姚志強(qiáng)，竺智榮，葉幗華

（1.福建師范大學(xué)計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福建 福州 350108；2.福建省公共服務(wù)大數(shù)據(jù)挖掘與應(yīng)用工程技術(shù)研究中心，福建 福州 350108）

1 引言

動(dòng)態(tài)主機(jī)設(shè)置協(xié)議（DHCP,dynamic host configuration protocol）簡化了訪問網(wǎng)絡(luò)的配置過程，方便了網(wǎng)絡(luò)管理員對(duì)IP 地址的管理，有效緩解了由于IPv4 地址不足所導(dǎo)致的問題，但DHCP 所受到的安全威脅也越來越嚴(yán)重，它在設(shè)計(jì)之初并未充分考慮安全問題。當(dāng)互聯(lián)網(wǎng)呈現(xiàn)高移動(dòng)特性時(shí)，需由配套的安全協(xié)議來保障DHCP 安全，其中防范中間人攻擊成為DHCP 安全保障體系中最重要的問題[1-2]。中間人攻擊是指敵手隱藏在2 個(gè)或多個(gè)受害者之間，利用欺騙、冒充等手段截取信道中的數(shù)據(jù)，破壞數(shù)據(jù)的機(jī)密性、完整性和可用性[3]。如圖1 所示，當(dāng)2 個(gè)受害者開始傳輸公鑰M1和M2而被敵手截獲并替換成M′1和M′2時(shí)，敵手冒充受害者參與通信。這種類型的攻擊由來已久，理論上可以發(fā)生在每一次的信息交互中，既可以獨(dú)立的攻擊方式造成危害，也可作為實(shí)施更高級(jí)攻擊之前的準(zhǔn)備。例如在當(dāng)前快速發(fā)展的5G 或6G 網(wǎng)絡(luò)時(shí)代，自動(dòng)駕駛和車路協(xié)同應(yīng)用場(chǎng)景網(wǎng)絡(luò)部署具有廣泛密集與異構(gòu)融合的特點(diǎn)，相關(guān)設(shè)備均具有高移動(dòng)性，將會(huì)在不同制式的開放網(wǎng)絡(luò)下頻繁切換配置信息，這對(duì)DHCP 的安全性和效率都提出了更高的要求。

圖1 典型的中間人攻擊

為此，本文研究一種輕量化的DHCP安全方案，防止惡意的第三方攻擊，同時(shí)考慮效率和開銷并兼容原有協(xié)議，做到在原有基礎(chǔ)設(shè)施上的有效部署和運(yùn)行。隨著互聯(lián)網(wǎng)協(xié)議第6 版（IPv6,Internet protocol version 6）應(yīng)用進(jìn)程，所提方案可兼容IPv6 的部分場(chǎng)景，實(shí)現(xiàn)DHCP 第4 版（DHCPv4）到DHCP 第6 版（DHCPv6）的平滑演進(jìn)。所提方案分為2 個(gè)部分：執(zhí)行協(xié)議前的實(shí)體認(rèn)證與密鑰協(xié)商，以及協(xié)議主體中的消息認(rèn)證。前者利用密碼學(xué)理論進(jìn)行身份認(rèn)證并產(chǎn)生會(huì)話密鑰，后者通過密鑰生成相關(guān)簽名以保證消息的完整性和可用性。此外，所提方案在提供目標(biāo)安全的前提下考慮協(xié)議執(zhí)行效率，以達(dá)到輕量化的目的。本文的主要貢獻(xiàn)總結(jié)如下。

1) 提出一種輕量級(jí)的安全DHCP，實(shí)體間的雙向認(rèn)證可以抵抗中間人攻擊，數(shù)字簽名可以確保消息的完整性和合法性。此外，該協(xié)議可以同時(shí)兼容DHCPv4 與DHCPv6 設(shè)置。

2) 分析協(xié)議安全性，經(jīng)分析該協(xié)議可以有效抵御中間人攻擊、參數(shù)竊取攻擊，并能防止前后密鑰泄露。實(shí)驗(yàn)結(jié)果表明，該協(xié)議相較于現(xiàn)有方案具有更高的執(zhí)行效率。

