移動智能終端安全即時通信方法

張 帆，張 聰，趙澤茂，徐明迪

(1.武漢輕工大學 數學與計算機學院，武漢 430023； 2.麗水學院 工程與設計學院，浙江 麗水 323000；3.武漢數字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

移動智能終端安全即時通信方法

張 帆1，張 聰1，趙澤茂2，徐明迪3*

(1.武漢輕工大學 數學與計算機學院，武漢 430023； 2.麗水學院 工程與設計學院，浙江 麗水 323000；3.武漢數字工程研究所，武漢 430205)

(*通信作者電子郵箱siemendy@whu.edu.cn)

針對移動智能終端即時通信安全問題，提出了一種不可信互聯網條件下移動智能終端安全通信方法。該方法設計并實現了一種在服務器和通信信道均不可信情況下的可信密鑰協商協議。理論分析表明，所提出的密鑰協商協議可以確保通信雙方所協商會話密鑰的真實性、新鮮性和機密性等諸多安全特性。密鑰協商完成之后，基于透明加解密技術即可以確保即時通信雙方語音/視頻通信信息的機密性和完整性。真實移動互聯網環境下的測試也表明該方法是高效和安全的，密鑰協商可以在1～2s完成，攻擊者無法獲取即時通信的明文信息。

移動智能終端安全；即時通信；可信密鑰協商；協議安全

0 引言

目前，移動智能終端已經遠超臺式設備占據了市場的主導地位，我們正快速進入嶄新的移動互聯網時代。即時語音/視頻通信(以下簡稱即時通信)作為移動互聯網的重要基礎，獲得了廣泛的應用，如：社交APP、警用監控、軍事偵查、娛樂購物等各種領域。產業界對即時通信表現出高度的興趣，并將其視為當前移動互聯網產業競爭的核心領域之一[1-2]。但是，如何保證即時通信的安全性卻仍然是一個開放課題。目前主流的即時通信軟件存在著不合理的安全假設。以占據國內市場主導地位的微信為例，其將即時通信的安全性建立在服務器絕對可信的假設之上[3]。顯然，這個假設是不合理的，斯諾登所揭露的美國監聽歐盟事件表明，通過技術手段入侵并控制服務器，是完全可行的。因此，必須尋求一種在服務器不可信的情況下，即時通信雙方仍能進行安全通信的方法。

本文默認即時通信服務器(以下簡稱服務器)已被黑客完全控制，服務器和網絡攻擊者具有Dolev-Yao模型攻擊能力。在此基礎上，遵從現有主流即時通信軟件所采用的即時通信模型(參見圖1)，基于普通商用移動智能終端，設計并實現了一種不可信互聯網環境下的安全即時通信方法。即本方法可以在服務器不可信以及網絡不可信的敵手環境下，可信地協商會話密鑰以進行“端-端”可信通信。理論分析表明，只要密鑰能夠協商成功，則所協商的會話密鑰一定是真實、新鮮和保密的；而真實互聯網環境下的原型系統測試也表明該方法是高效和安全的。

當前主流即時通信軟件均采用如圖1所示的即時通信模型：整個架構采用“客戶端—服務器—客戶端”的C/S模式。服務器負責兩類工作：客戶端之間的會話密鑰協商；對不同客戶端進行注冊、監控和管理等。

以國內占據市場絕對份額的即時通信軟件微信為例，不同微信客戶端之間的即時通信信息采用高級加密標準(Advanced Encryption Standard, AES)加密，但AES會話密鑰是由即時通信服務器生成并用RSA加密之后發布給終端使用的[3]。顯然，如果服務器是不可信的，那么服務器所生成的AES會話密鑰、以及RSA加解密涉及的私鑰均可能泄露，從而導致即時通信過程敏感信息泄露。

圖1 現有主流即時通信軟件的通信模型

為此，設計并實現了一種安全即時通信方法，其具有如下特點：1)基于圖1所示的主流即時通信模型進行實現。除了將會話密鑰協商協議替換為本文所設計的密鑰協商協議之外，無需對即時通信模型作其他任何硬件層或者軟件層修改，保證了系統的兼容性和易用性。2)默認服務器是不可信的，黑客可以完全控制服務器。這從根本上去除了當前主流即時通信軟件“將即時通信的安全性建立在服務器絕對可信之上”的不合理安全假設。3)設計并實現了可信會話密鑰協商協議。理論分析表明，只要會話密鑰能夠協商成功，則通信雙方面所協商的會話密鑰一定是真實的(Authenticated)、新鮮的(Fresh)和保密的(Confidential)，從而保證即時通信是安全的。4)基于普通商用移動智能終端進行設計實現。除了要求通信雙方所使用的移動智能終端是可信的(即不存在惡意硬件和惡意軟件)之外，對移動智能終端無需任何其他安全假設和安全增強。5)實現了原型系統。真實互聯網環境下的實驗表明，方法是安全和有效的。

