WTLS握手协议的安全性分析及改进.pdfVIP

第2l卷第4期 中国科学院研究生院学报 V01．21No．4 oftheGraduateSchooloftheChinese ofSciences October2004 2004年10月 Journal Academy 文章编号：1002—1175(2004)04-0494-07 WTLS握手协议的安全性分析及改进木 邹学强 冯登国 (信息安全国家重点实验室(中国科学院研究生院)，北京100039) (2003年6月13日收稿；2003年12月12日收修改稿) 摘 要 对WTLS握手协议的安全性能进行分析，指出其存在的安全缺陷和可能产生的安全 威胁，利用签名加密机制对握手协议进行了改进，以实现向前保密和用户匿名保护，最后对改 进协议的安全性作了讨论． 关键词 签名加密，向前保密性，用户匿名 中图分类号TP393 1 引言 WILS协议…的主要目标是为通信实体提供机密性、数据完整性和认证服务．它由握手协议、报警 协议、改变密码规定协议和记录协议4个协议组成．其中握手协议主要用于实现WTLS层上安全会话属 性的协商，为安全会话和记录协议上的操作生成密码参数，但目前的握手协议缺乏向前保密和用户匿名 保护等安全特性． 向前保密性旧’31的思想是密钥泄漏前签名文件的安全性，有别于密钥泄漏后签名文件的安全性，其 作用是保证长期密钥的受损不会危及先前协议运行期间所建立的会话密钥，也就是保护先前的行为不 受当前密钥的影响．目前方案[40已经利用签名加密机制实现了向前保密性，而方案[5’61进一步把向前保 密性延伸到移动通信环境中． 移动通信和移动电子商务活动的用户所有权特性，即用户匿名被认为是一个重要的安全属性，它实 现对用户身份的机密性保护．在利用签名加密机制实现向前保密性的基础上，通过对认证协议作进一步 改进，使其满足用户匿名性要求∞川J． 2向前保密性 钥交换协议才可以实现向前保密性，而事实上包括RSA在内的许多非对称密码方案，都可以实现向前 保密性．下面分别对DH方案和RSA方案实现向前保密性的机制进行介绍． 2．1基于DH密钥交换协议的方法 图1是一个简单的DH密钥协商协议，实体A、B选取各自的随机数R。和R。，并分别对应计算出 R。P和R。P，双方通过非安全信道交换R。P和R。P后，可以分别计算它们之间通信所需的秘密会话密 钥K^B． ·国家自然科学基金项目和国家重点基础研究发展规划项目(G1999035802)资助 E-mail：fjxqzou@aina．com 万方数据 第4期 邹学强，冯登国：WTLS搌手协议的安全性分析及改进 495 圈1简单DH密钥协商协议 图2是上述的简单DH密钥协商协议的抽象化描述： 图2简单DH密钥协商协议的抽象化描述 明文发送，会话密钥的计算不涉及协议的长期密钥，因此协议满足了向前保密性要求，其中对协议的一 个安全要求是通信双方在该次对应会话完成后应该能够安全地删除短期密钥． 2．2基于lISA密钥交换协议的方法 从图3中RSA基本密钥交换协议的抽象化描述可以发现，协议实现的向前保密性是基于由实体B 的短期私钥进行解密并恢复r。，进而计算出K。。，这当中同样没有应用到协议的长期密钥，实现了向前 保密性安全要求． 圈3 RSA基本密钥交换协议的抽象化描述 通过比较上述两个抽象化协议可以发现，它们之间的区别在于DH方案是基于具有对称密码属性 的密钥协商函数F，而RSA方案是基于应用短期公开密钥带来的机密性．图4的RSA密钥交换协议是 对图3抽象化协议的还原： 图4 lISA密钥交换协议 3 WTLS握手协议现状 3．1握手协议工作简介 在具体介