基于DTV网络的安全通道协议、算法的分析和研究.doc

基于DTV网络的安全通道协议、算法的分析和研究摘要：本文从机顶盒和智能卡安全模型安全通道协议着手，通过对SSL工作原理分析、 密码算法的分析、认证协议的安全需求分析、认证协议面临的威胁，最后从基于证书运作的 安全通道机制提出了建立安全通道的体系结构在当今社会信息化的进程中，信息成为社会发展的重要资源它跟个人的隐私，国家的 安全都息息相关，特别是互联网的发展，对信息安全的发展推波助浪可以说，信息安全巳 成为一个世纪性、全球性的研究课题而安全通道是信息安全传输的通路，它和加密算法、 安全机制、安全协议等密不可分人们对信息安全的要求越来越高在网络上信息在源-宿的传递过程中会经过其它的计算机•般情况下，中间的计算机 不会监听路过的信息但在使用网上银行或者进行信用卡交易的时候有可能被监视，从而导 致个人隐私的泄露同样，在数字电视的机顶盒和智能卡之间的授权控制和管理信息、电子 钱包及密钥等敏感信息也可能被窃听•，下面从它们之间的安全模型、安全通道协议为切入点, 通过对SSL工作原理、密码算法的分析、认证协议及安全通道分析的基础上探讨建立安全通 道的方法一、机顶盒和智能卡安全通道协议的建立二、SSL.T作原理目前，因特网上的安全通道是使用SSL协议来认证、生成临时的会话密钥来建立安全通 道的。

SSL协议使用不对称加密技术实现会活双方之间信息的安全传递可以实现信息传递 的保密性、完整性，并且会话双方能鉴别对方身份当我们与一•个网站建立https连接时, 我们的浏览器与Web Server之间要经过一,个握手的过程来完成身份鉴定与密钥交换，从而 建立安全连接具体过程如下：1. 用户浏览嘴将其SSL版本号、加密设置参数、与session有关的数据以及其它一些 必要信息发送到服务器2. 服务器将其SSL版本号、加密设置参数、与session有关的数据以及其它一些必要 信息发送给浏览器，同时发给浏览器的还有服务器的证书如果配置服务器的SSL需要验证 用户身份，还要发出请求要求浏览器提供用户证书=3. 客户端检查服务器证书，如果检查失败，提示不能建立SSL连接如果成功，那么 继续4. 客户端浏览器为本次会话生成pre-master secret,并将其用服务器公钥加密后发 送给服务器5. 如果服务器要求鉴别客户身份，客户端还要再对另外一些数据签名后并将其与客广 端证书一起发送给服务器6. 如果服务器要求鉴别客户身份，则检查签署客户证书的CA是否可信如果不在信任 列表中，结束本次会话如果检否通过，服务器用自己的私钥解密收到的pre-master secret, 并用它通过某些算法生成本次会话的master secret。

7. 客户端与服务器均使用此master secret生成本次会话的会话密钥（对称密钥）在 双方SSL握手结束后传递任何消息均使用此会话密钥这样做的主要原因是对称加密比非对 称加密的运算量低一个数量级以上，能够显著提高双方会话时的运算速度8. 客户端通知服务器此后发送的消息都使用这个会话密钥进行加密并通知服务器客 户端巳经完成本次SSL握手9. 服务器通知客户端此后发送的消息都使用这个会话密钥进行加密并通知客广端服 务器巳经完成本次SSL握手10. 握手过程结束，会话巳经建立双方使用同一个会话密钥分别对发送以及接受的信 息进行加、解密三、密码算法的分析安全通道的安全性依赖可靠的算法，算法是安全通道的物质基础加密算法分为对称加密算 法和不对称加密算法，对称加密算法用于加密数据，不对称加密算法用于证书认证、数字签 名、加密根密钥或用于安全通道为了防止数据的完整性不被篡改、大拍数据信息需要产生 摘要用于签名和证书认证，还需要有单向散列函数目前比较常用的对称加密算法有DES、3DES、DESCFB、DESCBC、AES、IDEA, RC5DES算法 的数据分组长度和密钥分组长度都为64bit,（其中有效密钥长56bit ,8bit奇偶效验，）、 密文分组长度也是64bit、没有数据扩展。

