基于AESCCM模式的IPsec应用及其安全机制的分析

1、基于AES-CCM形式的IPsec应用及其平安机制的分析摘要本文就IPse应用中如何采用AES-形式进展了相关讨论。由于该形式结合AES算法和形式的加密和认证方式各自优点，因此在应用中具有优良的平安性能。另外，本文也对AES-形式如何保证消息的完好性和机密性进展了分析，并提出对网络平安防范的补充见解。关键词AES；加密与认证美国标准与技术研究院NIST于2002年5月26日制定了新的高级加密标准5AES标准。该标准采用Rijndael算法的设计谋略是宽轨迹策略ideTrailStrategy,宽轨迹策略是针对差分分析和线性分析提出的，它的最大优点是可以给出算法的最正确差分特征的概率及最正确线性

2、逼近的偏向的界，由此可以分析算法抵抗差分密码分析及线性密码分析的才能。Rijndael算法采用的是替代/置换网络。每一轮变换由三层组成：线性混合层，用于在多轮变换上的高度扩散；非线性层，由16个S-盒并置而成，起混淆的作用；密钥加层，子密钥简单的异或到中间状态。S-盒选取的是有限域GF28中的乘法逆运算，因此它的差分均匀性和线性偏向都到达了最正确。Rijndael算法的平安性非常良好。4轮Rijndael算法的最正确差分特征的概率和最正确线性逼近的偏向分别为2-150和2-76；8轮Rijndael算法的最正确差分特征的概率和最正确线性逼近的偏向分别为2-300和2-151。此外，“Squar

3、e攻击是针对Square算法提出的一种攻击方法，同样适用于Rijndael算法，7轮以上的Rijndael算法对“Square攻击是免疫的。因此，AES加密算法的优点显而易见：有良好的数学理论作为根底，没有明显的缺点和平安破绽，加密、解密相似但不对称，因此具有更高的平安性，分组支持128bit、192bit和256bit和密钥长度支持128bit、192bit和256bit的多重选择也表达了该算法的灵敏性。2.1AES加密算法的形式对称密码已经广泛应用于数据的保密和数据完好性认证。每一种不同算法的分组密码在详细运用时，都会选择一种详细的操作形式12，如电子密码本形式EB、密码分组链接形式B或计

4、数形式TR等。这些形式仅提供加密效劳而不提供鉴别效劳，但有些应用中除了需要加密效劳外还要求鉴别效劳。IPSe是一个负责IP平安协议和密钥管理的平安体系，需要对IP传输提供了数据保密、数据完好性保护、身份认证和反重放保护，以到达保护网络平安通信的目的。由于常规的操作形式仅提供数据加密效劳，因此在IPSe应用存在平安破绽。而数据完好性保护、身份认证和反重放保护都需要鉴别效劳。目前，IPSe只支持正式B形式和TR形式。但是，由Dughiting等提出的5unterithipherBlkhaining-essageAuthentiatinde形式是一种同时提供加密和鉴别效劳的全新操作形式。形式具有许多

5、优秀的性质，它提供了带鉴别的加密效劳，并且不会发生“错误传播ErrrPrpagatin。另外，形式还具有同步性Synhrnizatin和一定程度的并行性Parallelizability在加密过程具有并行性而在鉴别过程那么没有。因此相对于其他形式，形式在IPSe应用中更具优势。形式是分组密码一种全新的操作形式，它同时提供了加密与鉴别效劳，其中加密效劳由计数形式unterde提供,而鉴别效劳由B-AipherBlkhaining-essageAuthentiatinde算法提供。我们可以理解为形式结合了计数形式与B形式两者各自的优点。使用形式的根本条件包括，发送方和接收方定义一样的分组密码算法这

6、里为AES算法、密钥K、记数器发生函数unterGeneratinFuntin、格式化函数FFrattingFuntin和鉴别标记长度Tlen。在形式下，发送者的输入包括随机值Nne、有效载荷和附加鉴别数据，分别记为N、P、A。计算步骤如下：Step1.计算格式化函数FN,A,P，产生数据块序列B0,B1,Br每块为128bitStep2.Y0=EKB0Step3.Fri=1tr,dYj=EKBiYi-1Step4.T=SBTlenYr取二进制串Yr的左边Tlen个二进制位Step5.计算计数器发生函数，产生计数块theunterblkstr0,tr1,tr,=Plen/128Step6.Fr

7、j=0t,dSj=EKtrjStep7.S=S1|S2|S“|表示连接运算Step8.Return=PSBPlenS|TSBTlenS0经过以上步骤后，最终产生发送方加密后发送的密文。一般来说，承受方得到N、A和后，首先对密文进展解密恢复有效载荷和A值T；然后承受方再利用B-A算法对N、A和解密的有效载荷进展重新计算B-A值T1，并与从密文中恢复的A值T进展比照认证。假如认证通过，那么接收方从密文中解密得到的有效载荷P是真实有效的。否那么，将得到一个无效的有效载荷，这时就要求发送方重新加密发送该有效载荷。即使后一种情况真的发生，除了一个“错误的T值以外接收方将不会泄漏任何其他的信息包括解密的密

8、文、正确的T值和其他一些入侵者“感兴趣的信息。2.2AES-形式在IPSe中的应用优势形式包括两组相关的处理过程：初始化-加密Generatin-Enryptin、解密-鉴别Deryptin-Verifiatin。在初始化-加密阶段，形式利用B-A算法产生A值，然后再利用计数形式对A值和有效载荷进展加密传送。而在解密-鉴别阶段那么次序相反，先解密再鉴别。在形式中由B-A算法提供的鉴别效劳比一般的校验码或错误检测码方式heksurErrrDetetingde在数据完好性方面具有更强的平安性。校验码或错误检测码方式仅仅被设计用于检测数据传送过程中的意外错误，而A方式不仅可以检测出数据的意外错误，而