1 相關研究

1.1 即時通信安全

文獻[3-4]分別對具有代表性的主流即時通信軟件微信、以及Skype和QQ的通信安全性進行了研究。上述軟件的問題在于，它們均將即時通信的安全性建立在服務器絕對可信的不正確安全假設之上。而在實際應用中，服務器作為高價值對象，其不僅被攻擊概率高，而且對其攻擊是完全可行的。文獻[5-6]分別提出了基于橢圓曲線公鑰體制和基于身份的即時通信安全協議。但兩者的問題在于它們仍然是基于服務器是絕對可信的。文獻[7]基于PGP(Pretty Good Privacy)實現安全即時通信，但文獻[7]仍然要把PGP的密鑰對存放在可信的服務器之中。文獻[8-9]分別從隱私保護和即時通信惡意軟件(IM Malware)的角度研究了即時通信的安全問題。但兩者并沒有回答在服務器和網絡不可信的情況下，應該如何保證即時通信的安全。

在國內產業界，微信、QQ、釘釘、來往(釘釘前身)、陌陌等知名即時通信軟件均不支持端-端加密。軟件安司密信提供了端-端加密，但其必須采用特定的硬件才能實現，這不僅額外增加了成本，而且使用不便。本文的方法完全基于軟件協議實現了端-端加密，避免了上述問題。國外Whatsapp、Line、Viber等于2016年4月到7月剛剛推出端-端加密功能。Facebook Messenger于2016年7月剛剛進行端-端加密功能測試。但是，這些工作的端-端加密的細節不僅沒有公開(從而無法確認是否存在后門)，而且它們僅能實現“端-端”通信的機密性，無法保證完整性。“端-端”通信完整性在需要進行遠程控制的場景是很有意義的。Telegram在2013年推出了端-端加密功能，但其協議可能遭受MIMT(Man-In-the-Middle Attack)中間人攻擊，而理論分析表明，本文的工作完全避免了MIMT攻擊。

1.2 密鑰協商

文獻[10]介紹了幾種典型的密鑰協商方法。首先是經典的Diffie-Hellman方案，它的問題在于無法防御中間人攻擊。為了解決中間人攻擊問題，通過在經典形式上增加認證，形成了端-端密鑰協商STS和MTI/A0密鑰協商方案。這兩種方案均需要有可信權威機構TA(對應于PKI中的證書認證中心CA)來提供證書或者簽名。這又帶來如下問題：一方面，在圖1所示的即時通信模型中，服務器本身是不可信的；另一方面，移動智能終端由于數量巨大，為每一個移動智能終端都提供相應的證書在工程上難以實現。因此，上述兩種方案無法在本文中應用。進一步地，文獻[10]還介紹了無證書的Girault密鑰協商方案，然而其仍然需要可信權威機構TA來生成秘密和輔助協商生成密鑰。最后，文獻[10]介紹了加密密鑰交換EKE協議，EKE使用共享口令來協商會話密鑰，但是如何在數量巨大的移動智能終端中間為每兩個終端建立共享秘密口令也是難以克服的問題。

無證書密鑰協商是目前密鑰協商的一個熱點[11-15]，但無證書密鑰協商方法的主要問題在于，它們仍然需要一個可信的第三方私鑰生成中心(Private Key Generator， PKG)，且有些中間計算步驟需要通過安全的方式從PKG返回給密鑰協商雙方，這也是難以實現的。

2 可信會話密鑰協商協議

本質上，整個系統的關鍵在于通信雙方如何在服務器和通信網絡不可信的敵手網絡環境下可信地協商會話密鑰，從而實現“端-端”可信通信。

2.1 協議目的和背景

2.1.1 協議目的

協議的目的在于確保通信雙方在敵手網絡環境下可信地協商會話密鑰，保證所協商會話密鑰的真實性、新鮮性和機密性。因此，協議需要防止常見的偽造和篡改攻擊(真實性)，以及回放攻擊(新鮮性)；同時，協議還需要確保除了通信雙方之外，其他任何第三方(包括服務器)都無法獲知所協商的會話密鑰(機密性)。

2.1.2 協議設計背景

說明1 攻擊者既包括網絡攻擊者，也包括服務器。

本文默認網絡攻擊者和服務器具有Dolev-Yao模型攻擊能力。協議設計時，必須綜合考慮上述攻擊雙方。

說明2 服務器和即時通信客戶端(以下簡稱客戶端)公私鑰對的安全性。

首先，對服務器而言:①服務器的公鑰真實、新鮮地公開給所有客戶端。這可以通過證書實現，極端情況下，也可以硬編碼到客戶端中。②服務器的私鑰由服務器自身存儲。由于服務器是不可信的，因此服務器的私鑰可能已經泄露給攻擊者。

