一种对中间人攻击的防范策略的研究_肖道举
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
关键词 :公钥基础设施 ;证书撤消列表 ;消息鉴别码 ;随机数 ;中间人攻击 Key words :public key infrastructure ; certificate revocation list ; message authentication code ; random num2 ber ; man2in2the2middle attack 中图分类号 :TP309 文献标识码 :A
Technology , Wuhan 430074 , China)
摘 要 :本文针对目前出现的对 PKI 的中间人攻击 ,分析了 PKI 中的两种安全隐患 :如果客户端不 能提供身份认证或者不能获得服务器证书的有效性检验 ,攻击者利用中间人攻击方法就可以完全偷听 会话内容 。文章还讨论了防范中间人攻击的策略 ,运用这种防范策略可以达到有效地防止中间人攻击 的目的 ;最后对防范策略作了安全性分析 。
8
钥 ,在这个密钥的保证下 ,双方建立安全的连接 。
为了清楚地说明这种策略 , 定义以下符号 : C
和 S 分别表示客户端和服务器端 ( 也就是 CA) ;
“ →”表示消息传输方向 ; RC 和 RS 分别表示客户 端和服务器端产生的随机数 ; KC+ 和 KC- 分别表示 客户端的公钥和私钥 ; C ( KS+ ) 表示 S 包含公钥的 合法证书 ; C ( K′S+ ) 表示 S 包含公钥的非法证书 ; ( X) K 表示把 X 用密钥 K 加密 ;消息“ …→( X) A” 表示发送给 X 的消息被 A 窃取 ; 消息“A ( X) →
私钥 KC- 只客户端拥有 。服务器端用 KC+ 加密服
务器端的随机数 RS , 在 step 2 发送的消息中发送
给客户端 。正常情况下 , 攻击者因为没有私钥而
不能解密随机数 RS 。然后 ,用这些随机数生成会 话密钥 K。为了防止任何基于重放和篡改的攻
击 ,使用消息鉴别码 MAC (Message Authentication
法的证书 ,成功地实施中间人攻击 。中间人攻击
过程如下所示 :
step
1
C
→(
S)
A
:{
RC ,
K
+ C
}
step 2 A ( C) →S :{ RC , K′C+ }
step 3 S →( C) A :{ ( RS) K′C+ }
step 4 A ( S) →C :{ ( RS) KC+ }
Abstract :For a newly appeared man2in2the2middle attack to PKI , two kinds of hidden troubles of PKI are ana2 lyzed : If the client can not provide identification and can not get the verification of the server certification , the at2 tacker can use the man2in2the2middle attack method to eavesdrop the whole communication. This paper also discuss2 es a defending strategy , which can be used to prevent man2in2the2middle attacks effectively. Finally , the security analysis of this strategy is given.
2 两种安全隐患
安全隐患有如下两种 : (1) 证书发布时的安全隐患 。与证书有关的 客户端密钥对可以在 CA 或客户端产生 。如果密 钥对在 CA 产生 ,要把私钥通过安全的方式发送 给客户端 ,就需要验证客户端的身份 ,否则就有可 能出现冒充合法客户端窃取私钥并申请证书的中 间人攻击 ;如果密钥对在客户端产生 ,说明客户端 不希望 CA 知道其私钥 ,但必须把公钥安全地提 交给 CA 。对 PKI 的用户来说 ,其公钥是公开的 , 如果只是简单地提交公钥就可能出现问题 ,因为 存在利用合法用户的公钥非法申请证书或修改用 户信息的可能 ,所以也需要验证客户端的身份 ,否 则就存在安全隐患 。 (2) CRL 不能及时更新的安全隐患 。遵照 X. 509 的规定[3] ,证书发布者定期发布 CRL 。然 而 ,证书的撤销请求是随机的 。从证书撤销请求 到新的 CRL 发布之间存在着不确定的时间差 。 在这段时间中 ,被撤销的证书的状态与 CRL 中是 不一致的 ,因此客户端可能得不到 CA 的最新证 书 。如果证书撤消是由于私钥的泄露 ,那么窃取 证书的攻击者就可以轻松地进行中间人攻击 。 以上两种安全隐患可能同时出现 ,这就迫切 需要一种防范策略来解决这类问题 。
