1安全協(xié)議概述課件

1安全協(xié)議概述2協(xié)議

所謂協(xié)議，就是兩個(gè)或者兩個(gè)以上的參與者為完成某項(xiàng)特定的任務(wù)而采取的一系列步驟。在日常生活中，幾乎所有的事情都有非正式的協(xié)議：電話訂貨、玩撲克、選舉中投票，沒(méi)有人認(rèn)真考慮過(guò)這些協(xié)議，這些協(xié)議隨著時(shí)間的推移而發(fā)展，人們都知道怎樣使用它們，而且它們也很有效。3協(xié)議的主要特點(diǎn)

協(xié)議具有以下特點(diǎn)：協(xié)議自始至終是有序的過(guò)程，每一個(gè)步驟必須執(zhí)行，在前一步?jīng)]有執(zhí)行完之前，后面的步驟不可能執(zhí)行；協(xié)議至少需要兩個(gè)參與者；通過(guò)協(xié)議必須能夠完成某項(xiàng)任務(wù)。4協(xié)議的其他特點(diǎn)

協(xié)議還有其他特點(diǎn)：（1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。（2）協(xié)議中的每人都必須同意遵循它。（3）協(xié)議必須是不模糊的，每一步必須明確定義，并且不會(huì)引起誤解。（4）協(xié)議必須是完整的，對(duì)每種可能的情況必須規(guī)定具體的動(dòng)作。

5協(xié)議與算法

相同點(diǎn)完成某項(xiàng)任務(wù)要求高效區(qū)別算法應(yīng)用于協(xié)議中消息處理的環(huán)節(jié)，對(duì)不同的消息處理方式要求不同的算法協(xié)議是應(yīng)用算法提供實(shí)現(xiàn)方案6安全協(xié)議密碼學(xué)的用途是解決種種難題。當(dāng)我們考慮現(xiàn)實(shí)世界中的應(yīng)用時(shí)，常常遇到以下安全需求：機(jī)密性、完整性、認(rèn)證性、匿名性、公平性等，密碼學(xué)解決的各種難題圍繞這些安全需求。密碼協(xié)議（cryptographicprotocol）是使用密碼學(xué)完成某項(xiàng)特定的任務(wù)并滿足安全需求的協(xié)議，又稱安全協(xié)議（securityprotocol）。在密碼協(xié)議中，經(jīng)常使用對(duì)稱密碼、公開(kāi)密鑰密碼、單向函數(shù)、偽隨機(jī)數(shù)生成器等。

7安全協(xié)議中的角色協(xié)議參與者認(rèn)證協(xié)議:發(fā)起者/響應(yīng)者簽名協(xié)議:簽名申請(qǐng)者/簽署人/驗(yàn)證人零知識(shí)證明:證明者/驗(yàn)證者電子商務(wù)協(xié)議:商家/銀行/用戶攻擊者(或稱敵手)內(nèi)部攻擊者/外部攻擊者被動(dòng)攻擊者/主動(dòng)攻擊者可信第三方8安全協(xié)議的安全性質(zhì)

機(jī)密性

完整性

認(rèn)證性非否認(rèn)性正確性

可驗(yàn)證性公平性匿名性

隱私屬性強(qiáng)健性

高效性

這些要求根據(jù)應(yīng)用組合

9基本的安全協(xié)議

拋幣游戲假設(shè)在通信網(wǎng)絡(luò)上有兩個(gè)人要玩拋硬幣的游戲游戲的公平性？

盲簽名

簽名者不知道所簽署數(shù)據(jù)的內(nèi)容，也不知道簽名的結(jié)果許多應(yīng)用需要匿名或隱私如數(shù)字現(xiàn)金、電子選舉

密鑰協(xié)商兩個(gè)或多個(gè)實(shí)體協(xié)商，共同建立會(huì)話密鑰，任何一個(gè)參與者均對(duì)結(jié)果產(chǎn)生影響不需要任何可信的第三方（TTP）10

秘密共享

把一個(gè)秘密消息分成n塊，分割給一組參與者每個(gè)參與者只擁有一塊

只有所有塊組合在一起才能恢復(fù)秘密

每一塊對(duì)擁有者來(lái)說(shuō)是沒(méi)用的.

