一种应对主动攻击的无线安全传输层握手协议

1、种应对主动攻击的无线安全传输层握手协议摘要wtls作为wap的一种安全协议使得tls得以应用在无线因特网协议中，因为tcp安全 同样适用于无线环境。wtls的作用是提供安全和高效的服务。wtls协议由四种协议组成, 即握手,更换密钥,报警，应用数据(handshake, changecipherspec, alert, application data)o 在本文中我们分析了握手协议的特点和建立主密钥的过程细节。然后我们以儿个攻击模式为 基础分析了协议的安全性。同时，我们提出了一种新的握手协议，它能安全抵御几种主动攻 击模式，提供各种不同的安全服务。1引言最近，由于无线因特网市场的快速增长，新

2、的客户机和服务得到发展。这意味着移动通 讯系统和客户移动设备现在可以接入网络。为了让客户机和厂商亨受到更先进的服务，有区 分的、快速灵活的服务创造者wap论坛在传送，安全，处理，对话，应用层等方而定义了 一套协议。wap结构屮的安全层协议叫做无线安全传输层，即wtlso wtls的最初11的是 提供通讯实体间的保密，数据完整性，验证，密钥一致性服务。wtls提供了与tls1.0类似 的功能，同时加入了新的功能，如数据报支持、最优握手和动态密钥更新。wtls协议是为 潜伏时间相对较长的低带宽网络而优化的，它由四种i办议组成：握手协议，跟换密钥协议, 报警协议，记录协议。wtls握手协议用于协商w

3、ap【3】结构中wtls层安全会话的标志 然而，现有的wtls握手协议在主动攻击模式中存在严重的安全问题，比如冒名活动，密钥 泄密，转发安全性，持码被动进攻，持码冒名进攻等等。在本文中我们分析了握手协议的特 点和对抗攻击模式时的女全性。然后我们以儿个攻击模式为基础分析了协议的女全性。同时, 我们提出了一种新的握手协议，它能安全抵御主动攻击模式，提供各种不同的安全服务。木 文剩下部分安排如下。第2部分中，我们列出了已有的wtls握手协议，并分析了它们在抵御几个主动进攻模 式时的安全特点。第3部分屮，我们介绍了自己提出的可以安全抵御主动进攻模式的wtls 握手协议，同时在与现有wtls握手协议的对

4、比中分析了它的安全特点和服务。结论放在第 4部分。2现有wtls握手协议wtls握手协议为安全通话提供隐藏图形参数，并且工作在wtls记录层的顶部。当一 个wtls客户机和服务器开始通信时，它们约定一种i办议版本，选择加密算法，验证对方， 并利用公钥加密技术牛成一个共享的秘密。wtls握手协议涉及以下步骤3： 交换呼叫信号以约定一种算法，交换随机数。交换必须的机密参数以便让客户机和服务器预先约定一个准主密钥。 交换证书和加密信息以便让客户机和服务器证实己。从准主密钥中生成一个主密钥，并且交换随机值。 向记录层提供安全参数。耍求客户机和服务器证实它们的同级层计算出了相同的安全参数，同时还要证实握

5、手没 有被攻击篡改。2.1参数 现有wtls握手协议屮川到的系统参数定义如下：v： wtls版本e：终端实体(ee) sid：安全通话的id secnege：实体e支持的信息，例如密钥交换程序，加密程序，压缩方法，密钥更新等 kp：准主密钥km:主密钥h():单向散列函数xe:实体e的私密pe：实体e的公钥certe：实体e的证书re：实体e产生的随机数ek(dk)：用密钥k对称加密(机密)x/y： x,y的级联 g:椭圆曲线发牛器 2. 2现有协议运作方式所有与安全相关的参数都在握于协议屮约定好了。这些参数包含了屈性在内，比如协议 版木，加密算法，鉴别信息和生成共享秘密的公钥技术。握手从呼叫

6、信息开始。客户机发送一个客户机呼叫信息到服务器。服务器必须冋一个服 务器呼叫信息。通过这两个呼叫信息，通信双方达成了通话权。呼叫z后，如果需耍验证的 话，服务器会发出它的证书。另外，如果需要或者服务器要求客户认证，如果它适用于所选 择的密钥交换程序的话，主密钥交换信息也会被发送出去。接着，服务器发出服务器呼叫完 成信号，指示握手呼叫信息阶段完成了。然后服务器会等待客户机冋应。如果服务器发出了 认证请求信息，客八机必须发出一个认证信息。如果客户机认证不含密钥交换所需的足够数 据或者认证根本就没有发送的话，一个客户机密钥交换信息会被发送出去。信息内容取决于 客户机呼叫和服务器呼叫z间选择的公钥算法

7、。发送完了信息，准主密钥就设定好了。如果 客八机需要通过带签名作用的认证书來鉴定，一个证书认证信息将以数字签名的形式发送出 去，以便明确的鉴定出证书。这时，客户机发出一个变更密钥说明信息，并将未决密钥说明 复制到当前写入密钥说明中。客户机立即向新的算法，密钥和秘密发送一个结朿信号。当服 务器接收到变更密钥说明信号时，它也会将未决密钥说明复制到当前读入密钥说明中。作为 回应，服务器也会发出它口己的变更密钥说明信息，将它的当前写入密钥说明设为未决密钥 说明，并在它自己的新密钥说明中发出自己的结束信号。这时，握手完成，客户机和服务器 开始交换应用层数据【4】。图显示了利用ec-based dh密钥交