step 10 A ( S) →C :{ ( MAC ( K,1 ,4 ,6 ,7) ) K}
step 11 C →( S) A :{ ( MAC ( K,1 ,4 ,6 ,7) ) K}
step 12 A ( C) →S :{ ( MAC ( K,2 ,3 ,5 ,8) ) K}
(下转第 15 页)
PKI 是建立在第三方信任的基础上 ,通信的 任何一方都要用 CA 申请的证书来证明自己已经 得到了 CA 的信任 。与证书有关的密钥对可以在
Ξ 收稿日期 :2003211213 ;修订日期 :2004201206 作者简介 :肖道举 (1954 - ) ,男 ,湖北武汉人 ,副教授 ,研究方向为计算机网络和安全技术 ;郭杰 ,硕士生 ,研究方向为网络安全技 术 ;陈晓苏 ,教授 ,研究方向为计算机网络和网络安全技术 。 通讯地址 :430074 湖北省武汉市华中科技大学计算机学院 ;Tel : (027) 87541689 ; E2mail :d-j-xiao @mail . hust . edu. cn Address :School of Computer Science and Technology , Huazhong University of Science and Technology , Wuhan , Hubei 430074 , P. R. China
1 引言
随着计算机和因特网技术的飞速发展 ,网络 技术已应用到社会的各个领域 ,成为人们生活中 不可缺少的一部分 。然而 ,开放性和匿名性也决 定了互联网不可避免地存在安全隐患 。特别是电 子商务的出现和蓬勃发展 ,给网络安全提出了更 高的要求 。基于密码学和公钥认证的公钥基础设
施 PKI ( Public Key Infrastructure ,简称 PKI) 安全体 系的出现 ,使人们可以利用认证中心 CA ( Certifi2 cate Authority ,简称 CA) 颁发的数字证书来实现通 信双方的身份认证 、信息的加密和解密 ,以达到加 强网络通信安全的目的 。PKI 成为保证数据完整 性 、真实性 、保密性和不可否认性的基石 。
…”表示 A 伪造 X 发送的消息 。
3. 1 方法初探
首先 ,防范策略必须为匿名的客户端提供身
份认证 ,认证过程如下所示 :
step
1
C
→S
:{
RC ,
K
+ CБайду номын сангаас
}
step 2 S →C :{ ( RS) KC+ }
step 3 S →C :{ C( KS+ ) }
step 4 C →S :{ ( R′C) KS+ }
3 对中间人攻击的防范策略
为了消除上面两种安全隐患 ,不仅要提供客 户端身份认证 ,而且要确保在 CRL 不能提供有效 性检验的情况下验证证书的有效性[4] 。下面基于 套接层 SSL 握手协议 ,提出一种防范策略 :在传送 敏感信息之前 ,双方通过若干次通信 ,安全地交换 各自产生的随机数 ,并用随机数导出一个会话密
4 性能测试
我们选择的测试对比环境有三种 : 基于 VIA 的网络块设备 (NBD/ VIA) 、基于普通网卡的网络 块设备 (NBD/ NIC) 和基于本地系统的块设备 (BD/ Local) 。文件系统选择 ext2 。从测试的结果来看 , 在 VIA 上的性能明显优于传统 TCP/ IP 的性能 ,达 到了近似本地硬盘的速度 。这是由于在 VIA 上消 除了 TCP/ IP 协议栈的软件开销 ,同时减少了核态 与用户态的数据拷贝和上下文切换的开销 ,因而 性能得到了很大提高 。
CN4321258/ TP ISSN 10072130X
计算机工程与科学
COMPUTER ENGINEERING & SCIENCE
2004 年第 26 卷 第 9 期 Vol126 ,No19 ,2004
文章编号 :10072130X(2004) 0920007202
一种对中间人攻击的防范策略的研究 Ξ
Code ,简称 MAC) ,1 、2 、3 、4 分别表示 step1~ step 4
中发送的消息 。
然而 ,攻击者可以冒充客户端 ,伪造非对称密 钥对 K′C+ 和 K′C- (对应的私钥) , 并用它们代替客 户端合法的密钥对 ;同时 ,由于没有采取验证服务
器证书的措施 , 攻击者可以用非法的证书替换合
7
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
两个不同的位置产生[1] :CA 和客户端 。如果用户 端不希望 CA 拥有自己的私钥 ,可以自己产生密 钥对 ,仅仅把公钥发送给 CA 。当证书过期或者私 钥泄露时 ,就撤消这个证书 ,并提交给证书撤消列 表 CRL ( Certificate Revocation List ,简称 CRL) 。使 用证书前 ,通过检查 CRL 就可以确定其有效性 。 但是 ,事实上 CRL 是一个静态的基础设施 ,用它 来保证动态的有效性是困难的[2] ,因此存在一些 安全隐患 。