2 相關(guān)工作

DHCP 所面臨的中間人攻擊通常是惡意的服務(wù)器給出錯(cuò)誤的配置信息，使客戶機(jī)所得到的服務(wù)降級(jí)，或是重定向流量為更高級(jí)的攻擊做準(zhǔn)備；也可以是惡意的客戶機(jī)非法占用服務(wù)器的網(wǎng)絡(luò)資源，使合法客戶機(jī)無法進(jìn)行正常的網(wǎng)絡(luò)活動(dòng)。國際互聯(lián)網(wǎng)工程任務(wù)組在DHCP 中加入了身份驗(yàn)證選項(xiàng)[4]，為DHCP 身份驗(yàn)證提供了2 種方法：延遲身份認(rèn)證和配置令牌，但是前者容易受到拒絕服務(wù)攻擊且不能用于域間認(rèn)證，后者存在大量的密鑰管理問題且未得到廣泛使用。文獻(xiàn)[5]提出S-DHCP 方案來強(qiáng)化DHCP 的安全性，通過綜合運(yùn)用橢圓曲線密碼技術(shù)、單向哈希函數(shù)與數(shù)字簽名技術(shù)，提供消息認(rèn)證和實(shí)體認(rèn)證，但該方案基于一個(gè)預(yù)共享的秘密，與延遲認(rèn)證沒有本質(zhì)區(qū)別，同樣存在密鑰的管理問題，還需配合傳統(tǒng)安全信道，影響效率與增加成本，并且在密鑰協(xié)商階段缺少服務(wù)器對(duì)發(fā)起者的身份驗(yàn)證以及對(duì)消息新鮮性的檢測(cè)，容易遭受重放攻擊及其帶來的拒絕服務(wù)攻擊。文獻(xiàn)[6]提出應(yīng)用橢圓加密曲線提高DHCP保護(hù)程度的方法，包括密鑰協(xié)商算法、消息驗(yàn)證碼和消息令牌來保證完整性、防止重放攻擊。文獻(xiàn)[7]的安全認(rèn)證模型OTP_SAM 結(jié)合當(dāng)前系統(tǒng)時(shí)間來計(jì)算一次性密鑰，利用哈希算法生成消息認(rèn)證碼，通過驗(yàn)證Option 字段中的認(rèn)證碼進(jìn)行安全認(rèn)證；該模型具有良好的兼容性，不用修改原數(shù)據(jù)分組長度，客戶機(jī)可以自主選擇是否開啟該模塊功能，但是基于時(shí)間的會(huì)話密鑰要求客戶機(jī)與服務(wù)器的時(shí)鐘同步，其實(shí)現(xiàn)條件較高。

另一類DHCP 安全方案不采用DHCP 驗(yàn)證選項(xiàng)。如文獻(xiàn)[8]提出基于公鑰密碼學(xué)和數(shù)字證書的認(rèn)證方案，使用不同的密鑰長度配合不同的證書類型測(cè)試通信開銷和處理時(shí)間，但客戶機(jī)無法檢測(cè)服務(wù)器的證書撤銷狀態(tài)。文獻(xiàn)[9]提出針對(duì)耗竭攻擊的檢測(cè)方案，通過收集正常時(shí)段DHCP 請(qǐng)求的概率分布作為標(biāo)準(zhǔn)來檢測(cè)異常情況，但對(duì)異常數(shù)據(jù)敏感，易出現(xiàn)誤報(bào)現(xiàn)象。文獻(xiàn)[10]收集和標(biāo)記DHCP 欺騙產(chǎn)生的網(wǎng)絡(luò)流量，為定量分析提供了數(shù)據(jù)支持，并討論若干欺騙攻擊行為引起的流量異常表現(xiàn)。文獻(xiàn)[11]提出一種基于隱馬爾可夫模型的惡意域名檢測(cè)方案，配合Baum-Welch 算法和Viterbi 算法的馬爾可夫模型可以快速準(zhǔn)確分類未知域名，從而實(shí)現(xiàn)有效檢測(cè)，然而，因訓(xùn)練數(shù)據(jù)的隨機(jī)性和不確定性，建模過程中容易產(chǎn)生誤差。

