IKEv2中Diffie-Hellman密鑰交換算法的改進①

閭立新 高振棟

[摘 要]IKEv2密鑰協商過程能夠增強IPSec VPN網關之間隧道建立過程的安全性。Diffie-Hellman算法作為IKEv2協商過程中的重要組成部分,它的安全可靠性就顯得非常重要。本文針對Diffie-Hellman算法存在的若干缺陷,提出一種與預共享密鑰、密鑰共享等思路結合的改進方案,從而進一步提高該算法的安全性,最終確保整個IKEv2和VPN的可靠性。

[關鍵詞]IPSecIKEv2Diffie-Hellman算法

[中圖分類號]TP393 [文獻標識碼]A [文章編號]1007-9416(2009)11-0097-02

網絡安全是目前比較熱門的話題,在眾多安全技術中,IPSec VPN為不在同一個物理地址的通訊雙方建立了安全可靠的通訊隧道,而IKEv2作為IKE的替代者極大地增強了IPSec VPN網關之間隧道建立過程的安全性。

IKEv2是IPSec體系中的重要的密鑰協商協議,它可以有選擇地使用Diffie-Hellman算法、預共享密鑰算法、RSA數字簽名算法等方法提高密鑰協商過程的安全性。本文針對Diffie-Hellman算法理論上的缺陷,提出了一種Diffie-Hellman改進算法,從而可以進一步提高IKEv2協商過程的安全性。

1 IKEv2協商過程簡介

整個IKEv2存在兩個協商階段,它們分別是初始交換階段和協商子SA交換階段,主要用于協商IKE_SA和協商CHILD_SA(即IPSec SA)。另外,還可以使用信息交換階段用來在IKEv2協商雙方之間通知一些出錯、配置、刪除等信息。

在第一階段初始交換階段中協商雙方先后進行IKE_SA_INIT交換和IKE_AUTH交換兩個

過程。初始交換階段協商得到IKE_SA,并以此保護后面的IKE_AUTH交換過程以便協商得到IPSec SA。

IKE_SA_INIT交換過程如下所示。

I->R:HDR,SAi1,KEi,Ni

I<-R:HDR,SAr1,KEr,Nr,[CERTREQ]

IKE_AUTH交換過程如下所示。

I->R:HDR,SK{IDi,[CERT,][CERTREQ,][IDr,]AUTH,SAi2,TSi,TSr}

I<-R:HDR,SK{IDr,[CERT,]AUTH,SAr2,TSi,TSr}

協商子SA交換過程如下所示。

I->R:HDR,SK{[N],SA,Ni,[KEi],[TSi,TSr]}

I<-R:HDR,SK{SA,Nr,[KEr],[TSi,TSr]}

信息交換交換過程如圖1所示。

I->R:HDR,SK{[N,][D,][CP]}

I<-R:HDR,SK{[N,][D,][CP]}

由于篇幅所限,在此不詳細闡述每一個交換過程的詳細過程,這里重點介紹一下包含Diffie-Hellman算法的交換過程。

IKE_SA_INIT交換過程的第一條消息中的HDR表示IKEv2消息頭,SAi1包含了發起者針對IKE_SA的提案建議,提案中包括加密算法、認證算法、DH組等內容,KEi包含了發起者的Diffle-Hellman公開值,Ni則表示發起者的Nonce值。

響應者接收到發起者發送的消息后在SAi1中選擇某種提案形成SAr1,并且將KEr和Nr分別作為響應者的Diffle-Hellman公開值以及Nonce值發送給發起者。在響應消息中,響應者還可以包含可選的證書請求載荷發送給發起者。

2 Diffie-Hellman算法的改進

2.1 Diffie-Hellman算法簡介

Diffie-Hellman密鑰交換算法可以使交換雙方在不安全的網絡環境中安全地交換計算密鑰的材料,從而使交換雙方可以各自安全地計算出密鑰。IKEv2在動態密鑰協商過程中的IKE_SA_INIT交換過程和協商子SA交換過程中可以使用Diffie-Hellman密鑰交換算法。

假設交換雙方Alice和Bob使用Diffie-Hellman算法交換密鑰,那么交換步驟如下:

(1)首先定義一個素數p和底數g,p和g是公開的。

(2)Alice秘密選取隨機數字a,Bob也秘密選取隨機數字b。

(3)Alice進行以下計算得到A:

A = ga mod p

而Bob也可以進行計算得到B:

B = gb mod p

我們稱A和B為Diffie-Hellman公開值,它們是可以公開的。

(4)Alice將A傳送給Bob,Bob也將B傳送給Alice。

(5)Alice計算Key(Alice)得到密鑰:

