APP下载

白盒攻击环境下的任务规划系统安全传输方法

2017-04-20崔西宁董星廷

计算机应用 2017年2期
关键词:对偶驱动程序数据安全

崔西宁,董星廷,牟 明,吴 姣

(1.西安电子科技大学 计算机学院,西安 710071; 2.中国航空工业集团公司 西安航空计算技术研究所,西安 710068; 3.西安电子科技大学 通信工程学院,西安 710071)

(*通信作者电子邮箱cuixining@126.com)

白盒攻击环境下的任务规划系统安全传输方法

崔西宁1,2*,董星廷3,牟 明2,吴 姣2

(1.西安电子科技大学 计算机学院,西安 710071; 2.中国航空工业集团公司 西安航空计算技术研究所,西安 710068; 3.西安电子科技大学 通信工程学院,西安 710071)

(*通信作者电子邮箱cuixining@126.com)

针对任务规划系统中的安全传输在白盒攻击环境(WABC)下通信密钥容易被窃取的问题,提出基于修改之后的白盒高级加密标准(白盒AES)的任务规划系统中的安全传输方法。首先,将高级加密标准(AES)拆分成许多查找表,并将密钥嵌入到查找表当中,然后再将查找表按照AES的执行顺序进行合并;其次,在地面按照给出的白盒AES生成算法利用不同的密钥生成不同的白盒AES程序;最后,将这些白盒AES程序嵌入到任务规划系统的安全传输当中,当需要更换密钥时,再在地面将原先的白盒AES程序擦除,生成新的白盒AES。理论分析表明,与传统的任务规划系统中的安全传输相比,修改后的任务规划系统中的安全传输方法可使攻击复杂度提高到291,达到足够的安全强度,可以保护通信密钥。

白盒攻击环境; 任务规划系统; 安全传输; 白盒AES; 对偶密码

0 引言

近年来随着科学技术突飞猛进的发展,传统的密码软件使用环境越来越不安全,有的地方密码软件的加解密过程对于攻击者来说(有可能是用户本身)是完全可见的,他们很容易就可以获得密钥。同样,在竞争领域异常激烈的军用密码软件中也存在这样的问题。有可能敌方间谍在使用我方密码软件时很容易获取我方密钥或者对这些软件内部进行更改、观测,这都是我方的损失。任务规划系统是航空领域的重要系统,一旦我国与敌国处于战争状态,任务规划系统的安全管理软件的执行环境就有可能面临这样的环境,使我方的密钥被敌方抽取,导致航空任务无法完成或被敌方探明。

这种对运行终端非常直接的攻击方法叫作白盒攻击,由Chow等于2002年在文献[1]中提出。他们认为在白盒攻击环境(White-Box Attack Context, WBAC)中,密码分析者对密码终端软件拥有完全的控制能力,与密码软件的执行者拥有同等的权利,攻击者可以对程序进行二进制追踪,读取其内存中的密钥,观察程序执行的中间结果,并且可以对程序进行任意的静态分析以及改变子计算结果,即攻击者可以在终端做任何操作。相比传统的黑盒模型,对攻击者的能力只有很少的限制,这个环境很适合情况复杂多变的战场环境。

在2002年Chow等[1]提出白盒攻击环境同时,也提出了白盒密码实例——白盒AES(Advanced Encryption Standard),通过构造查找表的形式将AES分解为小的模块,再通过混淆变换将其混淆。但在2004年,Billet、Gilbert和Ech-Chatbi提出了BGE的攻击[2],是一种非常有效的针对白盒AES的攻击方法。他们选择某些特定的查找表合并成一个可以用输入输出表示的函数,并使用代数的方法去掉其中的非线性部分,从而能成功提取出隐藏在T-Box中的密钥。在这以后,Chow白盒AES的两个改进方案,即Karroumi[3]提出的基于对偶AES密钥的方案与文献[4]中的Xiao-Lai改进方案被提出,其中Xiao-Lai改进方案已经被De Mulder等在2012年攻破[5],而Karroumi[3]提出的基于对偶AES密钥的方案目前还没有攻破。