其次，對客戶端而言:①客戶端的公鑰為安全起見，在每次進行密鑰協商時，都要重新生成。②客戶端的私鑰由客戶端自身進行保密性存儲。本文要求客戶端本身是可信的(參見以下說明3)，因而客戶端的私鑰一定是安全的。

說明3 “服務器的公鑰可信地公開”和“客戶端所使用的移動智能終端是可信的”是本文僅有的安全假設。

本文要求服務器的公鑰可信地公開，前面已經說明，這可以通過證書或者硬編碼到移動智能終端實現。注意服務器的數量并不多，那么對應證書的數量也并不多，因而這也是容易實現的。

2.2 協議詳細設計

在詳細分析協議之前，先給出協議的符號使用說明如下：約定用s指代服務器，用a、b分別指代通話雙方客戶端Alice和客戶端Bob。每次即時通信之前，服務器和客戶端需要重新生成自身的RSA公私鑰對，約定用kei指代實體i的公鑰，用kdi指代實體i的私鑰，例如：kes是服務器Server的公鑰，kda是客戶端A的私鑰。使用HASH(x)來指代對x的哈希操作；用E(kei,x)指代對x用公鑰kei作加密(或者簽名驗證)操作，用D(kdi,x)指代對x用私鑰kdi作解密(或者數字簽名)操作。如2.1節的說明2所述，服務器已經生成了公私鑰對kes和kds，其中公鑰kes利用證書或者硬編碼等方式真實、新鮮地公開給所有的通信終端；私鑰kds由服務器s自己保存，但是私鑰kds是不安全的，可能已經泄露給攻擊者。

協議分為兩大階段。第一階段：終端A和B分別將自身的公鑰真實、新鮮地傳送給對方(出于安全考慮，在每一次會話密鑰協商時，即時通信雙方都會重新生成公私鑰對。由于公鑰不需要考慮機密性，因而只需要將所生成的公鑰真實、新鮮地發送給對方即可)。第二階段：客戶端A和B自主協商會話密鑰，并確保會話密鑰的真實性、新鮮性和機密性。

協議的詳細步驟如下:

步驟1 通過步驟①～④，客戶端A將公鑰kea發送給服務器，并獲取服務器對于kea的真實、新鮮的簽名siga。

①在發起會話密鑰協商時，客戶端A重新生成新的RSA公私鑰對kea和kda，并將公鑰kea發送給服務器。

②服務器在收到kea′(由于攻擊者的存在，服務器實際接收到的結果與客戶端A在步驟①發送的kea并不一定相同，因此這里用kea′代替)之后，使用自身的私鑰kds對kea′進行數字簽名生成siga=D(kds,ha)。

③服務器將數字簽名siga和所接收到的kea′返回給客戶端A。

④客戶端A實際接收到siga′和kea″(由于攻擊者的存在，客戶端A實際接收到的結果與服務器在步驟③發送的siga和kea′不一定相同，因此這里用siga′和kea″代替)之后，驗證數字簽名siga′，并比較kea″是否與步驟①中生成的kea一致。如果驗證和比較通過，則說明服務器收到的客戶端A所發送的公鑰kea是真實、新鮮的，且服務器對kea的簽名siga也是真實、新鮮的。

步驟2 利用步驟1所獲得的服務器對客戶端A公鑰kea的真實、新鮮的簽名siga，將客戶端A的公鑰kea真實、新鮮地發送給客戶端B。

①客戶端A生成隨機數ma，并利用私鑰kda對ma計算生成Dma=D(kda,ma)。

②客戶端A將自己的公鑰kea、由步驟1獲得的服務器對于kea的簽名siga，以及Dma，即〈kea,siga,Dma〉，發送給客戶端B。

③客戶端B在實際接收到〈kea′,siga′,Dma′〉(由于攻擊者的存在，客戶端B實際接收到的結果與客戶端A在步驟③發送〈kea,siga,Dma〉并不一定相同，因此這里用〈kea′,siga′,Dma′〉代替)之后，首先會驗證簽名siga′。如果驗證通過，客戶端B將利用kea′對Dma′計算ma′=E(kea′,Dma′)，并將ma′發送給客戶端A。

④客戶端A在接收到ma″(由于攻擊者的存在，客戶端A實際接收到的結果與客戶端B在步驟③所發送的ma′并不一定相同，因此這里用ma″代替)之后，驗證所接收到的ma″是否與步驟①中生成的ma一致。如果兩者一致，則說明客戶端B真實且新鮮地接收到了客戶端A的公鑰kea；否則客戶端B接收到的公鑰是錯誤的。

