張 帆，張 聰，趙澤茂，徐明迪

(1.武漢輕工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)學(xué)院，武漢 430023； 2.麗水學(xué)院 工程與設(shè)計(jì)學(xué)院，浙江 麗水 323000；3.武漢數(shù)字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

移動(dòng)智能終端安全即時(shí)通信方法

張 帆1，張 聰1，趙澤茂2，徐明迪3*

(1.武漢輕工大學(xué) 數(shù)學(xué)與計(jì)算機(jī)學(xué)院，武漢 430023； 2.麗水學(xué)院 工程與設(shè)計(jì)學(xué)院，浙江 麗水 323000；3.武漢數(shù)字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

針對(duì)移動(dòng)智能終端即時(shí)通信安全問題，提出了一種不可信互聯(lián)網(wǎng)條件下移動(dòng)智能終端安全通信方法。該方法設(shè)計(jì)并實(shí)現(xiàn)了一種在服務(wù)器和通信信道均不可信情況下的可信密鑰協(xié)商協(xié)議。理論分析表明，所提出的密鑰協(xié)商協(xié)議可以確保通信雙方所協(xié)商會(huì)話密鑰的真實(shí)性、新鮮性和機(jī)密性等諸多安全特性。密鑰協(xié)商完成之后，基于透明加解密技術(shù)即可以確保即時(shí)通信雙方語音/視頻通信信息的機(jī)密性和完整性。真實(shí)移動(dòng)互聯(lián)網(wǎng)環(huán)境下的測(cè)試也表明該方法是高效和安全的，密鑰協(xié)商可以在1～2s完成，攻擊者無法獲取即時(shí)通信的明文信息。

移動(dòng)智能終端安全；即時(shí)通信；可信密鑰協(xié)商；協(xié)議安全

0 引言

目前，移動(dòng)智能終端已經(jīng)遠(yuǎn)超臺(tái)式設(shè)備占據(jù)了市場(chǎng)的主導(dǎo)地位，我們正快速進(jìn)入嶄新的移動(dòng)互聯(lián)網(wǎng)時(shí)代。即時(shí)語音/視頻通信(以下簡(jiǎn)稱即時(shí)通信)作為移動(dòng)互聯(lián)網(wǎng)的重要基礎(chǔ)，獲得了廣泛的應(yīng)用，如：社交APP、警用監(jiān)控、軍事偵查、娛樂購(gòu)物等各種領(lǐng)域。產(chǎn)業(yè)界對(duì)即時(shí)通信表現(xiàn)出高度的興趣，并將其視為當(dāng)前移動(dòng)互聯(lián)網(wǎng)產(chǎn)業(yè)競(jìng)爭(zhēng)的核心領(lǐng)域之一[1-2]。但是，如何保證即時(shí)通信的安全性卻仍然是一個(gè)開放課題。目前主流的即時(shí)通信軟件存在著不合理的安全假設(shè)。以占據(jù)國(guó)內(nèi)市場(chǎng)主導(dǎo)地位的微信為例，其將即時(shí)通信的安全性建立在服務(wù)器絕對(duì)可信的假設(shè)之上[3]。顯然，這個(gè)假設(shè)是不合理的，斯諾登所揭露的美國(guó)監(jiān)聽歐盟事件表明，通過技術(shù)手段入侵并控制服務(wù)器，是完全可行的。因此，必須尋求一種在服務(wù)器不可信的情況下，即時(shí)通信雙方仍能進(jìn)行安全通信的方法。

本文默認(rèn)即時(shí)通信服務(wù)器(以下簡(jiǎn)稱服務(wù)器)已被黑客完全控制，服務(wù)器和網(wǎng)絡(luò)攻擊者具有Dolev-Yao模型攻擊能力。在此基礎(chǔ)上，遵從現(xiàn)有主流即時(shí)通信軟件所采用的即時(shí)通信模型(參見圖1)，基于普通商用移動(dòng)智能終端，設(shè)計(jì)并實(shí)現(xiàn)了一種不可信互聯(lián)網(wǎng)環(huán)境下的安全即時(shí)通信方法。即本方法可以在服務(wù)器不可信以及網(wǎng)絡(luò)不可信的敵手環(huán)境下，可信地協(xié)商會(huì)話密鑰以進(jìn)行“端-端”可信通信。理論分析表明，只要密鑰能夠協(xié)商成功，則所協(xié)商的會(huì)話密鑰一定是真實(shí)、新鮮和保密的；而真實(shí)互聯(lián)網(wǎng)環(huán)境下的原型系統(tǒng)測(cè)試也表明該方法是高效和安全的。

當(dāng)前主流即時(shí)通信軟件均采用如圖1所示的即時(shí)通信模型：整個(gè)架構(gòu)采用“客戶端—服務(wù)器—客戶端”的C/S模式。服務(wù)器負(fù)責(zé)兩類工作：客戶端之間的會(huì)話密鑰協(xié)商；對(duì)不同客戶端進(jìn)行注冊(cè)、監(jiān)控和管理等。

以國(guó)內(nèi)占據(jù)市場(chǎng)絕對(duì)份額的即時(shí)通信軟件微信為例，不同微信客戶端之間的即時(shí)通信信息采用高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard, AES)加密，但AES會(huì)話密鑰是由即時(shí)通信服務(wù)器生成并用RSA加密之后發(fā)布給終端使用的[3]。顯然，如果服務(wù)器是不可信的，那么服務(wù)器所生成的AES會(huì)話密鑰、以及RSA加解密涉及的私鑰均可能泄露，從而導(dǎo)致即時(shí)通信過程敏感信息泄露。