綜上所述，現(xiàn)有方案普遍存在難以部署、與原始協(xié)議不兼容以及密鑰管理等問題，本文方案將針對(duì)這些問題展開研究，并在滿足目標(biāo)安全性的前提下提升方案效率，以達(dá)到輕量化的目的。

3 威脅模型與設(shè)計(jì)目標(biāo)

本節(jié)主要描述方案的威脅模型和設(shè)計(jì)目標(biāo)。首先，本文方案考慮4 種類型的安全威脅。

1) 惡意服務(wù)器攻擊。敵手假冒合法的DHCP，服務(wù)器向客戶機(jī)提供虛假的網(wǎng)絡(luò)配置，從而使客戶機(jī)服務(wù)降級(jí)，無法正常享受網(wǎng)絡(luò)服務(wù)；或借此重定向客戶機(jī)流量到非法的釣魚網(wǎng)站，為進(jìn)一步的攻擊做準(zhǔn)備。

2) 惡意客戶機(jī)攻擊。敵手假冒合法的客戶機(jī)向DHCP 服務(wù)器請(qǐng)求配置相關(guān)參數(shù)，從而非法占用網(wǎng)絡(luò)服務(wù)；或進(jìn)一步發(fā)動(dòng)耗竭攻擊耗盡服務(wù)器有限的IP 地址，使合法客戶機(jī)無法享受網(wǎng)絡(luò)服務(wù)。

3) 參數(shù)竊取攻擊。敵手攻擊服務(wù)器并竊取數(shù)據(jù)庫中的客戶端信息，例如網(wǎng)絡(luò)標(biāo)識(shí)、密碼與驗(yàn)證參數(shù)等，最后嘗試使用這些信息冒充合法客戶機(jī)。

4) 前/后向安全威脅。對(duì)應(yīng)到本文場(chǎng)景指的是，當(dāng)會(huì)話密鑰泄露時(shí)，敵手以此推算出上一個(gè)會(huì)話密鑰或下一個(gè)會(huì)話密鑰，同時(shí)獲得受其保護(hù)的內(nèi)容。

其次，本文方案旨在實(shí)現(xiàn)3 個(gè)方面的設(shè)計(jì)目標(biāo)。

1) 安全目標(biāo)。方案要能抵御威脅模型中定義的攻擊類型。

2) 效率目標(biāo)。在達(dá)到安全目標(biāo)的前提下，較同類型方案具有更高的執(zhí)行效率。

3) 兼容目標(biāo)。方案要與DHCP 原始協(xié)議具有良好的兼容性，具體表現(xiàn)在：①滿足協(xié)議基本格式要求；②不引入新的狀態(tài)、消息類型和參與方；③方案部署后可選擇是否啟用。

4 密鑰協(xié)商算法

本節(jié)主要構(gòu)造一種防范DHCP攻擊的密鑰協(xié)商算法，包括系統(tǒng)初始化、客戶機(jī)注冊(cè)和密鑰協(xié)商等過程。在此之前，介紹該算法涉及的主要符號(hào)和含義，如表1 所示。

表1 符號(hào)說明

1) 系統(tǒng)初始化

①橢圓曲線初始化。選定2 個(gè)大素?cái)?shù)p和q，構(gòu)造有限域Fp上的橢圓曲線y2=x3+ax+b，其中a、b滿足4a3+27b2≠0(modp)，選定階為q的基點(diǎn)P構(gòu)成加法循環(huán)群G，選擇單向函數(shù)。

② 系統(tǒng)參數(shù)初始化。選擇服務(wù)器Si的私鑰，計(jì)算公鑰Sp。

2) 客戶機(jī)注冊(cè)

①客戶機(jī)發(fā)出注冊(cè)申請(qǐng)?？蛻魴C(jī)或網(wǎng)絡(luò)管理員為客戶機(jī)Ui選擇網(wǎng)絡(luò)標(biāo)識(shí)IDi，客戶機(jī)選擇部分私鑰，計(jì)算部分公鑰Xi以及，并將發(fā)送給服務(wù)器Si，其中MAC 是設(shè)備的物理地址?？蛻魴C(jī)可以通過廣播同時(shí)向多個(gè)服務(wù)器注冊(cè)，也可以按照優(yōu)先級(jí)向指定的服務(wù)器注冊(cè)。

