【摘 要】P2P网络自诞生之日起就是学术界与产业界研究的热点问题。但是在研究与应用过程中,P2P网络的信息安全问题日益的突出。本文对P2P信息传输过程中信令层协议与传输层协议进行分析,针对双向认证、节点授权、安全隧道建立、信息安全传输等方面的安全问题进行了比较系统的探讨,并且提出了比较可行的安全解决方案。
【关键词】P2P网络;信息安全;自认证协议;SMS4应用
0 前言
P2P通信是在OSI分层模型中物理层和数据链路层中定义的一种重要的通信模型。
P2P对等节点之间的通信安全性问题比较复杂,涉及到三个方面的问题:首先是节点之间的双向认证问题;其次是对认证后的节点的访问授权问题;再次是认证的节点之间安全隧道的建立和信息安全传输问题。如图所示:
本文采用分层的研究方法,从信令协议层和传输协议层提出安全方案设计。针对信令协议的安全,设计了基于自证明公钥密钥协商协议;针对媒体流传输安全,设计了基于SMS4分组密码算法的数据加密方案;结合两者提出了一种点对点通信的安全方案设计。
1 安全方案设计
(1)在呼叫建立过程中,首先通过自证明公钥的认证密钥协商协议完成身份认证,同时产生一个经過通信双方确认的会话密钥。
(2)在完成身份认证获得会话密钥后,采用媒体流安全策略使用会话密钥和SMS4分组密码算法对RTP净荷进行加解密实现保密通信。
1.1 认证密钥协商协议
本小节将设计一个应用在点对点通信系统中的认证密钥协商协议。该协议可完成通信双方的身份认证,并使通信双方共享一个会话密钥。
系统在初始化阶段需要一个密钥分发中心KDC (Key Distribution Center)为系统内用户分发公钥,KDC每分发一个公钥记录一个用户上传的身份ID和y值,形成y值列表,系统初始化结束,KDC退出系统。系统内用户在系统中具有唯一的身份ID,系统中所有用户的身份ID都是公开的,任意一个用户均知道其他用户的身份ID。
本协议的正确性和安全性基于以下前提:
(1)通信双方商定了系统参数,通信双方共享了系统模型中公开的n、g、e。
(2)所有私钥是安全的,并且有在时间和空间上使用限制,不可重复利用。身份为IDA的用户A向KDC申请公钥pubA,私钥为自己秘密选择的xA。身份为IDB的用户B向KDC申请公pubB钥,私钥为自己秘密选择的xB。
(3)方案需要在发送的消息中增加新的Identity头域,用于进行身份认证。
具体认证过程如下:
(2)A在INVITE请求的Identity头字段放入(IDA、pubA、gA)信息后,向B发起INVITE请求。
(3)B接收到INVITE请求后,从Identity头字段取出(IDA、pubA、gA)信息。然后,生成一个随机数kB,计算gB=g■modn,将(IDB、pubB、gB)放入响应消息Identity头字段,然后向A发送一个响应消息。
2.2 基于SMS4算法的媒体流安全策略分析
考虑到RTP数据包基于面向无连接的UDP协议,存在数据包乱序到达和丢包的问题,所以无法保证RTP数据包的收发同步,因此设计媒体流安全策略不能使用序列密码算法。本设计选择了SMS4算法。设计媒体流安全策略时,还应考虑到各个RTP数据包的独立性,所以采用分组密码算法设计安全策略时不能采用带有反馈的加密方式,只能采用ECB电码本的加密方式来加密各个RTP数据包,保证RTP数据包之间的独立性。
基于以上分析,本文采用SMS4分组密码算法使用ECB方式对RTP数据包中数据净荷加密的策略来保证媒体流传输安全。策略只对RTP数据包的数据净荷加密,不破坏RTP数据包的头部便于RTP数据包还原,而且保证了数据的安全。采用ECB电码本的加密方式保证了加密后各个的RTP数据包依旧独立,不会因为少量的数据包丢失而无法解密其他数据包,而不能实现数据的解码。
通过使用SMS4分组密码算法加密RTP数据包净荷来保证媒体流传输数据的机密性,SMS4算法能够抵抗所有目前技术水平下的已知和潜在的密码攻击,并易于在嵌入式安全平台上实现。
3 结论
P2P作为一种新的网络,受到大家的关注和喜爱,伴随而来的是P2P传输的安全性问题也受到大家的关注,本文针对双向认证和传输分别设计的自认证密钥协商体制和基于SMS4的媒体流安全传输体制,并对方案进行了安全性验证,有效的解决了P2P传输中安全性不足的问题。
【参考文献】
[1]Hua Jiang,Yongxing Jia,Xiau Du. An identity-based security mechanism for P2P VoIP. IEEE International Conference on Wireless Communications[C]//Networking and Information Security(WCNIS2010).Beijing, China. June 2010.
[2]叶润国,宋成,吴迪,等.P2P网络中对等节点安全通信研究[J].西安:微电子学与计算机,2004,21(6).
[3]张建标,刘辰.一种可信P2P网络安全模型[J].北京:北京化工大学学报,2008,09.
[4]罗杰文.Peerto Peer(P2P)综述[R].北京:中科院计算技术研究所,2005.
[5][美]Sean Convery.网络安全体系结构[M].人民邮电出版社,2013-01-01.
[6]杨波.现代密码学[M].清华大学出版社,2003.
[责任编辑:曹明明]