圖1 現(xiàn)有主流即時(shí)通信軟件的通信模型

為此，設(shè)計(jì)并實(shí)現(xiàn)了一種安全即時(shí)通信方法，其具有如下特點(diǎn)：1)基于圖1所示的主流即時(shí)通信模型進(jìn)行實(shí)現(xiàn)。除了將會(huì)話密鑰協(xié)商協(xié)議替換為本文所設(shè)計(jì)的密鑰協(xié)商協(xié)議之外，無需對(duì)即時(shí)通信模型作其他任何硬件層或者軟件層修改，保證了系統(tǒng)的兼容性和易用性。2)默認(rèn)服務(wù)器是不可信的，黑客可以完全控制服務(wù)器。這從根本上去除了當(dāng)前主流即時(shí)通信軟件“將即時(shí)通信的安全性建立在服務(wù)器絕對(duì)可信之上”的不合理安全假設(shè)。3)設(shè)計(jì)并實(shí)現(xiàn)了可信會(huì)話密鑰協(xié)商協(xié)議。理論分析表明，只要會(huì)話密鑰能夠協(xié)商成功，則通信雙方面所協(xié)商的會(huì)話密鑰一定是真實(shí)的(Authenticated)、新鮮的(Fresh)和保密的(Confidential)，從而保證即時(shí)通信是安全的。4)基于普通商用移動(dòng)智能終端進(jìn)行設(shè)計(jì)實(shí)現(xiàn)。除了要求通信雙方所使用的移動(dòng)智能終端是可信的(即不存在惡意硬件和惡意軟件)之外，對(duì)移動(dòng)智能終端無需任何其他安全假設(shè)和安全增強(qiáng)。5)實(shí)現(xiàn)了原型系統(tǒng)。真實(shí)互聯(lián)網(wǎng)環(huán)境下的實(shí)驗(yàn)表明，方法是安全和有效的。

1 相關(guān)研究

1.1 即時(shí)通信安全

文獻(xiàn)[3-4]分別對(duì)具有代表性的主流即時(shí)通信軟件微信、以及Skype和QQ的通信安全性進(jìn)行了研究。上述軟件的問題在于，它們均將即時(shí)通信的安全性建立在服務(wù)器絕對(duì)可信的不正確安全假設(shè)之上。而在實(shí)際應(yīng)用中，服務(wù)器作為高價(jià)值對(duì)象，其不僅被攻擊概率高，而且對(duì)其攻擊是完全可行的。文獻(xiàn)[5-6]分別提出了基于橢圓曲線公鑰體制和基于身份的即時(shí)通信安全協(xié)議。但兩者的問題在于它們?nèi)匀皇腔诜?wù)器是絕對(duì)可信的。文獻(xiàn)[7]基于PGP(Pretty Good Privacy)實(shí)現(xiàn)安全即時(shí)通信，但文獻(xiàn)[7]仍然要把PGP的密鑰對(duì)存放在可信的服務(wù)器之中。文獻(xiàn)[8-9]分別從隱私保護(hù)和即時(shí)通信惡意軟件(IM Malware)的角度研究了即時(shí)通信的安全問題。但兩者并沒有回答在服務(wù)器和網(wǎng)絡(luò)不可信的情況下，應(yīng)該如何保證即時(shí)通信的安全。

在國(guó)內(nèi)產(chǎn)業(yè)界，微信、QQ、釘釘、來往(釘釘前身)、陌陌等知名即時(shí)通信軟件均不支持端-端加密。軟件安司密信提供了端-端加密，但其必須采用特定的硬件才能實(shí)現(xiàn)，這不僅額外增加了成本，而且使用不便。本文的方法完全基于軟件協(xié)議實(shí)現(xiàn)了端-端加密，避免了上述問題。國(guó)外Whatsapp、Line、Viber等于2016年4月到7月剛剛推出端-端加密功能。Facebook Messenger于2016年7月剛剛進(jìn)行端-端加密功能測(cè)試。但是，這些工作的端-端加密的細(xì)節(jié)不僅沒有公開(從而無法確認(rèn)是否存在后門)，而且它們僅能實(shí)現(xiàn)“端-端”通信的機(jī)密性，無法保證完整性?！岸?端”通信完整性在需要進(jìn)行遠(yuǎn)程控制的場(chǎng)景是很有意義的。Telegram在2013年推出了端-端加密功能，但其協(xié)議可能遭受MIMT(Man-In-the-Middle Attack)中間人攻擊，而理論分析表明，本文的工作完全避免了MIMT攻擊。

1.2 密鑰協(xié)商

文獻(xiàn)[10]介紹了幾種典型的密鑰協(xié)商方法。首先是經(jīng)典的Diffie-Hellman方案，它的問題在于無法防御中間人攻擊。為了解決中間人攻擊問題，通過在經(jīng)典形式上增加認(rèn)證，形成了端-端密鑰協(xié)商STS和MTI/A0密鑰協(xié)商方案。這兩種方案均需要有可信權(quán)威機(jī)構(gòu)TA(對(duì)應(yīng)于PKI中的證書認(rèn)證中心CA)來提供證書或者簽名。這又帶來如下問題：一方面，在圖1所示的即時(shí)通信模型中，服務(wù)器本身是不可信的；另一方面，移動(dòng)智能終端由于數(shù)量巨大，為每一個(gè)移動(dòng)智能終端都提供相應(yīng)的證書在工程上難以實(shí)現(xiàn)。因此，上述兩種方案無法在本文中應(yīng)用。進(jìn)一步地，文獻(xiàn)[10]還介紹了無證書的Girault密鑰協(xié)商方案，然而其仍然需要可信權(quán)威機(jī)構(gòu)TA來生成秘密和輔助協(xié)商生成密鑰。最后，文獻(xiàn)[10]介紹了加密密鑰交換EKE協(xié)議，EKE使用共享口令來協(xié)商會(huì)話密鑰，但是如何在數(shù)量巨大的移動(dòng)智能終端中間為每?jī)蓚€(gè)終端建立共享秘密口令也是難以克服的問題。

無證書密鑰協(xié)商是目前密鑰協(xié)商的一個(gè)熱點(diǎn)[11-15]，但無證書密鑰協(xié)商方法的主要問題在于，它們?nèi)匀恍枰粋€(gè)可信的第三方私鑰生成中心(Private Key Generator， PKG)，且有些中間計(jì)算步驟需要通過安全的方式從PKG返回給密鑰協(xié)商雙方，這也是難以實(shí)現(xiàn)的。

