通过重复使用 实现了阶段性的前向安全，但 还是难以 实现完美的前向安全（ （ 2） 通信双方 会受到 抗计算资源 的 击。例如，在 议中， 第三方攻击者 可以在截获第 1 条消息后，生成自己的 代 发起方 的 给 响应方 。在截 获第 2 条消息后，可继续伪造 响应方 的当前时间值 送给 发起方 ，其它消息包做相应的修改，即可绕过 行完整协议的交互。发起方 只有收到第 4 条消息后才能发现受到攻击，结束协商通信，但此时已经耗尽了双方的计算资源。同样，类似于 可以对 行 击。 第三方攻击者 在截获