8、换和ec-dsa完成一次完整的握手信号流程。clieut c servei- sclienthellor" 0d. secnegrlsid.secnwg $serverhellok卫-xcpcert scertificatec ertificater equestk” =力(尼p iiiiser*er hello donecertificatef%pcr = 7f(/c<?)j - kkp | rt? | rs)s = (a ( handshake ) + 心厂)上mod qcertificatev erify2.3 e握手的安全性分析2.3.1主动攻击模式在这一小节中，我们分

9、析了现有握手协议的安全性。木文所考虑的协议的安全目标是主 动冒名（ai）,转发保密（fs）,密钥泄密冒名（kci）,已知密钥安全性（kks）。他们的定义如 下【5】6：主动冒名进攻（ai）：敌方通过合法实体u进入通话中，并假冒另一个实体v,最终计算 出u、vz间的通话密钥。转发保密（fs）：即使一个或多个实体的长期私钥泄密，可靠实体建立的前通话密钥的保 密性仍不受影响，我们就称协议提供了转发保密。有时把一个实体的私钥泄密（半转发保密） 脚本和两个实体的私钥泄密（全转发保密）脚本加以区别。泄密密钥冒名进攻（kci）：假设实体u的长期私钥泄密了。很显然，知道这个值的敌人 可以冒充u,因为这个值精确

10、的等同于u。然而，在有些情况下，要让敌人无法利用这种失 误冒充实体u是可取的。密仞协商协议帮助提供密钥泄密冒名的恢复力。已知密钥女全（kks）：当敌方知道其他会话密钥时，协议也耍能完成它的h标。有两种类型 的已知密钥攻击。己知密钥消极进攻（kkp）:敌方得到一些先前使用的密钥，然后利用这些信息确定新的 会话密钥。已知密钥冒名进攻（kki）:敌方进入会话中，通过前会话密钥和持有的当前密钥冒充合 法实体u,最终计算出u和v之间的会话密钥。2. 3.2安全性分析针对ai：当敌方试图冒充ee来要求牛成主密钥时，它不仅不能证实证书信息，也不知道ee 的私钥xeo针对fs： 一个知道客户机或（和）服务器私

11、钥xe1/2的敌人a进入会话中，通过客户机或（和） 服务器私钥计算出主密钥，公钥和随机数re1/2如下：敌人a通过泄露的私钥和2的公钥计算出预主密钥卞夕=敌人 a通过预主密钥和随机数=从&卩ii尺弓ii尺电）针对kci：知道客户机c密钥"c的敌人a进入到会话中，冒充服务器s,通过客户机c计算出主机密，方法如下：敌人a从客户机c那收到rc后发送一个随机数ra到客八机co敌人a计算出前机密和主机密。j = xcps j =刀（&p | 孔 ii rq针对kks：知道早期准主密钥和发送信息的敌人a进入到会话中，冒充合法实体ee,利用前 预主密钥、发送信息和公共信息计算出一个

12、主密码。敌人a知道由长效密钥组成的预主机密。敌人a通过前主机密和随机数计算出丄机密。2叭=7/（ ii rex ii3提出的wtls握于-协议3.1参数所提出的wtls握手协议中用到的系统参数世义如下。证书授权私钥pj :证书授权公钥： ee的长效私钥乜；ee的长效公钥: ee的临时私钥 卩三：ee的长效公钥:散列中间值v : ee的证书信息n:g 的顺序，剩下的与2.1相同3.2发布证书-准备好连接信息。h = qhczdckg j-t | ctzs | m w计算出签名。= x。 7/（2 iiii 心| 花+ 心 moh "证书：验证者像下面这样检查（zi，" fuj

13、"'的令效性。（5）服务器认证计算客户机的临时公共密钥用下面步骤验证签名甩="（zz | cvc ii pf 花 jscg xeypc = tc = （vu，、讣u）tc、p =疋（花）（6）客户机认证计算客户机临时公钥ps = l, s + 9*s通过以下步骤验证签名电=7/（ozs |怎|乙）ssg 11 es=（七$7$）tv?=兀（三）所提wtls握手协议步骤如下。所以所提协议可以提供全转发保密。针对kci：即使敌人获得了一个实体的长效私钥，他（她）也不能计算出主机密，因为他（她） 不知道机密认证信息'上o因此，即使知道实体的长效私钥，敌人也无法冒充

14、合法实体。针对kks：在所提协议中，即使敌人获得早期预主机密和发送信息，他（她）也无法从这些 信息中获得任何便利來计算当前主机密，因为两个实体的随机值尺£都包含衣预主机密中。i大i此，所提协议对kkp攻击和kki攻击都是安全的。现有协议和所提协议的安全性分析结果总结如表1所示：table 1< result of securitv analvsisactive attack modelexisting pi otocolproposed protocolaisecuresecurefsdon't provideprovide fiill fskcinot secures

15、ecurekkpnot securesecurekkinot securesecure3.4.2特征在这一小节里，我们分析了所捉出协议的特征。所提出协议能够提供交互实体鉴别、单向密 钥确认、交互密钥更新、用户匿名等功能。表2是现有|办议和所捉出办议的比较总结【8】。table 2. comparison of the existing and the proposed protocolpropertiesexisting pi otocolproposed pixitocoln-pass54entity* authenticationone vaymutualkev coufirmationnot provideone-wayimplicit key authenticationmutualmutualexplict key authenticationxot provideonekey freshnessmutualmutualuser