一个对抗主动攻击的无线传输安全层的握手协议

1、一个对抗主动攻击的无线传输安全层的握手协议JONGSU HAN,EUNSUNG SHO,DONGHO WON,信息和通讯工程学院，Sungkyunkwan大学,300 chunchun-dong,Jangan-gu,Suwon,Gyeonggi韩国摘要WTLS作为一个WAP的可靠的协议，使得TLS适合于无线环境，TLS适用于无线英特网协议TCP。WTLS的目的是提供安全和高效的服务。WTLS协议有四个协议组成，如握手协议，改变加密算法协议（ChangeCipherSpec）,警告（Alert）协议,和应用数据协议。在本文我们将分析握手协议的性质和建立主要秘密的过程的细节。然后，我们分析本协议对

2、几种攻击模型的安全性。我们也提出了一个新的握手协议，这个协议对几种主动的攻击模型都是具有安全性的，同时提供各种安全性的服务。关键词：无线传输层安全性，握手协议，主动攻击，椭圆曲线密码一、 介绍近来，由于无线英特网的快速增长，新的顾客和服务已经形成了。这意味着移动通讯系统和客户移动设备能够进入网络。为了使操作员和产品能满足进步的服务，区别和快速/灵活的服务标准的挑战。WAP论坛定义了一套传输层（WDP），安全层（WTLS），处理层（WTP），会话层（WSP）,和应用层（WAE）协议。安全层协议在WAP结构中称为无线安全传输层，WTLS。WTLS主要的目标是提供两个通讯实体之间的保密，数据完善，认

3、证和密钥协商等。WTLS在功能上类似与TLS1.0，并融合了一些新的特征，如数据包的支持，优化的握手和动态的密钥更新。该WTLS协议适合于相对较长延迟的低带宽网络，并且有四个协议组成：握手协议，预警协议，更改密码规范协议和记录协议。WTLS握手协议是用于商议WAP体系中WTLS层安全会话的属性。 但是，目前的WTLS握手协议在主动攻击模式中有几种安全的问题，例如积极的模仿，密钥折衷的模仿，前向保密，已知密钥被动攻击，已知密钥模仿攻击等。在本文中，我们分析握手协议的性能和对抗几种攻击模式的安全性。我们也提出了一个新的握手协议，它对抗几种主动攻击模式十分安全，并且能提供各种安全服务。本文剩下部分将

4、作如下组织：在第2节，我们列出了现有的WTLS握手协议和分析对若干主动攻击模式的安全功能。在第3节，我们介绍了推荐的WTLS握手协议（该协议对若干主动攻击模型具有安全性）并分析安全的特征和与其它现有的WTLS握手协议的服务的比较。在第4节给出结论。二、 现有的WTLS握手协议 WTLS握手协议产生密码系统参数，用于安全会话和WTLS的记录层顶部的操作。当一个WTLS客户端和服务器第一次启动通讯时，他们协商在一个协议版本，选择加密算法，彼此验证，并使用公开密钥加密技术来生成一个共享的秘密。WTLS握手协议包括以下步骤：交换Hello消息商定算法，交换随机值。交换必要的加密参数，以便客户端和服务器

5、商定一项预主秘密。交换证书和加密信息，以允许客户端和服务器认证彼此。从前一个主秘密和交换的随机值中生成一个主秘密。提供安全参数给记录层。计算了相同的安全参数，允许客户端和服务器来验证他们的同伴，没有被任何攻击篡改时握手发生。二（一）、参数 现有的WTLS握手协议中，系统的参数定义如下： V：WTLS的版本 E：终端实体（EE） SID：安全会话的ID ：实体E支持的信息，如密钥交换诉讼，密码诉讼，压缩方法，新的密钥等。 ：前主秘密 ：主秘密 ：单向散列函数 ：实体E的私人密钥 ：实体E的公共密钥 ：实体E的身份证明 ：实体E产生的随机数 ：使用密钥K对称加密（解密） ：和的串联 ：椭圆曲线发生

6、器二（二）、现有协议的操作 在握手协议中所有安全相关的参数都被协商。这些参数包括属性如使用的协议版本，使用的加密算法，用于认证的信息和公共密钥技术来生成一个共享的秘密。 握手始于一个Hello消息。客户端发送一个ClientHello消息发送到服务器。服务器必须用SeverHello消息来响应消息。在这两个Hello消息后，通信双方同意会话能力。发送Hello消息之后，如果实体需要被验证，服务器必须发送它的身份通行证。此外，如果被需要或服务器可能会要求客户端身份验证，如果这些适合密钥交换程序，一个服务器密钥交换信息也可以被发送。接下来，服务器发送一个服务器问候结束消息，表明握手的Hello消息

