一種對(duì)中間人攻擊的防范策略的研究

1、CN4321258/ TPISSN 10072130X計(jì)算機(jī)工程與科學(xué)COMPUTER ENGINEERING & SCIENCE2004 年第 26 卷 第 9 期Vol126 ,No19 ,2004文章編號(hào) :10072130X(2004) 0920007202一種對(duì)中間人攻擊的防范策略的研究Research on a Defending Strategy forMan2in2the2Middle Attacks肖道舉 ,郭杰 ,陳曉蘇XIAO Dao2ju , GUO jie , C HEN Xiao2su( 華中科技大學(xué)信息存儲(chǔ)系統(tǒng)教育部重點(diǎn)實(shí)驗(yàn)室 , 湖北 武漢 430074

2、)( Key La boratory of Data Storage Systems , Huazhong University of Science andTechnology , Wuhan 430074 , China )摘要 :本文針對(duì)目前出現(xiàn)的對(duì) PKI 的中間人攻擊 ,分析了 PKI 中的兩種安全隱患 : 如果客戶端不能提供身份認(rèn)證或者不能獲得服務(wù)器證書的有效性檢驗(yàn) ,攻擊者利用中間人攻擊方法就可以完全偷聽 會(huì)話內(nèi)容 。文章還討論了防范中間人攻擊的策略 ,運(yùn)用這種防范策略可以達(dá)到有效地防止中間人攻擊的目的 ;最后對(duì)防范策略作了安全性分析 。Abstract :For a newly

3、 appeared man2in2the2middle attack to PKI , two kinds of hidden troubles of PKI are ana2 lyzed : If the client can not provide identification and can not get the verification of the server certification , the at2 tacker can use the man2in2the2middle attack method to eavesdrop the whole communication

4、. This paper also discuss2 es a defending strategy , which can be used to prevent man2in2the2middle attacks effectively. Finally , the security analysis of this strategy is given.關(guān)鍵詞 :公鑰基礎(chǔ)設(shè)施 ;證書撤消列表 ;消息鑒別碼 ;隨機(jī)數(shù) ;中間人攻擊Key words :public key infrastructure ; certificate revocation list ; message authen

5、tication code ; random num2ber ; man2in2the2middle attack中圖分類號(hào) : TP309文獻(xiàn)標(biāo)識(shí)碼 :A施 PKI ( Public Key Infrastructure ,簡(jiǎn)稱 PKI) 安全體系的出現(xiàn) , 使人們可以利用認(rèn)證中心 CA ( Certifi2 cate Authority ,簡(jiǎn)稱 CA) 頒發(fā)的數(shù)字證書來實(shí)現(xiàn)通 信雙方的身份認(rèn)證 、信息的加密和解密 ,以達(dá)到加強(qiáng)網(wǎng)絡(luò)通信安全的目的 。PKI 成為保證數(shù)據(jù)完整 性 、真實(shí)性 、保密性和不可否認(rèn)性的基石 。PKI 是建立在第三方信任的基礎(chǔ)上 , 通信的 任何一方都要用 CA 申請(qǐng)

6、的證書來證明自己已經(jīng) 得到了 CA 的信任 。與證書有關(guān)的密鑰對(duì)可以在引言1隨著計(jì)算機(jī)和因特網(wǎng)技術(shù)的飛速發(fā)展 ,網(wǎng)絡(luò)技術(shù)已應(yīng)用到社會(huì)的各個(gè)領(lǐng)域 ,成為人們生活中 不可缺少的一部分 。然而 ,開放性和匿名性也決 定了互聯(lián)網(wǎng)不可避免地存在安全隱患 。特別是電 子商務(wù)的出現(xiàn)和蓬勃發(fā)展 ,給網(wǎng)絡(luò)安全提出了更 高的要求 ?；诿艽a學(xué)和公鑰認(rèn)證的公鑰基礎(chǔ)設(shè) 收稿日期 :2003211213 ;修訂日期 :2004201206作者簡(jiǎn)介 :肖道舉 ( 1954 - ) ,男 ,湖北武漢人 ,副教授 ,研究方向?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)和安全技術(shù) ; 郭杰 ,碩士生 ,研究方向?yàn)榫W(wǎng)絡(luò)安全技術(shù) ;陳曉蘇 ,教授 ,研究方向?yàn)橛?jì)

