徐春暉

（南京中興新軟件責(zé)任有限公司，江蘇 南京 210000）

密碼消息原語(yǔ)通信協(xié)議介紹及安全分析

徐春暉

（南京中興新軟件責(zé)任有限公司，江蘇 南京 210000）

文章對(duì)密碼消息原語(yǔ)通信協(xié)議（CMS）作了介紹與分析，列舉了CMS協(xié)議的保護(hù)機(jī)制和安全性分析及后續(xù)改進(jìn)，供相關(guān)人士參考。

密碼消息原語(yǔ)；數(shù)字簽名；保護(hù)機(jī)制

密碼消息原語(yǔ)（Cryptographic Message Synta，CMS）協(xié)議為數(shù)據(jù)保護(hù)提供了封裝語(yǔ)法。它支持?jǐn)?shù)字簽名、消息鑒別碼及加密，并支持多次封裝。CMS協(xié)議被用于數(shù)字簽名、摘要、驗(yàn)證及加密任何消息內(nèi)容，適合于為定向通信協(xié)議提供安全保護(hù)。

1 CMS算法介紹

CMS通過(guò)使用ASN.1（抽象語(yǔ)法標(biāo)志）[X.208-88]及[X.209-88]產(chǎn)生CMS值，算法標(biāo)志符標(biāo)識(shí)了加密算法。應(yīng)用支持SHA-1或MD-5。CMS包含了下列密鑰管理技術(shù)：密鑰一致性，密鑰傳輸，預(yù)先分配的對(duì)稱(chēng)密鑰加密密鑰，密碼。密鑰一致性算法使用了X9.42 Ephemeral-Static Diffie-Hellman及 X9.42 Static-Static Dif fi e-Hellman。當(dāng)密鑰一致性被支持時(shí)，每一個(gè)內(nèi)容加密算法將被提供一個(gè)密鑰加密算法。CMS應(yīng)用中的對(duì)稱(chēng)密鑰加密管理使用了三重DES和RC2加密密鑰。當(dāng)RC2被支持時(shí)，RC2 128 bit密鑰作為加密密鑰使用。CMS應(yīng)用可以支持混合密鑰加密及內(nèi)容加密算法。如一個(gè)49 bit的RC2內(nèi)容加密密鑰可以由168 bit的三重DES密鑰加密密鑰及128 bit的RC2密鑰加密密鑰包裝。密鑰生成算法被用來(lái)將一個(gè)密碼轉(zhuǎn)換成一個(gè)密鑰加密密鑰，并將其作為基于密碼的密鑰管理技術(shù)的一部分。

2 CMS協(xié)議保護(hù)機(jī)制

在常見(jiàn)的通信系統(tǒng)中一般采用IPSec或TLS保證通信的完整性、機(jī)密性等，IPSec安全協(xié)議工作在網(wǎng)絡(luò)層，TLS工作在傳輸層之上、應(yīng)用層之下，在NEA模型中，這些保護(hù)措施都工作于PT層之中。在一些情況下，消息需要通過(guò)不受PT保護(hù)的網(wǎng)絡(luò)下一跳傳輸，或者要求只有特定的Posture Collector與Posture Validator才能接收到消息，這時(shí)就需要端到端的PA-TNC消息保護(hù)機(jī)制，而IPSec或TLS只能保證逐跳的安全，這樣PA-TNC就缺少有效的端到端的安全性保護(hù)，存在一定安全隱患。于是終端狀態(tài)評(píng)估模型中引入了CMS協(xié)議來(lái)保證端到端的安全。CMS協(xié)議為數(shù)據(jù)保護(hù)提供了封裝語(yǔ)法，它支持?jǐn)?shù)字簽名，消息鑒別碼及加密[1]。

CMS協(xié)議已被IETF用來(lái)保護(hù)一些定向會(huì)話(huà)協(xié)議（如MIME消息，防火墻升級(jí)），它被認(rèn)為是一個(gè)保護(hù)PA-TNC屬性的好的標(biāo)準(zhǔn)方法，并應(yīng)用于PA-TNC中以提供身份認(rèn)證，完整性和多項(xiàng)屬性的可選機(jī)密性。CMS內(nèi)容保護(hù)機(jī)制允許Posture Collector與Posture Validator互相以CMS壓縮形式發(fā)送一個(gè)或多個(gè)PA-TNC消息屬性。每個(gè)CMS保護(hù)內(nèi)容屬性必以?xún)?nèi)容信息結(jié)構(gòu)開(kāi)始，此種內(nèi)容信息結(jié)構(gòu)包括上層的內(nèi)容種類(lèi)標(biāo)志符及內(nèi)容本身，并且CMS允許消息種類(lèi)的嵌套。下面為CMS信息的ASN.1封裝結(jié)構(gòu)[2]：

PA-TNC中引入CMS安全機(jī)制之后，3種新的終端狀態(tài)屬性被定義，分別為：CMS Protected Content Attribute，CMS Error Code Attribute，Nonce CMS Attribute。CMS Protected Content Attribute提供了完整和機(jī)密性保護(hù)，CMS Error Code Attribute指出了錯(cuò)誤狀態(tài)信息的原因，Nonce CMS Attribute防止了重傳攻擊。在這3種新的終端狀態(tài)屬性中，CMS 主要使用加密和數(shù)字簽名兩種技術(shù)，前者提供數(shù)據(jù)的機(jī)密性，只有特定接收者才能解密并瀏覽數(shù)據(jù)，后者提供身份的認(rèn)證和數(shù)據(jù)的完整性，以確保一些機(jī)密信息在傳輸過(guò)程中沒(méi)有被篡改，防止攻擊者修改或冒名發(fā)送請(qǐng)求或響應(yīng)，兩種技術(shù)可以同時(shí)使用，同時(shí)密碼算法是可以擴(kuò)展的。常用的加密算法有DES，RC2，摘要算法有SHA，MD5，所有的CMS值以ASN.1的結(jié)構(gòu)表示。