步驟3 采用與步驟1、2對稱的操作，客戶端B將公鑰keb真實、新鮮地發送給客戶端A。

步驟4 客戶端A隨機生成會話密鑰前半部分aes1，并真實、新鮮、保密地發送給客戶端B。

①客戶端A隨機生成AES會話密鑰的前半部分aes1，并利用私鑰kda對aes1進行數字簽名生成sigaes1=D(kda,haes1)。

②客戶端A利用客戶端B的公鑰keb將〈aes1,sigaes1〉加密生成Eaes1=E(keb,aes1,sigaes1)并發送給客戶端B。

③客戶端B在接收到Eaes1′=E(keb′,aes1′,sigaes1′)(由于攻擊者的存在，客戶端B實際接收到的結果與客戶端A在步驟②發送的Eaes1=E(keb,aes1,sigaes1)并不一定相同，因此這里用Eaes1′=E(keb′,aes1′,sigaes1′)代替)之后，利用私鑰kdb解密Eaes1′，獲取〈aes1′,sigaes1′〉并對sigaes1′進行驗證。如果驗證通過，則說明真實、新鮮、保密地獲取了aes1。

步驟5 采用與步驟4類似的操作將客戶端B隨機生成的會話密鑰的后半部分aes2真實、新鮮、保密地發送給客戶端A。

步驟6 客戶端A和客戶端B計算得到最終的會話密鑰AES=HASH(aes1)⊕HASH(aes2)。

協議協商完畢。

2.3 協議安全性分析

1)步驟1的安全性。

步驟1的目的是將客戶端A新生成的公鑰kea發送給服務器，并獲取服務器對于kea真實、新鮮的簽名siga，攻擊者試圖通過攻擊使得上述目標無法達成。

由于服務器和網絡同時是不可信的，因此協議必須同時檢測到兩者所發起的偽造、篡改和回放攻擊。由此有如下三種情形：a)服務器不進行攻擊，其他網絡攻擊者對kea及其簽名siga進行(偽造、篡改或者回放)攻擊；b)網絡攻擊者不進行攻擊，服務器對kea及其簽名siga進行(偽造、篡改或者回放)攻擊；c)服務器和網絡攻擊者同時對kea及其簽名siga進行(偽造、篡改或者回放)攻擊。上述三種情形均可以達到讓客戶端A無法獲取服務器對于kea真實、新鮮簽名的目的。

對于上述三種攻擊情形，容易證明：對于客戶端A，其在步驟1.④要么會驗證服務器所傳過來的對公鑰kea的簽名siga失敗；要么會發現客戶端B所實際接收到的公鑰kea′與客戶端A實際發送的公鑰kea并不一致。無論哪種情形，客戶端A都會發現攻擊(限于篇幅，具體過程從略)。因此，步驟1能夠確保客戶端A將新生成的公鑰kea發送給服務器，并獲取服務器對于kea真實、新鮮的簽名siga。

2)步驟2的安全性。

步驟2的目的在于將客戶端A的公鑰kea真實、新鮮地發送給客戶端B,攻擊者試圖通過攻擊以阻止上述目的的達成。

類似地，由于服務器和網絡均是不可信的，協議需要檢測到兩者可能發起的偽造、篡改和回放攻擊，由此也有三種情形需要考慮：a)服務器不進行攻擊，網絡攻擊者對kea進行(偽造、篡改和回放)攻擊；b)網絡攻擊者不進行攻擊，服務器對kea進行(偽造、篡改和回放)攻擊；c)服務器和網絡攻擊者同時對kea進行(偽造、篡改和回放)攻擊，從而達到阻止客戶端A將公鑰kea真實、新鮮地發送給客戶端B的目的。

對于上述三種攻擊型情形，容易證明：客戶端A要么在步驟2.③驗證簽名siga′失敗，要么在步驟2.④發現其實際接收到的隨機數ma″與它在步驟2.①所最初生成的隨機數ma并不一致，從而發現攻擊(限于篇幅，具體過程從略)。因此，步驟2能夠確保客戶端A將其公鑰kea真實、新鮮地發送給客戶端B。