2 可信會(huì)話密鑰協(xié)商協(xié)議

本質(zhì)上，整個(gè)系統(tǒng)的關(guān)鍵在于通信雙方如何在服務(wù)器和通信網(wǎng)絡(luò)不可信的敵手網(wǎng)絡(luò)環(huán)境下可信地協(xié)商會(huì)話密鑰，從而實(shí)現(xiàn)“端-端”可信通信。

2.1 協(xié)議目的和背景

2.1.1 協(xié)議目的

協(xié)議的目的在于確保通信雙方在敵手網(wǎng)絡(luò)環(huán)境下可信地協(xié)商會(huì)話密鑰，保證所協(xié)商會(huì)話密鑰的真實(shí)性、新鮮性和機(jī)密性。因此，協(xié)議需要防止常見的偽造和篡改攻擊(真實(shí)性)，以及回放攻擊(新鮮性)；同時(shí)，協(xié)議還需要確保除了通信雙方之外，其他任何第三方(包括服務(wù)器)都無法獲知所協(xié)商的會(huì)話密鑰(機(jī)密性)。

2.1.2 協(xié)議設(shè)計(jì)背景

說明1 攻擊者既包括網(wǎng)絡(luò)攻擊者，也包括服務(wù)器。

本文默認(rèn)網(wǎng)絡(luò)攻擊者和服務(wù)器具有Dolev-Yao模型攻擊能力。協(xié)議設(shè)計(jì)時(shí)，必須綜合考慮上述攻擊雙方。

說明2 服務(wù)器和即時(shí)通信客戶端(以下簡(jiǎn)稱客戶端)公私鑰對(duì)的安全性。

首先，對(duì)服務(wù)器而言:①服務(wù)器的公鑰真實(shí)、新鮮地公開給所有客戶端。這可以通過證書實(shí)現(xiàn)，極端情況下，也可以硬編碼到客戶端中。②服務(wù)器的私鑰由服務(wù)器自身存儲(chǔ)。由于服務(wù)器是不可信的，因此服務(wù)器的私鑰可能已經(jīng)泄露給攻擊者。

其次，對(duì)客戶端而言:①客戶端的公鑰為安全起見，在每次進(jìn)行密鑰協(xié)商時(shí)，都要重新生成。②客戶端的私鑰由客戶端自身進(jìn)行保密性存儲(chǔ)。本文要求客戶端本身是可信的(參見以下說明3)，因而客戶端的私鑰一定是安全的。

說明3 “服務(wù)器的公鑰可信地公開”和“客戶端所使用的移動(dòng)智能終端是可信的”是本文僅有的安全假設(shè)。

本文要求服務(wù)器的公鑰可信地公開，前面已經(jīng)說明，這可以通過證書或者硬編碼到移動(dòng)智能終端實(shí)現(xiàn)。注意服務(wù)器的數(shù)量并不多，那么對(duì)應(yīng)證書的數(shù)量也并不多，因而這也是容易實(shí)現(xiàn)的。

2.2 協(xié)議詳細(xì)設(shè)計(jì)

在詳細(xì)分析協(xié)議之前，先給出協(xié)議的符號(hào)使用說明如下：約定用s指代服務(wù)器，用a、b分別指代通話雙方客戶端Alice和客戶端Bob。每次即時(shí)通信之前，服務(wù)器和客戶端需要重新生成自身的RSA公私鑰對(duì)，約定用kei指代實(shí)體i的公鑰，用kdi指代實(shí)體i的私鑰，例如：kes是服務(wù)器Server的公鑰，kda是客戶端A的私鑰。使用HASH(x)來指代對(duì)x的哈希操作；用E(kei,x)指代對(duì)x用公鑰kei作加密(或者簽名驗(yàn)證)操作，用D(kdi,x)指代對(duì)x用私鑰kdi作解密(或者數(shù)字簽名)操作。如2.1節(jié)的說明2所述，服務(wù)器已經(jīng)生成了公私鑰對(duì)kes和kds，其中公鑰kes利用證書或者硬編碼等方式真實(shí)、新鮮地公開給所有的通信終端；私鑰kds由服務(wù)器s自己保存，但是私鑰kds是不安全的，可能已經(jīng)泄露給攻擊者。

協(xié)議分為兩大階段。第一階段：終端A和B分別將自身的公鑰真實(shí)、新鮮地傳送給對(duì)方(出于安全考慮，在每一次會(huì)話密鑰協(xié)商時(shí)，即時(shí)通信雙方都會(huì)重新生成公私鑰對(duì)。由于公鑰不需要考慮機(jī)密性，因而只需要將所生成的公鑰真實(shí)、新鮮地發(fā)送給對(duì)方即可)。第二階段：客戶端A和B自主協(xié)商會(huì)話密鑰，并確保會(huì)話密鑰的真實(shí)性、新鮮性和機(jī)密性。

協(xié)議的詳細(xì)步驟如下:

步驟1 通過步驟①～④，客戶端A將公鑰kea發(fā)送給服務(wù)器，并獲取服務(wù)器對(duì)于kea的真實(shí)、新鮮的簽名siga。

①在發(fā)起會(huì)話密鑰協(xié)商時(shí)，客戶端A重新生成新的RSA公私鑰對(duì)kea和kda，并將公鑰kea發(fā)送給服務(wù)器。

②服務(wù)器在收到kea′(由于攻擊者的存在，服務(wù)器實(shí)際接收到的結(jié)果與客戶端A在步驟①發(fā)送的kea并不一定相同，因此這里用kea′代替)之后，使用自身的私鑰kds對(duì)kea′進(jìn)行數(shù)字簽名生成siga=D(kds,ha)。

③服務(wù)器將數(shù)字簽名siga和所接收到的kea′返回給客戶端A。

④客戶端A實(shí)際接收到siga′和kea″(由于攻擊者的存在，客戶端A實(shí)際接收到的結(jié)果與服務(wù)器在步驟③發(fā)送的siga和kea′不一定相同，因此這里用siga′和kea″代替)之后，驗(yàn)證數(shù)字簽名siga′，并比較kea″是否與步驟①中生成的kea一致。如果驗(yàn)證和比較通過，則說明服務(wù)器收到的客戶端A所發(fā)送的公鑰kea是真實(shí)、新鮮的，且服務(wù)器對(duì)kea的簽名siga也是真實(shí)、新鮮的。

