移動智能終端安全即時通信方法

張 帆，張 聰，趙澤茂，徐明迪

(1.武漢輕工大學 數(shù)學與計算機學院，武漢 430023； 2.麗水學院 工程與設計學院，浙江 麗水 323000；3.武漢數(shù)字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

移動智能終端安全即時通信方法

張 帆1，張 聰1，趙澤茂2，徐明迪3*

(1.武漢輕工大學 數(shù)學與計算機學院，武漢 430023； 2.麗水學院 工程與設計學院，浙江 麗水 323000；3.武漢數(shù)字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

針對移動智能終端即時通信安全問題，提出了一種不可信互聯(lián)網(wǎng)條件下移動智能終端安全通信方法。該方法設計并實現(xiàn)了一種在服務器和通信信道均不可信情況下的可信密鑰協(xié)商協(xié)議。理論分析表明，所提出的密鑰協(xié)商協(xié)議可以確保通信雙方所協(xié)商會話密鑰的真實性、新鮮性和機密性等諸多安全特性。密鑰協(xié)商完成之后，基于透明加解密技術即可以確保即時通信雙方語音/視頻通信信息的機密性和完整性。真實移動互聯(lián)網(wǎng)環(huán)境下的測試也表明該方法是高效和安全的，密鑰協(xié)商可以在1～2s完成，攻擊者無法獲取即時通信的明文信息。

移動智能終端安全；即時通信；可信密鑰協(xié)商；協(xié)議安全

0 引言

目前，移動智能終端已經(jīng)遠超臺式設備占據(jù)了市場的主導地位，我們正快速進入嶄新的移動互聯(lián)網(wǎng)時代。即時語音/視頻通信(以下簡稱即時通信)作為移動互聯(lián)網(wǎng)的重要基礎，獲得了廣泛的應用，如：社交APP、警用監(jiān)控、軍事偵查、娛樂購物等各種領域。產(chǎn)業(yè)界對即時通信表現(xiàn)出高度的興趣，并將其視為當前移動互聯(lián)網(wǎng)產(chǎn)業(yè)競爭的核心領域之一[1-2]。但是，如何保證即時通信的安全性卻仍然是一個開放課題。目前主流的即時通信軟件存在著不合理的安全假設。以占據(jù)國內(nèi)市場主導地位的微信為例，其將即時通信的安全性建立在服務器絕對可信的假設之上[3]。顯然，這個假設是不合理的，斯諾登所揭露的美國監(jiān)聽歐盟事件表明，通過技術手段入侵并控制服務器，是完全可行的。因此，必須尋求一種在服務器不可信的情況下，即時通信雙方仍能進行安全通信的方法。

本文默認即時通信服務器(以下簡稱服務器)已被黑客完全控制，服務器和網(wǎng)絡攻擊者具有Dolev-Yao模型攻擊能力。在此基礎上，遵從現(xiàn)有主流即時通信軟件所采用的即時通信模型(參見圖1)，基于普通商用移動智能終端，設計并實現(xiàn)了一種不可信互聯(lián)網(wǎng)環(huán)境下的安全即時通信方法。即本方法可以在服務器不可信以及網(wǎng)絡不可信的敵手環(huán)境下，可信地協(xié)商會話密鑰以進行“端-端”可信通信。理論分析表明，只要密鑰能夠協(xié)商成功，則所協(xié)商的會話密鑰一定是真實、新鮮和保密的；而真實互聯(lián)網(wǎng)環(huán)境下的原型系統(tǒng)測試也表明該方法是高效和安全的。

當前主流即時通信軟件均采用如圖1所示的即時通信模型：整個架構采用“客戶端—服務器—客戶端”的C/S模式。服務器負責兩類工作：客戶端之間的會話密鑰協(xié)商；對不同客戶端進行注冊、監(jiān)控和管理等。

以國內(nèi)占據(jù)市場絕對份額的即時通信軟件微信為例，不同微信客戶端之間的即時通信信息采用高級加密標準(Advanced Encryption Standard, AES)加密，但AES會話密鑰是由即時通信服務器生成并用RSA加密之后發(fā)布給終端使用的[3]。顯然，如果服務器是不可信的，那么服務器所生成的AES會話密鑰、以及RSA加解密涉及的私鑰均可能泄露，從而導致即時通信過程敏感信息泄露。

圖1 現(xiàn)有主流即時通信軟件的通信模型

為此，設計并實現(xiàn)了一種安全即時通信方法，其具有如下特點：1)基于圖1所示的主流即時通信模型進行實現(xiàn)。除了將會話密鑰協(xié)商協(xié)議替換為本文所設計的密鑰協(xié)商協(xié)議之外，無需對即時通信模型作其他任何硬件層或者軟件層修改，保證了系統(tǒng)的兼容性和易用性。2)默認服務器是不可信的，黑客可以完全控制服務器。這從根本上去除了當前主流即時通信軟件“將即時通信的安全性建立在服務器絕對可信之上”的不合理安全假設。3)設計并實現(xiàn)了可信會話密鑰協(xié)商協(xié)議。理論分析表明，只要會話密鑰能夠協(xié)商成功，則通信雙方面所協(xié)商的會話密鑰一定是真實的(Authenticated)、新鮮的(Fresh)和保密的(Confidential)，從而保證即時通信是安全的。4)基于普通商用移動智能終端進行設計實現(xiàn)。除了要求通信雙方所使用的移動智能終端是可信的(即不存在惡意硬件和惡意軟件)之外，對移動智能終端無需任何其他安全假設和安全增強。5)實現(xiàn)了原型系統(tǒng)。真實互聯(lián)網(wǎng)環(huán)境下的實驗表明，方法是安全和有效的。

