IKE协议中基于数字签名验证的主模式研究

!第#卷!第$期南京邮电大学学报（自然科学版）%&’(#!)&($!!**#年月+&,-./’&0)/.12.34.256-7289&0:&787/.;6’6=&,.2=/82&.7（)/8,-/’?=26.=6）@6A(**#!!文章编号：$B#CDEFCG（**#）*$D**BGD*B!#协议中基于数字签名验证的主模式研究张!琳$，王汝传$，$H南京邮电大学计算机学院，江苏南京!$***CH南京大学计算机软件新技术国家重点实验室，江苏南京()!$**GC摘!要：I.86-.68（因特网）密钥交换协议（IJK）由于其灵活性和复杂性，不可避免的存在某些安全隐患。简要介绍其工作机制之后，分析了两种中间人攻击的方式，为有效抵御第二种中间人攻击，对基于数字签名的主模式交换过程进行了改进，并提出了密钥签名载荷的概念。最后，给出了改进前后的定量的性能分析，结合0-66?LMN)源代码，修改和增加了相应的函数，将改进思想融入其中。关键词：IJK；数字签名；主模式；中间人攻击中图分类号：:CGC(*O!!!文献标识码：P$%&%’()*+,-’./-+0%1.2*3.4/’25(%652*%/2.)’2.+/./!#7(+2+)+89:6;=./$，6;$5?)*5’/$，$(Q&’’636&0Q&R,86-，)/.12.34.256-7289&0:&787/.;6’6=&,.2=/82&.7，)/.12.3$***CQS2./(?8/86J69T/A&-/8&-90&-)&56’?&08U/-66=S.&’&39，)/.12.34.256-7289，())/.12.3$**GCQS2./6@&2(’)2：I8272.6528/A’68S/88S6-6/-67&676=,-289’228/82&.72.IJKR-&8&=&’，A6=/,76&02870’6V2A2’289/.;=&R’6V289(N086-8S66=S/.27&0IJK272.8-&;,=6;，8S68U&W2.;7&0/.D2.D2;;’6/88/=W/-6/./’9X6;(I.&-D;6-8&;606.;8S676=&.;&.6，7&62R-&566.87/-6R-676.86;2.8S6/2.&;6U28S723./8,-6/,8S6.82=/82&.(Y&-6&56-8S6=&.=6R82&.&0W69D723./8,-6R/9’&/;27R-&52;6;(@2./’’9，8S6R/R6-/W67/Z,/.828/8256=/R/A2’289/D./’9727&.8S6US&’6(P9=&A2.2.3U28S8S6&R6.=&;6&00-66?LMN)，28&;20267/.;/;;77&6/RR-&R-2/860,.=D82&.78&2.863-/868S62;6/&02R-&566.82.8&IJK(%A1+(0&：IJK；[2328/’723./8,-6；Y/2.&;6；Y/.D2.D2;;’6/88/=W!!收稿日期：**BD*CD*基金项目：国家自然科学基金（B*E#C$F$、#*#$*E*）、江苏省自然科学基金（PJ**E$FB）、江苏省高技术研究计划（P\**F**F、P\**E*C#、P\**E*CO、P\**B**$）、国家高技术研究发展计划（OBC计划）（**BNN*$]FCG）、南京市高科技项目（**B软资$*E）、现代通信国家重点实验室基金（G$F*Q$$*$*$*B*C）、江苏省计算机信息处理技术重点实验室基金（W17*E***$、W17*B*B）资助项目BC引C言网络安全一直是一个倍受关注的领域，如果缺乏一定的安全保障，无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵。目前，I.86-D.68（因特网）上存在着大量特制的协议专门用来保障网络各个层次的安全。