7、算機(jī)網(wǎng)絡(luò)和網(wǎng)絡(luò)安全技術(shù) 。通訊地址 :430074 湖北省武漢市華中科技大學(xué)計(jì)算機(jī)學(xué)院 ; Tel : (027) 87541689 ; E2mail : d-j- xiao mail . hust . edu. cnAddress :School of Computer Science and Technology , Huazhong University of Science and Technology , Wuhan , Hubei 430074 , P. R. China兩個(gè)不同的位置產(chǎn)生1 :CA 和客戶端 。如果用戶端不希望 CA 擁有自己的私鑰 , 可以自己產(chǎn)生密 鑰對(duì) ,僅

8、僅把公鑰發(fā)送給 CA 。當(dāng)證書過期或者私鑰泄露時(shí) ,就撤消這個(gè)證書 ,并提交給證書撤消列 表 CRL ( Certificate Revocation List , 簡(jiǎn) 稱 CRL ) 。使 用證書前 , 通過檢查 CRL 就可以確定其有效性 。 但是 , 事實(shí)上 CRL 是一個(gè)靜態(tài)的基礎(chǔ)設(shè)施 , 用它鑰 ,在這個(gè)密鑰的保證下 ,雙方建立安全的連接 。為了清楚地說明這種策略 , 定義以下符號(hào) : C和 S 分別表示客戶端和服務(wù)器端 ( 也就是 CA) ;“ ”表示消息傳輸方向 ; RC 和 RS 分別表示客戶端和服務(wù)器端產(chǎn)生的隨機(jī)數(shù) ; K +-C 和 KC 分別表示客戶端的公鑰和私鑰 ; C

9、 ( K +S ) 表示 S 包含公鑰的合法證書 ; C ( K+ ) 表示 S 包含公鑰的非法證書 ;S來保證動(dòng)態(tài)的有效性是困難的2安全隱患 。,因此存在一些( X) K 表示把 X 用密鑰 K 加密 ; 消息“ X A ”( )表示發(fā)送給 X 的消息被 A 竊 取 ; 消 息“A ( X ) ”表示 A 偽造 X 發(fā)送的消息 。3 . 1方法初探首先 , 防范策略必須為匿名的客戶端提供身 份認(rèn)證 , 認(rèn)證過程如下所示 :兩種安全隱患2安全隱患有如下兩種 :(1) 證書發(fā)布時(shí)的安全隱患 。與證書有關(guān)的 客戶端密鑰對(duì)可以在 CA 或客戶端產(chǎn)生 。如果密 鑰對(duì)在 CA 產(chǎn)生 , 要把私鑰通過安全

10、的方式發(fā)送 給客戶端 ,就需要驗(yàn)證客戶端的身份 ,否則就有可 能出現(xiàn)冒充合法客戶端竊取私鑰并申請(qǐng)證書的中 間人攻擊 ;如果密鑰對(duì)在客戶端產(chǎn)生 ,說明客戶端不希望 CA 知道其私鑰 , 但必須把公鑰安全地提 交給 CA 。對(duì) PKI 的用戶來說 ,其公鑰是公開的 , 如果只是簡(jiǎn)單地提交公鑰就可能出現(xiàn)問題 ,因?yàn)?存在利用合法用戶的公鑰非法申請(qǐng)證書或修改用 戶信息的可能 ,所以也需要驗(yàn)證客戶端的身份 ,否則就存在安全隱患 。(2) CRL 不 能 及 時(shí) 更 新 的 安 全 隱 患 。遵 照 X. 509 的規(guī)定3 , 證書發(fā)布者定期發(fā)布 CRL 。然 而 ,證書的撤銷請(qǐng)求是隨機(jī)的 。從證書撤銷請(qǐng)

11、求 到新 的 CRL 發(fā) 布 之 間 存 在 著 不 確 定 的 時(shí) 間 差 。在這段時(shí)間中 ,被撤銷的證書的狀態(tài)與 CRL 中是 不一致的 ,因此客戶端可能得不到 CA 的最新證 書 。如果證書撤消是由于私鑰的泄露 ,那么竊取 證書的攻擊者就可以輕松地進(jìn)行中間人攻擊 。以上兩種安全隱患可能同時(shí)出現(xiàn) ,這就迫切需要一種防范策略來解決這類問題 。C S : RC , K +step 1step 2step 3step 4step 5step 6C S C : ( RS) K + CS C : C ( K + ) SC S : ( RC) K + SC S : ( MAC ( K , 1 , 2