9、且也能检测出攻击者成心的、未经受权的数据篡改。另外，在形式中使用计数形式对数据进展加密和解密，这正是形式另一个优点的本质来源，这一点与纯计数形式一样。计数形式的平安性在理论上已经被证明6，其本质在于平安的分组加密函数具有伪随机变换特性。在形式中，由于在计算Sj=EKtrj时各个数据块的加密可以独立的进展，这在软件实现中，可以充分利用现代体系构造的并行性。假如使用硬件实现加解密，那么可以设置多个功能单元，每个功能单元独立完成各个数据块的加解密，这样可以极大的进步性能。此外，由于每一个接收的数据包的tr值都是按一定原那么分配的，所以tr值是可以预计的。当处理器有空闲时，可预先计算EKtr0，EKt

10、r1，等，以进一步进步性能。当然，形式的性能还稍逊于纯计数形式，这是因为形式只在加密时具有并行性，而在鉴别时那么没有。但是形式那么通过鉴别效劳机制提供了比纯计数形式更高的平安性。我们可以认为形式综合了B形式和计数形式这两种形式的优点，并在平安和性能之间获得了很好的平衡。因此，形式在IPSe作为网关的实现中也可以在更高的平安保障下具有较高的性能。AES-形式要求发送方为每一个数据包生成一个唯一值IVInitializatinVetr，并通知接收方该值，那么该IV值就构成了Nne的一部分。出于平安的考虑，一样的IV值和密钥决不能重复使用，同时必须确保发送方生成IV值时的唯一性。IV值的生成可以采用

11、普通的方法，通过每一个包的递增序列号和线性反响移位存放器来产生。3.1性能与效率分析在IPSe应用中，我们可以使用ESP序列号SequeneNuber替代IV值，但要考虑到计数块可能的冲突问题。出于系统开销的考虑，在形式下可以规定加密方来确定IV值。因为只有加密方可以确保IV值的使用不会多于一个数据包，假设选择一种允许解密方也侦测计数块是否冲突的机制是没有优势的，这反而会增加了系统开销。此外，无论解密方发现与否，计数块冲突带来的损害都会发生。一般的，IV值的产生可以使用计数器方式、线性反响移位存放器方式和其他一些方式，这都取决于加密方的时间预算。在形式使用的是计数器方式，这是因为计数器方式的应

12、用简单，系统开销小，可以进步加密方的效率。此外，每个计数块IV值的分配需要在一个平安边界AssuraneBundary内，这样可以确保IV值的唯一性。在IPSe应用中使用序列号SequeneNuber替代IV值，序列号的分配正是在一个平安边界内完成的。IV值是紧跟在别离的序列号和每个包的计数块值的后面产生，这种额外的系统开销64bit的IV域是可以承受的，这种开销少于B形式的开销。一般的，为了产生IV值，B形式要求完好的分组，但这样平均下来有一半的分组需要填充padding。而AES-形式的以上开销仅为B形式开销的1/3，并且这种对每一个包的开销都是恒定的。在IPSe中，涉及加密的还有SA的建

13、立过程。ISAKP定义了协商的两个独立阶段：包括第一阶段，主要目的在于认证通信双方的身份，从而协商出ISAKPSA，为第二阶段交换建立平安信道；第二阶段，利用平安信道建立实际的用于IPSe处理SA即IPSeSA。AES-形式应用于SA的建立过程详细做法可以参照纯计数形式的方法，使用每一次交换过程中的唯一essageID标识这些块序号即tr值。3.2平安分析AES优良的平安特性，正是在IPSe中应用AES-形式的坚实平安基矗此外，关于操作形式自身的平安，JakbJnssn6已经从理论上给出了完好的数学证明，结论是形式提供的加密与鉴别的平安程度与其他操作形式处于同一程度线上。必须引起注意的是，AE

14、S-形式使用计数形式来提供加密效劳，那么假如一个计数块的值曾使用一样密钥加密的数据包中屡次使用，那么一样的子密钥序列也将在所有数据包中加密。这将无法保证数据的机密性。证明如下：设两个数据包的明文序列号分别为：P1,P2,P3和Q1,Q2,Q3,它们的子密钥序列为K1,K2，K3.加密后它们的密文为P1,XR,K1,P2,XR,K2,P3,XR,K3Q1,XR,K1,Q2,XR,K2,Q3,XR,K3假如攻击者获得这两个密文，这将对数据的平安性带来灾难性的后果。这是因为：P1,XR,K1XRQ1,XR,K1=P1XRQ1P2,XR,K2XRQ2,XR,K2=P2XRQ2P3,XR,K3XRQ3,

15、XR,K3=P3XRQ3一旦攻击者获得两个明文的异或值，那么他就很容易的别离出明文。任何分组密码使用同一密钥加密两个明文，都会导致明文的泄漏。因此，AES-形式不应使用静态手工配置密钥方式，以确保不会使用同一密钥加密两个明文。在AES-形式下，我们使用IKE协议用于建立全新的密钥FreshKey。AES-形式作为一种全新的操作形式，由于同时提供加密与认证效劳，在IPSe中应用中，与其他操作形式相比具有宏大的优势。目前，已经证明AES算法具有良好的平安保障。由于工程施行的平安与加密算法有关而与操作形式无关，AES-形式的平安性也同样可以得到保障。因此在基于IPSe的应用中，AES-形式具有良好的使用前景。但是，IPSe在实际应用中存在缺乏，会对其他协议产生不良影响。在多播源验证和密钥管理上，还存在着一些如今无法妥善解决的问题。另外在使用AES算法时，要根据IPSe协议的定义和实际应用情况