基于密鑰協商的防范DHCP 中間人攻擊方案

姚志強，竺智榮，葉幗華

（1.福建師范大學計算機與網絡空間安全學院，福建 福州 350108；2.福建省公共服務大數據挖掘與應用工程技術研究中心，福建 福州 350108）

1 引言

動態主機設置協議（DHCP,dynamic host configuration protocol）簡化了訪問網絡的配置過程，方便了網絡管理員對IP 地址的管理，有效緩解了由于IPv4 地址不足所導致的問題，但DHCP 所受到的安全威脅也越來越嚴重，它在設計之初并未充分考慮安全問題。當互聯網呈現高移動特性時，需由配套的安全協議來保障DHCP 安全，其中防范中間人攻擊成為DHCP 安全保障體系中最重要的問題[1-2]。中間人攻擊是指敵手隱藏在2 個或多個受害者之間，利用欺騙、冒充等手段截取信道中的數據，破壞數據的機密性、完整性和可用性[3]。如圖1 所示，當2 個受害者開始傳輸公鑰M1和M2而被敵手截獲并替換成M′1和M′2時，敵手冒充受害者參與通信。這種類型的攻擊由來已久，理論上可以發生在每一次的信息交互中，既可以獨立的攻擊方式造成危害，也可作為實施更高級攻擊之前的準備。例如在當前快速發展的5G 或6G 網絡時代，自動駕駛和車路協同應用場景網絡部署具有廣泛密集與異構融合的特點，相關設備均具有高移動性，將會在不同制式的開放網絡下頻繁切換配置信息，這對DHCP 的安全性和效率都提出了更高的要求。

圖1 典型的中間人攻擊

為此，本文研究一種輕量化的DHCP安全方案，防止惡意的第三方攻擊，同時考慮效率和開銷并兼容原有協議，做到在原有基礎設施上的有效部署和運行。隨著互聯網協議第6 版（IPv6,Internet protocol version 6）應用進程，所提方案可兼容IPv6 的部分場景，實現DHCP 第4 版（DHCPv4）到DHCP 第6 版（DHCPv6）的平滑演進。所提方案分為2 個部分：執行協議前的實體認證與密鑰協商，以及協議主體中的消息認證。前者利用密碼學理論進行身份認證并產生會話密鑰，后者通過密鑰生成相關簽名以保證消息的完整性和可用性。此外，所提方案在提供目標安全的前提下考慮協議執行效率，以達到輕量化的目的。本文的主要貢獻總結如下。

1) 提出一種輕量級的安全DHCP，實體間的雙向認證可以抵抗中間人攻擊，數字簽名可以確保消息的完整性和合法性。此外，該協議可以同時兼容DHCPv4 與DHCPv6 設置。

2) 分析協議安全性，經分析該協議可以有效抵御中間人攻擊、參數竊取攻擊，并能防止前后密鑰泄露。實驗結果表明，該協議相較于現有方案具有更高的執行效率。

2 相關工作

DHCP 所面臨的中間人攻擊通常是惡意的服務器給出錯誤的配置信息，使客戶機所得到的服務降級，或是重定向流量為更高級的攻擊做準備；也可以是惡意的客戶機非法占用服務器的網絡資源，使合法客戶機無法進行正常的網絡活動。國際互聯網工程任務組在DHCP 中加入了身份驗證選項[4]，為DHCP 身份驗證提供了2 種方法：延遲身份認證和配置令牌，但是前者容易受到拒絕服務攻擊且不能用于域間認證，后者存在大量的密鑰管理問題且未得到廣泛使用。文獻[5]提出S-DHCP 方案來強化DHCP 的安全性，通過綜合運用橢圓曲線密碼技術、單向哈希函數與數字簽名技術，提供消息認證和實體認證，但該方案基于一個預共享的秘密，與延遲認證沒有本質區別，同樣存在密鑰的管理問題，還需配合傳統安全信道，影響效率與增加成本，并且在密鑰協商階段缺少服務器對發起者的身份驗證以及對消息新鮮性的檢測，容易遭受重放攻擊及其帶來的拒絕服務攻擊。文獻[6]提出應用橢圓加密曲線提高DHCP保護程度的方法，包括密鑰協商算法、消息驗證碼和消息令牌來保證完整性、防止重放攻擊。文獻[7]的安全認證模型OTP_SAM 結合當前系統時間來計算一次性密鑰，利用哈希算法生成消息認證碼，通過驗證Option 字段中的認證碼進行安全認證；該模型具有良好的兼容性，不用修改原數據分組長度，客戶機可以自主選擇是否開啟該模塊功能，但是基于時間的會話密鑰要求客戶機與服務器的時鐘同步，其實現條件較高。

