基于DTV网络的安全通道协议

基于DTV网络的安全通道协议、算法的分析和研究摘要：本文从机顶盒和智能卡安全模型安全通道协议着手，通过对SSL工作原理分析、密码算法的分析、认证协议的安全需求分析、认证协议面临的威胁，最后从基于证书运作的安全通道机制提出了建立安全通道的体系结构。在当今社会信息化的进程中，信息成为社会发展的重要资源。它跟个人的隐私，国家的安全都息息相关，特别是互联网的发展，对信息安全的发展推波助浪。可以说，信息安全已成为一个世纪性、全球性的研究课题。而安全通道是信息安全传输的通路，它和加密算法、安全机制、安全协议等密不可分。人们对信息安全的要求越来越高。在网络上信息在源-宿的传递过程中会经过其它的计算机。一般情况下，中间的计算机不会监听路过的信息。但在使用网上银行或者进行信用卡交易的时候有可能被监视，从而导致个人隐私的泄露。同样，在数字电视的机顶盒和智能卡之间的授权控制和管理信息、电子钱包及密钥等敏感信息也可能被窃听，下面从它们之间的安全模型、安全通道协议为切入点，通过对SSL工作原理、密码算法的分析、认证协议及安全通道分析的基础上探讨建立安全通道的方法。一、机顶盒和智能卡安全通道协议的建立二、SSL工作原理目前，因特网上的安全通道是使用SSL协议来认证、生成临时的会话密钥来建立安全通道的。SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。可以实现信息传递的保密性、完整性，并且会话双方能鉴别对方身份。当我们与一个网站建立https连接时，我们的浏览器与WebServer之间要经过一个握手的过程来完成身份鉴定与密钥交换，从而建立安全连接。具体过程如下：1.用户浏览器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送到服务器。2.服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要信息发送给浏览器，同时发给浏览器的还有服务器的证书。如果配置服务器的SSL需要验证用户身份，还要发出请求要求浏览器提供用户证书。3.客户端检查服务器证书，如果检查失败，提示不能建立SSL连接。如果成功，那么继续。4.客户端浏览器为本次会话生成pre-mastersecret，并将其用服务器公钥加密后发送给服务器。5.如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。6.如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信。如果不在信任列表中，结束本次会话。如果检查通过，服务器用自己的私钥解密收到的pre-mastersecret，并用它通过某些算法生成本次会话的mastersecret。7.客户端与服务器均使用此mastersecret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。这样做的主要原因是对称加密比非对称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度。8.客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端已经完成本次SSL握手。9.服务器通知客户端此后发送的消息都使用这个会话密钥进行加密。并通知客户端服务器已经完成本次SSL握手。10.握手过程结束，会话已经建立。双方使用同一个会话密钥分别对发送以及接受的信息进行加、解密。三、密码算法的分析安全通道的安全性依赖可靠的算法，算法是安全通道的物质基础。加密算法分为对称加密算法和不对称加密算法，对称加密算法用于加密数据，不对称加密算法用于证书认证、数字签名、加密根密钥或用于安全通道。为了防止数据的完整性不被篡改、大量数据信息需要产生摘要用于签名和证书认证，还需要有单向散列函数。目前比较常用的对称加密算法有DES、3DES、DESCFB、DESCBC、AES、IDEA，RC5。