3)步驟3的安全性。

由于步驟3是步驟1、2的對稱過程，因而其安全性可以類似分析，這里從略。到此，通信雙方均真實、新鮮地得到了對方所新生成的公鑰。

4)步驟4的安全性。

步驟4的目的是客戶端A隨機生成會話密鑰前半部分aes1，并真實、新鮮、保密地發送給客戶端B。

類似地，根據服務器和網絡攻擊者是否發起攻擊，也有三種情形需要考慮。對于這三種攻擊情形，容易證明：無論是哪種情形，客戶端A將會在步驟4.③對它所實際接收到的簽名sigaes1′驗證失敗，從而發現攻擊。因此，如果步驟4.③通過，則客戶端A將其隨機生成的會話密鑰前半部分aes1真實、新鮮、保密地發送給了客戶端B。

5)步驟5的安全性。

步驟5是步驟4的對稱過程，因而其安全性可以類似分析，這里從略。至此，客戶端B和客戶端A分別接收到了對方真實、新鮮和保密發送過來的會話密鑰的前半部分aes1和后半部分aes2。

協議安全性分析完畢。

2.4 會話密鑰安全屬性分析

需要強調的是，本文基于傳統的非對稱密碼體制，而并非是無證書密鑰協商，因而文獻[11]中2.1節關于身份基認證密鑰協商協議對安全屬性的定義并不適合本文。但若借鑒其思想和定義，則可以進行類似安全屬性分析并得出結論如下：

1)滿足已知密鑰安全性。由于最終協商的會話密鑰AES=HASH(aes1)⊕HASH(aes2)，而aes1和aes2是每次密鑰協商時，分別由客戶端A和客戶端B隨機生成的，因此，即使攻擊者獲得了某次客戶端A和B所協商的會話密鑰，他也無法求出其他協商時生成的會話密鑰。

2)滿足完美前向安全性。若客戶端A和B當前的私鑰kda和kdb都泄露，攻擊者可以獲得客戶端A和B本次協商的會話密鑰。但是，注意到在每次會話密鑰協商時，客戶端A和B都會分別重新生成新的公私鑰對，不失一般性，不妨假設當前客戶端A和B的公私鑰對分別是kea/kda和keb/kdb；假設在kda和kdb泄露之前某次密鑰協商時客戶端A和B的公私鑰對分別kea′/kda′和keb′/kdb′，那么有kea′≠kea和kda′≠kda，以及keb′≠keb和kdb′≠kdb。這樣，即使攻擊者獲得了過去的Eaes1′=E(keb′,aes1′,sigaes1′)，由于攻擊者所獲得的客戶端B的當前私鑰kdb和過去的公鑰keb′之間并不匹配，他也無法正確解密獲得過去的aes1′。因此，攻擊者無法獲得在kda和kdb泄露之前所協商的會話密鑰。

3)滿足PKG前向安全性。本文協議中不存在私鑰產生中心(PrivateKeyGenerator,PKG)。但是，本文遵從主流即時通信軟件采用圖1所示的即時通信模型。若將服務器視作PKG，前述2.1節說明2已經說明，本文協議默認服務器是不可信的，默認其私鑰已經泄露，且默認服務器在密鑰協商過程中也會發起攻擊，在此情況下協議仍能可信地協商會話密鑰，因此，滿足PKG前向安全性。

4)滿足抗密鑰泄露偽裝攻擊。假設客戶端A的私鑰kda泄露，攻擊者在不知道客戶端B的私鑰kdb的情況下，無法冒充客戶端B正常進行會話密鑰協商(所有客戶端B進行數字簽名的步驟都無法通過)，因而無法向客戶端A冒充客戶端B，滿足抗密鑰泄露偽裝攻擊。

5)滿足抗未知密鑰共享。以步驟4.②為例，客戶端A必須要使用客戶端B的公鑰對所生成的會話密鑰的前半部分aes1和簽名sigaes1進行加密，如果采用其他客戶端的公鑰，則客戶端B在隨后將無法正確驗證簽名sigaes1′，從而協商失敗。因此，如果會話密鑰協商成功，客戶端A不會認為是和其他客戶端C的共享會話密鑰，滿足抗未知密鑰共享。

5)滿足無密鑰控制。最終協商的會話密鑰AES=HASH(aes1)⊕HASH(aes2)。由于哈希函數HASH是單向函數，因而無論是客戶端A還是客戶端B都無法逆向選擇性生成aes1或者aes2以達到控制所協商會話密鑰中的一部分或者全部的目的。

2.5 即時通信完整性和拒絕服務攻擊

1)即時通信的完整性。

即時通信安全的另一個重要屬性是完整性。事實上，本協議設計除了關注即時通信信息的機密性之外，也可以用以保證即時通信的完整性。注意到協議的第一階段是將客戶端A和B的公鑰真實、新鮮地發送給對方，因此只要會話密鑰能夠協商成功，則客戶端A和B一定分別真實、新鮮地獲得了對方的公鑰keb和kea。那么在后續的即時通信過程中，為了同時確保通信信息的機密性和完整性，只要先對通信信息進行數字簽名，再用對方公鑰加密傳輸即可。限于篇幅，具體實施步驟從略。據作者盡可能的了解，目前主流即時通信軟件并沒有考慮即時通信信息完整性的問題，而即時通信的完整性在包含遠程命令發送等場景下是很有意義的。