② 服務(wù)器驗(yàn)證注冊(cè)信息。服務(wù)器收到消息后先判斷是否注冊(cè)過，有則跳過，沒有則選擇隨機(jī)數(shù)，并計(jì)算，存儲(chǔ){IDi,MAC,c1}，同時(shí)將發(fā)送給客戶機(jī)。

③客戶機(jī)對(duì)服務(wù)器進(jìn)行反向驗(yàn)證?？蛻魴C(jī)在收到回復(fù)后首先判斷AUi是否是新鮮的，接著驗(yàn)證等式是否成立，若驗(yàn)證失敗，則重新申請(qǐng)；若驗(yàn)證成功，則結(jié)合2 個(gè)部分私鑰計(jì)算客戶機(jī)的完整私鑰di和公鑰iD，存儲(chǔ)注冊(cè)成功。

客戶機(jī)注冊(cè)過程如圖2 所示。

圖2 客戶機(jī)注冊(cè)過程

3) 密鑰協(xié)商

② 服務(wù)器驗(yàn)證客戶機(jī)信息。服務(wù)器在收到客戶機(jī)的協(xié)商請(qǐng)求后首先判斷是否是新鮮的，接著驗(yàn)證等式是否成立，若不成立，則拒絕；若成立，則接收并計(jì)算k2，同時(shí)選擇隨機(jī)數(shù)，并計(jì)算Auth1，存儲(chǔ)，然后將{Si,c3,Auth1}發(fā)送給客戶機(jī)。

③客戶機(jī)對(duì)服務(wù)器進(jìn)行反向驗(yàn)證?？蛻魴C(jī)在接收到服務(wù)器發(fā)來的信息后，首先驗(yàn)證Auth1=c2c3Sp是否成立，若不成立，則重新發(fā)起申請(qǐng)；若成立，則計(jì)算skA以及Auth2，并將{Auth2}發(fā)送給服務(wù)器。

④ 服務(wù)器進(jìn)行最后確認(rèn)。服務(wù)器驗(yàn)證Auth2=H3(1,IDi,Si,k2)是否成立，若不成立，則拒絕；若成立，則計(jì)算skB。協(xié)商完成，協(xié)商所產(chǎn)生的會(huì)話密鑰為skA=skB。

協(xié)商過程如圖3 所示。

圖3 密鑰協(xié)商

5 基于密鑰協(xié)商的DHCP 安全方案

為使新的方案能夠匹配現(xiàn)行DHCP，需遵循RFC 3118 中定義的認(rèn)證選項(xiàng)格式[4]，因此，在本文方案應(yīng)用時(shí)將Protocol 字段置為6，并將Algorithm置為8，同時(shí)將驗(yàn)證信息附加在options180 中，采用默認(rèn)RDM（replay detection method）字段值，RD（replay detection）字段使用計(jì)數(shù)器模式來抵抗重放攻擊。此外，設(shè)置簽名默認(rèn)長度為256 B，滿足DHCP長度限制[12-14]。

出于兼容DHCPv4 與DHCPv6 的考慮，方案應(yīng)遵循RFC 3315 中的相關(guān)定義。DHCPv6 是DHCP針對(duì)IPv6 的改進(jìn)，IPv6 地址分配方式大致可以分為2 種：無狀態(tài)地址自動(dòng)配置和有狀態(tài)地址自動(dòng)配置[15]。DHCPv6 是一種有狀態(tài)地址自動(dòng)配置協(xié)議[16]，在配置過程中服務(wù)器分配一個(gè)完整的IPv6地址給主機(jī)，并提供DNS 服務(wù)器地址等其他配置信息，將分配的地址與客戶機(jī)進(jìn)行綁定，從而增強(qiáng)了網(wǎng)絡(luò)的可管理性。DHCPv6 協(xié)議下客戶機(jī)與服務(wù)器的交互分為4 步交互與2 步快速交互，其報(bào)文與DHCPv4 類似，具有對(duì)應(yīng)關(guān)系[17]。