7、阶段完成。然后，服务器等待客户端的响应。如果服务器发送了一个身份验证请求消息，客户端必须发出一个身份验证信息。如果客户端的身份验证信息没有包含密钥交换的足够的数据或者根本就没有发送，一个客户端密钥交换消息被发送。信息的内容依赖于客户端问候信息和服务器问候信息之间的公共密钥算法的选择。在这之后，预主秘密被设置。如果客户端使用签署能力进行身份验，发送一个验证信息去通过数字的签名明确地证明身份。在这一点上，客户端发送一个ChangeCipherSpec消息，并且客户端复制待加密说明到当前的写入加密说明。随即，客户端在新算法、密钥和秘密下发送一个完成信息。当服务器收到ChangeCipherSpec消

8、息，服务器也复制待加密说明到当前的读加密说明。作为回应，服务器也发送自己的ChangeCipherSpec信息，设置它的当前的些加密说明到到待加密说明，并且在新的加密说明下发送它自己的完成信息。在这一点上，握手已经完成，客户端和服务器可能会开始交换应用层数据。图1表明使用一个基于Ec的DH密钥交换和EC-DSA的完整握手协议的消息流。 图1 现有的WTLS握手协议二（三）、e -握手的安全性分析（1） 主动攻击模型在这一小节中，我们分析现有的WTLS握手协议的安全性。在本文中在所考虑的协议的安全性目标是主动模仿（AI），前向保密（FS），密钥危害模仿（KCI），已知密钥安全性，它们的定义如下：

9、主动模仿（AI）：一个带有实体U的敌人进入了会话层，假冒另一个实体V并计算U和V之间的会话密钥。前向保密（FS）：即使一个或多个实体的长期的私人密钥被危害时，通过一个忠实的实体建立的先前的会话密钥的保密也不会受影响时，该协议用于提供前向保密。有事在一个单独的私人密钥被危害时（半前向保密）的情景和两个实体的私人密钥都被危害时（全前向保密）的情景之间存在差别。密钥危害模仿（KCI）：假设实体U的长期的私人密钥被锁定。显然对手知道这个值并模仿实体U，因为正是这个值标识了实体U。但是，在某些情况如损失并不能使对手模仿其他实体到U，这一点可能是可取的。然后密钥协议援助提供一个密钥危害模仿的应变能力。已知

10、密钥安全（KKS）：尽管在一个对手已了解其它的一些会话密钥时，这个协议应该也能达到它的目的。下面有两种已知密钥的攻击。- 已知密钥被动攻击：一个对手获得了先前使用过的密钥，然后用这些信息去决定一个新的密钥。- 已知密钥模拟攻击：一个对手进入了会话，将自己冒充为一个有先前会话密钥的有效的实体V，并初始密钥标记，最终计算实体U和实体V之间的会话密钥。（2） 安全性分析对抗AI：当对手试图去冒充为EE去要求产生主秘密时，他（她）不只是确认彼此的身份确认信息，而且他（她）不知道EE的私人密钥。对抗FS：一个对手A知道客户或者服务器的私人密钥进入了会话，并用客户或者服务器的私人密钥计算主秘密，公共密钥和

11、随机数如下：1） 一个对手A用危害的私人密钥和的公共密钥，计算先前的主秘密。2） 一个对手A用先前的主秘密和随机数来计算主秘密。对抗KCI: 一个对手A知道客户C的私人密钥进入会话，并且将自己冒充为服务器S，然后和客户计算主秘密如下：1） 一个对手A在收到客户C的后，发送随机数给客户C。2） 一个对手A计算先前的主秘密和主秘密。对抗KKS：有先前主秘密和传输信息的对手A进入会话并冒充自己为有效的EE，然后用先前主秘密，传输信息和公共信息计算主秘密。1） 一个对手A知道以前的先前秘密有一个长期的密钥组成。2） 一个对手A用一个先前的主秘密和一个随机数计算主秘密。三、 推荐的WTLS握手协议三（一

12、）、参数 在推荐的WTLS握手协议中用到的系统参数的定义如下：权威证明的私人密钥：权威证明的公共密钥：EE的长期的私人密钥：EE的长期的公共密钥：EE的临时的私人密钥：EE的临时的公共密钥：中间的杂乱值：EE的说明信息：G的顺序剩下的与二（一）节中的相同。三（二）、问题说明图2 问题说明过程一个末尾实体有一个长期的密钥对，此处。EE还有一个被CA在公共密钥中发布的证明书。让变成CA的密钥对，此处的。在公共密钥中的证明书是CA的修改自己的证明书签名，证明书签名是在一些CA准备的证明信息中，它包含序列号，长期公共密钥，签字者的身份，发行者的身份，有效的期限，延伸部分等。为了发行，CA选择，并计算和