步驟2 利用步驟1所獲得的服務(wù)器對(duì)客戶端A公鑰kea的真實(shí)、新鮮的簽名siga，將客戶端A的公鑰kea真實(shí)、新鮮地發(fā)送給客戶端B。

①客戶端A生成隨機(jī)數(shù)ma，并利用私鑰kda對(duì)ma計(jì)算生成Dma=D(kda,ma)。

②客戶端A將自己的公鑰kea、由步驟1獲得的服務(wù)器對(duì)于kea的簽名siga，以及Dma，即〈kea,siga,Dma〉，發(fā)送給客戶端B。

③客戶端B在實(shí)際接收到〈kea′,siga′,Dma′〉(由于攻擊者的存在，客戶端B實(shí)際接收到的結(jié)果與客戶端A在步驟③發(fā)送〈kea,siga,Dma〉并不一定相同，因此這里用〈kea′,siga′,Dma′〉代替)之后，首先會(huì)驗(yàn)證簽名siga′。如果驗(yàn)證通過，客戶端B將利用kea′對(duì)Dma′計(jì)算ma′=E(kea′,Dma′)，并將ma′發(fā)送給客戶端A。

④客戶端A在接收到ma″(由于攻擊者的存在，客戶端A實(shí)際接收到的結(jié)果與客戶端B在步驟③所發(fā)送的ma′并不一定相同，因此這里用ma″代替)之后，驗(yàn)證所接收到的ma″是否與步驟①中生成的ma一致。如果兩者一致，則說明客戶端B真實(shí)且新鮮地接收到了客戶端A的公鑰kea；否則客戶端B接收到的公鑰是錯(cuò)誤的。

步驟3 采用與步驟1、2對(duì)稱的操作，客戶端B將公鑰keb真實(shí)、新鮮地發(fā)送給客戶端A。

步驟4 客戶端A隨機(jī)生成會(huì)話密鑰前半部分aes1，并真實(shí)、新鮮、保密地發(fā)送給客戶端B。

①客戶端A隨機(jī)生成AES會(huì)話密鑰的前半部分aes1，并利用私鑰kda對(duì)aes1進(jìn)行數(shù)字簽名生成sigaes1=D(kda,haes1)。

②客戶端A利用客戶端B的公鑰keb將〈aes1,sigaes1〉加密生成Eaes1=E(keb,aes1,sigaes1)并發(fā)送給客戶端B。

③客戶端B在接收到Eaes1′=E(keb′,aes1′,sigaes1′)(由于攻擊者的存在，客戶端B實(shí)際接收到的結(jié)果與客戶端A在步驟②發(fā)送的Eaes1=E(keb,aes1,sigaes1)并不一定相同，因此這里用Eaes1′=E(keb′,aes1′,sigaes1′)代替)之后，利用私鑰kdb解密Eaes1′，獲取〈aes1′,sigaes1′〉并對(duì)sigaes1′進(jìn)行驗(yàn)證。如果驗(yàn)證通過，則說明真實(shí)、新鮮、保密地獲取了aes1。

步驟5 采用與步驟4類似的操作將客戶端B隨機(jī)生成的會(huì)話密鑰的后半部分aes2真實(shí)、新鮮、保密地發(fā)送給客戶端A。

步驟6 客戶端A和客戶端B計(jì)算得到最終的會(huì)話密鑰AES=HASH(aes1)⊕HASH(aes2)。

協(xié)議協(xié)商完畢。

2.3 協(xié)議安全性分析

1)步驟1的安全性。

步驟1的目的是將客戶端A新生成的公鑰kea發(fā)送給服務(wù)器，并獲取服務(wù)器對(duì)于kea真實(shí)、新鮮的簽名siga，攻擊者試圖通過攻擊使得上述目標(biāo)無法達(dá)成。

由于服務(wù)器和網(wǎng)絡(luò)同時(shí)是不可信的，因此協(xié)議必須同時(shí)檢測(cè)到兩者所發(fā)起的偽造、篡改和回放攻擊。由此有如下三種情形：a)服務(wù)器不進(jìn)行攻擊，其他網(wǎng)絡(luò)攻擊者對(duì)kea及其簽名siga進(jìn)行(偽造、篡改或者回放)攻擊；b)網(wǎng)絡(luò)攻擊者不進(jìn)行攻擊，服務(wù)器對(duì)kea及其簽名siga進(jìn)行(偽造、篡改或者回放)攻擊；c)服務(wù)器和網(wǎng)絡(luò)攻擊者同時(shí)對(duì)kea及其簽名siga進(jìn)行(偽造、篡改或者回放)攻擊。上述三種情形均可以達(dá)到讓客戶端A無法獲取服務(wù)器對(duì)于kea真實(shí)、新鮮簽名的目的。

對(duì)于上述三種攻擊情形，容易證明：對(duì)于客戶端A，其在步驟1.④要么會(huì)驗(yàn)證服務(wù)器所傳過來的對(duì)公鑰kea的簽名siga失??；要么會(huì)發(fā)現(xiàn)客戶端B所實(shí)際接收到的公鑰kea′與客戶端A實(shí)際發(fā)送的公鑰kea并不一致。無論哪種情形，客戶端A都會(huì)發(fā)現(xiàn)攻擊(限于篇幅，具體過程從略)。因此，步驟1能夠確保客戶端A將新生成的公鑰kea發(fā)送給服務(wù)器，并獲取服務(wù)器對(duì)于kea真實(shí)、新鮮的簽名siga。