當(dāng)客戶機(jī)與服務(wù)器完成第4 節(jié)的注冊(cè)與密鑰協(xié)商過程，生成skA與skB后便可發(fā)起DHCP 服務(wù)，如圖4 所示，詳述過程如下。

圖4 DHCPv4/DHCPv6 消息認(rèn)證

①客戶機(jī)發(fā)起 DHCP 請(qǐng)求?？蛻魴C(jī)發(fā)送Discover/Solicit 報(bào)文，并在報(bào)文的相關(guān)字段中表明啟用本文方案，要求服務(wù)器進(jìn)行消息認(rèn)證；如果客戶機(jī)啟用2 步快速分配，則還需在報(bào)文中攜帶Rapid Commit 選項(xiàng)（僅在DHCPv6 中）。

② 服務(wù)器處理客戶機(jī)請(qǐng)求。收到報(bào)文的服務(wù)器首先判斷客戶機(jī)選擇的請(qǐng)求方案，如果采用本文方案，則先驗(yàn)證RD 字段是否符合標(biāo)準(zhǔn)，不符合則跳過，符合則開始準(zhǔn)備Offer/Advertise 報(bào)文；若消息中攜帶有Rapid Commit 選項(xiàng)，并且服務(wù)器支持快速分配過程，則跳到步驟④開始構(gòu)建Reply 報(bào)文，否則繼續(xù)。Offer/Advertise 報(bào)文中包含提供給客戶機(jī)的IP 地址、租賃期以及默認(rèn)網(wǎng)關(guān)等配置信息，同時(shí)更新RD 字段。此外，為了認(rèn)證消息，需要將服務(wù)器的簽名附加在 Offer/Advertise 報(bào)文的options180 字段中，簽名為SS1=H4(IDi,Si,skB,MAC,IP,GW,RD1)，其中MAC 是設(shè)備的物理地址，此外，還包含之前協(xié)商的會(huì)話密鑰以及主要配置信息，同時(shí)加入RD 值保證消息的新鮮性。

③客戶機(jī)驗(yàn)證服務(wù)器。收到Offer/Advertise消息的客戶機(jī)首先檢測(cè)RD 值是否嚴(yán)格高于舊的RD 值，若不滿足，則丟棄；若滿足，則提取報(bào)文中的配置信息，并計(jì)算CS1=H4(IDi,Si,skA,MAC,IP,GW,RD1)，驗(yàn)證CS1=SS1是否成立，若不成立，則丟棄；若成立，則開始準(zhǔn)備Request報(bào)文。Request 報(bào)文是客戶機(jī)用來確認(rèn)所要申請(qǐng)的具體IP 地址以及其他網(wǎng)絡(luò)參數(shù)，其主要內(nèi)容與Offer/Advertise 報(bào)文類似，同時(shí)更新RD 值，并計(jì)算CS2=H4(IDi,Si,skA,MAC,IP,GW,RD2)，附加在Request 報(bào)文中，發(fā)送給服務(wù)器。

④ 服務(wù)器驗(yàn)證客戶機(jī)。服務(wù)器收到消息后首先驗(yàn)證RD 是否符合要求，同時(shí)提取報(bào)文中的配置信息計(jì)算SS2=H4(IDi,Si,skB,MAC,IP,GW,RD2)，驗(yàn)證SS2=CS2是否成立，若不成立，則丟棄；若成立，則用相同的方法構(gòu)建ACK/Reply 報(bào)文，發(fā)送給客戶機(jī)。

⑤ 客戶機(jī)最后確認(rèn)。客戶機(jī)在接收到ACK/Reply 報(bào)文后用相同的方法進(jìn)行驗(yàn)證，若驗(yàn)證失敗，則丟棄；若驗(yàn)證成功，則開始配置相關(guān)網(wǎng)絡(luò)參數(shù)。

對(duì)DHCPv6，上述過程和圖4 中SS1、CS1、CS2和SS2的計(jì)算是將IDi和Si分別替換為客戶機(jī)設(shè)備唯一標(biāo)識(shí)符 DUIDc 和服務(wù)器設(shè)備唯一標(biāo)識(shí)符DUIDs。另外，在實(shí)際應(yīng)用中會(huì)有更多的狀態(tài)和過程，都可以用相同的方式制作簽名。