門(mén)限方案

用公鑰加密消息，對(duì)應(yīng)的私鑰n個(gè)人共享，m為門(mén)限值為了解密密文，利用任意m（2≤m≤n）個(gè)或更多個(gè)共享份額才可以恢復(fù)私鑰基本的安全協(xié)議

11基本的安全協(xié)議

零知識(shí)證明

假如某個(gè)協(xié)議向V證明P的確掌握某些信息，但V無(wú)法推斷出這些信息是什么如果V除了知道P能夠證明某一事實(shí)外，不能夠得到其他任何知識(shí)

鑒別與認(rèn)證在通信網(wǎng)絡(luò)上,通信一方Alice向通信的另一方Bob證明他就是真正的Alice.允許通信一方Alice向另一方Bob證明他擁有秘密消息而不用泄漏消息12基本的安全協(xié)議

私有信息檢索

(PIR)

允許一個(gè)用戶查詢一個(gè)數(shù)據(jù)庫(kù)，而數(shù)據(jù)庫(kù)不知道他查詢的是什么

安全多方計(jì)算

(SMC)

一組參與者希望共同計(jì)算某個(gè)約定的函數(shù)，每個(gè)參與者提供函數(shù)的一個(gè)輸入出于安全考慮，要求參與者提供的輸入對(duì)其他人保密13協(xié)議的應(yīng)用

電子商務(wù)

SET(安全電子交易)–

信用卡交易

數(shù)字現(xiàn)金,電子支票,電子貨幣

電子拍賣(mài)

網(wǎng)上銀行

電子政務(wù)

電子選舉

公平交換

(簽約)

應(yīng)用環(huán)境

傳統(tǒng)的應(yīng)用的轉(zhuǎn)變新應(yīng)用的出現(xiàn)促進(jìn)了密碼學(xué)的發(fā)展

14Dolev和Yao攻擊者模型認(rèn)為攻擊者具有如下能力：(1)可以竊聽(tīng)所有經(jīng)過(guò)網(wǎng)絡(luò)的消息；(2)可以阻止和截獲所有經(jīng)過(guò)網(wǎng)絡(luò)的消息；(3)可以存儲(chǔ)所獲得或自身創(chuàng)造的消息；(4)可以根據(jù)存儲(chǔ)的消息偽造消息，并發(fā)送該消息；(5)可以作為合法的主體參與協(xié)議的運(yùn)行。15安全協(xié)議的攻擊原因協(xié)議的參與者可能是完全信任的人，也可能是攻擊者和完全不信任的人。

許多面對(duì)面的協(xié)議依靠人的現(xiàn)場(chǎng)存在來(lái)保證公平和安全。你會(huì)交給陌生人一疊現(xiàn)金去為你買(mǎi)食品嗎？如果你沒(méi)有看到他洗牌和發(fā)牌，你愿意和他玩撲克嗎？如果沒(méi)有匿名的保證，你會(huì)將秘密投票寄給政府嗎？那種假設(shè)使用計(jì)算機(jī)網(wǎng)絡(luò)的人都是誠(chéng)實(shí)的想法，是天真的。天真的想法還有：假設(shè)計(jì)算機(jī)網(wǎng)絡(luò)的管理員是誠(chéng)實(shí)的，假設(shè)計(jì)算機(jī)網(wǎng)絡(luò)的設(shè)計(jì)者是誠(chéng)實(shí)的。

