密碼消息原語通信協(xié)議介紹及安全分析

徐春暉

（南京中興新軟件責任有限公司，江蘇 南京 210000）

密碼消息原語通信協(xié)議介紹及安全分析

徐春暉

（南京中興新軟件責任有限公司，江蘇 南京 210000）

文章對密碼消息原語通信協(xié)議（CMS）作了介紹與分析，列舉了CMS協(xié)議的保護機制和安全性分析及后續(xù)改進，供相關人士參考。

密碼消息原語；數(shù)字簽名；保護機制

密碼消息原語（Cryptographic Message Synta，CMS）協(xié)議為數(shù)據(jù)保護提供了封裝語法。它支持數(shù)字簽名、消息鑒別碼及加密，并支持多次封裝。CMS協(xié)議被用于數(shù)字簽名、摘要、驗證及加密任何消息內(nèi)容，適合于為定向通信協(xié)議提供安全保護。

1 CMS算法介紹

CMS通過使用ASN.1（抽象語法標志）[X.208-88]及[X.209-88]產(chǎn)生CMS值，算法標志符標識了加密算法。應用支持SHA-1或MD-5。CMS包含了下列密鑰管理技術：密鑰一致性，密鑰傳輸，預先分配的對稱密鑰加密密鑰，密碼。密鑰一致性算法使用了X9.42 Ephemeral-Static Diffie-Hellman及 X9.42 Static-Static Dif fi e-Hellman。當密鑰一致性被支持時，每一個內(nèi)容加密算法將被提供一個密鑰加密算法。CMS應用中的對稱密鑰加密管理使用了三重DES和RC2加密密鑰。當RC2被支持時，RC2 128 bit密鑰作為加密密鑰使用。CMS應用可以支持混合密鑰加密及內(nèi)容加密算法。如一個49 bit的RC2內(nèi)容加密密鑰可以由168 bit的三重DES密鑰加密密鑰及128 bit的RC2密鑰加密密鑰包裝。密鑰生成算法被用來將一個密碼轉換成一個密鑰加密密鑰，并將其作為基于密碼的密鑰管理技術的一部分。

2 CMS協(xié)議保護機制

在常見的通信系統(tǒng)中一般采用IPSec或TLS保證通信的完整性、機密性等，IPSec安全協(xié)議工作在網(wǎng)絡層，TLS工作在傳輸層之上、應用層之下，在NEA模型中，這些保護措施都工作于PT層之中。在一些情況下，消息需要通過不受PT保護的網(wǎng)絡下一跳傳輸，或者要求只有特定的Posture Collector與Posture Validator才能接收到消息，這時就需要端到端的PA-TNC消息保護機制，而IPSec或TLS只能保證逐跳的安全，這樣PA-TNC就缺少有效的端到端的安全性保護，存在一定安全隱患。于是終端狀態(tài)評估模型中引入了CMS協(xié)議來保證端到端的安全。CMS協(xié)議為數(shù)據(jù)保護提供了封裝語法，它支持數(shù)字簽名，消息鑒別碼及加密[1]。

CMS協(xié)議已被IETF用來保護一些定向會話協(xié)議（如MIME消息，防火墻升級），它被認為是一個保護PA-TNC屬性的好的標準方法，并應用于PA-TNC中以提供身份認證，完整性和多項屬性的可選機密性。CMS內(nèi)容保護機制允許Posture Collector與Posture Validator互相以CMS壓縮形式發(fā)送一個或多個PA-TNC消息屬性。每個CMS保護內(nèi)容屬性必以內(nèi)容信息結構開始，此種內(nèi)容信息結構包括上層的內(nèi)容種類標志符及內(nèi)容本身，并且CMS允許消息種類的嵌套。下面為CMS信息的ASN.1封裝結構[2]：

PA-TNC中引入CMS安全機制之后，3種新的終端狀態(tài)屬性被定義，分別為：CMS Protected Content Attribute，CMS Error Code Attribute，Nonce CMS Attribute。CMS Protected Content Attribute提供了完整和機密性保護，CMS Error Code Attribute指出了錯誤狀態(tài)信息的原因，Nonce CMS Attribute防止了重傳攻擊。在這3種新的終端狀態(tài)屬性中，CMS 主要使用加密和數(shù)字簽名兩種技術，前者提供數(shù)據(jù)的機密性，只有特定接收者才能解密并瀏覽數(shù)據(jù)，后者提供身份的認證和數(shù)據(jù)的完整性，以確保一些機密信息在傳輸過程中沒有被篡改，防止攻擊者修改或冒名發(fā)送請求或響應，兩種技術可以同時使用，同時密碼算法是可以擴展的。常用的加密算法有DES，RC2，摘要算法有SHA，MD5，所有的CMS值以ASN.1的結構表示。