任务规划系统的原理是利用先进的计算机技术,根据任务需求,从多渠道采集作战需要的各种情报信息,分析战场威胁环境,为任务规划人员制作并提供威胁分布、突防路径评估、数字地形、油量计算、气象、机载武器性能等决策依据,为地面指挥员和作战飞机机组人员制定作战飞机出航航线和返航航线,调度空中作战机群协同攻击计划和时间控制节点,确定武器载荷和武器发射或投掷的时间节点和地点,评估作战效能和出航损伤率,以实现对敌方地面目标的精确打击和低损伤率,是航空兵对地作战指挥系统的核心组成部分。任务规划系统的安全管理软件负责任务规划系统的信息安全。本文基于Karroumi[3]修改的Chow白盒AES来构造在白盒攻击环境下安全的任务规划系统。

1 任务规划系统安全

图1为任务规划系统整体框图。安全管理软件为图中安全服务组件,为整个系统提供信息安全服务;最上层为各种应用,通过调用各个组件的接口来获得相应的服务;数据通过最下层的中间件与外部系统进行交换。

图1 系统结构

整个系统采用C/S结构,客户端以对等实体的关系挂接在网络上,同时挂接在网络上的还有认证服务器、数据库服务器、证书授权(Certificate Authority,CA)中心和配置管理服务器。客户端使用USB Key,负责客户端的数字签名和加解密,也是用户数字证书和私钥的载体。客户端可以使用系统提供的文件访问、文件交互以及数据库访问服务,各个功能由相应的安全控制机制来保证操作与数据的安全性。

安全架构从功能的角度来分层如图2所示,最下层为整个系统的最基本的安全支撑——CA中心。往上一层为登录认证,系统的功能都需要在完成登录认证的基础上才能使用。再上一层为系统的安全访问控制,成功登录的用户所执行的操作都需要经过访问控制组件的检查,只有满足安全策略的操作才能执行。在访问控制之上为系统的四类操作:数据库操作、消息传输、文件访问和文件交互。其中,消息传输和文件访问需要用到数据安全传输;文件交互操作分为文件在本地和不在本地两种情况,若在本地则直接发送给外域用户,否则需要通过文件访问从文件服务器获取后再发送给外域用户。

图2 任务规划系统安全架构

2 任务规划系统数据安全传输方法

为了保证系统中通信数据的安全性,需要对数据传输进行保护,数据安全传输组件结合数据保护服务、安全协议组和动态安全参数管理三者来实现保护数据包安全和为抵御网络攻击提供防护措施这两个目标,不仅能为通信提供强有力且灵活的保护,而且还能用来筛选特定数据流。数据安全传输组件基于一种端对端的安全模式。

数据安全传输是保护整个安全访问中所有用户通信安全的。它分为发送端和接收端,为应用调用提供的接口,对数据进行相应处理后发送给接收端。数据安全传输是由图1中的安全服务组件实现的。

数据安全传输协议首先从系统消息中解析出消息类型,然后对应消息类型从客户端独立线程中取得安全参数对应用数据进行保护,同时在数据封装上增加相应附加信息。

这里所描述的数据安全传输包括发送设计、接收设计、报文设计、加解密设计、哈希校验设计和错误码设计。如图3所示为数据安全传输运行流程。

图3 数据安全传输运行流程

驱动程序获得系统消息后,解析相应字段,得到消息类型、接收方信息、安全参数标记等信息。

在解析出相应信息后发送端驱动程序执行以下步骤: 1)从客户端独立线程处获得安全参数;2)保护应用数据;3)根据数据封装格式封装数据; 4)将封装好的数据发送出去。

接收端驱动程序执行以下步骤: 1)通过解析接收数据头获取消息类型等信息;2)按照该信息从客户端独立线程处获取安全参数;3)使用获取的安全参数还原数据;4)将数据递交给接收应用程序。