2)協議拒絕服務攻擊。

協議流程中使用了一些密碼學運算操作是比較耗費資源的，因而攻擊者可能針對上述位置發送惡意攻擊包而對終端造成拒絕服務(DenialofService，DoS)攻擊。限于篇幅，本協議目前未考慮拒絕服務攻擊，而將其留作下一步的工作。可采用的一種解決方案[23]是：一旦發現類似DoS攻擊的企圖(如通過驗證失敗的閾值)，驗證方在如簽名驗證等耗費計算資源的位置，在進行真實計算之前，先發送難題(Puzzle)給發送方，只有發送方解決了難題并回復正確結果之后，驗證方才進行真正的密碼學計算。Puzzle的求解難度可以隨著DoS攻擊的風險而逐步提高，從而迫使攻擊方需要耗費更多、甚至不可接受的資源來達成攻擊。另一方面，也可以采用文獻[24]的方法，從DoS攻擊下的資源損失以及損失的概率分布的角度來對安全協議的DoS風險進行量化評估和改進。

2.6 原型系統測試與分析

實驗終端采用兩臺三星手機，CPU1GHz，Android4.3操作系統；服務器采用一臺東芝筆記本電腦，CPU為Inteli5 2.5GHz，內存8GB，Windows7(64位)操作系統。整個實驗是在真實的互聯網中完成的：服務器通過電信網絡連接到Internet當中，任何接入Internet的機器都可以對其進行訪問；兩臺三星手機作為即時通信雙方，分別通過3G網絡進行多省跨省遠程即時語音/視頻通信實驗(如武漢與西安、杭州與西安等)。

1)安全性測試。利用WireShark抓包，可以發現攻擊者只能夠獲取加密后的語音/視頻數據包，無法解密之后進行正常的語音/視頻播放。對于加密語音通信，抓包可見正常解密后的語音波形和攻擊者從網絡獲取的加密語音波形兩者完全不同。對加密語音波形播放時只有無意義的噪聲。對于加密視頻通信，正常解密后的即時通信視頻可以正常播放，而攻擊者從網絡獲取的加密視頻即時通信視頻只能獲得無意義的“花屏”播放結果。安全測試達到預期結果。

2)效率測試。協議使用了較多密碼學運算(如簽名和驗證等)，這可能會影響密鑰協商的運行效率。真實互聯網環境下遠程跨省的多次實驗結果表明，只要密鑰協商能夠成功，則密鑰協商一定可以在2s之內完成，這是用戶可以接受的。另一方面，大量的測試表明，在不加解密的情況下語音/視頻即時通信的時延分別約為0.5s和0.8s，加解密后的語音/視頻時延分別約為0.8s和1.3s，即加解密引起的時延分別約為60%和62.5%。上述加解密導致的時延可以通過進一步多線程、優化語音視頻算法、優化傳輸數據包大小以及優化體系架構等方法解決。

3 結語

即時語音/視頻通信是目前移動互聯網各類應用的重要基礎，但是如何保證即時語音/視頻通信的安全性卻仍然是一個開放問題。我們設計并實現了一種不可信互聯網環境下安全保密即時通信方法，在真實互聯網環境下的原型系統測試表明，整個密鑰協商過程可在1～2s完成，整個系統能夠有效保證即時通信信息的安全性，方法是高效和安全的。

在實際使用中，文中的非對稱、對稱、哈希算法等可以對應更換為國家商密的SM2、SM1/SM4、SM3等算法或者軍用算法，以確保密碼算法的安全可控，以及國家安全的特殊需要；同時，本文方法也可以與已有的信息系統安全技術(如可信計算等)相結合，以進一步增強系統的安全。最后需要指出的是，雖然本文的研究背景是商業即時語音/視頻通信，但由于圖1所示架構的普遍性，以及即時通信的普遍性和重要性，只要是符合圖1所示的架構的(如軍用無人機偵查和警用監控等)，亦可以應用本文的方法。

)

[1] 孟蕊.即時通信用戶規模增長第一, 手機端發展超整體水平 [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.(MENGR.Instantmessaginguserscalgegrowsthefastest,andthedevelopmentofmobilephonesgobeyondtheoveralllevels[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201307/t20130718_40676.htm.)