DES算法的数据分组长度和密钥分组长度都为64bit，（其中有效密钥长56bit，8bit奇偶效验，）、密文分组长度也是64bit、没有数据扩展。算发包括：初始置换IP、16轮迭代的乘积变换、逆初始置换以及16个子密钥产生器。单一DES用得不多，一般用密钥长度128位3DES、DESCFB、DESCBC等算法，才能确保更安全。在智能卡中目前这些算法都能由硬件实现，加密速度在微秒级。常用的散列函数有MD5、SHA等。常用的不对称加密算法有RSA、DSA、ECC、Diffie-Hellman。RSA是目前应用最广泛的加密、解密和数字签名的算法之一，它的安全性是基于大数的分解的难度。目前大部分高性能的智能卡（带协处理器）都能在卡内由硬件产生（1024~2048）位的公钥和私钥对，硬件实现时，RSA比DES慢1000倍左右。DSA只用于数字签名，其安全性是基于离散对数。椭圆曲线加密算法安全性是基于椭圆曲线离散对数问题。椭圆曲线加密算法的优点是密钥长度比RSA短，在相同密钥长度下，比RSA加密强度高，缺点是参数复杂，各家很难统一。1．Diffie-Hellman算法用于密钥交换，缺点是容易遭受中间人攻击，如果和SSL协议配合使用，则能发挥其长处，又可减少中间人攻击。下面以Diffie-Hellman密钥协商算法建立安全通道，密钥协商流程如下：（1）Alice随机选择（私密的），计算（公开的）；（2）Alice将这个值传送给Bob；（3）Bob随机选择（私密的），计算（公开的）；（4）Bob将这个值传送给Alice。到此得到了协商好的密钥。2．DES加密算法:DES算法--对二元数加密、数据分组长度为64bit（其中8bit奇偶效验，有效密钥长56bit）、密文分组长度也是64bit、没有数据扩展。算发包括：初始置换IP、16轮迭代的乘积变换、逆初始置换以及16个子密钥产生器。3:Rijndael加密算法：Rijndael是一个密钥迭代分组密码，包含了轮变换对状态的重复作用。轮数Nr的值取决于分组和密钥的长度。对于AES，当密钥长度为128比特时，Nr=10；当密钥长度为192比特时，Nr=12；当密钥长度为256比特时，Nr=14。Rijndael算法的加密过程如图1所示。它包括一个初始密钥加法，记作AddRoundKey，接着进行Nr-1次轮变换(Round)，最后再使用一个轮变换(FinalRound)。轮变换由4个步骤组成：SubBytes，ShiftRows，MixColumns和AddRoundKey。最后一轮与前Nr-1次轮变换稍有不同，省掉了其中的MixColumns步骤。4．RSA密码体制：选取两个大素数p1和p2，计算n=p1*p2。其欧拉函数值f(n)=(p1-1)*(p2-1)，随机选一整数e，1=e加密：y=x**emodn解密：x=y**dmodn四、认证协议的安全需求根据安全协议的实际应用环境和可能受到的较为典型的安全威胁，安全通道协议需要提供以下几个方面的安全特性：（1）认证性由于客户端和服务器都有可能被伪造，因此在使用之前进行认证是必要的。认证是保证安全通信的开始，它为后续的安全通信提供保障。（2）密钥建立为了保客户端和服务器在认证后，通信信道仍然受到保护，需要在认证阶段为通信双方建立一个共享会话密钥，为后续通信的保密性提供保障。这是认证与密钥建立协议的一个基本要求。（3）密钥认证为了保证客户端和服务器之间拥有相同的会话密钥，且会话密钥不被未授权的第三方获得，需要对协商的共享会话密钥进行密钥认证。（4）密钥新鲜性为了确保通信双方使用的会话密钥不是一个旧密钥，或者是一个已被破译的密钥，以防止重放攻击，必须保证密钥的有效性。值得注意的是密钥的最近使用并不能保证密钥的新鲜性，最近使用的密钥可以是一个旧密钥或者受到威胁的密钥，所以保证密钥的新鲜性对加强系统的安全性有着十分重要的作用。（5）交换公钥该需求在采用公钥技术的协议中需要，它为认证与密钥建立过程提供支持。五、认证协议面临的威胁目前，对认证协议已经存在多种攻击，它们从不同的角度分析认证协议可能存在的安全漏洞。