JFKr的分析與改進(jìn)

E-mail: infoccc.net.cnISSN 1009- 3044Computer Knowedge And Technology 電脯知識與技術(shù)htp:/://w.zs.net.cnnVol.4,No.9,Dcember 2008, pp.2588 -2589Tel:+86- -51-5690963 5690964JFKr的分析與改進(jìn)黃欣,萬(wàn)長(cháng)茂,楊志斌(南昌大學(xué)計算中心,江西南禺30031)摘要:JFK(just fast keying協(xié)議是一種新型的Intemet密鑰交換協(xié)議,具有高效、安全和較好的防DoS(denial of srice)攻擊的特點(diǎn)。但是jFK協(xié)議也有自身的缺陷,比如由于不協(xié)商安全策略的不合導致通信中斷,改進(jìn)后的JKF在不犧牲效率的情況下實(shí)現了對協(xié)議的改進(jìn)。關(guān)鍵詞:密鑰交換;DoS攻擊:JFK中圖分類(lèi)號:TP311文獻標識碼:A文章編號:1009- 30442008)36 -2588-02Analysis and Improvement of JFK ProtocolHUANG Xin,WAN Zhang- mao,YANG Zhi-bin(Computing Centte of Nanchang Univesity, Nanchang 330031,China)Abstract: jFK protocol is a new type of Internet key exchange protocol,it is efcient,secure and DoS -resistan. But JFK protocol Has isown defectiveness,for example:communication interruption by lack negotation security policy. Afer im provement, jFK protocol has Opti-mized without losing e6ficiency.Key words: key exchange; DoS atack; just fast keying1引言VPN ( vitual private network)技術(shù)是指采用隧道技術(shù)以及加密、身份認證等方法.在公眾網(wǎng)絡(luò )上構建專(zhuān)用網(wǎng)絡(luò )使數據通過(guò)安全的“加密管道"在公眾網(wǎng)絡(luò )中傳播的技術(shù)。目前已經(jīng)開(kāi)發(fā)了很多安全協(xié)議來(lái)支持VPN的構建.如IPSec([P security protocol)協(xié)議"。在具有加密功能的安全協(xié)議開(kāi)始工作以前.在工I作過(guò)程中所需要的共享密鑰以及所要使用的加密認證算法必須可以被安全地協(xié)商,并且在VPN運行過(guò)程當中,必須要適當地剛新加密所用的密鑰,限制一個(gè)密鑰所加密的數據量。在全球化的網(wǎng)絡(luò )中,人工交換和更新密鑰是不可能的，所以就需要-種能自動(dòng)交換和更新密鑰的方法?，F在IKE(intemnet key exchange)協(xié)議作為IPSec協(xié)議的指定密鑰交換協(xié)議標準正在被廣泛使用。但是IKE有很多缺陷.主要有以下幾點(diǎn):交換密鑰所儒要交換的消息數量龐大;容易受到Dos攻擊;協(xié)議的說(shuō)明和實(shí)現非常復雜。鑒于IKE的種種缺陷,人們已經(jīng)開(kāi)始設計一種更安全.更高效和能更好防止Dos攻擊的新型的密鑰交換方法來(lái)替代IKE協(xié)議，目前IKE的替代協(xié)議主要有IKEV2協(xié)議和JFK協(xié)議同。IKEV2 是在IKE的基礎上進(jìn)行重新設計,保留了兩個(gè)階段交換的思想,并且通過(guò)增加了可變的前面兩條消息來(lái)提高協(xié)議效率和防DoS攻擊的能力。JFK提出了一種新的密鑰交換體制,在JFK中取消了兩個(gè)階段交換的思想,只保留了一個(gè)階段,并且采取了更為有效的方式來(lái)防止DoS攻擊和重放攻擊.