1 相關研究

1.1 即時通信安全

文獻[3-4]分別對具有代表性的主流即時通信軟件微信、以及Skype和QQ的通信安全性進行了研究。上述軟件的問題在于，它們均將即時通信的安全性建立在服務器絕對可信的不正確安全假設之上。而在實際應用中，服務器作為高價值對象，其不僅被攻擊概率高，而且對其攻擊是完全可行的。文獻[5-6]分別提出了基于橢圓曲線公鑰體制和基于身份的即時通信安全協(xié)議。但兩者的問題在于它們?nèi)匀皇腔诜掌魇墙^對可信的。文獻[7]基于PGP(Pretty Good Privacy)實現(xiàn)安全即時通信，但文獻[7]仍然要把PGP的密鑰對存放在可信的服務器之中。文獻[8-9]分別從隱私保護和即時通信惡意軟件(IM Malware)的角度研究了即時通信的安全問題。但兩者并沒有回答在服務器和網(wǎng)絡不可信的情況下，應該如何保證即時通信的安全。

在國內(nèi)產(chǎn)業(yè)界，微信、QQ、釘釘、來往(釘釘前身)、陌陌等知名即時通信軟件均不支持端-端加密。軟件安司密信提供了端-端加密，但其必須采用特定的硬件才能實現(xiàn)，這不僅額外增加了成本，而且使用不便。本文的方法完全基于軟件協(xié)議實現(xiàn)了端-端加密，避免了上述問題。國外Whatsapp、Line、Viber等于2016年4月到7月剛剛推出端-端加密功能。Facebook Messenger于2016年7月剛剛進行端-端加密功能測試。但是，這些工作的端-端加密的細節(jié)不僅沒有公開(從而無法確認是否存在后門)，而且它們僅能實現(xiàn)“端-端”通信的機密性，無法保證完整性。“端-端”通信完整性在需要進行遠程控制的場景是很有意義的。Telegram在2013年推出了端-端加密功能，但其協(xié)議可能遭受MIMT(Man-In-the-Middle Attack)中間人攻擊，而理論分析表明，本文的工作完全避免了MIMT攻擊。

1.2 密鑰協(xié)商

文獻[10]介紹了幾種典型的密鑰協(xié)商方法。首先是經(jīng)典的Diffie-Hellman方案，它的問題在于無法防御中間人攻擊。為了解決中間人攻擊問題，通過在經(jīng)典形式上增加認證，形成了端-端密鑰協(xié)商STS和MTI/A0密鑰協(xié)商方案。這兩種方案均需要有可信權威機構TA(對應于PKI中的證書認證中心CA)來提供證書或者簽名。這又帶來如下問題：一方面，在圖1所示的即時通信模型中，服務器本身是不可信的；另一方面，移動智能終端由于數(shù)量巨大，為每一個移動智能終端都提供相應的證書在工程上難以實現(xiàn)。因此，上述兩種方案無法在本文中應用。進一步地，文獻[10]還介紹了無證書的Girault密鑰協(xié)商方案，然而其仍然需要可信權威機構TA來生成秘密和輔助協(xié)商生成密鑰。最后，文獻[10]介紹了加密密鑰交換EKE協(xié)議，EKE使用共享口令來協(xié)商會話密鑰，但是如何在數(shù)量巨大的移動智能終端中間為每兩個終端建立共享秘密口令也是難以克服的問題。

無證書密鑰協(xié)商是目前密鑰協(xié)商的一個熱點[11-15]，但無證書密鑰協(xié)商方法的主要問題在于，它們?nèi)匀恍枰粋€可信的第三方私鑰生成中心(Private Key Generator， PKG)，且有些中間計算步驟需要通過安全的方式從PKG返回給密鑰協(xié)商雙方，這也是難以實現(xiàn)的。

2 可信會話密鑰協(xié)商協(xié)議

本質(zhì)上，整個系統(tǒng)的關鍵在于通信雙方如何在服務器和通信網(wǎng)絡不可信的敵手網(wǎng)絡環(huán)境下可信地協(xié)商會話密鑰，從而實現(xiàn)“端-端”可信通信。

2.1 協(xié)議目的和背景

2.1.1 協(xié)議目的

協(xié)議的目的在于確保通信雙方在敵手網(wǎng)絡環(huán)境下可信地協(xié)商會話密鑰，保證所協(xié)商會話密鑰的真實性、新鮮性和機密性。因此，協(xié)議需要防止常見的偽造和篡改攻擊(真實性)，以及回放攻擊(新鮮性)；同時，協(xié)議還需要確保除了通信雙方之外，其他任何第三方(包括服務器)都無法獲知所協(xié)商的會話密鑰(機密性)。