下面讨论几种类型的攻击：（1）Oracle类型攻击：该类攻击是针对认证方案的设计得过于对称而进行的。由于认证消息的格式单一，无法区分相同协议的不同实例之间消息的区别，或者同一实例中不同消息之间的区别，从而使得攻击者可以借助一个合法用户为他生成或者解密一些信息。属于此类攻击的方法有：中间人攻击（Man-in-the-middleAttack）、反射攻击(ReflectionAttack)、交错攻击(InterleavingAttack)、并行攻击(ParallelSessionAttack)、先知攻击(OracleSessionAttack)、多重角色攻击(Multi-roleAttack)以及因果攻击(CasualConsistencyAttack)等。（2）重放攻击（ReplayAttack）:这类攻击针对认证方案中没有提供新鲜性检测机制而实施。协议的执行者无法区分收到的消息是一个新消息还是一个旧消息。抵御这类攻击的方法一般是在认证协议中引入随机数、计数器或时间戳。（3）签名攻击：这类攻击的主要目的是获得用户的身份信息。对于可恢复的签名方案来说，这类攻击有可能得到签名中的部分内容。其中攻击类型主要有签名验证攻击（SignerVerificationAttack）和内容验证攻击（ContentVerificationAttack）。攻击者实施签名验证攻击时，用公开的签名验证密钥对签名数据进行验证，当验证通过时，就可以确定签名者的身份信息。这在需要提供用户匿名性的场合下，对用户身份信息的保密性构成威胁，属于信息泄漏的一种形式。内容验证攻击与签名验证攻击类似，攻击者的目的是为确定签名信息中的一部分信息。这类攻击的前提是攻击者知道待定信息的可能集合（一般是有限集），例如：攻击者知道签名的大部分明文内容和消息格式，而为确定一小部分未知信息。（4）源替代攻击（SourceSubstitutionAttack）：在公钥系统中，若证书的颁发者没有很好地审查证书申请者对私钥的拥有，就会造成攻击者申请一个与受害者具有相同公钥和名字的证书（但是攻击者并不知道其对应的私钥），从而可以对受害者实施假冒攻击。解决方法通常是要求证书颁发机构强制实施对私钥拥有情况的检查。还有一类称为未知密钥共享攻击（UnknownKeyShareAttack），攻击者在已知签名内容、签名信息和签名验证公钥的前提下，生成一对新的公私钥对，使得用新密钥对已知内容的签名与已有签名信息相同，攻击者以此新密钥对在线申请新的公钥证书，以假冒受害者。这种攻击方法靠证书颁发机构是无法解决的。（5）部分选择密钥攻击（PartialChosenKeyAttack）：此类攻击与密钥控制相关。当两个通信实体需要协商一个会话密钥时，其中一方首先向另一方出示它对会话密钥的贡献（密钥生成的参数），这时通信的另一方可以根据已经出示的密钥参数有目的地选择自己的那部分密钥参数，从而使得密钥的生成具有不平衡性。一般地，基于公钥技术的密钥协商协议都具有潜在的受到部分选择密钥攻击的可能性。六、基于证书运作的安全通道机制证书运作是基于X..509公钥基础设施的证书策略，它符合X..509V3标准。目前广泛采用SSL协议，对于数字信息系统而言，SSL协议抗中间人攻击，在这一点上优于零知识协议。证书运作的要求主要包括证书申请、证书发放、证书撤消、密钥管理、网络安全控制。证书申请用户在购买智能卡时，向营运单位（电视台）之间申请证书，填写申请表格，要求提供认证保护。证书发放营运机构以联机或脱机方式把证书发放到智能卡，认证机构（CA）能保证用户私钥被安全销毁及公钥不被破坏，私钥存储在智能卡中，公钥由给证书运作中心保存。证书撤消根据申请人的协议，规定申请人可以在任何时间以任何理由对证书提出撤消，撤消的理由是证书持有人的私钥泄露、智能卡损坏等。密钥管理1：密钥对的产生认证机构为用户产生密钥对的应该能保证做到除被授权用户以外的人无法获得密钥。目前密钥一般要求：RSA为1024或2048，3DES算法（128位）或AES算法128位。2：密钥保护和备份CA系