相比較而言,JFK協(xié)議效率更高,更安全,實(shí)現也更為簡(jiǎn)單,但是JFK協(xié)議同樣存在自身的一些缺陷,對JFK協(xié)議進(jìn)行改進(jìn)可以使其更加完善。2 JFK協(xié)議介紹及交換過(guò)程2.1 JFKr概述JFK協(xié)議是一種新型的Intenret 密鑰交換協(xié)議,與IKE協(xié)議相比,JFK協(xié)議效率更高、安全性更好。JFk協(xié)議只有一個(gè)階段,取消了IKE協(xié)議兩個(gè)階段的思想.因此JFK協(xié)議實(shí)現更為簡(jiǎn)單,一次完整的JFK密鑰交換只需要兩個(gè)往返共4條消息。JFK協(xié)議的實(shí)現基于Difie-Helhnan交換。在Diffe- Hellman交換中Dife-Hellman指數的計算其代價(jià)非常昂貴,為了更好地提高效率和防止DoS攻擊,JFK協(xié)議并沒(méi)有對不同的會(huì )話(huà)使用不同的Difie-Hellman指數值.而是規定在一一個(gè)時(shí)間間隔(如30秒)內.對所有的會(huì )話(huà)連接使用同一個(gè)Dife- Hllman指數值.在時(shí)間間隔到達以后重新計算-個(gè)新的指數值,用 于以后的通信.實(shí)現了階段性向前保密。JFK 協(xié)議由兩個(gè)變種協(xié)議組成.即JFKi和JFKr,二者的主要區別在于對通信雙方提供的不同身份保護功能,其中JFKi為Initiator提供身份保護,使Iitator的身份能防止主動(dòng)攻擊.并沒(méi)有對Responder的身份提供任何保護:JFKr為Responder的身份提供保護防止主動(dòng)攻擊,同時(shí)對Responder和Initiator的身份提供加密保護防止被動(dòng)攻擊。JFKi主要適用于CIS模式.在這種情況下,ntiator(Clien)希望能保護自己的身份而Reponder(Sever)的身份通常是公開(kāi)的。JFKr 主要適用于Peer to-Peer結構的情況,此時(shí)Responder可能希望保護自己的身份,本文將以JFKr為例來(lái)分析JFK協(xié)議。JFKr協(xié)議的密鑰交換過(guò)程分為兩輪,共有四條消息,每條消息的具體內容如下:1) Message 1,I->R: N,g;2) Message 2.R- >I:N.N.g,GRPINFO.. HMACex(g .N,N,IP):‘3) Message 3.1->R:N,N.g ,g ,HMACHau(g' ,N,N,IP,E,cld,l, ,sa ,SIGIN,N.g.g ,CRPINFO),HMACu(1 ,Edld,J, ,sa,SIG,(N, N.,g.g,CRPINFO);4) Message 4,R- >I:N,N,EdId,sa. ,SIG(g ,N,g,N).HMACJ(RTEdId,sar,SlGN.g .N.g.N));消息中涉及到的符號含義如下:NN,分別代表發(fā)起者和響應者選撣的隨機數:g、g代表發(fā)起者和響應者選擇的Dife-Hellman公共值;sa是發(fā)起者協(xié)商的安全關(guān)聯(lián),sa”是響應者協(xié)商的安全關(guān)聯(lián):K,用來(lái)加密數據,K,用來(lái)做消息認證碼的密鑰;Id,、Id,分別是發(fā)起者和響應者的身份信息(如公鑰證書(shū));GRPINFOr包括響應者支持的所有DifeHelman組和用來(lái)保護消息3和消息4的對稱(chēng)密鑰加密算法和產(chǎn)生密鑰的Hash函數類(lèi)型。E(M)表示利用對稱(chēng)密鑰加密算法，使用密鑰K來(lái)對消息M加索SICXMl表示利用會(huì )話(huà)參與者x的私鑰來(lái)對M進(jìn)行數字簽名。HMAC(M)表示使用密鑰K來(lái)計算消息M的消息認證碼。中國煤化工個(gè)響應者能夠接受的CNMHG收稿日期:2008-08-032588**計算機網(wǎng)絡(luò )與信息安全 ，●本欄目責任編輯:蹈黃欣等:JFKr的分析與改進(jìn)Difie Hllman組生成g mod p并選擇- -個(gè)隨機數No.然后將二者-起發(fā)送給響應者。在Message2中響應者首先選擇自己的隨機數N,然后生成與發(fā)起者的Diffie-Hellman公共值同組的g mod p,在GRPINFOr包含它所支持的密鑰算法和Hash兩數類(lèi)型的信息。