中国的无线局域网安全标准中认证模型的分析和改进.pdfVIP

中国无线局域网安全标准中认证模型的分析与改进 李兴华1，2马建峰1文相在2 1(西安电子科技大学计算机网络与信息安全教育部重点实验室，陕西西安。710071) 2(国立庆北大学移动网络安全技术研究中心，大邱702．701，韩国) 摘要：本文对无线局域网国家标准WAPI的认证模块WAI进行了分析，结果表明，其密钥 协商部分不安全，身份认证和密钥协商没有实现有机的结合，因此该模块没有其实现身份认证 和密钥协商的目的。为此，我们对该模块中密钥协商部分进行了改进，改进后的协议达到了通 用可组合的安全(UC．secure)强度，实现了身份认证和密钥协商的有机结合，保证了WAI能够 安全地实现身份认证和密钥协商。与原协议相比，改进后的协议只增加了一条消息，客户端 STA和接入点AP各增加了3次消息认证码的计算．由于改进的方案保持了原WAI的框架， 所以原方案只需要很小的改动就可以克服其安全缺陷。同时，与国标实施指南相比，改进方案 安全性更高，计算量更小．另外，在该协议改进的基础上我们给出了一个密钥协商协议改进的 通用方法。 关键词：WAPI，WAI，认证及密钥协商，SK-SeCI．IIe，UC．sccure 为了解决无线局域网中的安全问题，2003年中国推出了自己的无线局域网国家标准 Authenticationand GBl5629．11。其安全机制WAPI(WLANPrivacy Authentication WAI(WLAN Infrastructure)和WPI(WLANPrivacy 分别实现对用户身份的鉴别和对传输数据的加密【lJ。2004年，全国信息技术标准化技术委 员会宽带无线IP标准工作组颁布了该国标的实施指南，对其中的w趟的密钥协商部分进 行了修订[21。 全缺陷，如：不能够抵抗未知密钥共享攻击和密钥泄漏伪装攻击等，并没有安全地实现身 份认证和密钥协商的目的。我们对其中的密钥协商部分进行了改进，改进后的协议具有通 商。改进后的协议和原协议相比，只增加了一条消息的传输，基本上没有增加计算量。而 且，相对于国标实施指南，改进的方案在安全性和计算量上也有着明显的优势。另外， 在该协议改进的基础上我们给出了一个密钥协商协议改进的通用方法。 节对w越进行了分析，指出了其存在的安全缺陷，提出了改进的目标和方法。第三节给 出了改进方案。第四节对改进后的密钥协商协议进行了安全性分析，证明了它是UC．secure 的。第五节将改进后方案同原国标和实施指南的方案进行了分析比较；并给出了密钥协商 协议改进的一个通用方法。第六节对本文进行了总结。 1．预备知识 1．1 Canetti—Krawczyk模型 中国无线局域网安全标准中认证模型的分析与改进 1363 化方法【3l。在本节中，我们对该模型进行简单的介绍。 密钥交换协议运行在一个由多个实体互连的网络上，其中的每一个实体都可以运行该 协议的一个实例，我们称该实例为一个会话。这样的会话是一个四元组∽，且xy)，其中A是 该会话的拥有者，B是4的通信对端实体，X是A在该会话中发出的消息，】，是其接收的 Xy)的匹配会话。匹配会话在CK模型的安全定义中扮 消息。会话@A，Z∞称为是似，E 演着很重要的角色pJ。 (1)攻击模型 CK模型中定义的攻击者反映了开放网络中攻击者真实的攻击能力。它除了能够控制 通信链路和控制协议事件的调度外，还能够通过明确的攻击手段来得到协议参与者存储器 中的秘密信息。CK模型根据攻击者能够得到的信息将攻击分为三类： 攻陷参与者(partycorruption)。攻击者能够随时决定攻陷一个实体，在这种情况下， 攻击者能够得到该实体内部存储的所有信息，这些信息包括长期的秘密以及和会话具体相 关的信息。 ．会话密钥查询(session—keyquery)。攻击者通过该查询能够得到一个已经完成的会话 的会话密钥。 会话状态暴露(session—statereveal)。攻击者通过此攻击能够得到一个还未完成会话 的内部状态。 如果一个会话或者其匹配会话遭受到以上的攻击，我们称该会话被“暴露”了。 (2)