6 安全性分析

本文方案的安全性體現(xiàn)在2 個(gè)方面：密鑰協(xié)商過程的安全性以及DHCP認(rèn)證過程中簽名的不可偽造性，而后者的安全性依賴于前者的會(huì)話密鑰安全，故本節(jié)主要對(duì)協(xié)商算法進(jìn)行安全分析。

6.1 BAN 邏輯分析

BAN 邏輯是一種形式化的分析方法，普遍用來分析協(xié)議的正確性和安全性。本節(jié)將使用BAN 邏輯對(duì)密鑰協(xié)商算法進(jìn)行形式化分析。現(xiàn)將符號(hào)表示如下：C和S表示主體，Kij表示主體i和j之間共享的密鑰，Ki和分別表示i的公鑰與私鑰。

由于協(xié)議具有對(duì)稱的結(jié)構(gòu)，因此C相信S一定也能得出相同的信仰，即

根據(jù)以上推理，得出全部4 個(gè)安全目標(biāo)，達(dá)到本文方案預(yù)期目的。

6.2 啟發(fā)式安全分析

1) 抗惡意服務(wù)器攻擊

在客戶機(jī)注冊(cè)階段，客戶機(jī)Ui首先通過檢查參數(shù)的新鮮性來抵抗重放攻擊；接著通過參數(shù)來檢測(cè)參數(shù)是否被篡改，同時(shí)驗(yàn)證服務(wù)器的身份，敵手若想偽造，需捕獲參數(shù)和參數(shù)，通過服務(wù)器的公鑰Sp，利用Sp=SsP反解出私鑰Ss，為橢圓曲線上的離散對(duì)數(shù)問題；在密鑰協(xié)商階段，客戶機(jī)通過參數(shù)Auth1來檢測(cè)參數(shù)c3是否被篡改，同時(shí)驗(yàn)證服務(wù)器的身份，敵手若想偽造Auth1，需捕獲參數(shù)c3和參數(shù)，以同樣的方法求解私鑰Ss，這在計(jì)算上是不可行的[18-19]。

2) 抗惡意客戶機(jī)攻擊證明

在密鑰協(xié)商階段，服務(wù)器Si為首次驗(yàn)證客戶機(jī)，通過檢查參數(shù)FUi的新鮮性來抵抗重放攻擊；接著通過參數(shù)cd 來檢測(cè)參數(shù)FUi是否被篡改，同時(shí)驗(yàn)證客戶機(jī)的身份，敵手若想偽造cd，需要捕獲參數(shù)c2和客戶機(jī)私鑰di，但這2 個(gè)參數(shù)都未在信道中傳輸過，只能通過FUi=c2P和Di=diP進(jìn)行反解，也是離散對(duì)數(shù)問題；在密鑰協(xié)商階段，服務(wù)器Si第二次驗(yàn)證客戶機(jī)是通過參數(shù)Auth2來判斷客戶機(jī)身份，敵手若想偽造Auth2，需要同時(shí)捕獲參數(shù)IDi和參數(shù)Si，以計(jì)算私鑰di是不可行的。

3) 抗參數(shù)竊取攻擊證明

服務(wù)器中存有客戶機(jī)的IDi和MAC，但缺少客戶機(jī)私鑰則無法完美冒充合法客戶機(jī)，客戶機(jī)私鑰由客戶機(jī)自身和服務(wù)器兩部分選取產(chǎn)生，只竊取一部分則無法計(jì)算出完整私鑰。

4) 防前/后向安全威脅證明

會(huì)話密鑰中除客戶機(jī)、服務(wù)器的各自私鑰外，還包含客戶機(jī)與服務(wù)器各自選擇的隨機(jī)數(shù)，而隨機(jī)數(shù)的選取依賴于所使用的偽隨機(jī)數(shù)算法，如果客戶機(jī)與服務(wù)器采用不同的偽隨機(jī)數(shù)算法，敵手想要同時(shí)破解難度很大；即使敵手以極小的概率猜測(cè)出隨機(jī)數(shù)變化的規(guī)律，想要影響前/后安全性還需要同時(shí)獲得客戶機(jī)與服務(wù)器的私鑰，所以認(rèn)為會(huì)話密鑰的產(chǎn)生是動(dòng)態(tài)變化的，即使敵手獲得某一時(shí)刻的密鑰也不會(huì)造成前/后向的安全威脅。