Key(Alice) = Ba mod p

(6)Bob計算Key(Bob)得到密鑰:

Key(Bob) = Ab mod p

經過簡單證明可以得知:Key(Alice)= Key(Bob)。

2.2 現有算法的缺陷

從以上Diffie-Hellman算法的具體過程可以看出該算法存在以下幾個缺陷:

(1)在Diffie-Hellman算法中,Diffie-Hellman公開值A和B、素數p和底數g都是公開的,所以理論上攻擊者可能截獲Diffie-Hellman公開值A和B,從而計算出Alice的秘密a和Bob的秘密b。在Diffie-Hellman算法中,算法的安全性取決于與p有相同長度的數的因子分解的難度。一旦p選擇不合適,算法安全性就受到極大威脅。

(2)Diffie-Hellman密鑰交換機制容易遭受“中間人攻擊”。如圖1所示,入侵者截獲并且修改了Alice和Bob交換的Diffie-Hellman公開值,并且分別用A代替了A,B代替了B,而Alice和Bob卻不能有效地發現這種情況的發生(見圖1)。

2.3 改進思路

為了進一步提高Diffie-Hellman算法的安全性,本文提出以下改進思路。

針對交換雙方的秘密a和b可能被攻擊者計算得出的情況,可以采用結合預共享密鑰認證算法、密鑰共享的思路將原有秘密a和b分別拆分成a1、a2、a3和b1、b2、b3六個秘密。a1和b1還是參加Diffie-Hellman公開值A和B的計算,而a2和b2是預先共享的密鑰,用于認證交換雙方的身份。而a3和b3不參加計算和交換過程,它們是預先協商或者共享的秘密,所以a3和b3可以相同,即a3=b3。具體算法過程如下所示。

(1)首先定義一個素數p和底數g,p和g是公開的。

(2)Alice秘密選取隨機數字a1,Bob也秘密選取隨機數字b1。同時,Alice和Bob預先共享同一個秘密a2和b2,a2=b2。

(3)Alice進行以下計算得到A:

A = ga1 mod p

而Bob也可以進行計算得到B:

B = gb1 mod p

(4)Alice使用預共享密鑰a2對A進行認證,計算得到Ap。Bob使用預共享密鑰b2對B進行認證,計算得到Bp。

Ap = f(A,a2)

Bp = f(B,b2)

Alice將Ap傳送給Bob,Bob也將Bp傳送給Alice。

(5)Alice計算Key(Alice)得到密鑰:

Key(Alice) = Bpa1 mod p | a3

(6)Bob計算Key(Bob)得到密鑰:

Key(Bob) = Apb1 mod p | b3

改進方案優勢分析如下:

(1)采用以上改進方案,即使Alice和Bob選取了不合適的p和g,攻擊者計算得出a1和b1也不會威脅算法的安全性。因為a3和b3沒有參與交換傳輸,不存在被攻擊者截獲并且計算得到的可能性。

(2)由于原有的秘密a和b分別拆分成a1、a2、a3和b1、b2、b3六個秘密,所以分散了秘密被攻擊者破解的可能性和風險。攻擊者只有得到必要的所有計算材料才能最終破解Diffie-Hellman算法,這符合密鑰共享的基本思想,即將單一的秘密進行拆分成若干份,只有得到必要的若干份秘密才能還原被拆分前的秘密。

(3)以上改進方案可以有效抵御“中間人攻擊”。在圖1中,攻擊者即使截獲了A和B,由于在改進方案中使用了a2和b2這一對預共享密鑰對交換的內容進行了認證,攻擊者無法進行冒充交換雙方,交換雙方Alice和Bob很容易能夠識別被替換的Diffie-Hellman公開值A和B。

3 結語

本文針對Diffie-Hellman算法的若干缺陷提出一種改進方案,從而進一步提高了IKEv2協商過程的安全性,最終確保了VPN通訊隧道的可靠性。

[參考文獻]

[1] 陳卓,張正文.Internet密鑰交換協議IKEv2研究[J].計算機應用與軟件,2008,25(2):269-270.

[2] 韓旭東,湯雋,郭玉東.新一代IPSec密鑰交換規范IKEv2的研究[J].計算機工程與設計,2007,28(11):2549-2552.

[3] 杜春燕,周曉東,陸建德.一種基于IKEv2的IPsec遠程訪問實現方案[J].電腦與電信,2007(9):4-6.

[4] Iso-Anttila Lari,Ylinen Jorma,Loula Pekka.A Proposal to Improve IKEv2 negotiation [C].Emerging Security Information,Systems,and Technologies, 2007 International Conference on;Valencia,Spain,2007:169-174.

[基金項目]

江蘇省自然科學基金項目(BK2004039)