算发包括：初始置换IP、16轮迭代的乘积变换、 逆初始置换以及16个子密钥产生器单一 DES用得不多，一般用密钥长度128位3DES、 DESCFB、DESCBC等算法，才能确保更安全在智能卡中目前这些算法都能由硬件实现，加 密速度在微秒级常用的散列函数有MD5、SHA等常用的不对称加密算法有RSA、DSA、ECC、 Diffie-HeUman0 RSA是目前应用最广泛的加密、解密和数字签名的算法之一，它的安全性 是基于大数的分解的难度日前大部分高性能的智能卡（带协处理器）都能在卡内由硬件产 生（1024~2048）位的公钥和私钥对,硬件实现时,RSA比DES慢1000倍左右DSA只用于 数字签名，其安全性是基于离散对数椭圆曲线加密算法安全性是基于椭圆曲线离散对数问 题椭圆Illi线加密算法的优点是密钥长度比RSA短，在相同密钥长度下，比RSA加密强度高, 缺点是参数复杂，各家很难统一1. Diffie-Hellman算法用于密钥交换，缺点是容易遭受中间人攻击，如果和SSL协议 配合使用，则能发挥其长处，乂可减少中间人攻击下而以Diffie-Hellman密钥协商算法 建立安全通道，密钥协商流程如下：（1） Alice随机选择（私密的），计算（公开的）；（2） Alice将这个值传送给Bob；（3） Bob随机选择（私密的），计算（公开的）；（4） Bob将这个值传送给Aliceo到此得到了协商好的密钥。

2. DES加密算法：DES算法一对二元数加密、数据分组长度为64bit （其中8bit奇偶效验，有效密钥长 56bit）、密文分组长度也是64bit、没有数据扩展算发包括：初始置换IP、16轮迭代的 乘积变换、逆初始置换以及16个子密钥产生器3: Rijndael加密算法：Rijndael是-个密钥迭代分组密码，包含了轮变换对状态的重复作用轮数Nr的值取 决于分组和密钥的长度对于AES,当密钥长度为128比特时，Nr =10；当密钥长度为192 比特时，Nr =12；当密钥长度为256比特时，Nr =14Rijndael算法的加密过程如图1所 示它包括一个初始密钥加法，记作AddRoundKey,接着进行NrT次轮变换（Round）,最后 再使用一个轮变换（FinalRound）轮变换由4个步骤组成:SubBytes,ShiftRows,MixColumns 和AddRoundKey最后一轮与前Nr T次轮变换稍有不同，省掉了其中的MixColumns步骤4. RSA密码体制：选取两个大素数pl和p2,计算n=pl*p2o其欧拉函数值f（n） = （pl-l）*（p2-l）,随机 选一整数 e, K=e 加密：y二x**e mod n解密：x=y**d mod n四、认证协议的安全需求根据安全协议的实际应用环境和可能受到的较为典型的安全威胁,安全通道协议需要提 供以卜•儿个方面的安全特性：1）认证性由于客户端和服务器都有可能被伪造，因此在使用之前进行认证是必要的。

