一个应对主动攻击的WTLS握手协议

1、一个应对主动攻击的wtls握手协议一个丿应对主动攻击的wtls握手协议摘要：作为-个wap的安全协议的wtls使得tls适合于无线坏境屮1。tls是一种 为了 tcp安全用丁无线互联网的协议。而且wtls得忖的是为了捉供安全和冇效的服务。 wtls协议包括四个协议,如握手协议,changecipherspec, alert,应用数据。在本文 中，我们分析性能的握手协议的性能并建立详细掌握的建立主秘密的程序。然后，我们在 以他们为基础分析了安全应对服务器攻击的模式。此外，我们捉出了一种新的握手协议， 它是几种避免主动攻击的模式，并可以提供各种安全服务。关键词：wtls ,握手协议，主动攻击，椭岡

2、曲线密码体制1. 介绍最近，的客户和服务在不断发展由于快速增长的无线互联网市场。这童味着移动通信系 统和客户端的移动设备现在可以接入因特网。为了使运营商和制造商以更先进的服务应付 未來的挑战，多样和快速/灵活的服务创建的wap论坛泄义了一整套的协议在传输(wap), 安全(wtls),交换(wtp),会议(wsp),应用(wsp)层。在wap架构中安全层协议被称为 无线传输层安全，wtls。wtls的主要fl标是提供隐私，数据的完整性，身份验证和在实体 之间的密钥沟通。wtls提供的功能类似于10并整合了新的功能，如数据支持，握手协议 优化和动态密钥刷新。wtls协议用于相对较长的潜伏期的低带

3、宽承载网，由四个协议组 成：握手协议，预警协议，更改密码规格协议，记录协议。wtls握手协议被用于在wap wtls层结构3的安全属性的商定。然而，现冇的wtls握手协议冇严重的安全问题，在主动攻击模式中，如积极模仿，关 键损害模拟，转发安全，称为关键被动攻击，已知的主要模仿攻击等等。在本文中，我们 分析握手协议的性能和反対几种攻击模式安全。此外，我们捉出了一种新的握手协议模式 而口可以提供各种安全服务。其余本文安排如下。第2节中，我们概述了现有的町ls握手协议，分析了阻止一些积 极的攻击模式的安全功能。第3节中，我们介绍了拟提出的wtls握手协议的它保护使其 免一些活动攻击模型，月与现有的w

4、tls握手协议相比较。结论是在第4节提出。2. 现有的wtls握手协议wtls握手协议为一个安全会议产生加密参数并运作在wtls记录层顶部。当一个wtls客 户端和服务器第一次启动通信时，双方同意在一个协议版本中，选择加密算法，验证对 方，并使用公共密钥加密技术，以创造一个共同的密钥。wtls握手协议的涉及以下步骤为达成一致算法交换你好信息，交换随机值。交换必要的加密参数，使客户端和服务器同意得到一个预先掌握的秘密。交换证书和 加密信息，使客户端和服务器以验证它们it己。从已了解的秘密和交换的随机值生成一个主秘密。为记录层提供安全参数。允许客户端和服务器以证实他们的同行已经计算出了相同的安全参

5、数月没有被一个握手 攻击发生篡改。2. 1参数定义的系统参数用于现有的wtls握手协议如下。v: wtls版本e:尾部实体(ee)sid： 一个安全会议的idsecnege |±|实体e的信息支持，如密钥交换程序，密码程序，比较方法，密钥更新等。kp:已精通的秘密km：精通秘密h()：单向散列函数xe：实体e的私钥pe：实体e的公钥certe：实体e的证书re：实体e产生的随机数ek (dk):使用密钥k均衡编码(解码)x| |y:x和y的相关实体g：椭圆曲线的发生器2. 2现有协议的运算所有安全相关的参数在握手协议期间同意。这些参数包括属性，如使用协议的版木，使 用加密算法，论证的

6、使用和以产半一个共有的秘密的公共密钥技术的信息。握手开始于一个hello消息。客户端发送一个clientllello邮件给服务器。服务器必须 响应信息以serverhello信息。在这两个您好讯息，沟通双方同意会议的能力。下面的 hello消息,如果需要验证,服务器发送它的的证书。此外，serverkeyexchange信息 可能也会被发送，如果需耍或服务器可以从客户端请求一个证书，如果那适合密钥交换程 序选择。接f来，服务器发送serverhellodone消息，这表明您好消息阶段的握手已完 成。然后，服务器等待客户端的响应。如果服务器己发送了一个certificaterequest信 息，

7、客户端必须发送一个证书信息。一个客户密钥交换邮件被发送，如果客户端证书为密 钥交换没有包含足够的数据，或者如果它是完全发送。信息内容将取决于公钥算法，在一 个clientllello和一个serverllello之间选择。此消息后，预先掌握秘密被设置。如果 客户端为了证明以一个签名能力而使用证书，一个证书验证邮件被发送为了通过一个数字 签名核实其证书。在这一点上，客户端发送一个changecipherspec邮件，冃客户端复制 待加密的密码说明到li前的收件密码规格。紧接着，客户端根据新的算法，密钥和秘密发 送一个完成的消息。当服务器收到一个changecipher规格的信息时，它也复制待加密