7 性能分析和比較

本文實(shí)驗(yàn)分析利用開放密碼庫OpenSSL 測(cè)試方案的性能[20]，在2.6 GHz 處理器和8 GB 內(nèi)存的Windows 10 環(huán)境上運(yùn)行。忽略前期的密鑰協(xié)商，對(duì)比方案主體部分與原始DHCP 的時(shí)間開銷。從圖5中可以看出，加入數(shù)字簽名和驗(yàn)證給協(xié)議帶來一定的時(shí)延。雖然本文方案在原始協(xié)議的基礎(chǔ)上會(huì)引入一些安全開銷，但與此同時(shí)也提供了可靠的安全性，數(shù)字簽名與消息摘要的加入使參與方可以進(jìn)行實(shí)體認(rèn)證與消息認(rèn)證，安全分析也表明其能有效緩解中間人攻擊的威脅，并且其帶來的額外開銷是輕量的。

圖5 本文方案與原始方案的性能對(duì)比

本文方案與文獻(xiàn)[5]的CA、S-DHCP 方案和文獻(xiàn)[2]的DSec 方案的仿真數(shù)據(jù)如圖6 所示。從圖6可以看出，本文方案在性能上要明顯優(yōu)于另外3 種方案，且隨著客戶機(jī)數(shù)量的增加而越來越明顯。從這些方案的安全性上看，本文方案與S-DHCP 方案默認(rèn)使用基于橢圓曲線的256 bit 長度的密鑰，CA方案與DSec 方案默認(rèn)使用基于RSA 的3 072 bit 長度的密鑰，兩者的密鑰安全性相當(dāng)[21-22]，然而CA方案中的證書長度很容易超出DHCP 限制，需將消息分段傳輸，因而增加了遭遇中間人攻擊的風(fēng)險(xiǎn)；S-DHCP 方案在密鑰協(xié)商階段缺少服務(wù)器對(duì)發(fā)起者的身份驗(yàn)證和消息新鮮性的檢測(cè)，容易遭受重放攻擊及其帶來的拒絕服務(wù)攻擊；DSec 與S-DHCP 方案的前提都是基于一個(gè)預(yù)共享的秘密，與延遲認(rèn)證同樣存在密鑰的管理問題。

圖6 本文方案與不同方案的性能對(duì)比

綜上所述，本文方案能夠有效緩解中間人攻擊的威脅，且在性能表現(xiàn)上優(yōu)于同類型方案，是更加輕量的安全方案。

8 結(jié)束語

本文針對(duì)互聯(lián)網(wǎng)中普遍存在的中間人攻擊問題，以DHCP 為背景，提出安全快速的交互方案，旨在緩解有關(guān)網(wǎng)絡(luò)攻擊和安全威脅，即通過實(shí)體認(rèn)證與密鑰協(xié)商，結(jié)合數(shù)字簽名與摘要進(jìn)行消息認(rèn)證。協(xié)商算法結(jié)構(gòu)緊湊，通過雙向認(rèn)證防范攻擊行為，有較高的執(zhí)行效率；使用協(xié)商后的會(huì)話密鑰構(gòu)造數(shù)字簽名，簽名包含配置參數(shù)保持消息關(guān)聯(lián)性，且容易附著在常規(guī)協(xié)議中對(duì)信息進(jìn)行完整性和可靠性驗(yàn)證；遵循格式規(guī)范，不引入新的狀態(tài)與參與方，使方案可以同時(shí)兼容DHCPv4 與DHCPv6；通過安全性分析本文方案防御攻擊的能力，通過性能分析其執(zhí)行效率的提高程度。下一步工作是研究在保證安全性的前提下如何減少參與方之間的交互次數(shù)。