3 CMS協(xié)議安全性分析

CMS Protected Content Attribute為終端狀態(tài)屬性提供了完整機(jī)密性保護(hù)，屬性消息放在CMS封裝對(duì)象中，分為signed-data和enveloped-data兩種形式。signed-data對(duì)屬性使用了數(shù)字簽名技術(shù)，使得PA-TNC消息的接收者可以對(duì)發(fā)送者進(jìn)行身份認(rèn)證，且因?yàn)楹灻采w了一條消息中的多個(gè)PATNC屬性，所以除非HASH值無(wú)效，否則攻擊者無(wú)法單獨(dú)更改任何一條屬性，從而保證了多條屬性的完整；envelopeddata對(duì)簽名后的屬性進(jìn)行加密操作，使屬性值通過(guò)不受信任的中間設(shè)備時(shí)也保證了機(jī)密性。

CMS Error Code Attribute屬性使收到無(wú)效安全保護(hù)PA-TNC消息的接收者發(fā)出一個(gè)錯(cuò)誤響應(yīng)以指出無(wú)效的原因。在一些特殊情況下，接收者無(wú)法識(shí)別簽名（如使用不受支持的加密算法）或無(wú)法與發(fā)送者建立信任，但接收者至少可以得到返回的錯(cuò)誤碼并決定是否對(duì)其信任及如何對(duì)其進(jìn)行操作。

Nonce CMS Attribute屬性的使用防止了狀態(tài)評(píng)估模型遭受重傳攻擊，保存于上面所提到的signed-data content中，終端狀態(tài)屬性消息的發(fā)送者在Nonce CMS Attribute中加入了一個(gè)Nonce，以使接收者可以發(fā)現(xiàn)出重傳攻擊。Nonce的值對(duì)于第三方來(lái)說(shuō)是不可知的，使用者可以用一系列不重復(fù)的數(shù)字來(lái)表示。

4 CMS協(xié)議的改進(jìn)

CMS協(xié)議應(yīng)用中，數(shù)字簽名較多采用RSA算法，RSA是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法，但其具有明顯缺點(diǎn)：（1）產(chǎn)生密鑰很麻煩，難以做到一次一密；（2）分組長(zhǎng)度太長(zhǎng)，至少600 bit以上，運(yùn)算代價(jià)很高，較對(duì)稱(chēng)密碼算法慢幾個(gè)數(shù)量級(jí)，且隨大數(shù)分解技術(shù)發(fā)展，這個(gè)長(zhǎng)度還在增加，不利于數(shù)據(jù)格式標(biāo)準(zhǔn)化及加密大量數(shù)據(jù)。因此，可將與RSA與MD5等HASH函數(shù)配合在一起使用[3]，具體過(guò)程如圖1所示。

圖1 RSA與MD5等HASH函數(shù)使用流程

發(fā)送方對(duì)信息作MD5變換，形成信息摘要，再用SK對(duì)生成的信息摘要加密，并將已加密的原始信息和加密后的信息摘要傳給接收方；接收方用發(fā)送方的PK進(jìn)行解密得到發(fā)送方的原始信息及信息摘要，如果解密后的信息摘要和接收方自己產(chǎn)生的信息摘要一致，那么接收方就可以相信對(duì)方的身份和文件內(nèi)容完整性。和原來(lái)單獨(dú)使用RSA進(jìn)行數(shù)字簽名的方法相比，改進(jìn)后的方法同樣確保了身份認(rèn)證和數(shù)據(jù)完整性，但減少了運(yùn)算量（見(jiàn)圖2）。

圖2 改進(jìn)后的流程

5 結(jié)語(yǔ)

CMS協(xié)議從完整機(jī)密性保護(hù)，錯(cuò)誤信息的反映，重傳攻擊保護(hù)三方面改變了終端屬性標(biāo)準(zhǔn)消息結(jié)構(gòu)及協(xié)議交互流程以實(shí)現(xiàn)安全保護(hù)，但是不同環(huán)境下的終端模型是一個(gè)復(fù)雜的系統(tǒng)，而且CMS協(xié)議需要引入多種安全算法，在實(shí)際應(yīng)用的時(shí)候還需要根據(jù)情況進(jìn)行周密和詳盡的安全設(shè)置和配置，才能給系統(tǒng)帶來(lái)足夠的安全保障。

[1] HOUSLEY R.Cryptographic Message Syntax (CMS) algorithms[J].Standard Track，2002（8）：174.

[2] SANGSTER P.TNC IF-M security: bindings to CMS[EB/OL].（2008-01-31）[2017-11-01].https://www.trustedcomputinggroup.org/wpcontent/uploads/TNC_IFM_Security_CMS_v1_0_r14.pdf.

[3] 賴(lài)德剛，黃月江，童登高.CMS協(xié)議在Diameter中的應(yīng)用及其安全性研究[J].成都信息工程學(xué)院學(xué)報(bào)，2006（6）：787-791.

Introduction and security analysis of cryptographic message synta

Xu chunhui
（Nanjing ZTE Software Company, Nanjing 210000, China）

In this paper, the cryptographic message synta（CMS）is introduced and analyzed, and the protection mechanism and security analysis and subsequent improvement of CMS protocol are enumerated, which can be referred by related people.

cryptographic message synta; digital signature; protection mechanism

徐春暉（1984— ），男，江蘇南京人，工程師，碩士；研究方向：通信技術(shù)產(chǎn)品研發(fā)及安全技術(shù)。