另一類DHCP 安全方案不采用DHCP 驗證選項。如文獻[8]提出基于公鑰密碼學和數字證書的認證方案，使用不同的密鑰長度配合不同的證書類型測試通信開銷和處理時間，但客戶機無法檢測服務器的證書撤銷狀態。文獻[9]提出針對耗竭攻擊的檢測方案，通過收集正常時段DHCP 請求的概率分布作為標準來檢測異常情況，但對異常數據敏感，易出現誤報現象。文獻[10]收集和標記DHCP 欺騙產生的網絡流量，為定量分析提供了數據支持，并討論若干欺騙攻擊行為引起的流量異常表現。文獻[11]提出一種基于隱馬爾可夫模型的惡意域名檢測方案，配合Baum-Welch 算法和Viterbi 算法的馬爾可夫模型可以快速準確分類未知域名，從而實現有效檢測，然而，因訓練數據的隨機性和不確定性，建模過程中容易產生誤差。

綜上所述，現有方案普遍存在難以部署、與原始協議不兼容以及密鑰管理等問題，本文方案將針對這些問題展開研究，并在滿足目標安全性的前提下提升方案效率，以達到輕量化的目的。

3 威脅模型與設計目標

本節主要描述方案的威脅模型和設計目標。首先，本文方案考慮4 種類型的安全威脅。

1) 惡意服務器攻擊。敵手假冒合法的DHCP，服務器向客戶機提供虛假的網絡配置，從而使客戶機服務降級，無法正常享受網絡服務；或借此重定向客戶機流量到非法的釣魚網站，為進一步的攻擊做準備。

2) 惡意客戶機攻擊。敵手假冒合法的客戶機向DHCP 服務器請求配置相關參數，從而非法占用網絡服務；或進一步發動耗竭攻擊耗盡服務器有限的IP 地址，使合法客戶機無法享受網絡服務。

3) 參數竊取攻擊。敵手攻擊服務器并竊取數據庫中的客戶端信息，例如網絡標識、密碼與驗證參數等，最后嘗試使用這些信息冒充合法客戶機。

4) 前/后向安全威脅。對應到本文場景指的是，當會話密鑰泄露時，敵手以此推算出上一個會話密鑰或下一個會話密鑰，同時獲得受其保護的內容。

其次，本文方案旨在實現3 個方面的設計目標。

1) 安全目標。方案要能抵御威脅模型中定義的攻擊類型。

2) 效率目標。在達到安全目標的前提下，較同類型方案具有更高的執行效率。

3) 兼容目標。方案要與DHCP 原始協議具有良好的兼容性，具體表現在：①滿足協議基本格式要求；②不引入新的狀態、消息類型和參與方；③方案部署后可選擇是否啟用。

4 密鑰協商算法

本節主要構造一種防范DHCP攻擊的密鑰協商算法，包括系統初始化、客戶機注冊和密鑰協商等過程。在此之前，介紹該算法涉及的主要符號和含義，如表1 所示。

表1 符號說明

1) 系統初始化

①橢圓曲線初始化。選定2 個大素數p和q，構造有限域Fp上的橢圓曲線y2=x3+ax+b，其中a、b滿足4a3+27b2≠0(modp)，選定階為q的基點P構成加法循環群G，選擇單向函數。