2.1.2 協(xié)議設計背景

說明1 攻擊者既包括網(wǎng)絡攻擊者，也包括服務器。

本文默認網(wǎng)絡攻擊者和服務器具有Dolev-Yao模型攻擊能力。協(xié)議設計時，必須綜合考慮上述攻擊雙方。

說明2 服務器和即時通信客戶端(以下簡稱客戶端)公私鑰對的安全性。

首先，對服務器而言:①服務器的公鑰真實、新鮮地公開給所有客戶端。這可以通過證書實現(xiàn)，極端情況下，也可以硬編碼到客戶端中。②服務器的私鑰由服務器自身存儲。由于服務器是不可信的，因此服務器的私鑰可能已經(jīng)泄露給攻擊者。

其次，對客戶端而言:①客戶端的公鑰為安全起見，在每次進行密鑰協(xié)商時，都要重新生成。②客戶端的私鑰由客戶端自身進行保密性存儲。本文要求客戶端本身是可信的(參見以下說明3)，因而客戶端的私鑰一定是安全的。

說明3 “服務器的公鑰可信地公開”和“客戶端所使用的移動智能終端是可信的”是本文僅有的安全假設。

本文要求服務器的公鑰可信地公開，前面已經(jīng)說明，這可以通過證書或者硬編碼到移動智能終端實現(xiàn)。注意服務器的數(shù)量并不多，那么對應證書的數(shù)量也并不多，因而這也是容易實現(xiàn)的。

2.2 協(xié)議詳細設計

在詳細分析協(xié)議之前，先給出協(xié)議的符號使用說明如下：約定用s指代服務器，用a、b分別指代通話雙方客戶端Alice和客戶端Bob。每次即時通信之前，服務器和客戶端需要重新生成自身的RSA公私鑰對，約定用kei指代實體i的公鑰，用kdi指代實體i的私鑰，例如：kes是服務器Server的公鑰，kda是客戶端A的私鑰。使用HASH(x)來指代對x的哈希操作；用E(kei,x)指代對x用公鑰kei作加密(或者簽名驗證)操作，用D(kdi,x)指代對x用私鑰kdi作解密(或者數(shù)字簽名)操作。如2.1節(jié)的說明2所述，服務器已經(jīng)生成了公私鑰對kes和kds，其中公鑰kes利用證書或者硬編碼等方式真實、新鮮地公開給所有的通信終端；私鑰kds由服務器s自己保存，但是私鑰kds是不安全的，可能已經(jīng)泄露給攻擊者。

協(xié)議分為兩大階段。第一階段：終端A和B分別將自身的公鑰真實、新鮮地傳送給對方(出于安全考慮，在每一次會話密鑰協(xié)商時，即時通信雙方都會重新生成公私鑰對。由于公鑰不需要考慮機密性，因而只需要將所生成的公鑰真實、新鮮地發(fā)送給對方即可)。第二階段：客戶端A和B自主協(xié)商會話密鑰，并確保會話密鑰的真實性、新鮮性和機密性。

協(xié)議的詳細步驟如下:

步驟1 通過步驟①～④，客戶端A將公鑰kea發(fā)送給服務器，并獲取服務器對于kea的真實、新鮮的簽名siga。

①在發(fā)起會話密鑰協(xié)商時，客戶端A重新生成新的RSA公私鑰對kea和kda，并將公鑰kea發(fā)送給服務器。

②服務器在收到kea′(由于攻擊者的存在，服務器實際接收到的結果與客戶端A在步驟①發(fā)送的kea并不一定相同，因此這里用kea′代替)之后，使用自身的私鑰kds對kea′進行數(shù)字簽名生成siga=D(kds,ha)。

③服務器將數(shù)字簽名siga和所接收到的kea′返回給客戶端A。

④客戶端A實際接收到siga′和kea″(由于攻擊者的存在，客戶端A實際接收到的結果與服務器在步驟③發(fā)送的siga和kea′不一定相同，因此這里用siga′和kea″代替)之后，驗證數(shù)字簽名siga′，并比較kea″是否與步驟①中生成的kea一致。如果驗證和比較通過，則說明服務器收到的客戶端A所發(fā)送的公鑰kea是真實、新鮮的，且服務器對kea的簽名siga也是真實、新鮮的。

步驟2 利用步驟1所獲得的服務器對客戶端A公鑰kea的真實、新鮮的簽名siga，將客戶端A的公鑰kea真實、新鮮地發(fā)送給客戶端B。

①客戶端A生成隨機數(shù)ma，并利用私鑰kda對ma計算生成Dma=D(kda,ma)。

②客戶端A將自己的公鑰kea、由步驟1獲得的服務器對于kea的簽名siga，以及Dma，即〈kea,siga,Dma〉，發(fā)送給客戶端B。

③客戶端B在實際接收到〈kea′,siga′,Dma′〉(由于攻擊者的存在，客戶端B實際接收到的結果與客戶端A在步驟③發(fā)送〈kea,siga,Dma〉并不一定相同，因此這里用〈kea′,siga′,Dma′〉代替)之后，首先會驗證簽名siga′。如果驗證通過，客戶端B將利用kea′對Dma′計算ma′=E(kea′,Dma′)，并將ma′發(fā)送給客戶端A。