2)步驟2的安全性。

步驟2的目的在于將客戶端A的公鑰kea真實(shí)、新鮮地發(fā)送給客戶端B,攻擊者試圖通過攻擊以阻止上述目的的達(dá)成。

類似地，由于服務(wù)器和網(wǎng)絡(luò)均是不可信的，協(xié)議需要檢測(cè)到兩者可能發(fā)起的偽造、篡改和回放攻擊，由此也有三種情形需要考慮：a)服務(wù)器不進(jìn)行攻擊，網(wǎng)絡(luò)攻擊者對(duì)kea進(jìn)行(偽造、篡改和回放)攻擊；b)網(wǎng)絡(luò)攻擊者不進(jìn)行攻擊，服務(wù)器對(duì)kea進(jìn)行(偽造、篡改和回放)攻擊；c)服務(wù)器和網(wǎng)絡(luò)攻擊者同時(shí)對(duì)kea進(jìn)行(偽造、篡改和回放)攻擊，從而達(dá)到阻止客戶端A將公鑰kea真實(shí)、新鮮地發(fā)送給客戶端B的目的。

對(duì)于上述三種攻擊型情形，容易證明：客戶端A要么在步驟2.③驗(yàn)證簽名siga′失敗，要么在步驟2.④發(fā)現(xiàn)其實(shí)際接收到的隨機(jī)數(shù)ma″與它在步驟2.①所最初生成的隨機(jī)數(shù)ma并不一致，從而發(fā)現(xiàn)攻擊(限于篇幅，具體過程從略)。因此，步驟2能夠確?？蛻舳薃將其公鑰kea真實(shí)、新鮮地發(fā)送給客戶端B。

3)步驟3的安全性。

由于步驟3是步驟1、2的對(duì)稱過程，因而其安全性可以類似分析，這里從略。到此，通信雙方均真實(shí)、新鮮地得到了對(duì)方所新生成的公鑰。

4)步驟4的安全性。

步驟4的目的是客戶端A隨機(jī)生成會(huì)話密鑰前半部分aes1，并真實(shí)、新鮮、保密地發(fā)送給客戶端B。

類似地，根據(jù)服務(wù)器和網(wǎng)絡(luò)攻擊者是否發(fā)起攻擊，也有三種情形需要考慮。對(duì)于這三種攻擊情形，容易證明：無論是哪種情形，客戶端A將會(huì)在步驟4.③對(duì)它所實(shí)際接收到的簽名sigaes1′驗(yàn)證失敗，從而發(fā)現(xiàn)攻擊。因此，如果步驟4.③通過，則客戶端A將其隨機(jī)生成的會(huì)話密鑰前半部分aes1真實(shí)、新鮮、保密地發(fā)送給了客戶端B。

5)步驟5的安全性。

步驟5是步驟4的對(duì)稱過程，因而其安全性可以類似分析，這里從略。至此，客戶端B和客戶端A分別接收到了對(duì)方真實(shí)、新鮮和保密發(fā)送過來的會(huì)話密鑰的前半部分aes1和后半部分aes2。

協(xié)議安全性分析完畢。

2.4 會(huì)話密鑰安全屬性分析

需要強(qiáng)調(diào)的是，本文基于傳統(tǒng)的非對(duì)稱密碼體制，而并非是無證書密鑰協(xié)商，因而文獻(xiàn)[11]中2.1節(jié)關(guān)于身份基認(rèn)證密鑰協(xié)商協(xié)議對(duì)安全屬性的定義并不適合本文。但若借鑒其思想和定義，則可以進(jìn)行類似安全屬性分析并得出結(jié)論如下：

1)滿足已知密鑰安全性。由于最終協(xié)商的會(huì)話密鑰AES=HASH(aes1)⊕HASH(aes2)，而aes1和aes2是每次密鑰協(xié)商時(shí)，分別由客戶端A和客戶端B隨機(jī)生成的，因此，即使攻擊者獲得了某次客戶端A和B所協(xié)商的會(huì)話密鑰，他也無法求出其他協(xié)商時(shí)生成的會(huì)話密鑰。

2)滿足完美前向安全性。若客戶端A和B當(dāng)前的私鑰kda和kdb都泄露，攻擊者可以獲得客戶端A和B本次協(xié)商的會(huì)話密鑰。但是，注意到在每次會(huì)話密鑰協(xié)商時(shí)，客戶端A和B都會(huì)分別重新生成新的公私鑰對(duì)，不失一般性，不妨假設(shè)當(dāng)前客戶端A和B的公私鑰對(duì)分別是kea/kda和keb/kdb；假設(shè)在kda和kdb泄露之前某次密鑰協(xié)商時(shí)客戶端A和B的公私鑰對(duì)分別kea′/kda′和keb′/kdb′，那么有kea′≠kea和kda′≠kda，以及keb′≠keb和kdb′≠kdb。這樣，即使攻擊者獲得了過去的Eaes1′=E(keb′,aes1′,sigaes1′)，由于攻擊者所獲得的客戶端B的當(dāng)前私鑰kdb和過去的公鑰keb′之間并不匹配，他也無法正確解密獲得過去的aes1′。因此，攻擊者無法獲得在kda和kdb泄露之前所協(xié)商的會(huì)話密鑰。

3)滿足PKG前向安全性。本文協(xié)議中不存在私鑰產(chǎn)生中心(PrivateKeyGenerator,PKG)。但是，本文遵從主流即時(shí)通信軟件采用圖1所示的即時(shí)通信模型。若將服務(wù)器視作PKG，前述2.1節(jié)說明2已經(jīng)說明，本文協(xié)議默認(rèn)服務(wù)器是不可信的，默認(rèn)其私鑰已經(jīng)泄露，且默認(rèn)服務(wù)器在密鑰協(xié)商過程中也會(huì)發(fā)起攻擊，在此情況下協(xié)議仍能可信地協(xié)商會(huì)話密鑰，因此，滿足PKG前向安全性。

4)滿足抗密鑰泄露偽裝攻擊。假設(shè)客戶端A的私鑰kda泄露，攻擊者在不知道客戶端B的私鑰kdb的情況下，無法冒充客戶端B正常進(jìn)行會(huì)話密鑰協(xié)商(所有客戶端B進(jìn)行數(shù)字簽名的步驟都無法通過)，因而無法向客戶端A冒充客戶端B，滿足抗密鑰泄露偽裝攻擊。