② 系統參數初始化。選擇服務器Si的私鑰，計算公鑰Sp。

2) 客戶機注冊

①客戶機發出注冊申請。客戶機或網絡管理員為客戶機Ui選擇網絡標識IDi，客戶機選擇部分私鑰，計算部分公鑰Xi以及，并將發送給服務器Si，其中MAC 是設備的物理地址。客戶機可以通過廣播同時向多個服務器注冊，也可以按照優先級向指定的服務器注冊。

② 服務器驗證注冊信息。服務器收到消息后先判斷是否注冊過，有則跳過，沒有則選擇隨機數，并計算，存儲{IDi,MAC,c1}，同時將發送給客戶機。

③客戶機對服務器進行反向驗證。客戶機在收到回復后首先判斷AUi是否是新鮮的，接著驗證等式是否成立，若驗證失敗，則重新申請；若驗證成功，則結合2 個部分私鑰計算客戶機的完整私鑰di和公鑰iD，存儲注冊成功。

客戶機注冊過程如圖2 所示。

圖2 客戶機注冊過程

3) 密鑰協商

② 服務器驗證客戶機信息。服務器在收到客戶機的協商請求后首先判斷是否是新鮮的，接著驗證等式是否成立，若不成立，則拒絕；若成立，則接收并計算k2，同時選擇隨機數，并計算Auth1，存儲，然后將{Si,c3,Auth1}發送給客戶機。

③客戶機對服務器進行反向驗證。客戶機在接收到服務器發來的信息后，首先驗證Auth1=c2c3Sp是否成立，若不成立，則重新發起申請；若成立，則計算skA以及Auth2，并將{Auth2}發送給服務器。

④ 服務器進行最后確認。服務器驗證Auth2=H3(1,IDi,Si,k2)是否成立，若不成立，則拒絕；若成立，則計算skB。協商完成，協商所產生的會話密鑰為skA=skB。

協商過程如圖3 所示。

圖3 密鑰協商

5 基于密鑰協商的DHCP 安全方案

為使新的方案能夠匹配現行DHCP，需遵循RFC 3118 中定義的認證選項格式[4]，因此，在本文方案應用時將Protocol 字段置為6，并將Algorithm置為8，同時將驗證信息附加在options180 中，采用默認RDM（replay detection method）字段值，RD（replay detection）字段使用計數器模式來抵抗重放攻擊。此外，設置簽名默認長度為256 B，滿足DHCP長度限制[12-14]。

出于兼容DHCPv4 與DHCPv6 的考慮，方案應遵循RFC 3315 中的相關定義。DHCPv6 是DHCP針對IPv6 的改進，IPv6 地址分配方式大致可以分為2 種：無狀態地址自動配置和有狀態地址自動配置[15]。DHCPv6 是一種有狀態地址自動配置協議[16]，在配置過程中服務器分配一個完整的IPv6地址給主機，并提供DNS 服務器地址等其他配置信息，將分配的地址與客戶機進行綁定，從而增強了網絡的可管理性。DHCPv6 協議下客戶機與服務器的交互分為4 步交互與2 步快速交互，其報文與DHCPv4 類似，具有對應關系[17]。

當客戶機與服務器完成第4 節的注冊與密鑰協商過程，生成skA與skB后便可發起DHCP 服務，如圖4 所示，詳述過程如下。

圖4 DHCPv4/DHCPv6 消息認證

①客戶機發起 DHCP 請求。客戶機發送Discover/Solicit 報文，并在報文的相關字段中表明啟用本文方案，要求服務器進行消息認證；如果客戶機啟用2 步快速分配，則還需在報文中攜帶Rapid Commit 選項（僅在DHCPv6 中）。