④客戶端A在接收到ma″(由于攻擊者的存在，客戶端A實際接收到的結果與客戶端B在步驟③所發(fā)送的ma′并不一定相同，因此這里用ma″代替)之后，驗證所接收到的ma″是否與步驟①中生成的ma一致。如果兩者一致，則說明客戶端B真實且新鮮地接收到了客戶端A的公鑰kea；否則客戶端B接收到的公鑰是錯誤的。

步驟3 采用與步驟1、2對稱的操作，客戶端B將公鑰keb真實、新鮮地發(fā)送給客戶端A。

步驟4 客戶端A隨機生成會話密鑰前半部分aes1，并真實、新鮮、保密地發(fā)送給客戶端B。

①客戶端A隨機生成AES會話密鑰的前半部分aes1，并利用私鑰kda對aes1進行數(shù)字簽名生成sigaes1=D(kda,haes1)。

②客戶端A利用客戶端B的公鑰keb將〈aes1,sigaes1〉加密生成Eaes1=E(keb,aes1,sigaes1)并發(fā)送給客戶端B。

③客戶端B在接收到Eaes1′=E(keb′,aes1′,sigaes1′)(由于攻擊者的存在，客戶端B實際接收到的結果與客戶端A在步驟②發(fā)送的Eaes1=E(keb,aes1,sigaes1)并不一定相同，因此這里用Eaes1′=E(keb′,aes1′,sigaes1′)代替)之后，利用私鑰kdb解密Eaes1′，獲取〈aes1′,sigaes1′〉并對sigaes1′進行驗證。如果驗證通過，則說明真實、新鮮、保密地獲取了aes1。

步驟5 采用與步驟4類似的操作將客戶端B隨機生成的會話密鑰的后半部分aes2真實、新鮮、保密地發(fā)送給客戶端A。

步驟6 客戶端A和客戶端B計算得到最終的會話密鑰AES=HASH(aes1)⊕HASH(aes2)。

協(xié)議協(xié)商完畢。

2.3 協(xié)議安全性分析

1)步驟1的安全性。

步驟1的目的是將客戶端A新生成的公鑰kea發(fā)送給服務器，并獲取服務器對于kea真實、新鮮的簽名siga，攻擊者試圖通過攻擊使得上述目標無法達成。

由于服務器和網(wǎng)絡同時是不可信的，因此協(xié)議必須同時檢測到兩者所發(fā)起的偽造、篡改和回放攻擊。由此有如下三種情形：a)服務器不進行攻擊，其他網(wǎng)絡攻擊者對kea及其簽名siga進行(偽造、篡改或者回放)攻擊；b)網(wǎng)絡攻擊者不進行攻擊，服務器對kea及其簽名siga進行(偽造、篡改或者回放)攻擊；c)服務器和網(wǎng)絡攻擊者同時對kea及其簽名siga進行(偽造、篡改或者回放)攻擊。上述三種情形均可以達到讓客戶端A無法獲取服務器對于kea真實、新鮮簽名的目的。

對于上述三種攻擊情形，容易證明：對于客戶端A，其在步驟1.④要么會驗證服務器所傳過來的對公鑰kea的簽名siga失??；要么會發(fā)現(xiàn)客戶端B所實際接收到的公鑰kea′與客戶端A實際發(fā)送的公鑰kea并不一致。無論哪種情形，客戶端A都會發(fā)現(xiàn)攻擊(限于篇幅，具體過程從略)。因此，步驟1能夠確?？蛻舳薃將新生成的公鑰kea發(fā)送給服務器，并獲取服務器對于kea真實、新鮮的簽名siga。

2)步驟2的安全性。

步驟2的目的在于將客戶端A的公鑰kea真實、新鮮地發(fā)送給客戶端B,攻擊者試圖通過攻擊以阻止上述目的的達成。

類似地，由于服務器和網(wǎng)絡均是不可信的，協(xié)議需要檢測到兩者可能發(fā)起的偽造、篡改和回放攻擊，由此也有三種情形需要考慮：a)服務器不進行攻擊，網(wǎng)絡攻擊者對kea進行(偽造、篡改和回放)攻擊；b)網(wǎng)絡攻擊者不進行攻擊，服務器對kea進行(偽造、篡改和回放)攻擊；c)服務器和網(wǎng)絡攻擊者同時對kea進行(偽造、篡改和回放)攻擊，從而達到阻止客戶端A將公鑰kea真實、新鮮地發(fā)送給客戶端B的目的。