Research on a Defending Strategy for
Man2in2the2Middle Attacks
肖道举 ,郭 杰 ,陈晓苏 XIAO Dao2ju , GUO jie , CHEN Xiao2su ( 华中科技大学信息存储系统教育部重点实验室 ,湖北 武汉 430074) ( Key Laboratory of Data Storage Systems , Huazhong University of Science and
step 5 C →S :{ ( MAC( K ,1 ,2 ,3 ,4) ) K}
step 6 S →C :{ ( MAC( K ,1 ,2 ,3 ,4) ) K}
客户端为本次会话产生一个随机数 RC 和一
对临时非对称密钥 KC+ 和 KC- , 并在 step 1 发送的
消息中把随机数 RC 和公钥 KC+ 发送给服务器端 ,
step 5 S →A ( C) :{ C( KS+ ) }
step 6 A ( S) →C :{ C( K′S+ ) }
step 7 C →( S) A :{ ( R′C) K′S+ }
step 8 A ( C) →S{ ( R′C) K′S+ }
step 9 S →( C) A :{ ( MAC( K ,2 ,3 ,5 ,8) ) K}
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
数 。初始化时 ,接收方预先在 VI 的接收请求队列 中放入 W 个描述符 ; 当发送方发送一次数据 , 窗 口的大小就减 1 ;当接收方发送一次确认信号 , 窗 口 W 就增加 1 ;如果 W 为零 , 表示接收方没有可 用的描述符 。
Technology , Wuhan 430074 , China)
摘 要 :本文针对目前出现的对 PKI 的中间人攻击 ,分析了 PKI 中的两种安全隐患 :如果客户端不 能提供身份认证或者不能获得服务器证书的有效性检验 ,攻击者利用中间人攻击方法就可以完全偷听 会话内容 。文章还讨论了防范中间人攻击的策略 ,运用这种防范策略可以达到有效地防止中间人攻击 的目的 ;最后对防范策略作了安全性分析 。
8
钥 ,在这个密钥的保证下 ,双方建立安全的连接 。
为了清楚地说明这种策略 , 定义以下符号 : C
和 S 分别表示客户端和服务器端 ( 也就是 CA) ;
“ →”表示消息传输方向 ; RC 和 RS 分别表示客户 端和服务器端产生的随机数 ; KC+ 和 KC- 分别表示 客户端的公钥和私钥 ; C ( KS+ ) 表示 S 包含公钥的 合法证书 ; C ( K′S+ ) 表示 S 包含公钥的非法证书 ; ( X) K 表示把 X 用密钥 K 加密 ;消息“ …→( X) A” 表示发送给 X 的消息被 A 窃取 ; 消息“A ( X) →
私钥 KC- 只客户端拥有 。服务器端用 KC+ 加密服
务器端的随机数 RS , 在 step 2 发送的消息中发送
给客户端 。正常情况下 , 攻击者因为没有私钥而
不能解密随机数 RS 。然后 ,用这些随机数生成会 话密钥 K。为了防止任何基于重放和篡改的攻
击 ,使用消息鉴别码 MAC (Message Authentication
法的证书 ,成功地实施中间人攻击 。中间人攻击
过程如下所示 :
step
1
C
→(
S)
A
:{
RC ,
K
+ C
}
step 2 A ( C) →S :{ RC , K′C+ }
step 3 S →( C) A :{ ( RS) K′C+ }
step 4 A ( S) →C :{ ( RS) KC+ }
Abstract :For a newly appeared man2in2the2middle attack to PKI , two kinds of hidden troubles of PKI are ana2 lyzed : If the client can not provide identification and can not get the verification of the server certification , the at2 tacker can use the man2in2the2middle attack method to eavesdrop the whole communication. This paper also discuss2 es a defending strategy , which can be used to prevent man2in2the2middle attacks effectively. Finally , the security analysis of this strategy is given.