加密完成后的数据封装格式如图4所示。其中:消息长度表示整个数据包的长度;消息类型表示是否需要加密;密钥标识用来从密钥中心获取密钥;接收端消息指真正的接收用户具体信息;序列号表示1~32位递增的数值,唯一地标识了数据包;可变长数据指加了密的密文;哈希认证结果表示前面的数据运用哈希函数作用之后得到的哈希值。

图4 报文格式

3 白盒AES

3.1 白盒AES的主要设计思想

白盒攻击环境(WBAC)是这样的一种攻击环境:

1)完全授权的攻击软件和密码软件分享一台主机,攻击者完全接触算法的应用;

2)动态的执行(例如密钥)能被观察;

3)内部算法细节完全可见,并且任意选择。

置乱编码的定义:X为一个m到n的转换,选择m比特双射F和n比特双射G称X=G∘X∘F-1为一个X的编码版本。其中:F是输入编码,G是输出编码。

函数分解:将大的双射表分解为小的双射表的组合,考虑Fi的大小为ni,这里n1+n2+…+nk=n,用‖来表示向量合成。函数分解F1‖F2‖…‖Fk是双射F使得

F(b)=F1(b1,b2,…,bn1)‖F2(bn1+1,bn1+2,…,bn1+n2)‖…‖Fk(bn1+…+nk-1+1,bn1+…+nk-1+2,…,bn)

Y∘X的网络编码(即变换X执行之后执行变换Y)是一个编码形式:

X′∘Y′=(H∘Y∘G-1)∘(G∘X∘F-1)=H∘(Y∘X)∘F-1

注意到双射F、G、H被隐藏了。

3.2 白盒AES的主要设计方法

白盒AES的设计思路是:首先利用矩阵乘法规则将AES的每一轮拆分成一个个小的矩阵,将密钥嵌入到拆分后的矩阵中;然后对每个矩阵的两边乘上置乱矩阵;最后将这些矩阵用查找表的形式表示。在白盒攻击环境中,攻击者最终看到的是乘上置乱矩阵之后的查找表,由于置乱矩阵对攻击者是未知的,所以他无法从中得知有用的信息。

典型的AES由10轮组成,每一轮包括4个部分:SubBytes、ShiftRows、MixColumns和AddRoundKey。在第一轮运行之前先做一个AddRoundKey,而最后一轮没有MixColumns。

白盒AES将AddRoundKey和SubBytes结合起来作为一个T函数,为8bit输入8bit输出,具体定义如下:

(1)

(2)

紧接着进行MicCloums变换,为避免大的查找表,这时要用到函数分解的思想,利用矩阵分块把列混合矩阵MC分解为四块小矩阵;

MC=(MC1,MC2,MC3,MC4)

然后再与T变换之后的输出作用,具体见下式:

(MC1,MC2,MC3,MC4)×

此即为置乱编码后的二型表,为8bit输入32bit输出表,如图5所示。

图5 四个二型表结合

接下来制作三型表。三型表要与前面的二型表相结合,根据网路编码原则需要消掉前面的混合双射MBi,又要与下一轮的混合双射mbi抵消,所以三型表如下所示:

为8bit输入32bit输出表。

接下来是四型表。因为在AES中的矩阵有加法操作,但白盒AES中只有各种各样的查找表,所以要将矩阵的加法用查找表的形式表示出来。以上三种类型的查找表都是矩阵的乘法形式转换成的,所以在此应该对矩阵的加法做查找表。查找表的做法是:其中一侧是输入,是两个4bit的列向量;另一侧是输出,是两个输入的和。如图6所示。

图6 四型表

一型表是对整个算法进行混淆并且对第一轮的混合双射mb1和最后一轮的mb10进行消除,为一个8bit输入128bit输出。

3.3 BGE攻击

BGE的主要思想是通过对单个查找表观察来回复密钥是困难的,但是通过组合查找表为一轮来分析,恢复密钥信息是比较容易的。

他们将白盒AES的二型表和三型表结合起来考虑:

(mbr+1)-1×MB-1×MB×MC×

[x0x1x2x3]T=

图7 白盒AES的一个映射

攻击的主要步骤如下:1)把非仿射变换P、Q转变为仿射映射;2)计算出仿射映射Q;3)由P、Q计算出隐藏在T盒中的密钥。具体过程见参考文献[2],这里不再详细叙述。

3.4 白盒AES的修改

Karroumi[3]对Chow的白盒AES进行了修改。

AES是基于有限域GF(28)上的简单的代数结构,如果改变AES的所有常量,包括不可约多项式、矩阵参数、仿射变换,就构造出新的对偶密码。在文献[8]中有240个新的AES对偶密码被构造,在文献[10]中被扩展到了61 200个。

AES和对偶AES的输出是有关系的。存在一个线性变换Δ将AES的比特状态映射到对偶AES的比特状态,即X对偶=Δ(X),相同的变换还有P对偶=Δ(P),C对偶=Δ(C),K对偶=Δ(K)。

字节替换操作为一个代数结构:

r∈[2,3,…,10],i,j∈[0,1,2,3]

4 本文安全传输方法的设计

任务规划系统对于航空任务的完成至关重要,因此敌手会用尽其所能的手段来攻击它,包括在我方安插卧底来了解我方任务规划系统的具体实施流程,或通过越来越先进的手段比如恶意主机攻击、旁信道攻击[6]等攻击手段来攻击我方软件。在面临这种攻击时,任务规划系统的安全传输的具体执行情况将完全暴露在敌手的眼前,让他们轻而易举地抽取出密钥,这就是Chow提到的白盒攻击环境。所以本文必须想一个办法来对付这样的情况,即应用白盒加密系统来改善。

图8 Mohamed Karroumi改进的表

由于白盒AES是把密钥嵌入到加解密算法里面,生成一些查找表,在加密解密过程中,通过查找表来生成相应的密文和明文。所以可以设计一个专门用来生成查找表的驱动程序来不断构造查找表,或者可以生成固定查找表嵌入到传输程序当中。由于驱动程序在生成查找表时会用到密钥,所以驱动程序生成AES查找表的过程应在安全的地方进行。

我告诉她,我平常早晨不吃饭上班,中午在食堂里吃,晚上自己简单做点儿,温点儿酒喝。家里还有一个小型电视机,手提式的,很方便。一个人在屋里一直看到电

本文设计了一种可以抵抗白盒攻击环境的安全传输方法。首先在飞机基地用不同类型的密钥通过驱动程序生成不同的查找表,加密时可以根据需要选择查找表来进行加密。在安全传输中加入一个生成白盒AES的驱动程序,用来根据系统消息的报头来选用相应的白盒AES。运行流程如图9所示。

图9 改进的安全传输

这样,通过生成Karroumi[3]改进的AES查找表来设计白盒安全传输应用给发送接口传递消息类型、数据、数据长度和用户信息四个参数。接口根据消息类型判断是否需要加密,如果需要,则驱动程序在客户端独立线程获得安全参数,生成加密AES查找表。消息数据输入到改进的白盒AES,然后将输出的数据封装成如图4所示的报文,最后将报文利用飞机上的通信协议发送出去。

驱动程序的设计如下:

1)从客户端独立线程中取出安全参数作为密钥,通过密钥扩展函数将其扩展为10组子密钥。下面以利用128位的密钥制作二型表为例来说明查找表的制作过程。128位的密钥为3CA1 0B21 57F0 19 16 90 2E13 80ACC1 07BD,通过密钥扩展算法[7]得出第一轮的子密钥为45 64 71B0 12 94 68A6 82BA7B26 2E7B7C9B。

MC×S(P(2)+K(2))=

[MC1MC2MC3MC4]×[C7 BE 46 FF]T=

C7×MC1⊕BE×MC2⊕46×MC3⊕FF⊕MC4=

表1 二型表

表1所占用的内存空间为29=512Byte,白盒AES一轮需要16个这样的表,总共10轮,所以占用的总内存空间为160×512=81 920字节。接下来的一、三、四型表按照同样的思路制作,最后得出整个白盒AES查找表,其需要内存770 048MB[1]。