對于上述三種攻擊型情形，容易證明：客戶端A要么在步驟2.③驗證簽名siga′失敗，要么在步驟2.④發(fā)現(xiàn)其實際接收到的隨機數(shù)ma″與它在步驟2.①所最初生成的隨機數(shù)ma并不一致，從而發(fā)現(xiàn)攻擊(限于篇幅，具體過程從略)。因此，步驟2能夠確?？蛻舳薃將其公鑰kea真實、新鮮地發(fā)送給客戶端B。

3)步驟3的安全性。

由于步驟3是步驟1、2的對稱過程，因而其安全性可以類似分析，這里從略。到此，通信雙方均真實、新鮮地得到了對方所新生成的公鑰。

4)步驟4的安全性。

步驟4的目的是客戶端A隨機生成會話密鑰前半部分aes1，并真實、新鮮、保密地發(fā)送給客戶端B。

類似地，根據(jù)服務器和網(wǎng)絡攻擊者是否發(fā)起攻擊，也有三種情形需要考慮。對于這三種攻擊情形，容易證明：無論是哪種情形，客戶端A將會在步驟4.③對它所實際接收到的簽名sigaes1′驗證失敗，從而發(fā)現(xiàn)攻擊。因此，如果步驟4.③通過，則客戶端A將其隨機生成的會話密鑰前半部分aes1真實、新鮮、保密地發(fā)送給了客戶端B。

5)步驟5的安全性。

步驟5是步驟4的對稱過程，因而其安全性可以類似分析，這里從略。至此，客戶端B和客戶端A分別接收到了對方真實、新鮮和保密發(fā)送過來的會話密鑰的前半部分aes1和后半部分aes2。

協(xié)議安全性分析完畢。

2.4 會話密鑰安全屬性分析

需要強調(diào)的是，本文基于傳統(tǒng)的非對稱密碼體制，而并非是無證書密鑰協(xié)商，因而文獻[11]中2.1節(jié)關于身份基認證密鑰協(xié)商協(xié)議對安全屬性的定義并不適合本文。但若借鑒其思想和定義，則可以進行類似安全屬性分析并得出結論如下：

1)滿足已知密鑰安全性。由于最終協(xié)商的會話密鑰AES=HASH(aes1)⊕HASH(aes2)，而aes1和aes2是每次密鑰協(xié)商時，分別由客戶端A和客戶端B隨機生成的，因此，即使攻擊者獲得了某次客戶端A和B所協(xié)商的會話密鑰，他也無法求出其他協(xié)商時生成的會話密鑰。

2)滿足完美前向安全性。若客戶端A和B當前的私鑰kda和kdb都泄露，攻擊者可以獲得客戶端A和B本次協(xié)商的會話密鑰。但是，注意到在每次會話密鑰協(xié)商時，客戶端A和B都會分別重新生成新的公私鑰對，不失一般性，不妨假設當前客戶端A和B的公私鑰對分別是kea/kda和keb/kdb；假設在kda和kdb泄露之前某次密鑰協(xié)商時客戶端A和B的公私鑰對分別kea′/kda′和keb′/kdb′，那么有kea′≠kea和kda′≠kda，以及keb′≠keb和kdb′≠kdb。這樣，即使攻擊者獲得了過去的Eaes1′=E(keb′,aes1′,sigaes1′)，由于攻擊者所獲得的客戶端B的當前私鑰kdb和過去的公鑰keb′之間并不匹配，他也無法正確解密獲得過去的aes1′。因此，攻擊者無法獲得在kda和kdb泄露之前所協(xié)商的會話密鑰。

3)滿足PKG前向安全性。本文協(xié)議中不存在私鑰產(chǎn)生中心(PrivateKeyGenerator,PKG)。但是，本文遵從主流即時通信軟件采用圖1所示的即時通信模型。若將服務器視作PKG，前述2.1節(jié)說明2已經(jīng)說明，本文協(xié)議默認服務器是不可信的，默認其私鑰已經(jīng)泄露，且默認服務器在密鑰協(xié)商過程中也會發(fā)起攻擊，在此情況下協(xié)議仍能可信地協(xié)商會話密鑰，因此，滿足PKG前向安全性。

4)滿足抗密鑰泄露偽裝攻擊。假設客戶端A的私鑰kda泄露，攻擊者在不知道客戶端B的私鑰kdb的情況下，無法冒充客戶端B正常進行會話密鑰協(xié)商(所有客戶端B進行數(shù)字簽名的步驟都無法通過)，因而無法向客戶端A冒充客戶端B，滿足抗密鑰泄露偽裝攻擊。

5)滿足抗未知密鑰共享。以步驟4.②為例，客戶端A必須要使用客戶端B的公鑰對所生成的會話密鑰的前半部分aes1和簽名sigaes1進行加密，如果采用其他客戶端的公鑰，則客戶端B在隨后將無法正確驗證簽名sigaes1′，從而協(xié)商失敗。因此，如果會話密鑰協(xié)商成功，客戶端A不會認為是和其他客戶端C的共享會話密鑰，滿足抗未知密鑰共享。

5)滿足無密鑰控制。最終協(xié)商的會話密鑰AES=HASH(aes1)⊕HASH(aes2)。由于哈希函數(shù)HASH是單向函數(shù)，因而無論是客戶端A還是客戶端B都無法逆向選擇性生成aes1或者aes2以達到控制所協(xié)商會話密鑰中的一部分或者全部的目的。

