摘要：為解決SSL協(xié)議在實際應(yīng)用中存在的諸如加密密鑰可能會被破解，更改密鑰規(guī)范消息可能被攔截丟棄，不能抗抵賴等問題，引入Kerberos機制，隱藏重要參數(shù)，提出基于SSL的 “雙密鑰機制”認證密鑰協(xié)商協(xié)議，并對其進行系統(tǒng)的安全性分析。

關(guān)鍵詞：SSL協(xié)議；Kerberos機制；身份認證；密鑰協(xié)商

中圖分類號：TN918.1 文獻標識碼：A 文章編號：1007-9599 （2012） 21-0000-02

1 引言

SSL協(xié)議是如今已經(jīng)廣泛應(yīng)用于Internet的網(wǎng)絡(luò)安全方案，它以多種密碼技術(shù)為基礎(chǔ)，實現(xiàn)用戶身份鑒別、數(shù)據(jù)加密傳輸、數(shù)據(jù)完整性校驗等安全功能。正是由于SSL協(xié)議的重要性，在應(yīng)用過程中存在的漏洞可能會被別有用心的攻擊者利用，所以很有必要對SSL協(xié)議存在的不足進行分析并彌補。目前已有使用形式化分析方法如BAN邏輯、Kailar邏輯等分析SSL協(xié)議的文章[1]，本文從加密密鑰攻擊，中間人攻擊，不能抗抵賴等方面詳細分析SSL協(xié)議，提出改進方案，設(shè)計基于SSL的“雙密鑰機制”認證密鑰協(xié)商協(xié)議，彌補SSL協(xié)議的不足，提高其在實際工程應(yīng)用中的網(wǎng)絡(luò)安全性。

2 SSL協(xié)議漏洞

SSL協(xié)議處于TCP協(xié)議和上層應(yīng)用協(xié)議之間，屬于傳輸層安全機制。從結(jié)構(gòu)上分為兩層，底層為記錄層協(xié)議，高層則由握手協(xié)議、密碼規(guī)范變更協(xié)議、報警協(xié)議、應(yīng)用數(shù)據(jù)協(xié)議4個并列協(xié)議構(gòu)成。連接分為握手和數(shù)據(jù)傳輸兩個階段。握手階段對服務(wù)器進行認證并協(xié)商加密密鑰。密碼規(guī)范變更協(xié)議指示發(fā)送端已切換至新協(xié)商好的密鑰套件，之后發(fā)送的消息將使用那些密鑰保護。報警協(xié)議為客戶端與服務(wù)器間傳遞SSL的相關(guān)警告。

2.1 攻擊加密密鑰

在標準的SSL協(xié)議中，用于加密數(shù)據(jù)的會話密鑰和MAC密鑰都由預主密鑰、客戶端隨機數(shù)、服務(wù)器端隨機數(shù)三部分計算產(chǎn)生。雙方隨機數(shù)明文發(fā)送，預主密鑰受服務(wù)器公鑰保護，協(xié)議的安全性完全依賴于預主密鑰。在服務(wù)器端公私鑰均安全的情況下，還存在繞過主密鑰和密鑰塊的生成，直接對密鑰塊的相關(guān)字節(jié)進行窮舉的攻擊。以SSL_RSA_EXPORT_WITH_RC4_40_MD5算法組為例，加密密鑰是由密鑰塊中的5字節(jié)密鑰和兩個32字節(jié)隨機數(shù)經(jīng)MD5算法壓縮產(chǎn)生。其中只有密鑰塊的5字節(jié)密鑰未知，攻擊者可以直接對5字節(jié)密鑰進行窮舉，計算加密密鑰，利用Finished前4個字節(jié)判斷密鑰正確與否，窮盡量小于240，是可以實現(xiàn)的。

