Internet密钥交换协议的安全缺陷分析A.PDFVIP

1000-9825/2002/13(06)1173-05 ©2002 Journal of Software 软 件 学 报 Vol.13, No.6 Internet 密钥交换协议的安全缺陷分析 1 1 2 1 张 勇 , 冯东雷 , 陈涵生 , 白英彩 1(上海交通大学 计算机科学与工程系,上海 200030); 2(华东计算技术研究所,上海 201800) E-mail: yzhang818@ 摘要: IKE(Internet key exchange,RFC2409)提供了一组Internet 密钥交换协议, 目的是在IPSec(IP security)通信双 方之间建立安全联盟和经过认证的密钥材料.随后有学者发现 IKE 协议存在一个安全缺陷,并给出相应的修改 建议.指出了修改后的IKE 协议仍然存在类似的安全缺陷,并描述了一个成功的攻击.在给出修改建议的同时,成 功地利用BAN 逻辑分析了导致这两个安全缺陷的原因. 关 键 词: Internet 密钥交换协议;安全联盟;认证;主模式;认证者 中图法分类号: TP393 文献标识码: A IPSec(IP security)是一种协议套件,可以“无缝”地为IP 引入安全特性,并为数据源提供身份验证、数据完整 性检查以及数据机密性保护机制,可以防范数据受到来历不明的攻击. 同时,IPSec 也是目前适用于所有 Internet 通信的惟一一种安全技术. IPSec 提供的安全服务需要用到共享密钥,它是提供认证和机密性的基础.为了动态验证IPSec 参与各方的 身份,协商安全服务以及生成共享密钥等,IETF(Internet engineering task force) 的IPSec 工作组制定了Internet 密 钥交换协议[1] .IKE(Internet key exchange)协议的目的是在IPSec 通信双方之间建立安全联盟以及经过认证的密 钥材料. IKE 协议已被广泛地研究和应用. 目前有多家公司推出了基于IKE 的产品.但是,文献[2]指出了IKE 协议存 在的一个安全缺陷,并对 IKE 协议进行了修改.本文将指出,文献[2]的作者对IKE 协议的修改并不完善,将会引 起另一个类似的安全缺陷.两个安全缺陷都是由认证过程中使用的认证者的不完整性所造成的. 1 IKE 协议简介 IKE 利用 ISAKMP[3]语言描述了一种混合型协议,它建立在 ISAKMP 定义的框架上,提供了 Oakley[4]和 SKEME[5]密钥管理协议的一部分, 同时还定义了自己的两种密钥交换技术. IKE 协议分为两个阶段.第 1 阶段,通信双方建立经过认证和安全保护的通道,即协商 ISAKMP 安全联盟. 该阶段有两种工作模式,包括主模式和野蛮模式.第2 阶段,利用该ISAKMP 安全联盟为IPSec 安全协议协商具 体的安全联盟,称为IPSec SA.此阶段采用快速模式. 在通信双方之间建立安全通信的一个非常重要的步骤是认证对方的身份,未经过认证的SA 和会话密钥不 算是安全的.在IKE 协议中,通信双方建立共享秘密的惟一方式是采用Diffie-Hellman 交换. Diffie-Hellman 密钥交换协议最大的缺陷是无法抵御中间人攻击(man-in-the-middle),其原因是参与密钥协 收稿日期: 2000-08-15; 修改日期: 2001-03-01 作者简介: 张勇(1971 －), 男,河南郑州人,博士生,主要研究领域为计算机网络安全,密码协议, 网络管理;冯东雷(1972 －), 男,海 南人,博士生,主要研究领域为分布式系统,协议工程;陈涵生(1938 －), 男,上海人,研究员,博士生导师,主要研究领域为软件工程,分布 式系统,语言编译; 白英彩(1936 －),上海人,教授,博士生导师,主要研究领域为计算机网络及其应用. 1174 Journal of Software 软件学报 2002,13(6) 商过程的通信双方没有办法来验证他们正与另一方进行会话.为了弥补 Diffie-Hellman