2.5 即時通信完整性和拒絕服務攻擊

1)即時通信的完整性。

即時通信安全的另一個重要屬性是完整性。事實上，本協(xié)議設計除了關注即時通信信息的機密性之外，也可以用以保證即時通信的完整性。注意到協(xié)議的第一階段是將客戶端A和B的公鑰真實、新鮮地發(fā)送給對方，因此只要會話密鑰能夠協(xié)商成功，則客戶端A和B一定分別真實、新鮮地獲得了對方的公鑰keb和kea。那么在后續(xù)的即時通信過程中，為了同時確保通信信息的機密性和完整性，只要先對通信信息進行數(shù)字簽名，再用對方公鑰加密傳輸即可。限于篇幅，具體實施步驟從略。據(jù)作者盡可能的了解，目前主流即時通信軟件并沒有考慮即時通信信息完整性的問題，而即時通信的完整性在包含遠程命令發(fā)送等場景下是很有意義的。

2)協(xié)議拒絕服務攻擊。

協(xié)議流程中使用了一些密碼學運算操作是比較耗費資源的，因而攻擊者可能針對上述位置發(fā)送惡意攻擊包而對終端造成拒絕服務(DenialofService，DoS)攻擊。限于篇幅，本協(xié)議目前未考慮拒絕服務攻擊，而將其留作下一步的工作?？刹捎玫囊环N解決方案[23]是：一旦發(fā)現(xiàn)類似DoS攻擊的企圖(如通過驗證失敗的閾值)，驗證方在如簽名驗證等耗費計算資源的位置，在進行真實計算之前，先發(fā)送難題(Puzzle)給發(fā)送方，只有發(fā)送方解決了難題并回復正確結果之后，驗證方才進行真正的密碼學計算。Puzzle的求解難度可以隨著DoS攻擊的風險而逐步提高，從而迫使攻擊方需要耗費更多、甚至不可接受的資源來達成攻擊。另一方面，也可以采用文獻[24]的方法，從DoS攻擊下的資源損失以及損失的概率分布的角度來對安全協(xié)議的DoS風險進行量化評估和改進。

2.6 原型系統(tǒng)測試與分析

實驗終端采用兩臺三星手機，CPU1GHz，Android4.3操作系統(tǒng)；服務器采用一臺東芝筆記本電腦，CPU為Inteli5 2.5GHz，內(nèi)存8GB，Windows7(64位)操作系統(tǒng)。整個實驗是在真實的互聯(lián)網(wǎng)中完成的：服務器通過電信網(wǎng)絡連接到Internet當中，任何接入Internet的機器都可以對其進行訪問；兩臺三星手機作為即時通信雙方，分別通過3G網(wǎng)絡進行多省跨省遠程即時語音/視頻通信實驗(如武漢與西安、杭州與西安等)。

1)安全性測試。利用WireShark抓包，可以發(fā)現(xiàn)攻擊者只能夠獲取加密后的語音/視頻數(shù)據(jù)包，無法解密之后進行正常的語音/視頻播放。對于加密語音通信，抓包可見正常解密后的語音波形和攻擊者從網(wǎng)絡獲取的加密語音波形兩者完全不同。對加密語音波形播放時只有無意義的噪聲。對于加密視頻通信，正常解密后的即時通信視頻可以正常播放，而攻擊者從網(wǎng)絡獲取的加密視頻即時通信視頻只能獲得無意義的“花屏”播放結果。安全測試達到預期結果。

2)效率測試。協(xié)議使用了較多密碼學運算(如簽名和驗證等)，這可能會影響密鑰協(xié)商的運行效率。真實互聯(lián)網(wǎng)環(huán)境下遠程跨省的多次實驗結果表明，只要密鑰協(xié)商能夠成功，則密鑰協(xié)商一定可以在2s之內(nèi)完成，這是用戶可以接受的。另一方面，大量的測試表明，在不加解密的情況下語音/視頻即時通信的時延分別約為0.5s和0.8s，加解密后的語音/視頻時延分別約為0.8s和1.3s，即加解密引起的時延分別約為60%和62.5%。上述加解密導致的時延可以通過進一步多線程、優(yōu)化語音視頻算法、優(yōu)化傳輸數(shù)據(jù)包大小以及優(yōu)化體系架構等方法解決。

3 結語

即時語音/視頻通信是目前移動互聯(lián)網(wǎng)各類應用的重要基礎，但是如何保證即時語音/視頻通信的安全性卻仍然是一個開放問題。我們設計并實現(xiàn)了一種不可信互聯(lián)網(wǎng)環(huán)境下安全保密即時通信方法，在真實互聯(lián)網(wǎng)環(huán)境下的原型系統(tǒng)測試表明，整個密鑰協(xié)商過程可在1～2s完成，整個系統(tǒng)能夠有效保證即時通信信息的安全性，方法是高效和安全的。