8、说 明到目前的阅读密码规格。对此，该服务器也发送它自己的changecipherspec消息,设 置它li前套写密码规格到待加密说明，并以新密码观则发送自己的成品信息。在这一点 上，握手已经完成，客户端和服务器可能开始交换应用层的数据4。图.1显示了信息流 动，其中使用一个基于ec的dh密钥交换和ec-dsa为一个完全握手协议。client cserver sseiverhelloj certificate c ernf:c3terequest senerhellodone2叽 &|&)clieathellor“sidgn磚cert p5 = xcpxcert e certif

9、icater =疔(eg)j = (h(handshake ) xe - r) mod qc ertific a revenfy*changec ipherspec i finishedapplication datau = hhmxdzhake )r? = (u -g-rspc)changecipherspec"finishedapplication data积极假冒（ai）:对手进入会议提供了有效的实体u,并假冒另一个实体v和最后计算 一个会议密钥在u和vz间。前向保密率（fs）:当上届会议的密钥由诚实实体所确立没有受到影响，即使一个或 更多的实体的长期私钥被损害，协议说提供前向

10、密码。一个区分时有时在场景z间造成 的，其中一个单一实体的私钥受到损害（半前向保密）h两个实体z间私钥的场景被损害 （完全前向保密）关键折衷模拟（kci）:假设实体的长期私人钥匙被披露。显然敌人知道这个值现在可 以假冒u,因为定义u的值是精确的。但是，它可能在某些环境中被描叙，这一损失无法 确保对手模拟其他实体uo然后密钥协商协议帮助提供一个关键妥协模拟复原。已知的主要安全（kks）: 一份协议也将完成它的口标，尽管有一个对手学会其他一些 会话密钥。有两种已知的密钥攻击。-己知的关键无源（kkp）攻击：一个对手获得一些当前使用的密钥然后使用此信息來 确定新的会话密钥。-一已知的关键假冒（kki

11、 ）攻击：对手进入了会议并假冒他（/她）作为一个冇效的 实体v通过上届会议密钥和上届密钥令牌，然后最后在u和v之间计算会话密钥。2. 3. 2安全性分析反ai：当一个对手试图假冒作为ee为了请求生成主秘密，他（她）不仅可以验证验证 对方信息，而月.他（她）不知道ee e的私钥。反fs： 一个知道客服端和服务器的私钥xe（l/2）进入会议并计算一个主秘密以客服或服 务器的密钥，公钥和随机数xe （1/2）进入会议和通过客服端或（和）服务器的私钥，公 钥和随机数re （1/2）如下：1） 一个对手a计算前主秘密kp二xe1pe2以损害的私钥xel和e2的公钥。2） 一个对手a计算主密钥km=h （

12、kp|rel|re2）以前主秘密和随机数re （1/2）。攻 击kci： 一个了解客服c的私钥xc的对手a进入会议且扮演口己为服务器s然后用客服c 计算主秘密，如下：1） 一个ra对手a当他（她）从客服c接收rc后，发送一个随机数到客服c。2） 个对手a计算一个前主秘密和一个主秘密。kp=xcps, km=h (kp|rc|ra)攻击kks： 一个拥有前预先掌握和传递信息的密钥的对手a进入会议且冒充自己作为合 法有效ee然后计算曲先前的前主密钥、传播信息和公共信息计算一个主密钥。1) 一个对手a知道当前的前主密钥由一个长期密钥组成。2) 一个对手a通过前主密钥和一个随机数计算主密钥。km二h

13、(kp|re1|re2)3. 拟提议的wtls握手协议3. 1参数用丁拟提出的wtls握手协议的系统参数的定义如下：xca：认证机构的私钥pca：认证机构的公钥xee： ee的长期私钥xe： ee的临时私钥pe： ee的临时公钥ue： g 的次序,|n| = |h(.)|具余的与2.1节相同。3. 2发行证书end entity ecertification authority calong-term key pan (xf<. pef)(-j,匕)e" =xf.fip厂饥g =(s)讥心)耳=和力(cze ii ) + ku mod n归g-压乙=(兀,”)= 0心'

14、？=心) kcx : a ramdom alue selected by ca t z (p = (x, y) = xcit;: sen?.l mimber. p?f . signer:dennty. issuer* identic. penod of vakdin e:ecs:on. e:.图2发行证书的步骤一个最终实体有一个长期密钥对(xee, pee)，其屮pee=xeeg.ee在公钥pee上也有一 个证书corte,有ca发行。让(xca, pca)作为一个ca的密钥对，其中pca二xcag。在公 钥pee上的证书certe=(违 ,se)是ca'修改自己证书签名(scs)在一