5)滿足抗未知密鑰共享。以步驟4.②為例，客戶端A必須要使用客戶端B的公鑰對(duì)所生成的會(huì)話密鑰的前半部分aes1和簽名sigaes1進(jìn)行加密，如果采用其他客戶端的公鑰，則客戶端B在隨后將無法正確驗(yàn)證簽名sigaes1′，從而協(xié)商失敗。因此，如果會(huì)話密鑰協(xié)商成功，客戶端A不會(huì)認(rèn)為是和其他客戶端C的共享會(huì)話密鑰，滿足抗未知密鑰共享。

5)滿足無密鑰控制。最終協(xié)商的會(huì)話密鑰AES=HASH(aes1)⊕HASH(aes2)。由于哈希函數(shù)HASH是單向函數(shù)，因而無論是客戶端A還是客戶端B都無法逆向選擇性生成aes1或者aes2以達(dá)到控制所協(xié)商會(huì)話密鑰中的一部分或者全部的目的。

2.5 即時(shí)通信完整性和拒絕服務(wù)攻擊

1)即時(shí)通信的完整性。

即時(shí)通信安全的另一個(gè)重要屬性是完整性。事實(shí)上，本協(xié)議設(shè)計(jì)除了關(guān)注即時(shí)通信信息的機(jī)密性之外，也可以用以保證即時(shí)通信的完整性。注意到協(xié)議的第一階段是將客戶端A和B的公鑰真實(shí)、新鮮地發(fā)送給對(duì)方，因此只要會(huì)話密鑰能夠協(xié)商成功，則客戶端A和B一定分別真實(shí)、新鮮地獲得了對(duì)方的公鑰keb和kea。那么在后續(xù)的即時(shí)通信過程中，為了同時(shí)確保通信信息的機(jī)密性和完整性，只要先對(duì)通信信息進(jìn)行數(shù)字簽名，再用對(duì)方公鑰加密傳輸即可。限于篇幅，具體實(shí)施步驟從略。據(jù)作者盡可能的了解，目前主流即時(shí)通信軟件并沒有考慮即時(shí)通信信息完整性的問題，而即時(shí)通信的完整性在包含遠(yuǎn)程命令發(fā)送等場(chǎng)景下是很有意義的。

2)協(xié)議拒絕服務(wù)攻擊。

協(xié)議流程中使用了一些密碼學(xué)運(yùn)算操作是比較耗費(fèi)資源的，因而攻擊者可能針對(duì)上述位置發(fā)送惡意攻擊包而對(duì)終端造成拒絕服務(wù)(DenialofService，DoS)攻擊。限于篇幅，本協(xié)議目前未考慮拒絕服務(wù)攻擊，而將其留作下一步的工作?？刹捎玫囊环N解決方案[23]是：一旦發(fā)現(xiàn)類似DoS攻擊的企圖(如通過驗(yàn)證失敗的閾值)，驗(yàn)證方在如簽名驗(yàn)證等耗費(fèi)計(jì)算資源的位置，在進(jìn)行真實(shí)計(jì)算之前，先發(fā)送難題(Puzzle)給發(fā)送方，只有發(fā)送方解決了難題并回復(fù)正確結(jié)果之后，驗(yàn)證方才進(jìn)行真正的密碼學(xué)計(jì)算。Puzzle的求解難度可以隨著DoS攻擊的風(fēng)險(xiǎn)而逐步提高，從而迫使攻擊方需要耗費(fèi)更多、甚至不可接受的資源來達(dá)成攻擊。另一方面，也可以采用文獻(xiàn)[24]的方法，從DoS攻擊下的資源損失以及損失的概率分布的角度來對(duì)安全協(xié)議的DoS風(fēng)險(xiǎn)進(jìn)行量化評(píng)估和改進(jìn)。

2.6 原型系統(tǒng)測(cè)試與分析

實(shí)驗(yàn)終端采用兩臺(tái)三星手機(jī)，CPU1GHz，Android4.3操作系統(tǒng)；服務(wù)器采用一臺(tái)東芝筆記本電腦，CPU為Inteli5 2.5GHz，內(nèi)存8GB，Windows7(64位)操作系統(tǒng)。整個(gè)實(shí)驗(yàn)是在真實(shí)的互聯(lián)網(wǎng)中完成的：服務(wù)器通過電信網(wǎng)絡(luò)連接到Internet當(dāng)中，任何接入Internet的機(jī)器都可以對(duì)其進(jìn)行訪問；兩臺(tái)三星手機(jī)作為即時(shí)通信雙方，分別通過3G網(wǎng)絡(luò)進(jìn)行多省跨省遠(yuǎn)程即時(shí)語音/視頻通信實(shí)驗(yàn)(如武漢與西安、杭州與西安等)。

1)安全性測(cè)試。利用WireShark抓包，可以發(fā)現(xiàn)攻擊者只能夠獲取加密后的語音/視頻數(shù)據(jù)包，無法解密之后進(jìn)行正常的語音/視頻播放。對(duì)于加密語音通信，抓包可見正常解密后的語音波形和攻擊者從網(wǎng)絡(luò)獲取的加密語音波形兩者完全不同。對(duì)加密語音波形播放時(shí)只有無意義的噪聲。對(duì)于加密視頻通信，正常解密后的即時(shí)通信視頻可以正常播放，而攻擊者從網(wǎng)絡(luò)獲取的加密視頻即時(shí)通信視頻只能獲得無意義的“花屏”播放結(jié)果。安全測(cè)試達(dá)到預(yù)期結(jié)果。

2)效率測(cè)試。協(xié)議使用了較多密碼學(xué)運(yùn)算(如簽名和驗(yàn)證等)，這可能會(huì)影響密鑰協(xié)商的運(yùn)行效率。真實(shí)互聯(lián)網(wǎng)環(huán)境下遠(yuǎn)程跨省的多次實(shí)驗(yàn)結(jié)果表明，只要密鑰協(xié)商能夠成功，則密鑰協(xié)商一定可以在2s之內(nèi)完成，這是用戶可以接受的。另一方面，大量的測(cè)試表明，在不加解密的情況下語音/視頻即時(shí)通信的時(shí)延分別約為0.5s和0.8s，加解密后的語音/視頻時(shí)延分別約為0.8s和1.3s，即加解密引起的時(shí)延分別約為60%和62.5%。上述加解密導(dǎo)致的時(shí)延可以通過進(jìn)一步多線程、優(yōu)化語音視頻算法、優(yōu)化傳輸數(shù)據(jù)包大小以及優(yōu)化體系架構(gòu)等方法解決。