在實際使用中，文中的非對稱、對稱、哈希算法等可以對應更換為國家商密的SM2、SM1/SM4、SM3等算法或者軍用算法，以確保密碼算法的安全可控，以及國家安全的特殊需要；同時，本文方法也可以與已有的信息系統(tǒng)安全技術(如可信計算等)相結合，以進一步增強系統(tǒng)的安全。最后需要指出的是，雖然本文的研究背景是商業(yè)即時語音/視頻通信，但由于圖1所示架構的普遍性，以及即時通信的普遍性和重要性，只要是符合圖1所示的架構的(如軍用無人機偵查和警用監(jiān)控等)，亦可以應用本文的方法。

)

[1] 孟蕊.即時通信用戶規(guī)模增長第一, 手機端發(fā)展超整體水平 [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.(MENGR.Instantmessaginguserscalgegrowsthefastest,andthedevelopmentofmobilephonesgobeyondtheoveralllevels[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.)

[2] 沈珅.即時通信行業(yè)穩(wěn)步發(fā)展, 移動即時通信成為廠商爭奪重點 [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.(SHENK.Instantmessagingisdevelopingsteadily,andmobileinstantmessaginghasbecomethehotareaofcompetitionsformanufactures[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.)

[3] 瞿曉海,薛質(zhì).微信加密通信原理分析[J].信息安全與技術, 2014, 5(1): 13-16.(QUXH,XUEZ.Theanalysisandresearchofmicroletterencryptiononthemobileclientandreversebreakmode[J].InformationSecurityandTechnology, 2014, 5(1): 13-16.)

[4] 段冰,谷大武.Skype與QQ軟件的安全通信技術研究[J].信息安全與通信保密,2007(11): 58-60.(DUANB,GUDW.StudyonthesecurecommunicationtechnologyofSkypeandQQ[J].InformationSecurityandCommunicationsPrivacy, 2007(11): 58-60.)

[5] 寧國強.一種安全即時通信系統(tǒng)的研究與設計[D].長沙:湖南大學,2010:35-42.(NINGGQ.Designandimplementationofasecureinstantmessagingsystem[D].Changsha:HunanUniversity, 2010: 35-42.)

[6] 張立坤.即時通信安全機制研究[D].濟南:山東大學,2009:42-77.(ZHANGLK.Researchofinstantmessaging[D].Jinan:ShandongUniversity, 2009: 42-77.)

[7]PINTORL.Secureinstantmessaging[D].Frankfurt:FrankfurtUniversity, 2014: 55-62.

[8]PATILS,KOBSAA.Enhancingprivacymanagementsupportininstantmessaging[J].InteractingwithComputers, 2010, 22(3): 206-217.

[9]XIEM,WUZ,WANGH.Secureinstantmessagingenterprise-likenetworks[J].ComputerNetwork:TheInternationalJournalofComputerandTelecommunicationsNetworking, 2012, 56(1): 448-461.

[10]DOUGLASRS.密碼學原理與實踐[M].馮登國,譯.3版.北京:電子工業(yè)出版社,2009:123-15.(DOUGLASRS.CryptographyTheoryandPractice[M].FENGDG,translated.3rded.Beijing:PublishingHouseofElectronicsIndustry, 2009: 123-125.)

[11] 王圣寶,曹珍富,董曉蕾.標準模型下可證安全的身份基認證密鑰協(xié)商協(xié)議[J].計算機學報,2007,30(10):1842-1852.(WANGSB,CAOZF,DONGXL.Provablysecureidentity-basedauthenticatedkeyagreementprotocolsinthestandardmodel[J].ChineseJournalofComputers, 2007, 30(10): 1842-1852.)

[12] 汪小芬,陳原,肖國鎮(zhèn).基于身份的認證密鑰協(xié)商協(xié)議的安全分析與改進[J].通信學報,2008,29(12):16-21.(WANGXF,CHENY,XIAOGZ.AnalysisandimprovementofanID-basedauthenticatedkeyagreementprotocol[J].JournalonCommunications, 2008, 29(12): 16-21.)

[13] 趙建杰,谷大武.eCK模型下可證明安全的雙方認證密鑰協(xié)商協(xié)議[J].計算機學報,2011,34(1):47-54.(ZHAOJJ,GUDW.Provablysecuretwo-partyauthenticatedkeyexchangeprotocolineCKmodel[J].ChineseJournalofComputers, 2011, 34(1): 47-54.)

[14] 張福泰,孫銀霞,張磊,等.無證書公鑰密碼體制研究[J].軟件學報,2011,22(6):1316-1332.(ZHANGFT,SUNYX,ZHANGL,etal.Researchoncertificatelesspublickeycryptography[J].JournalofSoftware, 2011, 22(6): 1316-1332.)

[15] 高海英.可證明安全的基于身份的認證密鑰協(xié)商協(xié)議[J].計算機研究與發(fā)展,2012,49(8):1685-1689.(GAOHY.ProvablesecureID-basedauthenticatedkeyagreementprotocol[J].JournalofComputerResearchandDevelopment, 2012, 49(8): 1685-1689.)

