安全协议概述课件.ppt

《安全协议概述课件.ppt》由会员分享，可在线阅读，更多相关《安全协议概述课件.ppt（39页珍藏版）》请在三一办公上搜索。

1、1,安全协议概述,2,协议,所谓协议，就是两个或者两个以上的参与者为完成某项特定的任务而采取的一系列步骤。在日常生活中，几乎所有的事情都有非正式的协议：电话订货、玩扑克、选举中投票，没有人认真考虑过这些协议，这些协议随着时间的推移而发展，人们都知道怎样使用它们，而且它们也很有效。,3,协议的主要特点,协议具有以下特点：协议自始至终是有序的过程，每一个步骤必须执行，在前一步没有执行完之前，后面的步骤不可能执行；协议至少需要两个参与者；通过协议必须能够完成某项任务。,4,协议的其他特点,协议还有其他特点：（1）协议中的每人都必须了解协议，并且预先知道所要完成的所有步骤。（2）协议中的每人都必须同意

2、遵循它。（3）协议必须是不模糊的，每一步必须明确定义，并且不会引起误解。（4）协议必须是完整的，对每种可能的情况必须规定具体的动作。,5,协议与算法,相同点完成某项任务要求高效区别算法应用于协议中消息处理的环节，对不同的消息处理方式要求不同的算法 协议是应用算法提供实现方案,6,安全协议,密码学的用途是解决种种难题。当我们考虑现实世界中的应用时，常常遇到以下安全需求：机密性、完整性、认证性、匿名性、公平性等，密码学解决的各种难题围绕这些安全需求。密码协议（cryptographic protocol）是使用密码学完成某项特定的任务并满足安全需求的协议，又称安全协议（security proto

3、col）。在密码协议中，经常使用对称密码、公开密钥密码、单向函数、伪随机数生成器等。,7,安全协议中的角色,协议参与者 认证协议:发起者/响应者签名协议:签名申请者/签署人/验证人零知识证明:证明者/验证者电子商务协议:商家/银行/用户攻击者(或称敌手)内部攻击者/外部攻击者被动攻击者/主动攻击者可信第三方,8,安全协议的安全性质,机密性 完整性 认证性非否认性正确性 可验证性公平性匿名性 隐私属性强健性 高效性,这些要求根据应用组合,9,基本的安全协议,抛币游戏假设在通信网络上有两个人要玩抛硬币的游戏游戏的公平性？盲签名 签名者不知道所签署数据的内容，也不知道签名的结果许多应用需要匿名或隐私

4、如数字现金、电子选举 密钥协商两个或多个实体协商，共同建立会话密钥，任何一个参与者均对结果产生影响不需要任何可信的第三方（TTP）,10,秘密共享 把一个秘密消息分成n 块，分割给一组参与者每个参与者只拥有一块 只有所有块组合在一起才能恢复秘密 每一块对拥有者来说是没用的.门限方案 用公钥加密消息，对应的私钥n个人共享，m为门限值 为了解密密文，利用任意 m（2 m n）个或更多个共享份额才可以恢复私钥,基本的安全协议,11,基本的安全协议,零知识证明 假如某个协议向V证明P的确掌握某些信息，但V无法推断出这些信息是什么如果V除了知道P能够证明某一事实外，不能够得到其他任何知识 鉴别与认证在通

5、信网络上,通信一方Alice向通信的另一方Bob证明他就是真正的Alice.允许通信一方 Alice向另一方 Bob证明他拥有秘密消息而不用泄漏消息,12,基本的安全协议,私有信息检索(PIR)允许一个用户查询一个数据库，而数据库不知道他查询的是什么 安全多方计算(SMC)一组参与者希望共同计算某个约定的函数，每个参与者提供函数的一个输入 出于安全考虑，要求参与者提供的输入对其他人保密,13,协议的应用,电子商务 SET(安全电子交易)信用卡交易 数字现金,电子支票,电子货币 电子拍卖 网上银行 电子政务 电子选举 公平交换(签约)应用环境 传统的应用的转变 新应用的出现促进了密码学的发展,1

6、4,Dolev和Yao攻击者模型,认为攻击者具有如下能力：(1)可以窃听所有经过网络的消息；(2)可以阻止和截获所有经过网络的消息；(3)可以存储所获得或自身创造的消息；(4)可以根据存储的消息伪造消息，并发送该消息；(5)可以作为合法的主体参与协议的运行。,15,安全协议的攻击原因,协议的参与者可能是完全信任的人，也可能是攻击者和完全不信任的人。许多面对面的协议依靠人的现场存在来保证公平和安全。你会交给陌生人一叠现金去为你买食品吗？如果你没有看到他洗牌和发牌，你愿意和他玩扑克吗？如果没有匿名的保证，你会将秘密投票寄给政府吗？那种假设使用计算机网络的人都是诚实的想法，是天真的。天真的想法还有：

7、假设计算机网络的管理员是诚实的，假设计算机网络的设计者是诚实的。,16,攻击途径,攻击协议中所用的密码算法攻击用来实现该算法和协议的密码技术攻击协议,17,攻击手法,窃听 攻击者获取协议运行中所传输的消息篡改 攻击者更改协议运行中所传输的消息的内容重放 攻击者记录已经获取的消息并在随后的协议运行中发送给相同的或不同的接收者预重放 重放的一种反射 攻击者将消息发回给消息的发送者拒绝服务 攻击者阻止合法用户完成协议类型攻击 攻击者将协议运行中某一类消息域替换成其它的消息域密码分析 攻击者利用在协议运行中所获取的消息进行分析以获取有用的信息证书操纵 攻击者选择或更改证书信息来攻击协议的运行,18,窃