13、。它的有效性通过下式证明EE保持一个长期的密钥和说明信息。三（三）、推荐协议的操作推荐的WTLS协议由一下算法组成。密钥的产生：一个末端实体通过用一个长期的密钥对和一个证明书来计算一个临时的密钥对。1） 服务器密钥产生：2） 客户密钥产生：签名：使用临时的签名密钥，在信息和证明书基础上，EE计算一个修改的SCSI。3） 服务器签名- 选择一个随机值并计算。 - 准备一个相关的信息- 计算一个签名。4） 客户签名- 选择一个随机值并计算。 - 准备一个相关的信息 - 计算一个签名。 证明：检验这检查的有效性如下：5） 服务器证明- 计算客户的临时公共密钥。 - 用下列步骤证实签名。 6） 客户证

14、明- 计算客户的临时公共密钥。 - 用下列步骤证实签名。 推荐的WTLS握手协议的过程如下： 客户和服务器发送一个问候信息，包括一个先前计算的随机值，版本V，会话ID SID和其它安全协商要求的信息。 服务器用密钥产生（1）计算一个临时密钥对. 服务器用签名（3）产生一个签名并发送到客户。 客户计算服务器的临时公共密钥并用证明（6）证明服务器的签名。 客户计算先前的秘密和主秘密。 客户用密钥产生（2）计算临时的密钥对。 客户能够签名（4）生成一个签名并将C发送到服务器。 客户计算先前的主秘密和主秘密。 服务器解码C并用证明（5）证实客户签名。 这时，客户和服务器发送ChangeCipherSp

15、ec和一个完成信息给彼此。握手完成，交换应用层数据开始。三（四）、分析（1） 安全性分析 对抗AI：当一个对手试图去冒充自己为一个有效的实体去同客户和服务器建立主秘密，他（她）不能产生一个有效的数字签名， 因此他（她）不知道秘密信息和CA的私人密钥和随机值。对抗FS：在推荐的算法中，即使两个实体的私人密钥被破坏，先前的主秘密将被保护，因此对手不知道客户和服务器之间的随机值。推荐的协议能够提供全部的前向保密。 对抗KCI：即使对手获得一个实体的长期私人密钥，他（她）不能计算主秘密，因为他（她）不知道秘密证明信息。因此，即使对手知道实体的长期私人密钥，他（她）也不能冒充为一个有效的实体。 对抗KK

16、S：在推荐的协议中，由于两个实体的随机值包含在先前的主秘密中，即使对手获得先前的主秘密和传输信息，他（她）也不能从计算当前主秘密的信息中得到任何好处。因此，所推荐的协议对于KKP和KKI攻击是非常安全的。 现有协议的安全性分析结果及推荐协议的总结如下表。 表1 安全性分析结果主动攻击模型现有的协议推荐的协议AI安全安全FS不提供提供全部FSKCI不安全安全KKP不安全安全KkI不安全安全（2）性质在本小节中，我们分析推荐协议的性质。推荐的协议能提供共同的实体认证，一个单向密钥信息，一个共同的密钥更新，用户匿名等。表2是现有协议和推荐协议比较的总结。表2 现有协议和推荐协议的比较性质现有协议推荐

17、协议n-通道54实体认证单向共同密钥证实不提供单向隐式密钥证实共同共同显式密钥证实不提供单向密钥更新共同共同用户匿名不提供提供四、总结我们考虑WTLS握手协议的性质及安全性和建立主秘密的过程。在本文中，我们分析了现有的WTLS握手协议的安全性和推荐的协议在几种主动攻击模型（如主动冒充，密钥损害冒充，前向保密，已知密钥主动攻击，已知密钥模仿攻击）中的安全性。推荐的WTLS握手协议对前面提到的几种主动攻击模式具有安全性，并且提供各种安全性服务。推荐的协议执行容易，并且提供具有本文所分析的几种额外的安全特征。此外，它可以用在无线互联网通信。参考文献1 A. Freier, P. Karlton, P

18、. Kocher ,3.0版本SSL协议，IETF互联网草案，1996年。2 T. Dierks, C. Allen, 1.0版本TLS协议，IETF RFC 2246，1999年。3 WAP论坛，无线应用协议无线传输层安全规范版本18 FEB-2000，2000年。4 Dong Jin Kwak, Jae Cheol Ha, Hoon Jae Lee Hwan Koo Kim, Sang Jae Moon, “具有用户匿名性和前向保密的WTLS握手协议”，CIC2002LNCS2524，2003年，219-230页。5 Y. Zheng, 一个移动计算的身份验证和安全协议，电机工程IFIP，1996年， 249-257页。6 Soohyun Oh, Jin Kwak, Seun