3)将查找表按照AES执行顺序进行整理排列,然后将其嵌入到内存当中。以后的加密解密就通过查找表的方式进行,加密完成后,驱动程序将加密AES查找表从内存中擦除。

4)接收端收到消息,并根据报头查看消息是否加密。

5)如果加密,则驱动程序去获得安全参数库里的安全参数,生成解密AES查找表,加密消息通过查找对应的查找表获得相应的明文

程序运行过程的异常处理方式如下:

1)建立连接失败,尝试三次仍然失败,返回错误码给应用;

2)发送数据失败,尝试三次仍然失败,返回错误码给应用。

5 方法安全性评估

本文设计的安全性依赖于白盒AES的安全性,其中由Chow等[1]设计的白盒AES可以被BGE算法[2]在230攻破,而Karroumi等[3]利用对偶密码来改造白盒AES,目前暂时未被破解。

在改进的白盒AES中,用到的对偶密码有61 200个。这61 200个对偶密码中的每一个都可以作用到二型表的改进当中。由于白盒AES每一轮中有四个二型表,每一个二型表都可以与61 200个对偶密码中的一个来作用,则可以有642 0004≈263种可能。在白盒攻击环境中,攻击者只能看到输入与对应的输出,无法了解使用的哪一种对偶密码进行作用,只能用穷举的方法,这就使得攻击复杂度有原来的4×225=227增加到了4×225×263=290。这种改进使得攻击复杂度大大提高,保证了白盒AES的安全可靠。

对于本文设计的新的安全传输方法,由于生成白盒AES是在飞机基地事先秘密完成,而白盒AES在使用过程中被攻破的复杂度很大,所以整个安全传输方法在白盒攻击环境下是安全的。

6 结语

本文介绍了白盒攻击环境下任务规划系统的安全传输方法。首先,对传统的高级加密标准白盒化,使其可以抵抗白盒攻击;其次,按照给出的白盒AES生成算法,利用不同的密钥生成不同的白盒AES程序;最后,将相应的白盒AES程序嵌入到任务规划系统的安全传输当中。经过理论分析,修改后的任务规划系统中的安全传输方法提高了攻击难度,达到足够的安全强度,可以保护通信密钥。

)

[1]CHOWS,EISENP,JOHNSONH,etal.White-boxcryptographyandanAESimplementation[C]//SAC2002:Proceedingsofthe9thAnnualInternationalWorkshoponSelectedAreasinCryptography,LNCS2595.Berlin:Springer-Verlag, 2003: 257-270.

[2]BILLETO,GILBERTH,ECH-CHATBIC.Crytanalysisofawhite-boxAESimplementation[C]//SAC2004:Proceedingsofthe11thAnnualInternationalWorkshoponSelectedAreasinCryptography,LNCS3357.Berlin:Springer-Verlag, 2005: 227-240.

[3]KARROUMIM.Protectingwhite-boxAESwithdualciphers[C]//ICISC2010:Proceedingsofthe13thInternationalConferenceonInformationSecurityandCryptology,LNCS6829.Berlin:Springer-Verlag, 2011: 278-291.

[4]XIAOY,LAIX.Asecureimplementationofwhite-boxAES[C]//CSA2009:Proceedingsofthe2ndInternationalConferenceonComputerScienceanditsApplocations.Piscataway,NJ:IEEE, 2009: 410-415.

[5] DE MULDER Y, ROELSE P, PRENEEL B.Cryptanalysis of the Xiao-Lai White-Box AES implementation [C]// SAC 2012: Proceedings of the 19th International Conference on Selected Areas in Cryptography, LNCS 7707.Berlin: Springer-Verlag, 2012: 34-49.

[6] 张效强,王峰,高开明.基于加密算法的数据安全传输的研究与设计[J].计算机与数字工程,2008,36(5):107-109.(ZHANG X Q,WANG F,GAO K M.Research and design for secure transmission of data based on encrypt algorithms [J].Computer and Digital Engineering, 2008, 36(5): 107-109.)