[2] 沈珅.即時通信行業穩步發展, 移動即時通信成為廠商爭奪重點 [EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.(SHENK.Instantmessagingisdevelopingsteadily,andmobileinstantmessaginghasbecomethehotareaofcompetitionsformanufactures[EB/OL].[2016- 05- 01].http://www.cnnic.cn/hlwfzyj/fxszl/fxswz/201107/t20110719_33459.htm.)

[3] 瞿曉海,薛質.微信加密通信原理分析[J].信息安全與技術, 2014, 5(1): 13-16.(QUXH,XUEZ.Theanalysisandresearchofmicroletterencryptiononthemobileclientandreversebreakmode[J].InformationSecurityandTechnology, 2014, 5(1): 13-16.)

[4] 段冰,谷大武.Skype與QQ軟件的安全通信技術研究[J].信息安全與通信保密,2007(11): 58-60.(DUANB,GUDW.StudyonthesecurecommunicationtechnologyofSkypeandQQ[J].InformationSecurityandCommunicationsPrivacy, 2007(11): 58-60.)

[5] 寧國強.一種安全即時通信系統的研究與設計[D].長沙:湖南大學,2010:35-42.(NINGGQ.Designandimplementationofasecureinstantmessagingsystem[D].Changsha:HunanUniversity, 2010: 35-42.)

[6] 張立坤.即時通信安全機制研究[D].濟南:山東大學,2009:42-77.(ZHANGLK.Researchofinstantmessaging[D].Jinan:ShandongUniversity, 2009: 42-77.)

[7]PINTORL.Secureinstantmessaging[D].Frankfurt:FrankfurtUniversity, 2014: 55-62.

[8]PATILS,KOBSAA.Enhancingprivacymanagementsupportininstantmessaging[J].InteractingwithComputers, 2010, 22(3): 206-217.

[9]XIEM,WUZ,WANGH.Secureinstantmessagingenterprise-likenetworks[J].ComputerNetwork:TheInternationalJournalofComputerandTelecommunicationsNetworking, 2012, 56(1): 448-461.

[10]DOUGLASRS.密碼學原理與實踐[M].馮登國,譯.3版.北京:電子工業出版社,2009:123-15.(DOUGLASRS.CryptographyTheoryandPractice[M].FENGDG,translated.3rded.Beijing:PublishingHouseofElectronicsIndustry, 2009: 123-125.)

[11] 王圣寶,曹珍富,董曉蕾.標準模型下可證安全的身份基認證密鑰協商協議[J].計算機學報,2007,30(10):1842-1852.(WANGSB,CAOZF,DONGXL.Provablysecureidentity-basedauthenticatedkeyagreementprotocolsinthestandardmodel[J].ChineseJournalofComputers, 2007, 30(10): 1842-1852.)

[12] 汪小芬,陳原,肖國鎮.基于身份的認證密鑰協商協議的安全分析與改進[J].通信學報,2008,29(12):16-21.(WANGXF,CHENY,XIAOGZ.AnalysisandimprovementofanID-basedauthenticatedkeyagreementprotocol[J].JournalonCommunications, 2008, 29(12): 16-21.)

[13] 趙建杰,谷大武.eCK模型下可證明安全的雙方認證密鑰協商協議[J].計算機學報,2011,34(1):47-54.(ZHAOJJ,GUDW.Provablysecuretwo-partyauthenticatedkeyexchangeprotocolineCKmodel[J].ChineseJournalofComputers, 2011, 34(1): 47-54.)

[14] 張福泰,孫銀霞,張磊,等.無證書公鑰密碼體制研究[J].軟件學報,2011,22(6):1316-1332.(ZHANGFT,SUNYX,ZHANGL,etal.Researchoncertificatelesspublickeycryptography[J].JournalofSoftware, 2011, 22(6): 1316-1332.)

[15] 高海英.可證明安全的基于身份的認證密鑰協商協議[J].計算機研究與發展,2012,49(8):1685-1689.(GAOHY.ProvablesecureID-basedauthenticatedkeyagreementprotocol[J].JournalofComputerResearchandDevelopment, 2012, 49(8): 1685-1689.)

[16] 趙波,張煥國,李晶,等.可信PDA計算平臺系統結構與安全機制[J].計算機學報,2010,33(1):82-92.(ZHAOB,ZHANGHG,LIJ,etal.ThesystemarchitectureandsecuritystructureoftrustedPDA[J].ChineseJournalofComputers, 2010, 33(1): 82-92.)

[17]DAMM,GUANCIALER,KHAKPOURN,etal.FormalverificationofinformationflowsecurityforasimpleARM-basedseparationkernel[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 223-234.

[18]DAVIL,DMITRIENKOA,EGELEM,etal.MoCFI:aframeworktomitigatecontrol-flowattacksonsmartphones[C]//NDSS2012:Proceedingsofthe19thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2012: 222-237.