安全功能可以在^?I（开放式系统互联）七层网络模型中的任何一层中实现，包括网络层、传输层、应用层或数据链路层。而在网络层实施安全措施与低层协议无关，对高层协议和应用进程透明，即安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。网格计算等多种需要安全保障的应用程序均可共享由网络层提供的密钥管理结构，这样，密钥协商的开销就可被大大削减。因此，网络层是一个实施安全措施的有力场所，尤其在密钥管理方面。IJK（S6I.86-.68J69KV=S/.36）因特网密钥交换协议作为!#$%协议族中的一个关键部分为另外两个协议———&’和(#提供着安全服务，它是!)#$%默认的自动密钥管理协议，最终为通信双方安全秘密的协商所采用的算法并生成经过验证的密钥，是目前因特网上最具应用前景的密钥交换协议。!*(并非仅由!#$%专用，只要其它协议需要，便可用它协商具体的安全服务，因此，网格计算中的安全机制完全可用!*(协议来实现密钥管理。近十几年来，世界各国学者对!*(进行了较为广泛和深入的研究，尤其是美国和欧洲的一些国家在这一关键领域投入了大量的研究经费和力量，一些研究机构和公司已对其进行了试验性的实现，而国内对它们的研究仍处于初期阶段。!#$%工作原理!*(［+］作为一种混合协议，主要通过两个阶段的交换来完成#&（#$%,-./0&112%.3/.24）的协商。阶段一交换主要是协商相关算法以及交换5.66.$)’$77)834共享值，最终生成一个已通过身份验证和安全保护的通道（!*(#&）用来保护阶段二交换（!#$%#&）。!*(#&的生命周期远远大于!#$%#&的生命周期，如一个!*(#&的生命周期可为几小时甚至几天，而一个!#$%#&的生命周期可能只有+至9分钟。所以在一个!*(#&的生命周期内可以有很多个!#$%#&，保证了会话密钥的频繁更新。!*(共定义了:种交换。阶段一有两种模式的交换：对身份进行保护的主模式交换（;3.4;2$）以及积极模式交换（&==-$11.$;2$）。阶段二交换使用快速模式交换（?,.%@;2$）。另外，!*(自己还定义了两种交换：一个是为通信各方协商一个新的5.66.$)’$77834组类型的新组模式交换，另一个是在!*(通信双方传送错误及状态消息的!#&*;［9］信息交换。本文主要讨论阶段一的主模式交换，它要经过A个步骤，共交换B条消息。头两个消息协商策略；接着的两个消息交换5.66.$)’$77834的公开值和必要的辅助数据（例如：424%$）；最后的两个消息验证5.66.$)’$77834交换。对!*(交换影响最深的是身份验证方法。在阶段一交换的过程中，给出了C种方法，分别是数字签名验证、公钥加密验证、修改过的公钥加密验证以及预共享密钥验证。不同的验证算法提供的安全强度不同，使得交换消息的内容也各不相同，但达到的目的是完全一致的，最终都是生成安全通道#&。不管对于哪一种验证方式，双方都要分别计算#*(D!5值，它是所有会话密钥的生成基础，为衍生下一级双方共享的密钥材料做准备。以数字签名为例：#*(D!5EF-6（G.HIJG-HI，=KL0）（+）为了验证和保护!*(消息，参与通信的双方都要生成另外A种秘密#*(D!5H、#*(D!5H3和#*(D!5H$，它们都是建立在#*(D!5的基础之上。另外，为了验证交换中的双方，协议的发起者和响应者要分别产生’&#’H!和’&#’HM。’&#’H!EF-6（#*(D!5，=KL.J=KL-JN*DH!JN*DHMJ#&.HIJ!5..HI）（9）’&#’HMEF-6（#*(D!5，=KL-J=KL.JN*DHMJN*DH!J#&.HIJ!5.-HI）（A）至于其他验证方式的#*(D!5的计算方法，#*(D!5H、#*(D!5H3、#*(D!5H$的表达式及各标识符所代表的含义均可参见文献［+］。以基于数字签名的主模式为例，其消息交换过程见图+。图&主模式下数字签名验证的消息交换过程其中，#!OH!