[7] National Institute of Standards and Technology.Advanced Encryption Standard (AES) (FIPS PUB 197) [S/OL].Federal Information Processing Standards Publication, 2001 (2001- 11- 06) [2016- 03- 06].http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.

[8] BARKAN E, BIHAM E.In how many ways can you write Rijndael [C]// ASIACRYPT 2002: Proceedings of the 2002 International Conference on the Theory and Application of Cryptology and Information, LNCS 2501.Berlin: Springer-Verlag, 2002: 160-175.

[9] KOCHER P C.Timing attacks on implementations of Diffie-Hellman, RSA, DSS, and other systems [C]// CRYPTO 1996: Proceedings of the 16th Annual International Cryptology Conference, LNCS 1109.Berlin: Springer-Verlag, 1996: 104-113.

This work is partially supported by the National Major Science and Technology Projects (2012ZX01041- 006).

CUI Xining, born in 1964, Ph.D., research fellow.His research interests include distributed security management, parallel distributed system, real-time operating system, information security.

DONG Xingting, born in 1989, M.S.candidate.His research interests include cryptography, information security.

MU Ming, born in 1973, M.S., research fellow.His research interests include software engineering, software testing.

WU Jiao, born in 1987, M.S., engineer.Her research interests include embedded software, airborne network.

Secure transmission method of mission planning system in white-box attack context

CUI Xining1,2*, DONG Xingting3, MU Ming2, WU Jiao2

(1.SchoolofComputerScienceandTechnology,XidianUniversity,Xi’anShaanxi710071,China;2.Xi’anAeronauticalComputingTechniqueResearchInstitute,AviationIndustryCorporationofChina,Xi’anShaanxi710068,China;3.SchoolofTelecommunicationsEngineering,XidianUniversity,Xi’anShaanxi710072,China)

Concerning the problem that the communication keys in transmission of mission planning system were easily stolen in White-Box Attack Context (WBAC), a new secure transmission method of mission planning system was proposed based on modified white-box Advanced Encryption Standard (white-box AES).First, the Advanced Encryption Standard (AES) was split into many lookup tables and the keys were embedded into these lookup tables, then the lookup tables were merged in accordance with the excuting order of the AES.Secondly, on the ground, different white-box AES programs were generated in accordance with the given white-box AES generation algorithms using different keys.In the end, the white-box AES programs were embedded in the security transmission of the mission planning system.When the key needed to be replaced, the original white-box AES program should be erased on the ground to generate a new white-box AES.Theoretical analysis shows that compared with the traditional secure transmission of mission planning system, the modified secure transmission method of mission planning system can make the attack complexity to 291, which achieves the sufficient security and can protect the communication key.

White-Box Attack Context (WBAC); mission planning system;security transmission; white-box Advanced Encryption Standard (white-box AES); dual cipher

2016- 08- 01;

2016- 10- 18。 基金项目:国家重大科技专项(2012ZX01041- 006)。

崔西宁(1964—),男,陕西咸阳人,研究员,博士,CCF高级会员,主要研究方向:分布式安全管理、并行分布式系统、实时操作系统、信息安全; 董星廷(1989—),男,山西临汾人,硕士研究生,主要研究方向:密码学、信息安全; 牟明(1973—),男,陕西西安人,研究员,硕士,CCF会员,主要研究方向:软件工程、软件测试; 吴姣(1987—),女,陕西西安人,工程师,硕士,主要研究方向:嵌入式软件、机载网络。

1001- 9081(2017)02- 0483- 05

10.11772/j.issn.1001- 9081.2017.02.0483

TP309.7

A

猜你喜欢

对偶驱动程序数据安全
对偶τ-Rickart模
阻止Windows Update更新驱动程序
云计算中基于用户隐私的数据安全保护方法
计算机硬件设备驱动程序分析
建立激励相容机制保护数据安全
数据安全政策与相关标准分享
大数据云计算环境下的数据安全
例析对偶式在解三角问题中的妙用
怎样利用对偶式处理高考解几问题
妙用鼠标驱动