3 CMS協(xié)議安全性分析

CMS Protected Content Attribute為終端狀態(tài)屬性提供了完整機密性保護，屬性消息放在CMS封裝對象中，分為signed-data和enveloped-data兩種形式。signed-data對屬性使用了數(shù)字簽名技術，使得PA-TNC消息的接收者可以對發(fā)送者進行身份認證，且因為簽名覆蓋了一條消息中的多個PATNC屬性，所以除非HASH值無效，否則攻擊者無法單獨更改任何一條屬性，從而保證了多條屬性的完整；envelopeddata對簽名后的屬性進行加密操作，使屬性值通過不受信任的中間設備時也保證了機密性。

CMS Error Code Attribute屬性使收到無效安全保護PA-TNC消息的接收者發(fā)出一個錯誤響應以指出無效的原因。在一些特殊情況下，接收者無法識別簽名（如使用不受支持的加密算法）或無法與發(fā)送者建立信任，但接收者至少可以得到返回的錯誤碼并決定是否對其信任及如何對其進行操作。

Nonce CMS Attribute屬性的使用防止了狀態(tài)評估模型遭受重傳攻擊，保存于上面所提到的signed-data content中，終端狀態(tài)屬性消息的發(fā)送者在Nonce CMS Attribute中加入了一個Nonce，以使接收者可以發(fā)現(xiàn)出重傳攻擊。Nonce的值對于第三方來說是不可知的，使用者可以用一系列不重復的數(shù)字來表示。

4 CMS協(xié)議的改進

CMS協(xié)議應用中，數(shù)字簽名較多采用RSA算法，RSA是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法，但其具有明顯缺點：（1）產(chǎn)生密鑰很麻煩，難以做到一次一密；（2）分組長度太長，至少600 bit以上，運算代價很高，較對稱密碼算法慢幾個數(shù)量級，且隨大數(shù)分解技術發(fā)展，這個長度還在增加，不利于數(shù)據(jù)格式標準化及加密大量數(shù)據(jù)。因此，可將與RSA與MD5等HASH函數(shù)配合在一起使用[3]，具體過程如圖1所示。

圖1 RSA與MD5等HASH函數(shù)使用流程

發(fā)送方對信息作MD5變換，形成信息摘要，再用SK對生成的信息摘要加密，并將已加密的原始信息和加密后的信息摘要傳給接收方；接收方用發(fā)送方的PK進行解密得到發(fā)送方的原始信息及信息摘要，如果解密后的信息摘要和接收方自己產(chǎn)生的信息摘要一致，那么接收方就可以相信對方的身份和文件內(nèi)容完整性。和原來單獨使用RSA進行數(shù)字簽名的方法相比，改進后的方法同樣確保了身份認證和數(shù)據(jù)完整性，但減少了運算量（見圖2）。

圖2 改進后的流程

5 結語

CMS協(xié)議從完整機密性保護，錯誤信息的反映，重傳攻擊保護三方面改變了終端屬性標準消息結構及協(xié)議交互流程以實現(xiàn)安全保護，但是不同環(huán)境下的終端模型是一個復雜的系統(tǒng)，而且CMS協(xié)議需要引入多種安全算法，在實際應用的時候還需要根據(jù)情況進行周密和詳盡的安全設置和配置，才能給系統(tǒng)帶來足夠的安全保障。

[1] HOUSLEY R.Cryptographic Message Syntax (CMS) algorithms[J].Standard Track，2002（8）：174.

[2] SANGSTER P.TNC IF-M security: bindings to CMS[EB/OL].（2008-01-31）[2017-11-01].https://www.trustedcomputinggroup.org/wpcontent/uploads/TNC_IFM_Security_CMS_v1_0_r14.pdf.

[3] 賴德剛，黃月江，童登高.CMS協(xié)議在Diameter中的應用及其安全性研究[J].成都信息工程學院學報，2006（6）：787-791.

Introduction and security analysis of cryptographic message synta

Xu chunhui
（Nanjing ZTE Software Company, Nanjing 210000, China）

In this paper, the cryptographic message synta（CMS）is introduced and analyzed, and the protection mechanism and security analysis and subsequent improvement of CMS protocol are enumerated, which can be referred by related people.

cryptographic message synta; digital signature; protection mechanism

徐春暉（1984— ），男，江蘇南京人，工程師，碩士；研究方向：通信技術產(chǎn)品研發(fā)及安全技術。