基于智能卡的短消息端到端的安全通信机制

    可以看出, 在没有协处理卡上实现RSA 算法还是比较困难的, 但是ECC 在同等安全强度下, 在智能卡上的实现速度是很快的。可以利用椭圆加密算法来实现安全短消息的密钥协商机制, 但是在现有的网络下要大规模使用公钥算法来进行密钥协商, 必须布置移动PKI 设施。因此这类算法不适合用于现有的GSM安全短消息的密钥协商机制。

    DH算法基于双方产生一个随机数作为自身的私钥, 将由该数生成的公钥发送给对方; 双方根据自身的私钥和对方发送的公钥就可以产生公共的会话密钥。其实现具有简单性、方便性。它在智能卡上的实现难度也较RSA 算法相对容易, 而且无须在现有的GSM网络中布置PKI。所以在该方案中选择DH算法作为密钥的协商算法。 

    3. 2. 3 基于DH算法的密钥协商协议及其安全性分析 

    密钥交换协议如图4 所示。 

    基于智能卡的DH 算法密钥协商机制, 要求在卡内预存一对公开的参数集T = { g, q} 。其中, q 是素数, g 是生成元, 满足: g mod q, g2 mod q, ....., gp-1 mod q 是各不相同的整数, 并且以某种排列方式组成了1 ～p - 1 的所有整数[ 6] 。 

    密钥x、y 的大小取决于素数q 的选取, 待发送公钥X、Y 也是小于q 的数。因此, q 的选取对于算法的性能有较大影响,长度越大算法的安全强度越高, 所占用户信息长度也越长。GSM用户A 与B 之间要进行一次安全短消息通信, 其密钥协议过程可以描述如下: 

    ( 1) A 判断是否已有与B 通信的会话密钥Ks, 是否有效。如果有且有效可以发送加密短消息; 否则进行步骤( 2) 。
    ( 2) A 通过普通短信发送一个随机数给B。
    ( 3) B 响应回送一个随机数, 并附加此次产生密钥的有效期, 同时计算出会话密钥。
    ( 4) A 根据收到B 的随机数计算密钥, 设置有效期。

    协议安全性分析如下: 

    ( 1) 密钥的有效期：由于算法在协议实现中可以设置密钥的有效期以及仅在需要密钥时产生新的密钥。这在很大程度上减小了对密钥的分析攻击。
    ( 2) 中间人攻击：DH算法最大的风险就是容易受到中间人攻击: 一个主动的窃听者可能截取A 发给B 的消息以及B 发给A 的消息, 他用自己的消息替换这些消息, 并分别与A 和B 完成一个DH 密钥交换, 而且还维持了一种假相———A 和B 直接进行了通信。在协议末, A 实际上是与C 建立了一个秘密密钥, B 与C 建立了一个秘密密钥。当A 加密一个消息发送给B 时, C 能解密它而B 不能; 类似地, 当B 加密一个消息发送给A 时, C 能解密它而A 不能。如果A 和B 事前真的没有联系, 并因此没用别的方法相互验证对方的身份, 则很难防止各种假冒攻击。这种情况在安全短消息中有所缓解。因为在短消息通信的机制中, 在空口部分要做到消息源地址的假冒是非常难的。消息本身具有一定的认证和签名能力, 短消息的DH 密钥交换进行中间人攻击是困难的。

    3. 3 短消息内容的加密 

    采用AES 算法作为短消息内容加密算法, 在同样的密钥长度下它具有较DES、3DES 算法更高的安全强度, 而且在现有的各种硬件平台( 32 位的x86、Alpha、PowerPC、8 位的Smart-Card、ASIC 等) 都有优秀的性能。它在具有协处理器的智能卡上实现加/ 解密速度也非常快。在9000 门的协处理、1 000 Hz的条件下, 其一次加密速度为32 ms, 解密速度为36 ms[ 6] 。因此, 笔者推荐使用AES算法实现短信内容加密。

    3. 4 安全短消息操作流程( 图5) 

    对于基于智能卡加密短消息的发送与接收要解决两个问题: 

    ( 1) 手机编写的短信如何提交给SIM卡, SIM将短信内容加密后提交给手机发送。
    ( 2) 手机收到短消息后, 如何判断是否是由SIM卡加密过的并交由SIM卡解密。

图4 DH密钥协商协议

图5 基于SIM卡的短消息处理流程

    图5 中细箭头表示明文短消息, 粗箭头表示加密后的短消息。为了解决上述问题, 需要设计基于SIM卡短消息的加密处理流程机制: 利用STK卡生成一个加密短消息菜单, 当用户选中此菜单编写短消息时, SIM卡利用主动式命令接收键盘编辑的文字信息, 然后可利用SIM卡的主动式命令Send Message来发送加密后的短信。当接收端手机接收到此信息时, 会从消息的TPDU中的PID位判断出是交由SIM卡处理的消息还是手机终端处理的消息。若是SIM卡加密消息, 则自动转由SIM中相应应用程序来解析、提取短信内容, 然后利用主动式命令在手机终端显示。消息处理流程如图5 所示。整个短消息安全通信机制是在SIM卡上实现的, 只要该SIM支持OTA 功能, 就可以将该业务从服务器上下载。因此,很易于在现有的GSM网络布置实施。

    4 结束语 

    基于SIM卡的短消息加密通信方案, 采用了DH密钥协商机制, 可以很好地解决现有GSM明文短消息传输所带来的安全风险; 同时还无须在网络侧布置PKI 设施, 而且对用户所使用的手机没有特殊要求, 可以通过OTA 技术在现有的STK 卡上实施。因此, 具有简单、易用、安全等特点。

    作者简介：
    贾凡( 1976- ) , 男, 博士研究生, 主要研究方向为移动通信安全、电信智能卡安全及P2P 网络、信任管理( fan. jia@ 126. com) ; 
    杨义先( 1961 - ) , 长江学者, 教授, 主要研究方向为现代密码学、计算机网络安全、信息处理; 
    彭俊好( 1973- ) , 男, 博士研究生, 主要研究方向为信任模型、网络安全、现代密码学.