② 服務器處理客戶機請求。收到報文的服務器首先判斷客戶機選擇的請求方案，如果采用本文方案，則先驗證RD 字段是否符合標準，不符合則跳過，符合則開始準備Offer/Advertise 報文；若消息中攜帶有Rapid Commit 選項，并且服務器支持快速分配過程，則跳到步驟④開始構建Reply 報文，否則繼續。Offer/Advertise 報文中包含提供給客戶機的IP 地址、租賃期以及默認網關等配置信息，同時更新RD 字段。此外，為了認證消息，需要將服務器的簽名附加在 Offer/Advertise 報文的options180 字段中，簽名為SS1=H4(IDi,Si,skB,MAC,IP,GW,RD1)，其中MAC 是設備的物理地址，此外，還包含之前協商的會話密鑰以及主要配置信息，同時加入RD 值保證消息的新鮮性。

③客戶機驗證服務器。收到Offer/Advertise消息的客戶機首先檢測RD 值是否嚴格高于舊的RD 值，若不滿足，則丟棄；若滿足，則提取報文中的配置信息，并計算CS1=H4(IDi,Si,skA,MAC,IP,GW,RD1)，驗證CS1=SS1是否成立，若不成立，則丟棄；若成立，則開始準備Request報文。Request 報文是客戶機用來確認所要申請的具體IP 地址以及其他網絡參數，其主要內容與Offer/Advertise 報文類似，同時更新RD 值，并計算CS2=H4(IDi,Si,skA,MAC,IP,GW,RD2)，附加在Request 報文中，發送給服務器。

④ 服務器驗證客戶機。服務器收到消息后首先驗證RD 是否符合要求，同時提取報文中的配置信息計算SS2=H4(IDi,Si,skB,MAC,IP,GW,RD2)，驗證SS2=CS2是否成立，若不成立，則丟棄；若成立，則用相同的方法構建ACK/Reply 報文，發送給客戶機。

⑤ 客戶機最后確認。客戶機在接收到ACK/Reply 報文后用相同的方法進行驗證，若驗證失敗，則丟棄；若驗證成功，則開始配置相關網絡參數。

對DHCPv6，上述過程和圖4 中SS1、CS1、CS2和SS2的計算是將IDi和Si分別替換為客戶機設備唯一標識符 DUIDc 和服務器設備唯一標識符DUIDs。另外，在實際應用中會有更多的狀態和過程，都可以用相同的方式制作簽名。

6 安全性分析

本文方案的安全性體現在2 個方面：密鑰協商過程的安全性以及DHCP認證過程中簽名的不可偽造性，而后者的安全性依賴于前者的會話密鑰安全，故本節主要對協商算法進行安全分析。

6.1 BAN 邏輯分析

BAN 邏輯是一種形式化的分析方法，普遍用來分析協議的正確性和安全性。本節將使用BAN 邏輯對密鑰協商算法進行形式化分析。現將符號表示如下：C和S表示主體，Kij表示主體i和j之間共享的密鑰，Ki和分別表示i的公鑰與私鑰。

由于協議具有對稱的結構，因此C相信S一定也能得出相同的信仰，即

根據以上推理，得出全部4 個安全目標，達到本文方案預期目的。

6.2 啟發式安全分析

1) 抗惡意服務器攻擊

在客戶機注冊階段，客戶機Ui首先通過檢查參數的新鮮性來抵抗重放攻擊；接著通過參數來檢測參數是否被篡改，同時驗證服務器的身份，敵手若想偽造，需捕獲參數和參數，通過服務器的公鑰Sp，利用Sp=SsP反解出私鑰Ss，為橢圓曲線上的離散對數問題；在密鑰協商階段，客戶機通過參數Auth1來檢測參數c3是否被篡改，同時驗證服務器的身份，敵手若想偽造Auth1，需捕獲參數c3和參數，以同樣的方法求解私鑰Ss，這在計算上是不可行的[18-19]。