12、, 3 , 4) ) KS C : ( MAC ( K , 1 , 2 , 3 , 4) ) K客戶端為本次會(huì)話產(chǎn)生一個(gè)隨機(jī)數(shù) RC 和一+-對(duì)臨時(shí)非對(duì)稱密鑰 KC 和 KC , 并在 step 1 發(fā)送的+消息中把隨機(jī)數(shù) RC 和公鑰 KC 發(fā)送給服務(wù)器端 ,K -+私鑰C 只客戶端擁有 。服務(wù)器端用 KC 加密服務(wù)器端的隨機(jī)數(shù) RS , 在 step 2 發(fā)送的消息中發(fā)送給客戶端 。正常情況下 , 攻擊者因?yàn)闆]有私鑰而 不能解密隨機(jī)數(shù) RS 。然后 , 用這些隨機(jī)數(shù)生成會(huì)話密鑰 K。為了防止任何基于重放和篡改的攻 擊 ,使 用 消 息 鑒 別 碼 MAC ( Message Authent

13、ication Code ,簡(jiǎn)稱 MAC) , 1 、2 、3 、4 分別表示 step1 step 4 中發(fā)送的消息 。然而 , 攻擊者可以冒充客戶端 , 偽造非對(duì)稱密K+-鑰對(duì)和 KC ( 對(duì)應(yīng)的私鑰) , 并用它們代替客C戶端合法的密鑰對(duì) ; 同時(shí) , 由于沒有采取驗(yàn)證服務(wù)器證書的措施 , 攻擊者可以用非法的證書替換合 法的證書 , 成功地實(shí)施中間人攻擊 。中間人攻擊 過程如下所示 :C ( S ) A : RC , K + step 1 step 2 step 3step 4step 5 step 6 step 7step 8step 9 step 10 step 11step 12C

14、A ( C) S : RC , K+ C對(duì)中間人攻擊的防范策略3S ( C) A : ( RS) K +CA ( S ) C : ( RS) K + C+S A ( C) : C ( KS ) 為了消除上面兩種安全隱患 ,不僅要提供客戶端身份認(rèn)證 ,而且要確保在 CRL 不能提供有效 性檢驗(yàn)的情況下驗(yàn)證證書的有效性4 。下面基于 套接層 SSL 握手協(xié)議 ,提出一種防范策略 :在傳送 敏感信息之前 ,雙方通過若干次通信 ,安全地交換 各自產(chǎn)生的隨機(jī)數(shù) ,并用隨機(jī)數(shù)導(dǎo)出一個(gè)會(huì)話密8A ( S ) C : C ( K+ ) SC ( S ) A : ( RC) K +SA ( C) S ( RC)

15、 K +SS ( C) A : ( MAC ( K , 2 , 3 , 5 , 8) ) KA ( S ) C : ( MAC ( K , 1 , 4 , 6 , 7) ) KC ( S ) A : ( MAC ( K , 1 , 4 , 6 , 7) ) KA ( C) S : ( MAC ( K , 2 , 3 , 5 , 8) ) K( 下轉(zhuǎn)第 15 頁)器端隨機(jī)數(shù)的 MAC 值 : MAC ( Rs ) K + ; 第二步將加數(shù) 。初始化時(shí) ,接收方預(yù)先在 VI 的接收請(qǐng)求隊(duì)列中放入 W 個(gè)描述符 ; 當(dāng)發(fā)送方發(fā)送一次數(shù)據(jù) , 窗 口的大小就減 1 ; 當(dāng)接收方發(fā)送一次確認(rèn)信號(hào) , 窗

16、口 W 就增加 1 ; 如果 W 為零 , 表示接收方?jīng)]有可用的描述符 。C密的服務(wù)器端隨機(jī)數(shù) ( RS ) K + 在 step 5 中發(fā)送 。為C了保證服務(wù)器證書的有效性 , 同樣使用兩步來驗(yàn)證 。在 step 4 和 step 6 中 , 分別發(fā)送用服務(wù)器端公鑰加密的客戶端隨機(jī)數(shù)的 MAC 值 MAC ( RC ) K +S和 相 應(yīng) 的 用 服 務(wù) 器 端 公 鑰 加 密 的 隨 機(jī) 數(shù)4性能測(cè)試( RC) K + 。具體過程如下所示 :Sstep 1 :由于需要驗(yàn)證客戶端身份 , 所以客戶端需要產(chǎn)生一對(duì) 臨時(shí)非對(duì)稱密鑰 , 并把其中的公鑰發(fā)給服務(wù)器端 , 而自己保留密 鑰對(duì)中的私鑰