2.2 中間人攻擊

實體在接收到更改密鑰規(guī)范消息之前，發(fā)送的消息不進行加密或消息認證，接收到更改密鑰規(guī)范消息之后，將當前的密鑰套件替換為商定的密鑰套件，此后記錄層可以加密保護傳輸數(shù)據(jù)。然而，由于更改密鑰規(guī)范消息未被保護，可能存在如下攻擊。若密鑰套件中只包含消息認證密鑰而沒有加密密鑰。攻擊者可以攔截并丟棄客戶端的更改密鑰規(guī)范消息，這樣服務(wù)器不會更新密鑰套件，記錄層也不會進行加密或消息認證。余下協(xié)議繼續(xù)進行，攻擊者可以從客戶端的Finished和會話數(shù)據(jù)中剝除記錄層的消息認證字段，篡改會話數(shù)據(jù)，而接收端期望接收到的正是沒有加密和消息認證字段的數(shù)據(jù)，故攻擊不會被發(fā)現(xiàn)。

2.3 不能提供不可否認性

SSL 協(xié)議不能提供通信雙方的不可否認性。對于電子商務(wù)、網(wǎng)銀充值轉(zhuǎn)帳、電力系統(tǒng)遠程充電拉閘等應(yīng)用來說，使用SSL可保證信息的真實性、完整性和保密性。但由于SSL 不對應(yīng)用層的消息進行數(shù)字簽名[2]，因此不能提供交易的不可否認性，這是SSL 在實際應(yīng)用中用的最大不足。

3 安全性增強機制

3.1 引入kerberos機制

本協(xié)議中引入Kerberos機制的思想，利用KDC密鑰分發(fā)中心為客戶端發(fā)放票據(jù)并分發(fā)對稱密鑰，之后使用該對稱密鑰來保護握手過程。

認證服務(wù)交換階段：完成客戶向KDC請求與TGS通信時使用的票據(jù)TGT，以及會話密鑰的過程；授權(quán)服務(wù)交換階段是客戶向TGS請求與最終應(yīng)用服務(wù)器進行通信所需要的票據(jù)和會話密鑰的過程；經(jīng)過客戶/應(yīng)用服務(wù)器交換階段后，客戶獲得與應(yīng)用服務(wù)器進行通信所需要的票據(jù)和會話密鑰。整個協(xié)議交換過程結(jié)束，客戶端和服務(wù)器之間共享加密密鑰Ⅰ，之后就用加密密鑰Ⅰ保護雙方的握手流程，協(xié)商加密密鑰Ⅱ。

3.2 隱藏重要參數(shù)

協(xié)議使用服務(wù)器公鑰加密預主密鑰，對稱密鑰Ⅰ加密n1，并對n2采取異或方式進行隱藏。客戶端生成隨機數(shù)n1后使用對稱密鑰Ⅰ加密發(fā)送給服務(wù)器，服務(wù)器解密得到n1，并生成隨機數(shù)n2，將n1與n2異或的結(jié)果返給客戶端，客戶端利用本地存儲的n1解出n2，至此n1與n2交換成功。隨機數(shù)密文發(fā)送在很大程度上保護了主密鑰、密鑰塊及加密密鑰的安全，即使攻擊者攻破預主密鑰，在得不到隨機數(shù)的情況下也算不出主密鑰，即使攻破主密鑰，也須要同時攻破n1，n2才能得到密鑰塊，即使破解密鑰塊，也要在得到隨機數(shù)的情況下才能獲得加密密鑰，這就相當于賦予加密密鑰三層防護，較SSL協(xié)議的安全性更進了一步。

3.3 改進Finished計算

對Finished值的計算方法進行改進，將Change Cipher Spec字段包含進Finished值的計算，計算過程為md5_hash：MD5（master_secret + pad2 + MD5（handshake_messages + Change cipher spec messages + Sender + master_secret + pad1））。將Change cipher spec消息包含進Finished的計算后，若發(fā)生“丟棄更改密鑰規(guī)范消息”攻擊，雙方計算出的Finished消息將會不同，這時該攻擊就會被發(fā)現(xiàn)，客戶端與服務(wù)器端重新開始握手。