還要生成一個(gè)用來(lái)認證和保證完整性的消息認證碼HMAC概(區,N,N.IP).這個(gè)認證碼在Message3中發(fā)起者將重傳給響應者.密鑰HK,是只有響應方知道的一個(gè)值.因此對認證碼的內容的任何篡改都將會(huì )被響應者發(fā)現。認證的內容包括了g.N.N.這三個(gè)值可用來(lái)確定是一個(gè)特定的會(huì )話(huà)。認證的內容還包括了發(fā)起者的IP地址,它可以用來(lái)抵抗"ookie jar"DDoS攻擊。在Message 3中.發(fā)起者將會(huì )傳回HMACa (g.N,N,IP)(響應方收到這條消息后將莒先驗證它)。然后利用響應者在上一個(gè)消息的GRPINFO,中提出的認證和加密算法來(lái)對傳送的一些數據進(jìn)行處理。加密的數據包括發(fā)起者的身份信息.發(fā)起者選擇的安全關(guān)聯(lián)Id.;(可以告訴響應者用如何來(lái)驗證發(fā)起者).還有發(fā)起者對N.N.g g .GRPINFO,的數據簽名.數據簽名一方面可以保證這些數據的完整性另一方面可以起到數據起源認證的作用.加密的密鑰K= HMACE (N, N。1)。HMACJ(1 ,E,(ld,Id, ,sa ,SIGN. N.g.g.GRPIFO1)則保證了整個(gè)消息的完整性,也讓中間人無(wú)法綁定自己身份信息,其中密鑰K,= HMAC (N, N.2)。在Message4中,響應者又發(fā)回了發(fā)起者和響應者選擇的隨機數。隨之，選擇自己的安全關(guān)聯(lián)，用自己的私鑰對g、N,g .N進(jìn)行數字簽名,響應者的身份信息Id.然后再對相關(guān)信息用密鑰Ka=HMAC&(N,N,2)生成消息認證碼,以保證數據的完整性.再將以上數據用密鑰K=HMAC。(N.N.1)加密。發(fā)起者收到Message4可以驗證響應者的身份.并用密鑰K解密數據得到響應者選擇的最終的安全關(guān)聯(lián)。通過(guò)以上4條消息建立了雙方的安全關(guān)聯(lián).同時(shí)建立了會(huì )話(huà)的密鑰K= HMAC& (N。N, 0),它只有會(huì )話(huà)雙方才能計算得出來(lái)，沒(méi)有第三方可以得到"。2.2消息的拒絕Responder可以接受Initiator 提出的要求,同樣也可以拒絕Iniator的請求,Responder拒絕lnitiator 的消息1)的惟一理由是Re-sponder不接受Initiator提出的Difte-Hellman的組值.但是消息(2)中g(shù)pinfoR中可以指定Responder可以接受的值，所以這條消息不需要明顯地拒絕消息5。拒絕消息(3)可以有很多理由，包括請求未授權的服務(wù)，或者是lnitiator提出的用在IPSec中的加密算法不適合Responder的要求。消息4)中可以指出適用的算法或者其它的出錯信息,讓Initiator重新發(fā)送消息3),在未成功接受消息3)以前,Responder不會(huì )保存任何狀態(tài)信息。3 JFK協(xié)議的改進(jìn)3.1 JFK協(xié)議的改進(jìn)思想JFK協(xié)議采用一個(gè)階段的思想取消了多種認證方式的選擇.簡(jiǎn)化了密鑰協(xié)商所要交換消息的內容.提高了效率。然而由于JFK協(xié)議取消了加密和認證算法的協(xié)商，由Responder指定所要使用的加密和認證算法,JFK協(xié)議認為提供服務(wù)的一方有權為其提供的服務(wù)規定加密和認證的強度.如果Initiator恰好不支持Responder所提出的加密或認證要求,那么將無(wú)法進(jìn)行通信。JFK在消息3)中并沒(méi)有將grpinfoR中指定的如密認證算法傳回給Responder,因為之前Responder不會(huì )保存任何和Initiator交互的狀態(tài)信息.所以Responder叮能不知道用什么方法去解密和驗證消息3)。本文針對JFK協(xié)議上述缺陷進(jìn)行了相應的改進(jìn)。為了避免出現Initiator恰好不支持Responder所提出的加密或認證算法而導致整個(gè)通信無(wú)法進(jìn)行的情況,采用Intemet密鑰交換協(xié)議常用的方法,由Iitiator在消息1)中 列出其支持的加密和認證算法,讓Re-sponder在其中選擇合適的算法進(jìn)行通信.