[19]YANGZ,YANGM,ZHANGY,etal.AppIntent:analyzingsensitivedatatransmissioninAndroidprivacyleakagedetection[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1043-1054.

[20]ZHOUX,DEMETRIOUS,HED,etal.Identity,location,diseaseandmore:inferringyoursecretsfromAndroidpublicresources[C]//CCS’13:Proceedingsofthe2013ACMSIGSACConferenceonComputerandCommunicationsSecurity.NewYork:ACM, 2013: 1017-1028.

[21]EGELEM,KRUEGELC,KIRDAE,etal.PiOS:detectingprivacyleaksiniOSapplications[C]//NDSS2011:Proceedingsofthe18thAnnualNetworkandDistributedSystemSecuritySymposium.Washington,DC:InternetSociety, 2011: 189-206.

[22]LANGEM,LIEBEGELDS,LACKORZYNSKIA,etal.L4Android:agenericoperatingsystemframeworkforsecuresmartphones[C]//SPSM’11:Proceedingsofthe1stACMWorkshoponSecurityandPrivacyinSmartphonesandMobileDevices.NewYork:ACM, 2011: 39-50.

[23] 衛劍釩,陳鐘,段云所,等.一種認證協議防御拒絕服務攻擊的設計方法[J].電子學報,2005,33(2):288-293.(WEIJF,CHENZ,DUANYS,etal.Anewcountermeasureforprotectingauthenticationprotocolsagainstdenialofserviceattack[J].ActaElectronicaSinica, 2005, 33(2): 288-293.)

[24]CAOZ,GUANZ,CHENZ,etal.Towardsriskevaluationofdenial-of-servicevulnerabilitiesinsecurityprotocols[J].JournalofComputerScienceandTechnology, 2010, 25(2): 375-387.

ThisworkispartiallysupportedbytheNationalNaturalScienceFoundationofChina(61502438, 61502362),KeyProjectsofHubeiProvincialNaturalScienceFoundation(2015CFA061),ZhejiangProvincialNaturalScienceFoundation(LY15F020015), 2015HubeiProvincialResearchProjectofConstructionDepartment.

ZHANG Fan, born in 1977, Ph.D., associate professor.His research interests include information system security, software security.

ZHANG Cong, born in 1968, Ph.D., professor.His research interests include multimedia communication and security.

ZHAO Zemao, born in 1965, Ph.D., professor.His research interests include privacy protection, software security.

XU Mingdi, born in 1980, Ph.D., associate research fellow.His research interests include information system security, trusted computing.

Secure instant-messaging method for mobile intelligent terminal

ZHANG Fan1, ZHANG Cong1, ZHAO Zemao2, XU Mingdi3*

(1.SchoolfofMathematics&ComputerScience,WuhanPolytechnicUniversity,WuhanHubei430023,China;2.SchoolofEngineeringandDesign,LishuiUniversity,LishuiZhejiang323000,China;3.WuhanDigitalandEngineeringInstitute,WuhanHubei430205,China)

Instant messaging is fundamental to various mobile Internet applications; however, it is still an open problem to implement secure instant messaging in untrusted Internet environment.An approach for secure instant messaging of mobile intelligent terminal was presented, and a protocol for Trusted Session Key Agreement (TSKA) was designed and implemented.Theoretical analysis shows that the proposed TSKA can ensure the authenticity, freshness and confidentiality of the negotiated session key, even in the condition that both of the instant messaging server and the communication channel are not trusted.After TSKA, instant audio/video messages can be sent to the other side in a confidential and complete way.Experimental results in real Internet environment show that the proposed approach is efficient and secure, the session key can be negotiated within 1-2 seconds, and attackers cannot obtain any plaintext of instant messages.

mobile intelligent terminal security; instant messaging; trusted key agreement; protocol security

2016- 08- 22;

2016- 09- 28。 基金項目:國家自然科學基金資助項目(61502438, 61502362); 湖北省自然科學基金重點項目(2015CFA061); 浙江省自然科學基金資助項目(LY15F020015); 2015年湖北省建設廳科技計劃項目。

張帆(1977—),男,湖北當陽人,副教授,博士,CCF會員,主要研究方向:信息系統安全、軟件安全; 張聰(1968—)，男,上海人,教授,博士,主要研究方向:多媒體通信和安全; 趙澤茂(1965—),男，四川蓬溪人,教授,博士,主要研究方向:隱私保護、軟件安全; 徐明迪(1980—),男，湖北武漢人,副研究員,博士,主要研究方向:信息系統安全、可信計算。

1001- 9081(2017)02- 0402- 06

10.11772/j.issn.1001- 9081.2017.02.0402

TP

A