是发起者对’&#’H!进行私钥签名的结果；同理，#!OHM是响应者对’&#’HM进行私钥签名的结果。’安全性分析及改进方案自!*(协议成为MPN标准以来，由于其认证的灵活性，使得交换的过程增加了几分复杂性，进而给攻击者以可乘之机。由于!*(协议是基于5.66.$)’$77834密钥交换的（消息A、C中交换5’公开值），所以它容易遭受中间人攻击，解决的思想是增加认证环节。过早的进行5’交换又带来了另外一些不足。QR南京邮电大学学报（自然科学版）SSSSSSSSSS9QQR年S由于经过消息!、交换后，双方需要分别计算#$交换的共享值%&’(和个共享秘密。不管是公开值、共享值还是共享秘密都属于高次幂模运算，需要占用)*+大量的计算资源。一旦后两条消息验证失败，那么，已经进行的各种计算工作都要作废，浪费了相当大的计算机资源，这样很容易就能诱导损耗计算机资源的#,-（#./012,3-.4506.）攻击。针对#,-攻击的具体的改进方案可参见文献［!—］，本文主要从抵御两种中间人攻击方面谈协议的改进。!#$第一种中间人攻击已经发现789协议的阶段一存在安全缺陷，包括主模式和积极模式，以及每种模式的种验证方法。其中，部分隐患是由散列载荷$:-$;7和$:-$;的错误定义引起的。具体的针对789的第一次消息往返过程中存在的中间人攻击，以主模式下数字签名验证方式为例，见图=。图%$遭受中间人攻击的主模式下数字签名方式消息交换攻击者可以截取消息，把-:0载荷的内容改为-:1发送给响应者，达到冒充发起者的目的。另外，攻击者还可以截取消息=，把响应者的回答载荷-:4修改为-:?以回送给发起者，从而达到了冒充响应者的目的。针对这种攻击，文献［@］分别对$:-$;7和$:-$;都作了修改，如下：$:-$;7ABC43（-89D7#，%&’0E%&’4E)8DF7E)8DFE-:0;?E-:4;?E7#00;?）（）$:-$;ABC43（-89D7#，%&’4E%&’0E)8DFE)8DF7E-:4;?E7#04;?）（@）这样，不管攻击者冒充发起者修改了-:0还是冒充响应者修改了-:4，最终都不能通过验证。这种攻击方式已被研究的比较深入，下面给出另一种中间人攻击的方式。!%$第二种中间人攻击由于789协议是基于#0330.F$.22G1/交换的，因此，在消息的第二次往返过程中还存在另一种形式的中间人攻击方式，即针对#$交换的中间人攻击。在这种情况下，攻击者作为第三方在响应者面前冒充发起者，而在发起者面前又可以冒充响应者，从而使得双方都不知道到底在和谁进行#$公开值交换。现把遭受攻击的消息!、单独进行分析（以主模式下数字签名验证方式为例），见图!。图!$针对&’交换的中间人攻击第三方攻击者H截获由发起者I发往响应者D的第!条消息，由于该消息是以明文的形式传送89载荷和/,/6.载荷，因此很容易被攻击者篡改。攻击者H可将89载荷中的I的#$公开值%&’改为它自己的公开值%&J，然后冒充发起者伪造第!条消息以消息!A的方式将含有%&J的载荷发给响应者D。由于消息传送前未作任何的认证工作，因此，响应者觉察不到消息的篡改过程。同样的道理，攻击者H可截获第条消息，将响应者D的#$公开值%&(也修改为它自己的公开值%&J，然后冒充响应者以消息A的方式将含有%&J的载荷回送给发起者I。这样，双方在第二次消息往返后分别拥有了对方的#$公开值，再根据收到的其他的信息就可以生成个秘密材料。如果存在图!所示攻击的话，发起者I拥有的其实是和攻击者H共享的秘密，如#$共享值%&’J、-89D7#、-89D7#;K、-89D7#;1和-89D7#;.。而响应者D拥有的也是和攻击者H共享的秘密，如#$共享值%&(J、-89D7#=、-89D7#;K=、-89D7#;1=和-89D7#;.=。这样，攻击者就能够模拟通信双方分别在消息!、中与两方进行#0330.F$.22G1/交换。当攻击者截获消息@时，就可以利用它和发起者共享的秘密来解密该消息，从而获得了发