2) 抗惡意客戶機攻擊證明

在密鑰協商階段，服務器Si為首次驗證客戶機，通過檢查參數FUi的新鮮性來抵抗重放攻擊；接著通過參數cd 來檢測參數FUi是否被篡改，同時驗證客戶機的身份，敵手若想偽造cd，需要捕獲參數c2和客戶機私鑰di，但這2 個參數都未在信道中傳輸過，只能通過FUi=c2P和Di=diP進行反解，也是離散對數問題；在密鑰協商階段，服務器Si第二次驗證客戶機是通過參數Auth2來判斷客戶機身份，敵手若想偽造Auth2，需要同時捕獲參數IDi和參數Si，以計算私鑰di是不可行的。

3) 抗參數竊取攻擊證明

服務器中存有客戶機的IDi和MAC，但缺少客戶機私鑰則無法完美冒充合法客戶機，客戶機私鑰由客戶機自身和服務器兩部分選取產生，只竊取一部分則無法計算出完整私鑰。

4) 防前/后向安全威脅證明

會話密鑰中除客戶機、服務器的各自私鑰外，還包含客戶機與服務器各自選擇的隨機數，而隨機數的選取依賴于所使用的偽隨機數算法，如果客戶機與服務器采用不同的偽隨機數算法，敵手想要同時破解難度很大；即使敵手以極小的概率猜測出隨機數變化的規律，想要影響前/后安全性還需要同時獲得客戶機與服務器的私鑰，所以認為會話密鑰的產生是動態變化的，即使敵手獲得某一時刻的密鑰也不會造成前/后向的安全威脅。

7 性能分析和比較

本文實驗分析利用開放密碼庫OpenSSL 測試方案的性能[20]，在2.6 GHz 處理器和8 GB 內存的Windows 10 環境上運行。忽略前期的密鑰協商，對比方案主體部分與原始DHCP 的時間開銷。從圖5中可以看出，加入數字簽名和驗證給協議帶來一定的時延。雖然本文方案在原始協議的基礎上會引入一些安全開銷，但與此同時也提供了可靠的安全性，數字簽名與消息摘要的加入使參與方可以進行實體認證與消息認證，安全分析也表明其能有效緩解中間人攻擊的威脅，并且其帶來的額外開銷是輕量的。

圖5 本文方案與原始方案的性能對比

本文方案與文獻[5]的CA、S-DHCP 方案和文獻[2]的DSec 方案的仿真數據如圖6 所示。從圖6可以看出，本文方案在性能上要明顯優于另外3 種方案，且隨著客戶機數量的增加而越來越明顯。從這些方案的安全性上看，本文方案與S-DHCP 方案默認使用基于橢圓曲線的256 bit 長度的密鑰，CA方案與DSec 方案默認使用基于RSA 的3 072 bit 長度的密鑰，兩者的密鑰安全性相當[21-22]，然而CA方案中的證書長度很容易超出DHCP 限制，需將消息分段傳輸，因而增加了遭遇中間人攻擊的風險；S-DHCP 方案在密鑰協商階段缺少服務器對發起者的身份驗證和消息新鮮性的檢測，容易遭受重放攻擊及其帶來的拒絕服務攻擊；DSec 與S-DHCP 方案的前提都是基于一個預共享的秘密，與延遲認證同樣存在密鑰的管理問題。

圖6 本文方案與不同方案的性能對比

綜上所述，本文方案能夠有效緩解中間人攻擊的威脅，且在性能表現上優于同類型方案，是更加輕量的安全方案。

8 結束語

本文針對互聯網中普遍存在的中間人攻擊問題，以DHCP 為背景，提出安全快速的交互方案，旨在緩解有關網絡攻擊和安全威脅，即通過實體認證與密鑰協商，結合數字簽名與摘要進行消息認證。協商算法結構緊湊，通過雙向認證防范攻擊行為，有較高的執行效率；使用協商后的會話密鑰構造數字簽名，簽名包含配置參數保持消息關聯性，且容易附著在常規協議中對信息進行完整性和可靠性驗證；遵循格式規范，不引入新的狀態與參與方，使方案可以同時兼容DHCPv4 與DHCPv6；通過安全性分析本文方案防御攻擊的能力，通過性能分析其執行效率的提高程度。下一步工作是研究在保證安全性的前提下如何減少參與方之間的交互次數。