[16] 趙波,張煥國,李晶,等.可信PDA計算平臺系統(tǒng)結構與安全機制[J].計算機學報,2010,33(1):82-92.(ZHAOB,ZHANGHG,LIJ,etal.ThesystemarchitectureandsecuritystructureoftrustedPDA[J].ChineseJournalofComputers, 2010, 33(1): 82-92.)

[17]DAMM,GUANCIALER,KHAKPOURN,etal.FormalverificationofinformationflowsecurityforasimpleARM-basedseparationkernel[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 223-234.

[18]DAVIL,DMITRIENKOA,EGELEM,etal.MoCFI:aframeworktomitigatecontrol-flowattacksonsmartphones[C]//NDSS2012:Proceedingsofthe19thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2012: 222-237.

[19]YANGZ,YANGM,ZHANGY,etal.AppIntent:analyzingsensitivedatatransmissioninAndroidprivacyleakagedetection[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1043-1054.

[20]ZHOUX,DEMETRIOUS,HED,etal.Identity,location,diseaseandmore:inferringyoursecretsfromAndroidpublicresources[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1017-1028.

[21]EGELEM,KRUEGELC,KIRDAE,etal.PiOS:detectingprivacyleaksiniOSapplications[C]//NDSS2011:Proceedingsofthe18thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2011: 189-206.

[22]LANGEM,LIEBEGELDS,LACKORZYNSKIA,etal.L4Android:agenericoperatingsystemframeworkforsecuresmartphones[C]//SPSM’11:Proceedingsofthe1stACMWorkshoponSecurityandPrivacyinSmartphonesandMobileDevices.NewYork:ACM, 2011: 39-50.

[23] 衛(wèi)劍釩,陳鐘,段云所,等.一種認證協(xié)議防御拒絕服務攻擊的設計方法[J].電子學報,2005,33(2):288-293.(WEIJF,CHENZ,DUANYS,etal.Anewcountermeasureforprotectingauthenticationprotocolsagainstdenialofserviceattack[J].ActaElectronicaSinica, 2005, 33(2): 288-293.)

[24]CAOZ,GUANZ,CHENZ,etal.Towardsriskevaluationofdenial-of-servicevulnerabilitiesinsecurityprotocols[J].JournalofComputerScienceandTechnology, 2010, 25(2): 375-387.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61502438, 61502362),KeyProjectsofHubeiProvincialNaturalScienceFoundation(2015CFA061),ZhejiangProvincialNaturalScienceFoundation(LY15F020015), 2015HubeiProvincialResearchProjectofConstructionDepartment.

ZHANG Fan, born in 1977, Ph.D., associate professor.His research interests include information system security, software security.

ZHANG Cong, born in 1968, Ph.D., professor.His research interests include multimedia communication and security.

ZHAO Zemao, born in 1965, Ph.D., professor.His research interests include privacy protection, software security.

XU Mingdi, born in 1980, Ph.D., associate research fellow.His research interests include information system security, trusted computing.

Secure instant-messaging method for mobile intelligent terminal

ZHANG Fan1, ZHANG Cong1, ZHAO Zemao2, XU Mingdi3*

(1.SchoolfofMathematics&ComputerScience,WuhanPolytechnicUniversity,WuhanHubei430023,China;2.SchoolofEngineeringandDesign,LishuiUniversity,LishuiZhejiang323000,China;3.WuhanDigitalandEngineeringInstitute,WuhanHubei430205,China)

Instant messaging is fundamental to various mobile Internet applications; however, it is still an open problem to implement secure instant messaging in untrusted Internet environment.An approach for secure instant messaging of mobile intelligent terminal was presented, and a protocol for Trusted Session Key Agreement (TSKA) was designed and implemented.Theoretical analysis shows that the proposed TSKA can ensure the authenticity, freshness and confidentiality of the negotiated session key, even in the condition that both of the instant messaging server and the communication channel are not trusted.After TSKA, instant audio/video messages can be sent to the other side in a confidential and complete way.Experimental results in real Internet environment show that the proposed approach is efficient and secure, the session key can be negotiated within 1-2 seconds, and attackers cannot obtain any plaintext of instant messages.

mobile intelligent terminal security; instant messaging; trusted key agreement; protocol security

2016- 08- 22;

2016- 09- 28。 基金項目:國家自然科學基金資助項目(61502438, 61502362); 湖北省自然科學基金重點項目(2015CFA061); 浙江省自然科學基金資助項目(LY15F020015); 2015年湖北省建設廳科技計劃項目。

張帆(1977—),男,湖北當陽人,副教授,博士,CCF會員,主要研究方向:信息系統(tǒng)安全、軟件安全; 張聰(1968—)，男,上海人,教授,博士,主要研究方向:多媒體通信和安全; 趙澤茂(1965—),男，四川蓬溪人,教授,博士,主要研究方向:隱私保護、軟件安全; 徐明迪(1980—),男，湖北武漢人,副研究員,博士,主要研究方向:信息系統(tǒng)安全、可信計算。

1001- 9081(2017)02- 0402- 06

10.11772/j.issn.1001- 9081.2017.02.0402

TP

A