2 两种安全隐患
安全隐患有如下两种 : (1) 证书发布时的安全隐患 。与证书有关的 客户端密钥对可以在 CA 或客户端产生 。如果密 钥对在 CA 产生 ,要把私钥通过安全的方式发送 给客户端 ,就需要验证客户端的身份 ,否则就有可 能出现冒充合法客户端窃取私钥并申请证书的中 间人攻击 ;如果密钥对在客户端产生 ,说明客户端 不希望 CA 知道其私钥 ,但必须把公钥安全地提 交给 CA 。对 PKI 的用户来说 ,其公钥是公开的 , 如果只是简单地提交公钥就可能出现问题 ,因为 存在利用合法用户的公钥非法申请证书或修改用 户信息的可能 ,所以也需要验证客户端的身份 ,否 则就存在安全隐患 。 (2) CRL 不能及时更新的安全隐患 。遵照 X. 509 的规定[3] ,证书发布者定期发布 CRL 。然 而 ,证书的撤销请求是随机的 。从证书撤销请求 到新的 CRL 发布之间存在着不确定的时间差 。 在这段时间中 ,被撤销的证书的状态与 CRL 中是 不一致的 ,因此客户端可能得不到 CA 的最新证 书 。如果证书撤消是由于私钥的泄露 ,那么窃取 证书的攻击者就可以轻松地进行中间人攻击 。 以上两种安全隐患可能同时出现 ,这就迫切 需要一种防范策略来解决这类问题 。
step 10 A ( S) →C :{ ( MAC ( K,1 ,4 ,6 ,7) ) K}
step 11 C →( S) A :{ ( MAC ( K,1 ,4 ,6 ,7) ) K}
step 12 A ( C) →S :{ ( MAC ( K,2 ,3 ,5 ,8) ) K}
(下转第 15 页)
PKI 是建立在第三方信任的基础上 ,通信的 任何一方都要用 CA 申请的证书来证明自己已经 得到了 CA 的信任 。与证书有关的密钥对可以在
Ξ 收稿日期 :2003211213 ;修订日期 :2004201206 作者简介 :肖道举 (1954 - ) ,男 ,湖北武汉人 ,副教授 ,研究方向为计算机网络和安全技术 ;郭杰 ,硕士生 ,研究方向为网络安全技 术 ;陈晓苏 ,教授 ,研究方向为计算机网络和网络安全技术 。 通讯地址 :430074 湖北省武汉市华中科技大学计算机学院 ;Tel : (027) 87541689 ; E2mail :d-j-xiao @mail . hust . edu. cn Address :School of Computer Science and Technology , Huazhong University of Science and Technology , Wuhan , Hubei 430074 , P. R. China
1 引言
随着计算机和因特网技术的飞速发展 ,网络 技术已应用到社会的各个领域 ,成为人们生活中 不可缺少的一部分 。然而 ,开放性和匿名性也决 定了互联网不可避免地存在安全隐患 。特别是电 子商务的出现和蓬勃发展 ,给网络安全提出了更 高的要求 。基于密码学和公钥认证的公钥基础设
施 PKI ( Public Key Infrastructure ,简称 PKI) 安全体 系的出现 ,使人们可以利用认证中心 CA ( Certifi2 cate Authority ,简称 CA) 颁发的数字证书来实现通 信双方的身份认证 、信息的加密和解密 ,以达到加 强网络通信安全的目的 。PKI 成为保证数据完整 性 、真实性 、保密性和不可否认性的基石 。
…”表示 A 伪造 X 发送的消息 。
3. 1 方法初探
首先 ,防范策略必须为匿名的客户端提供身
份认证 ,认证过程如下所示 :
step
1
C
→S
:{
RC ,
K
+ CБайду номын сангаас
}
step 2 S →C :{ ( RS) KC+ }
step 3 S →C :{ C( KS+ ) }
step 4 C →S :{ ( R′C) KS+ }
3 对中间人攻击的防范策略