认证是保证 安全通信的开始，它为后续的安全通信提供保障2） 密钥建立为了保客户端和服务器在认证后，通信信道仍然受到保护，需要在认证阶段为通信双方 建立一个共享会话密钥，为后续通信的保密性提供保障这是认证与密钥建立协议的一•个基 本要求3） 密钥认证为了保证客户端和服务器之间拥有相同的会话密钥，且会话密钥不被未授权的第三方获 得，需要对协商的共享会话密钥进行密钥认证4） 密钥新鲜性为了确保通信双方使用的会话密钥不是一个旧密钥，或者是一•个已被破译的密钥，以防 止重放攻击，必须保证密钥的有效性值得注意的是密钥的最近使用并不能保证密钥的新鲜 性，最近使用的密钥可以是一•个旧密钥或者受到威胁的密钥，所以保证密钥的新鲜性对加强 系统的安全性有着十分重要的作用0（5） 交换公钥该需求在采用公钥技术的协议中需要，它为认证与密钥建立过程提供支持71、认证协议面临的威胁目前，对认证协议已经存在多种攻击，它们从不同的角度分析认证协议可能存在的安全 漏洞下面讨论儿种类型的攻击：(1) Oracle类型攻击：该类攻击是针对认证方案的设计得过于对称而进行的由于 认证消息的格式单一，无法区分相同协议的不同实例之间消息的区别，或者同-•实例中不同 消息之间的区别，从而使得攻击者可以借助一个合法用户为他生成或者解密一些信息。

属于 此类攻击的方法有:中间人攻击(Man-in-the-middle Attack)、反射攻击(Reflection Attack) x 交错攻tH (Interleaving Attack) > 并行攻击(Parallel Session Attack) > 先知 攻击(Oracle Session Attack) > 多重角色攻击(Multi-role Attack)以及因果攻击(Casual Consistency Attack)等2) 重放攻击(Replay Attack):这类攻击针对认证方案中没有提供新鲜性检测机制 而实施协议的执行者无法区分收到的消息是一•个新消息还是一个旧消息抵御这类攻击的 方法一般是在认证协议中引入随机数、计数器或时间戳3) 签名攻击：这类攻击的主要日的是获得用广的身份信息对于可恢复的签名方案 来说，这类攻击有可能得到签名中的部分内容其中攻击类型主要有签名验证攻Hr (Signer Verification Attack)和内容验证攻击(Content Verification Attack)攻击者实施签 名验证攻击时，用公开的签名验证密钥对签名数据进行验证，当验证通过时，就可以确定签 名者的身份信息。

这在需要提供用户匿•名性的场合下，对用户身份信息的保密性构成威胁, 属于信息泄漏的一种形式内容验证攻击与签名验证攻击类似，攻击者的目的是为确定签名 信息中的一部分信息这类攻击的前提是攻击者知道待定信息的可能集合(一般是有限集)， 例如：攻击者知道签名的大部分明文内容和消息格式，而为确定一小部分未知信息4) 源替代攻击(Source Substitution Attack):在公钥系统中，若证书的颁发者 没有很好地审查证书申请者对私钥的拥有，就会造成攻击者申请一个与受害者具有相同公钥 和名字的证书(但是攻击者并不知道其对应的私钥)，从而可以对受害者实施假冒攻击解 决方法通常是要求证书颁发机构强制实施对私钥拥有情况的检查还有-•类称为未知密钥共 享攻击(Unknown Key Share Attack)，攻击者在已知签名内容、签名信息和签名验证公钥 的前提下，生成一对新的公私钥对，使得用新密钥对已知内容的签名与已有签名信息相同， 攻击者以此新密钥对申请新的公钥证书，以假冒受害者这种攻击方法靠证书颁发机构 是无法解决的5) 部分选择密钥攻击(Partial Chosen Key Attack):此类攻击与密钥控制相关。

当 两个通信实体需要协商一个会话密钥时，其中一方首先向另一方出示它对会话密钥的贡献 (密钥生成的参数)，这时通信的另一方可以根据巳经出示的密钥参数有目的地选择日己的 那部分密钥参数，从而使得密钥的生成具有不平衡性一般地，基于公钥技术的密钥协商协 议都具有潜在的受到部分选择密钥攻击的可能性六、基于证书运作的安全通道机制证书运作是基于X.. 509公钥基础设施的证书策略,它符合X.. 509 V3标准目前广泛 采用SSL协议，对于数字信息系统而言，SSL协议抗中间人攻击，在这一点上优于零知识协 议证书运作的要求主要包括证书申请、证书发放、证书撤消、密钥管理、网络安全。