15、些证明信息 cie由ca准备，其屮包括序列号，长期公钥，签名人的身份，发行考的身份，有效期扩 展,等7。为了发行certe ca选择kca和计算r (, e=kcag)re ( kcag), re (re)和 se。se| xca. h(cie| |re) kcamod n它的有效性iii下面的步骤证明。ue h(cie|re)seg uepca (xt,yt) rexs xes ss,ps pes pca us rsus h(cis|rs)ee被保持秘密的长期密钥xee和一个证书信息seo3.3拟提出协议的运算拟提出的wtls握手协议由下而算了组成。密钥生成：一个完全实体通过使用一个长期密钥

16、对(xee, pee)和一个证书certe计算 一个暂时的密钥对(xe, pe),如下：(1) 服务密钥生成xs xes ss,ps pes pca us rs(其中)(2) 客服密钥生成xc xec sc, pc pec pca uc rc (其中 us h(cis| |rc')签名：使用暂时签名密钥xe, ee在消息(哈希值)和址明certe计算一个修改的scs 如下：(3) 服务器签名选择一个随机值ks和计算ts' ots ksg, ts (ts)准备一系列消息。cis | | rs'| |ts'计算一个签名ss xs h(cis|irs'l|ts

17、') ksmod n(4) 客服签名选择一个随机值并估算tc'tc kcg, tc' (tc)准备一系列消息。h= (handshake) , h|cis|rs' i|ts'计算一个签名sc xc h(il| |cic| |rc'| |tc') kc'证明：一个证实者证明(te| |se),cie, re的有效性如下。(5) 服务器证明计算一个客服暂时公钥pc pec pca uc rc川下面步骤核实签名。uec h(h|cic|rc'|tc')scg uecpc tc (xtc, ytc)tc' ? (t

18、c)拟提出的wtls握手协议程序如下。客服端和服务器发送一个hollo信息包括一个预计算随机值r (c/s) g,版本v,会议 id sid,和其他必耍的信息为一个安全协商secneg (c/s)。服务器计算一个暂时密钥対 (xs, ps)使用密钥生成(1)。'服务器用签名(3)式产生一个签名并发送(te|se),cts|re到服务器。客服端计算一个服务器的暂时公钥ps并用(6)式证明服务器签名客服端计算一个前 主秘密和主秘密。kp rcrsg, km h(kp|rcps)client cchenthello；r.g sid. secneg cpx = p-十rx s十心 *(爼 ll

19、'|ir，)syg-%出=(xzi,jrx) = 7；7；心)kp = r.r.gcertificatevehnn% = % + sftc=ieg = (xrc,yfc)tc =才(a)h = h handshake )sc = & h(h | czc | rclf 7')+ mod n c = £xj(1 5e)|c7e ii qchaazecipherspecfinishedapphcariondata' -ke : a ramdom value selected by ead ercry, x (p = (x. y) = xsen-e*he：lo

20、xs =+ ssp$ = p" + py " + q 兀=(兀八儿) 兀(兀) s$ 为(cz$ |fj 厶)+ 屁mod” cmrh 五二 3馆 _cenificatereouestsen-erheliodone kp = rersg = iixag) 2卫=(昆ii se)| cic ii g 艮=+pca we十 h = h (handshake ) %*(e|c7jio scg-ugpc =(礼，儿)=tc ：?=讥) "*c hangec ipherspecfinished applicanondara*图3拟提出的wtls握于协议客服端通过使用密钥产生

21、式（2）计算一个暂时密钥对（xc, pc）。客服端使川签名式（4）产生一个签名并发生c到服务器。c ekm（tc， |sc）|cic|rc客服端计算一个预主秘密和主秘密。kp rcrsg, km h（kp|ixsrcg）服务器翻译c证实客服的签名用证明式（5） o在这点上，一个changecipherspec和一个窕成的消息被发送通过客服端和服务器彼此 发送。握手然后成而且应用层数据的交换能够开始。3. 4分析3. 4. 1安全分析对ai：当一个对手尝试扮演一个实体而和客服端和服务器建立一个主密钥时，由于他 （她）不知道一个密钥信息和ca的私钥和随机值kca,他（她）将不能产生一个有效的数字

22、sc,sso对fs：在拟提出的协议中，预主密钥将被保护，即使两个实体的私钥被允许，因为一个 对手不知道客服端和服务器之间的随机值re。因此拟捉出的协议能够捉供一个完全前向密钥。对kci：即使一个对手获得一个实体的长期密钥，他（她）不能计算主密钥，因为他 （她）不知道密钥证明信息se。因此，一个对手不能假扮一个有效实体，尽管他（她）知道实 体的长期密钥。对kks：在拟提岀的协议中，因为两个实体的随机值re被包括在前主秘密屮，即使一个 对手获得预前主秘密和传输信息，他（她）不能从信息屮为了计算前主秘密得到任何好 处。因此，拟提出的协议时安全的对于kkp攻击和kki攻击。已存在的协议和拟提出的协议的安全分析的结构总结在下表1中。表1.安全分析结构active attack modelexisting protocolproposed protocolaisecuresecurefsdon't provideprovide full fskcinot securesecurekkpnot securesecurekkinot securesecure3. 4. 2性质在这一小部分中，我们分析拟提出协议的性能。拟提出的协议能够提供一个相互的实体 授权，一个单行道的