3 結(jié)語

即時(shí)語音/視頻通信是目前移動(dòng)互聯(lián)網(wǎng)各類應(yīng)用的重要基礎(chǔ)，但是如何保證即時(shí)語音/視頻通信的安全性卻仍然是一個(gè)開放問題。我們?cè)O(shè)計(jì)并實(shí)現(xiàn)了一種不可信互聯(lián)網(wǎng)環(huán)境下安全保密即時(shí)通信方法，在真實(shí)互聯(lián)網(wǎng)環(huán)境下的原型系統(tǒng)測(cè)試表明，整個(gè)密鑰協(xié)商過程可在1～2s完成，整個(gè)系統(tǒng)能夠有效保證即時(shí)通信信息的安全性，方法是高效和安全的。

在實(shí)際使用中，文中的非對(duì)稱、對(duì)稱、哈希算法等可以對(duì)應(yīng)更換為國(guó)家商密的SM2、SM1/SM4、SM3等算法或者軍用算法，以確保密碼算法的安全可控，以及國(guó)家安全的特殊需要；同時(shí)，本文方法也可以與已有的信息系統(tǒng)安全技術(shù)(如可信計(jì)算等)相結(jié)合，以進(jìn)一步增強(qiáng)系統(tǒng)的安全。最后需要指出的是，雖然本文的研究背景是商業(yè)即時(shí)語音/視頻通信，但由于圖1所示架構(gòu)的普遍性，以及即時(shí)通信的普遍性和重要性，只要是符合圖1所示的架構(gòu)的(如軍用無人機(jī)偵查和警用監(jiān)控等)，亦可以應(yīng)用本文的方法。

)

[1] 孟蕊.即時(shí)通信用戶規(guī)模增長(zhǎng)第一, 手機(jī)端發(fā)展超整體水平 [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.(MENGR.Instantmessaginguserscalgegrowsthefastest,andthedevelopmentofmobilephonesgobeyondtheoveralllevels[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.)

[2] 沈珅.即時(shí)通信行業(yè)穩(wěn)步發(fā)展, 移動(dòng)即時(shí)通信成為廠商爭(zhēng)奪重點(diǎn) [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.(SHENK.Instantmessagingisdevelopingsteadily,andmobileinstantmessaginghasbecomethehotareaofcompetitionsformanufactures[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.)

[3] 瞿曉海,薛質(zhì).微信加密通信原理分析[J].信息安全與技術(shù), 2014, 5(1): 13-16.(QUXH,XUEZ.Theanalysisandresearchofmicroletterencryptiononthemobileclientandreversebreakmode[J].InformationSecurityandTechnology, 2014, 5(1): 13-16.)

[4] 段冰,谷大武.Skype與QQ軟件的安全通信技術(shù)研究[J].信息安全與通信保密,2007(11): 58-60.(DUANB,GUDW.StudyonthesecurecommunicationtechnologyofSkypeandQQ[J].InformationSecurityandCommunicationsPrivacy, 2007(11): 58-60.)

[5] 寧國(guó)強(qiáng).一種安全即時(shí)通信系統(tǒng)的研究與設(shè)計(jì)[D].長(zhǎng)沙:湖南大學(xué),2010:35-42.(NINGGQ.Designandimplementationofasecureinstantmessagingsystem[D].Changsha:HunanUniversity, 2010: 35-42.)

[6] 張立坤.即時(shí)通信安全機(jī)制研究[D].濟(jì)南:山東大學(xué),2009:42-77.(ZHANGLK.Researchofinstantmessaging[D].Jinan:ShandongUniversity, 2009: 42-77.)

[7]PINTORL.Secureinstantmessaging[D].Frankfurt:FrankfurtUniversity, 2014: 55-62.

[8]PATILS,KOBSAA.Enhancingprivacymanagementsupportininstantmessaging[J].InteractingwithComputers, 2010, 22(3): 206-217.

[9]XIEM,WUZ,WANGH.Secureinstantmessagingenterprise-likenetworks[J].ComputerNetwork:TheInternationalJournalofComputerandTelecommunicationsNetworking, 2012, 56(1): 448-461.

[10]DOUGLASRS.密碼學(xué)原理與實(shí)踐[M].馮登國(guó),譯.3版.北京:電子工業(yè)出版社,2009:123-15.(DOUGLASRS.CryptographyTheoryandPractice[M].FENGDG,translated.3rded.Beijing:PublishingHouseofElectronicsIndustry, 2009: 123-125.)

[11] 王圣寶,曹珍富,董曉蕾.標(biāo)準(zhǔn)模型下可證安全的身份基認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)學(xué)報(bào),2007,30(10):1842-1852.(WANGSB,CAOZF,DONGXL.Provablysecureidentity-basedauthenticatedkeyagreementprotocolsinthestandardmodel[J].ChineseJournalofComputers, 2007, 30(10): 1842-1852.)

[12] 汪小芬,陳原,肖國(guó)鎮(zhèn).基于身份的認(rèn)證密鑰協(xié)商協(xié)議的安全分析與改進(jìn)[J].通信學(xué)報(bào),2008,29(12):16-21.(WANGXF,CHENY,XIAOGZ.AnalysisandimprovementofanID-basedauthenticatedkeyagreementprotocol[J].JournalonCommunications, 2008, 29(12): 16-21.)

[13] 趙建杰,谷大武.eCK模型下可證明安全的雙方認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)學(xué)報(bào),2011,34(1):47-54.(ZHAOJJ,GUDW.Provablysecuretwo-partyauthenticatedkeyexchangeprotocolineCKmodel[J].ChineseJournalofComputers, 2011, 34(1): 47-54.)