8、听,明文传输认证信息POP3/SMTPFTPTelnet被动攻击,破坏机密性搭线窃听/广播网络/肩窥,19,篡改,删除修改伪造乱序重放插入主动攻击,破坏完整性,有时加密并不能提供数据完整性,20,重放,篡改的一种特例拷贝+重放,21,预重放,重放的一种特例C窃听A与B的会话,但计算不出A与B的会话密钥,之后,C与A会话,C与B会话,C计算出之前A与B的会话密钥,22,反射,重放特例1.A B：NA K2.B A：NB K，NA3.A B：NB,23,反射,C假冒B1.A C：NA K1.C A：NA K2.A C：NA K，NA2.C A：NA K，NA3.A C：NA3.C A：NA,24,

9、拒绝服务,例如:口令更换协议/RFID认证协议/死锁/邮件自动回复1.Aura，Nikander提出的无状态连接保护对服务器的连接资源。客户端保存服务器需要的所有状态并在发送消息时返回给服务器。这要求服务器对于每个消息的状态信息进行认证性和秘密性的验证，增加了通信代价和计算代价。例如cookies,25,拒绝服务,2.Meadows 的工作提出为保护连接资源，每一个信息必须被认证，但是可以采用弱认证的方式来降低认证时消耗的计算代价。提出了基于failstop思想的协议。3.Juels，Brainard提出了基于client puzzles 思想的机制加强认证的强度。使得用户在发起新的连接时必须

10、解决一个puzzle。这样对于攻击者来说要发起拒绝服务攻击就必须解决很多的puzzle。,26,类型攻击,当用户接收到的信息都是二进制串时，用户无法判断是否是经过加密等处理。类型攻击就是利用这一点使得用户将一个消息错误的解释成其他的消息。,27,类型攻击,Otway Rees协议:类型攻击:假冒B.1,4,1.A B:M,A,B,NA,M,A,B KAS2.B S:M,A,B,NA,M,A,B KAS,NB,M,A,B KBS3.S B:M,NA,KAB KAS,NB,KAB KBS4.B A:M,NA,KAB KAS,28,类型攻击,抵抗类型攻击的方法有很多，有的使用每次改变消息元素的顺序，

11、确保每次的加密密钥不同。或者在消息中添加认证数或消息域的类型信息,29,密码分析,一般来讲在进行协议分析的时候我们不考虑算法本身的问题。但实际中还需要注意一些问题。例如产生弱密钥的可能性。尤其是在一些基于口令的协议当中，为了便于记忆，口令一般不够长从而使得猜测或者遍历成为可能。,30,证书操纵,A和B分别拥有公钥g a和g b 1.A B：g x，Cert(A)2.B A：g y，Cert(B)共享密钥是KAB=g ay+bx,31,证书操纵,攻击者C选择一个随机值c，声明g a c是他的公钥 1.A CB：g x，Cert(A)1.C B：g x，Cert(C)2.B C：g y，Cert(

12、B)2.CB A：g y c，Cert(B)A,B将计算密钥KAB=g a c y+b x。但A相信仅A和B知道这个密钥而B相信仅C和B知道这个密钥。,32,证书操纵,一般的，用户可以使用零知识证明向服务器证明自己掌握相应的私钥。或者用户可以用私钥签署一个特殊的消息或者挑战证明证书的可靠性。,33,协议交互,大多数长期密钥都用在单个的协议中。但是，可以出现密钥用于多个协议的情况。如在存储能力很小的设备有多个应用的情形(智能卡)。例如，一个利用解密来证明持有认证密钥的协议，可能会被攻击者用来解密另外一个协议中的消息攻击者也可以自己构造新的协议使其和要攻击的协议交互运行来达到自己的攻击目的（选择协

13、议攻击）,34,安全协议的缺陷,基本协议缺陷并行会话缺陷口令猜测缺陷陈旧消息缺陷内部协议缺陷密码系统缺陷,35,安全协议设计的困难性,安全协议设计与分析的困难性在于：(1)安全目标本身的微妙性。例如，表面上十分简单的“认证目标”，实际上十分微妙。(2)协议运行环境的复杂性.实际上,当安全协议运行在一个十分复杂的公开环境时,攻击者处处存在。(3)攻击者模型的复杂性。我们必须形式化地描述攻击者的能力，对攻击者和攻击行为进行分类和形式化的分析。(4)安全协议本身具有“高并发性”的特点。,36,安全协议的设计原则,在设计协议时，如何保证安全协议能够满足保密性、无冗余、认证身份等设计目标呢?经过总结，有

14、安全协议的设计原则。(1)设计目标明确，无二义性；(2)最好应用描述协议的形式语言，对安全协议本身进行形式化描述；(3)通过形式化分析方法证明安全协议实现设计目标；(4)安全性与具体采用的密码算法无关；,37,安全协议的设计原则,(5)保证临时值和会话密钥等重要消息的新鲜性,防止重放攻击；(6)尽量采用异步认证方式，避免采用同步时钟(时戳)的认证方式；(7)具有抵抗常见攻击，特别是防止重放攻击的能力；(8)进行运行环境的风险分析,作尽可能少的初始安全假设；(9)实用性强，可用于各种网络的不同协议层；(10)尽可能减少密码运算，以降低成本,扩大应用范围。,38,好的安全协议,满足目标(应用目标,安全目标)各方计算量小易于实现各方存储量小通信负载小(延迟小,占用带宽小)交互轮数少,39,安全协议的三大理论分析方法,安全多方计算 安全协议的形式化分析方法 安全协议的可证明安全性理论,