在實(shí)現時(shí)這一項是可選的,如果Iitiator在消息I)中沒(méi)有列出其支持的加密和認證算法，則由Responder在消息2)中指定后兩條消息所使用的加密和認證算法。在消息3)中將消息3)和消息4)所采用的加密和認證算法傳回，真正實(shí)現lnitialor 和Reponder之間無(wú)狀態(tài)的交互。本文以改進(jìn)后的JFKr協(xié)議為例.在下一小節中對具體改進(jìn)進(jìn)行詳細說(shuō)明。3.2 JFK協(xié)議的改進(jìn)1) Message 1,I->R: Ni,gi ,(SPI];2) Message 2.R- >I:Ni,Nr,gr .SPr.HMACHKr(gr.Nr,Ni.IPi);3) Message 3,1->R:Ni,Nr,gi .gr ,SPr,HMACHKr (gr ,Nr,Ni. IPi).EKe (Idi,Idr ,sa .SIGi(Ni,Nr ,gi,gr ,SPr), HMACKa (,EKe (Idi,Idr, 8a . SIGi(Ni, Nr ,gi,gr ,Sr/));4) Message 4,R->I:Ni, Nr,EKeldr,sa ,SIGr(gr,Nr, gi ,Ni),HMACKa(R, EKeldr ,sa”,SIGr(gr.Nr,gi ,Ni));消息1)中,增加一個(gè)可選項[SPi].如果此項不為空.則由Initialor 列出支持的所有加密和認證算法。為了避免組合爆炸情況,并不列出所有加密認證算法的組合,而是采取IKEV2中提到的方法,分別提供加密和認證算法.由Responder從中選擇-一個(gè)算法來(lái)使用。如果此項為空的話(huà),則由Responder在消息(2)中指定采用的加密和認證算法間。消息2)中SPr的意義和原Jkr中的gpinfoR的意義基本相同,用來(lái)指定后面所用的加密算法和認證算法等內容,如果消息(1)中的[SPi]不為空,并且Responder支持其中列出的算法，則Responder選擇一組算法放在SPr中回應Initiator,否則由Responder在SPr中指定相應的算法。消息3)中,1向R傳回了SPr。如果不傳回SPr,由于Responder沒(méi)有保存之前和lnitiator連接的任何狀態(tài).因此Responder根本不知道采用什么方法對消息進(jìn)行解密和認證。4結束語(yǔ)該文對JFK協(xié)議進(jìn)行了較為詳細的分析和探討,并且對目前JFK協(xié)議的不足和缺陷進(jìn)行了改進(jìn)。具體改進(jìn)方法是:在消息()中增加可選項解決因Initiator不支持Responder指定的算法而造成無(wú)法通信的問(wèn)題;在消息(3)中因為Responder沒(méi)有保存grpinfoR而不知道解密算法的問(wèn)題;參考文獻:[1] KentS,Atkinson R.Security architecture for the inlernet protocol (IPSec)[Z].RFC2 401,IETF 1998.(2] Aiello W.Bellovin S.Blaze M.Eficient, dos- resistant, secure key exchange fe中國煤化工the 9燦ACM Conterence on Computer and Communication security, ACM 2002.48- 58.3] Anupa DttaJohn Mitchel.Drivation of the JFK prolocol.www stanford.edw/-I YHCNMHG[4]李力,張中科.快速密鑰交換協(xié)議的分析與實(shí)現J南昌大學(xué)學(xué)報(理科版),[5]常麗娟,沈蘇彬.密鑰交換協(xié)議JFK的分析與研究[小.南京郵電大學(xué)學(xué)報(自然科學(xué)版)2006.26(1);18-24.[6]林鵬,張玉芳JFK協(xié)議的分析與改進(jìn)J].計算機工程與計,2006.27(13):2446- -2475.本欄目責任蝙輯:馮蕾........計算機網(wǎng)絡(luò )與信惠安全“2589