为了消除上面两种安全隐患 ,不仅要提供客 户端身份认证 ,而且要确保在 CRL 不能提供有效 性检验的情况下验证证书的有效性[4] 。下面基于 套接层 SSL 握手协议 ,提出一种防范策略 :在传送 敏感信息之前 ,双方通过若干次通信 ,安全地交换 各自产生的随机数 ,并用随机数导出一个会话密
4 性能测试
我们选择的测试对比环境有三种 : 基于 VIA 的网络块设备 (NBD/ VIA) 、基于普通网卡的网络 块设备 (NBD/ NIC) 和基于本地系统的块设备 (BD/ Local) 。文件系统选择 ext2 。从测试的结果来看 , 在 VIA 上的性能明显优于传统 TCP/ IP 的性能 ,达 到了近似本地硬盘的速度 。这是由于在 VIA 上消 除了 TCP/ IP 协议栈的软件开销 ,同时减少了核态 与用户态的数据拷贝和上下文切换的开销 ,因而 性能得到了很大提高 。
CN4321258/ TP ISSN 10072130X
计算机工程与科学
COMPUTER ENGINEERING & SCIENCE
2004 年第 26 卷 第 9 期 Vol126 ,No19 ,2004
文章编号 :10072130X(2004) 0920007202
一种对中间人攻击的防范策略的研究 Ξ
Code ,简称 MAC) ,1 、2 、3 、4 分别表示 step1~ step 4
中发送的消息 。
然而 ,攻击者可以冒充客户端 ,伪造非对称密 钥对 K′C+ 和 K′C- (对应的私钥) , 并用它们代替客 户端合法的密钥对 ;同时 ,由于没有采取验证服务
器证书的措施 , 攻击者可以用非法的证书替换合
7
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
两个不同的位置产生[1] :CA 和客户端 。如果用户 端不希望 CA 拥有自己的私钥 ,可以自己产生密 钥对 ,仅仅把公钥发送给 CA 。当证书过期或者私 钥泄露时 ,就撤消这个证书 ,并提交给证书撤消列 表 CRL ( Certificate Revocation List ,简称 CRL) 。使 用证书前 ,通过检查 CRL 就可以确定其有效性 。 但是 ,事实上 CRL 是一个静态的基础设施 ,用它 来保证动态的有效性是困难的[2] ,因此存在一些 安全隐患 。
Research on a Defending Strategy for
Man2in2the2Middle Attacks
肖道举 ,郭 杰 ,陈晓苏 XIAO Dao2ju , GUO jie , CHEN Xiao2su ( 华中科技大学信息存储系统教育部重点实验室 ,湖北 武汉 430074) ( Key Laboratory of Data Storage Systems , Huazhong University of Science and
step 5 C →S :{ ( MAC( K ,1 ,2 ,3 ,4) ) K}
step 6 S →C :{ ( MAC( K ,1 ,2 ,3 ,4) ) K}
客户端为本次会话产生一个随机数 RC 和一
对临时非对称密钥 KC+ 和 KC- , 并在 step 1 发送的
消息中把随机数 RC 和公钥 KC+ 发送给服务器端 ,
step 5 S →A ( C) :{ C( KS+ ) }
step 6 A ( S) →C :{ C( K′S+ ) }
step 7 C →( S) A :{ ( R′C) K′S+ }
step 8 A ( C) →S{ ( R′C) K′S+ }
step 9 S →( C) A :{ ( MAC( K ,2 ,3 ,5 ,8) ) K}
© 1994-2010 China Academic Journal Electronic Publishing House. All rights reserved. http://www.cnki.net
数 。初始化时 ,接收方预先在 VI 的接收请求队列 中放入 W 个描述符 ; 当发送方发送一次数据 , 窗 口的大小就减 1 ;当接收方发送一次确认信号 , 窗 口 W 就增加 1 ;如果 W 为零 , 表示接收方没有可 用的描述符 。