16攻擊途徑攻擊協(xié)議中所用的密碼算法攻擊用來(lái)實(shí)現(xiàn)該算法和協(xié)議的密碼技術(shù)攻擊協(xié)議17攻擊手法竊聽(tīng)攻擊者獲取協(xié)議運(yùn)行中所傳輸?shù)南⒋鄹墓粽吒膮f(xié)議運(yùn)行中所傳輸?shù)南⒌膬?nèi)容重放攻擊者記錄已經(jīng)獲取的消息并在隨后的協(xié)議運(yùn)行中發(fā)送給相同的或不同的接收者預(yù)重放重放的一種反射攻擊者將消息發(fā)回給消息的發(fā)送者拒絕服務(wù)攻擊者阻止合法用戶完成協(xié)議類(lèi)型攻擊攻擊者將協(xié)議運(yùn)行中某一類(lèi)消息域替換成其它的消息域密碼分析攻擊者利用在協(xié)議運(yùn)行中所獲取的消息進(jìn)行分析以獲取有用的信息證書(shū)操縱攻擊者選擇或更改證書(shū)信息來(lái)攻擊協(xié)議的運(yùn)行18竊聽(tīng)明文傳輸認(rèn)證信息POP3/SMTPFTPTelnet被動(dòng)攻擊,破壞機(jī)密性搭線竊聽(tīng)/廣播網(wǎng)絡(luò)/肩窺19篡改刪除修改偽造亂序重放插入主動(dòng)攻擊,破壞完整性,有時(shí)加密并不能提供數(shù)據(jù)完整性20重放篡改的一種特例拷貝+重放21預(yù)重放重放的一種特例C竊聽(tīng)A與B的會(huì)話,但計(jì)算不出A與B的會(huì)話密鑰,之后,C與A會(huì)話,C與B會(huì)話,C計(jì)算出之前A與B的會(huì)話密鑰22反射重放特例1.A→B：{NA}K2.B→A：{NB}K，NA3.A→B：NB23反射C假冒B1.A→C：{NA}K1’.C→A：{NA}K2’.A→C：{N’A}K，NA2.C→A：{N’A}K，NA3.A→C：N’A3’.C→A：N’A24拒絕服務(wù)例如:口令更換協(xié)議/RFID認(rèn)證協(xié)議/死鎖/郵件自動(dòng)回復(fù)1.Aura，Nikander提出的無(wú)狀態(tài)連接保護(hù)對(duì)服務(wù)器的連接資源?？蛻舳吮４娣?wù)器需要的所有狀態(tài)并在發(fā)送消息時(shí)返回給服務(wù)器。這要求服務(wù)器對(duì)于每個(gè)消息的狀態(tài)信息進(jìn)行認(rèn)證性和秘密性的驗(yàn)證，增加了通信代價(jià)和計(jì)算代價(jià)。例如cookies25拒絕服務(wù)2.Meadows的工作提出為保護(hù)連接資源，每一個(gè)信息必須被認(rèn)證，但是可以采用弱認(rèn)證的方式來(lái)降低認(rèn)證時(shí)消耗的計(jì)算代價(jià)。提出了基于fail－stop思想的協(xié)議。3.Juels，Brainard提出了基于clientpuzzles思想的機(jī)制加強(qiáng)認(rèn)證的強(qiáng)度。使得用戶在發(fā)起新的連接時(shí)必須解決一個(gè)puzzle。這樣對(duì)于攻擊者來(lái)說(shuō)要發(fā)起拒絕服務(wù)攻擊就必須解決很多的puzzle。26類(lèi)型攻擊當(dāng)用戶接收到的信息都是二進(jìn)制串時(shí)，用戶無(wú)法判斷是否是經(jīng)過(guò)加密等處理。類(lèi)型攻擊就是利用這一點(diǎn)使得用戶將一個(gè)消息錯(cuò)誤的解釋成其他的消息。27類(lèi)型攻擊OtwayRees協(xié)議:類(lèi)型攻擊:假冒B.1,41.AB:M,A,B,{NA,M,A,B}KAS2.BS:M,A,B,{NA,M,A,B}KAS,{NB,M,A,B}KBS3.SB:M,{NA,KAB}KAS,{NB,KAB}KBS4.BA:M,{NA,KAB}KASABS28類(lèi)型攻擊抵抗類(lèi)型攻擊的方法有很多，有的使用每次改變消息元素的順序，確保每次的加密密鑰不同?；蛘咴谙⒅刑砑诱J(rèn)證數(shù)或消息域的類(lèi)型信息29密碼分析一般來(lái)講在進(jìn)行協(xié)議分析的時(shí)候我們不考慮算法本身的問(wèn)題。但實(shí)際中還需要注意一些問(wèn)題。例如產(chǎn)生弱密鑰的可能性。尤其是在一些基于口令的協(xié)議當(dāng)中，為了便于記憶，口令一般不夠長(zhǎng)從而使得猜測(cè)或者遍歷成為可能。30證書(shū)操縱A和B分別擁有公鑰ga和gb