[14] 張福泰,孫銀霞,張磊,等.無證書公鑰密碼體制研究[J].軟件學(xué)報(bào),2011,22(6):1316-1332.(ZHANGFT,SUNYX,ZHANGL,etal.Researchoncertificatelesspublickeycryptography[J].JournalofSoftware, 2011, 22(6): 1316-1332.)

[15] 高海英.可證明安全的基于身份的認(rèn)證密鑰協(xié)商協(xié)議[J].計(jì)算機(jī)研究與發(fā)展,2012,49(8):1685-1689.(GAOHY.ProvablesecureID-basedauthenticatedkeyagreementprotocol[J].JournalofComputerResearchandDevelopment, 2012, 49(8): 1685-1689.)

[16] 趙波,張煥國(guó),李晶,等.可信PDA計(jì)算平臺(tái)系統(tǒng)結(jié)構(gòu)與安全機(jī)制[J].計(jì)算機(jī)學(xué)報(bào),2010,33(1):82-92.(ZHAOB,ZHANGHG,LIJ,etal.ThesystemarchitectureandsecuritystructureoftrustedPDA[J].ChineseJournalofComputers, 2010, 33(1): 82-92.)

[17]DAMM,GUANCIALER,KHAKPOURN,etal.FormalverificationofinformationflowsecurityforasimpleARM-basedseparationkernel[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 223-234.

[18]DAVIL,DMITRIENKOA,EGELEM,etal.MoCFI:aframeworktomitigatecontrol-flowattacksonsmartphones[C]//NDSS2012:Proceedingsofthe19thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2012: 222-237.

[19]YANGZ,YANGM,ZHANGY,etal.AppIntent:analyzingsensitivedatatransmissioninAndroidprivacyleakagedetection[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1043-1054.

[20]ZHOUX,DEMETRIOUS,HED,etal.Identity,location,diseaseandmore:inferringyoursecretsfromAndroidpublicresources[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1017-1028.

[21]EGELEM,KRUEGELC,KIRDAE,etal.PiOS:detectingprivacyleaksiniOSapplications[C]//NDSS2011:Proceedingsofthe18thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2011: 189-206.

[22]LANGEM,LIEBEGELDS,LACKORZYNSKIA,etal.L4Android:agenericoperatingsystemframeworkforsecuresmartphones[C]//SPSM’11:Proceedingsofthe1stACMWorkshoponSecurityandPrivacyinSmartphonesandMobileDevices.NewYork:ACM, 2011: 39-50.

[23] 衛(wèi)劍釩,陳鐘,段云所,等.一種認(rèn)證協(xié)議防御拒絕服務(wù)攻擊的設(shè)計(jì)方法[J].電子學(xué)報(bào),2005,33(2):288-293.(WEIJF,CHENZ,DUANYS,etal.Anewcountermeasureforprotectingauthenticationprotocolsagainstdenialofserviceattack[J].ActaElectronicaSinica, 2005, 33(2): 288-293.)

[24]CAOZ,GUANZ,CHENZ,etal.Towardsriskevaluationofdenial-of-servicevulnerabilitiesinsecurityprotocols[J].JournalofComputerScienceandTechnology, 2010, 25(2): 375-387.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61502438, 61502362),KeyProjectsofHubeiProvincialNaturalScienceFoundation(2015CFA061),ZhejiangProvincialNaturalScienceFoundation(LY15F020015), 2015HubeiProvincialResearchProjectofConstructionDepartment.

ZHANG Fan, born in 1977, Ph.D., associate professor.His research interests include information system security, software security.

ZHANG Cong, born in 1968, Ph.D., professor.His research interests include multimedia communication and security.

ZHAO Zemao, born in 1965, Ph.D., professor.His research interests include privacy protection, software security.

XU Mingdi, born in 1980, Ph.D., associate research fellow.His research interests include information system security, trusted computing.

Secure instant-messaging method for mobile intelligent terminal

ZHANG Fan1, ZHANG Cong1, ZHAO Zemao2, XU Mingdi3*

(1.SchoolfofMathematics&ComputerScience,WuhanPolytechnicUniversity,WuhanHubei430023,China;2.SchoolofEngineeringandDesign,LishuiUniversity,LishuiZhejiang323000,China;3.WuhanDigitalandEngineeringInstitute,WuhanHubei430205,China)

Instant messaging is fundamental to various mobile Internet applications; however, it is still an open problem to implement secure instant messaging in untrusted Internet environment.An approach for secure instant messaging of mobile intelligent terminal was presented, and a protocol for Trusted Session Key Agreement (TSKA) was designed and implemented.Theoretical analysis shows that the proposed TSKA can ensure the authenticity, freshness and confidentiality of the negotiated session key, even in the condition that both of the instant messaging server and the communication channel are not trusted.After TSKA, instant audio/video messages can be sent to the other side in a confidential and complete way.Experimental results in real Internet environment show that the proposed approach is efficient and secure, the session key can be negotiated within 1-2 seconds, and attackers cannot obtain any plaintext of instant messages.

mobile intelligent terminal security; instant messaging; trusted key agreement; protocol security

2016- 08- 22;

2016- 09- 28。 基金項(xiàng)目:國(guó)家自然科學(xué)基金資助項(xiàng)目(61502438, 61502362); 湖北省自然科學(xué)基金重點(diǎn)項(xiàng)目(2015CFA061); 浙江省自然科學(xué)基金資助項(xiàng)目(LY15F020015); 2015年湖北省建設(shè)廳科技計(jì)劃項(xiàng)目。

張帆(1977—),男,湖北當(dāng)陽(yáng)人,副教授,博士,CCF會(huì)員,主要研究方向:信息系統(tǒng)安全、軟件安全; 張聰(1968—)，男,上海人,教授,博士,主要研究方向:多媒體通信和安全; 趙澤茂(1965—),男，四川蓬溪人,教授,博士,主要研究方向:隱私保護(hù)、軟件安全; 徐明迪(1980—),男，湖北武漢人,副研究員,博士,主要研究方向:信息系統(tǒng)安全、可信計(jì)算。

1001- 9081(2017)02- 0402- 06

10.11772/j.issn.1001- 9081.2017.02.0402

TP

A