17、。此時(shí)的消息是明文傳送 。step 2 :服務(wù)器端響應(yīng)客戶端的請(qǐng)求 , 生成隨機(jī)數(shù) RS , 但為了防止中間人攻擊 , 在這條消息中 , 只發(fā)送加密的服務(wù)器端隨機(jī)數(shù)我們選擇的測(cè)試對(duì)比環(huán)境有三種 : 基于 VIA的網(wǎng)絡(luò)塊設(shè)備 (NBD/ VIA) 、基于普通網(wǎng)卡的網(wǎng)絡(luò) 塊設(shè)備 (NBD/ NIC) 和基于本地系統(tǒng)的塊設(shè)備 (BD/ Local) 。文件系統(tǒng)選擇 ext2 。從測(cè)試的結(jié)果來看 , 在 VIA 上的性能明顯優(yōu)于傳統(tǒng) TCP/ IP 的性能 ,達(dá) 到了近似本地硬盤的速度 。這是由于在 VIA 上消 除了 TCP/ IP 協(xié)議棧的軟件開銷 ,同時(shí)減少了核態(tài) 與用戶態(tài)的數(shù)據(jù)拷貝和上下文切換

18、的開銷 ,因而 性能得到了很大提高 。的 MAC 值 MAC ( RS) K + 。Cstep 3 :服務(wù)器端把最新的服務(wù)器證書發(fā)給客戶端 :C S : R C , K +(1) (2)(3) (4)(5) (6)(7) (8)C S C : MAC ( RS) K + CS C : C ( K + ) CC S : MAC ( RC) K + SS C : ( RS) K + CC S : ( RC) K + SS C : ( MAC ( K , 1 , 2 , 3 , 4 , 5 , 6) ) KC S : ( MAC ( K , 1 , 2 , 3 , 4 , 5 , 6) ) Kste

19、p 4 :客戶端產(chǎn)生另外一個(gè)隨機(jī)數(shù) RC , 但為了防止中間人攻擊 , 在這條消息中只發(fā)送用服務(wù)器端證書的公鑰加密的 MAC值 MAC ( RC) K + ;結(jié)束語Sstep 5 :服務(wù)器端把隨機(jī)數(shù) RS 用客戶端臨時(shí)公鑰加密后 , 發(fā)給客戶端 。step 6 :客戶端把隨機(jī)數(shù) RC 用服務(wù)器端公鑰加密 , 傳送給服務(wù)器端 。這時(shí) , 客戶端和服務(wù)器端就可以根據(jù)這些隨機(jī)數(shù) , 按照事先約定的生成方式 , 分別生成會(huì)話密鑰 K。step 7 和 step 8 :包含客戶端和服務(wù)器端發(fā)送和接收的所有消息的 MAC 值 , 并且用新生成的密鑰 K 加密 。如果 MAC 值匹配 ,接下來就可以用新生成

20、的會(huì)話密鑰 K 進(jìn)行安全的通信 。5在本文中 ,我們?cè)O(shè)計(jì)了基于 VIA 的核態(tài) Sock2et ,然后在該 Socket 上實(shí)現(xiàn)網(wǎng)絡(luò)塊設(shè)備 。首先 ,我 們分析了幾種可能的實(shí)現(xiàn)方法 ,并對(duì)每一種方法的優(yōu)缺點(diǎn)進(jìn)行了比較 。之后 ,我們選擇在核態(tài)實(shí) 現(xiàn)基于 VIA 的 Socket 。最后 , 我們對(duì)系統(tǒng)進(jìn)行了測(cè)試 ,并與傳統(tǒng)的網(wǎng)絡(luò)塊設(shè)備和本地塊設(shè)備的性能進(jìn)行了比較 ,分析了性能提高的原因 。結(jié)束語4對(duì)中間人攻擊的防范策略是通過在通信雙方安全地傳送兩個(gè)隨機(jī)數(shù) ,然后用這兩個(gè)隨機(jī)數(shù)導(dǎo) 出保密的會(huì)話密鑰以保證后續(xù)通信的安全 。在協(xié) 商會(huì)話密鑰的過程中不僅驗(yàn)證了客戶端身份 ,而 且還保證了服務(wù)器證書的有效性 。使用這種策略 ,不需要客戶端身份認(rèn)證 ,客戶端也不需要驗(yàn)證 服務(wù)器證書的有效性 ,就能建立安全的連接 ,可以 成功地防止中間人攻擊 。這在實(shí)際中具有普遍的 實(shí)用價(jià)值 。參考文獻(xiàn) :1Rajkumar Buyya . High Performance Cluster Computing M .京 :電子工業(yè)出版社 ,2001 .P T Breuer . The Network Block Device EB/ OL . http :/