一种对中间人攻击的防范策略的研究.docx

CN4321258/TPISS计算机工程与科学COMPUTERENGINEERINGSCIENCE2004年第26卷第9期Vol126,No19,2004文章编号(2004)0920007202Ξ一种对中间人攻击的防范策略的研究ResearchonaDefendingStrategyforMan2in2the2MiddleAttacks肖道举,郭杰,陈晓苏XIAODao2ju,GUOjie,CHENXiao2su(华中科技大学信息存储系统教育部重点实验室,湖北武汉430074)(KeyLaboratoryofDataStorageSystems,HuazhongUniversityofScienceandTechnology,Wuhan430074,China)摘要:本文针对目前出现的对PKI的中间人攻击,分析了PKI中的两种安全隐患:如果客户端不能提供身份认证或者不能获得服务器证书的有效性检验,攻击者利用中间人攻击方法就可以完全偷听会话内容。文章还讨论了防范中间人攻击的策略,运用这种防范策略可以达到有效地防止中间人攻击的目的;最后对防范策略作了安全性分析。Abstract:Foranewlyappearedman2in2the2middleattacktoPKI,twokindsofhiddentroublesofPKIareana2lyzed:Iftheclientcannotprovideidentificationandcannotgettheverificationoftheservercertification,theat2tackercanusetheman2in2the2middleattackmethodtoeavesdropthewholecommunication.Thispaperalsodiscuss2esadefendingstrategy,whichcanbeusedtopreventman2in2the2middleattackseffectively.Finally,thesecurityanalysisofthisstrategyisgiven.关键词:公钥基础设施;证书撤消列表;消息鉴别码;随机数;中间人攻击Keywords:publickeyinfrastructure;certificaterevocationlist;messageauthenticationcode;randomnum2ber;man2in2the2middleattack中图分类号:TP309文献标识码:A施PKI(PublicKeyInfrastructure,简称PKI)安全体系的出现,使人们可以利用认证中心CA(Certifi2cateAuthority,简称CA)颁发的数字证书来实现通信双方的身份认证、信息的加密和解密,以达到加强网络通信安全的目的。PKI成为保证数据完整性、真实性、保密性和不可否认性的基石。PKI是建立在第三方信任的基础上,通信的任何一方都要用CA申请的证书来证明自己已经得到了CA的信任。与证书有关的密钥对可以在引言1随着计算机和因特网技术的飞速发展,网络技术已应用到社会的各个领域,成为人们生活中不可缺少的一部分。然而,开放性和匿名性也决定了互联网不可避免地存在安全隐患。特别是电子商务的出现和蓬勃发展,给网络安全提出了更高的要求。基于密码学和公钥认证的公钥基础设Ξ收稿日期:2003211213;修订日期:2004201206作者简介:肖道举(1954-),男,湖北武汉人,副教授,研究方向为计算机网络和安全技术;郭杰,硕士生,研究方向为网络安全技术;陈晓苏,教授,研究方向为计算机网络和网络安全技术。通讯地址:430074湖北省武汉市华中科技大学计算机学院;Tel:(027E2mail:d-j-xiao@Address:SchoolofComputerScienceandTechnology,HuazhongUniversityofScienceandTechnology,Wuhan,Hubei430074,P.R.China两个不同的位置产生1:CA和客户端。如果用户端不希望CA拥有自己的私钥,可以自己产生密钥对,仅仅把公钥发送给CA。当证书过期或者私钥泄露时,就撤消这个证书,并提交给证书撤消列表CRL(CertificateRevocationList,简称CRL)。使用证书前,通过检查CRL就可以确定其有效性。但是,事实上CRL是一个静态的基础设施,用它钥,在这个密钥的保证下,双方建立安全的连接。为了清楚地说明这种策略,定义以下符号:C和S分别表示客户端和服务器端(也就是CA);“→”表示消息传输方向;RC和RS分别表示客户端