3.4 增加簽名協(xié)議

數(shù)字簽名算法復雜，運算時間長，如果對每個消息都要進行簽名計算與驗證的話，將會大大影響協(xié)議的效率。而且在真正應(yīng)用時一般只對重要的操作簽名驗簽，因此考慮在獨立于SSL握手協(xié)議、記錄協(xié)議的情況下增加SSL簽名協(xié)議。SSL簽名協(xié)議如文獻[3]所述，用于處理需要進行數(shù)字簽名的數(shù)據(jù)的信息傳遞、簽名與驗簽。SSL簽名協(xié)議在握手完成后傳遞應(yīng)用數(shù)據(jù)時開始使用，彌補了SSL在對應(yīng)用數(shù)據(jù)進行數(shù)字簽名能力方面的不足，同時通過數(shù)字簽名的校驗也可以提高身份認證的能力。

4 基于SSL的“雙密鑰機制”認證密鑰協(xié)商協(xié)議描述

客戶端首先向KDC密鑰分發(fā)中心申請與服務(wù)器通信的票據(jù)及其與服務(wù)器的共享對稱密鑰，申請成功后向服務(wù)器出示票據(jù)，服務(wù)器應(yīng)答，若成功，則第一次身份認證通過，雙方開始握手流程?？蛻舳讼蚍?wù)器發(fā)送經(jīng)共享密鑰加密后的客戶端隨機數(shù)n1，服務(wù)器解密得到n1后將n1與n2異或后返回，其它密鑰交換流程同SSL協(xié)議，但本協(xié)議Finished值的計算包含了change cipher spec，具體流程如圖2所示：

客戶端向KDC密鑰分發(fā)中心申請票據(jù)及加密密鑰的過程無須在每次通話都進行，只需初始通信時申請一次，之后設(shè)定時間節(jié)點，當距離上次通信時間大于此節(jié)點時，重新申請，否則直接利用之前分發(fā)的密鑰保護參數(shù)即可。

5 結(jié)論

隨著SSL協(xié)議的應(yīng)用越來越廣泛，人們對其安全性[4]的要求也越來越高。本文分析了SSL協(xié)議在實際應(yīng)用時可能遭受的攻擊，描述了完整的攻擊思路，在此基礎(chǔ)上設(shè)計了一套基于雙密鑰機制的認證密鑰協(xié)商協(xié)議。在標準SSL協(xié)議的基礎(chǔ)上引入Kerberos機制事先分發(fā)對稱密鑰，使客戶端和服務(wù)器動態(tài)共享對稱密鑰；對雙方隨機數(shù)采用異或等方式隱藏；將更改密鑰規(guī)范消息包含進Finished消息的計算。經(jīng)安全性分析，協(xié)議彌補了SSL在前述所受攻擊方面的漏洞。本協(xié)議在保證信息的真實性、完整性和保密性的基礎(chǔ)上，引入SSL簽名協(xié)議為應(yīng)用數(shù)據(jù)提供了不可否認性。

參考文獻：

[1]David Wagner， Bruce Schneier， \"Analysis of the SSL 3.0 protocol\"， USENIX Workshop on Electronic Commerce， ACM.

[2]Yvo Desmedt Dr. Fiat–Shamir identification protocol and the Feige–Fiat–Shamir signature scheme[M]. Encyclopedia of Cryptography and Security. Springer， 2011：457-458.

[3]張峰嶺.SSL數(shù)字簽名協(xié)議[J].計算機工程，2003，29（7）：37-40.

[4]Jonathan Katz，Philip MacKenzie， Gelareh Taban，Virgil Gligor. two-server password-only authenticated key exchange[J].Journal of Computer and System Sciences， March 2012， 78（2）： 651-669.

[作者簡介]

郜盼盼（1989-），女，北京郵電大學，碩士，研究方向為無線傳感器網(wǎng)絡(luò)的安全機制等；賈慶軒（1964-），男，教授，北京郵電大學，博導。

基金項目：國家973項目（2012cb72440）資助課題；國家自然科學基金（61170268）資助項目。