1.A→B：gx，Cert(A)2.B→A：gy，Cert(B)共享密鑰是KAB=g

ay

+bx

31證書(shū)操縱攻擊者C選擇一個(gè)隨機(jī)值c，聲明gac是他的公鑰1.A→CB：gx，Cert(A)1’.C→B：gx，Cert(C)2’.B→C：gy，Cert(B)2.CB→A：gyc，Cert(B)A,B將計(jì)算密鑰KAB=g

acy

+

bx。但A相信僅A和B知道這個(gè)密鑰而B(niǎo)相信僅C和B知道這個(gè)密鑰。32證書(shū)操縱一般的，用戶可以使用零知識(shí)證明向服務(wù)器證明自己掌握相應(yīng)的私鑰?；蛘哂脩艨梢杂盟借€簽署一個(gè)特殊的消息或者挑戰(zhàn)證明證書(shū)的可靠性。33協(xié)議交互大多數(shù)長(zhǎng)期密鑰都用在單個(gè)的協(xié)議中。但是，可以出現(xiàn)密鑰用于多個(gè)協(xié)議的情況。如在存儲(chǔ)能力很小的設(shè)備有多個(gè)應(yīng)用的情形(智能卡)。例如，一個(gè)利用解密來(lái)證明持有認(rèn)證密鑰的協(xié)議，可能會(huì)被攻擊者用來(lái)解密另外一個(gè)協(xié)議中的消息攻擊者也可以自己構(gòu)造新的協(xié)議使其和要攻擊的協(xié)議交互運(yùn)行來(lái)達(dá)到自己的攻擊目的（選擇協(xié)議攻擊）34安全協(xié)議的缺陷基本協(xié)議缺陷并行會(huì)話缺陷口令猜測(cè)缺陷陳舊消息缺陷內(nèi)部協(xié)議缺陷密碼系統(tǒng)缺陷35安全協(xié)議設(shè)計(jì)的困難性

安全協(xié)議設(shè)計(jì)與分析的困難性在于：(1)安全目標(biāo)本身的微妙性。例如，表面上十分簡(jiǎn)單的“認(rèn)證目標(biāo)”，實(shí)際上十分微妙。(2)協(xié)議運(yùn)行環(huán)境的復(fù)雜性.實(shí)際上,當(dāng)安全協(xié)議運(yùn)行在一個(gè)十分復(fù)雜的公開(kāi)環(huán)境時(shí),攻擊者處處存在。(3)攻擊者模型的復(fù)雜性。我們必須形式化地描述攻擊者的能力，對(duì)攻擊者和攻擊行為進(jìn)行分類(lèi)和形式化的分析。(4)安全協(xié)議本身具有“高并發(fā)性”的特點(diǎn)。36安全協(xié)議的設(shè)計(jì)原則

在設(shè)計(jì)協(xié)議時(shí)，如何保證安全協(xié)議能夠滿足保密性、無(wú)冗余、認(rèn)證身份等設(shè)計(jì)目標(biāo)呢?經(jīng)過(guò)總結(jié)，有安全協(xié)議的設(shè)計(jì)原則。(1)設(shè)計(jì)目標(biāo)明確，無(wú)二義性；(2)最好應(yīng)用描述協(xié)議的形式語(yǔ)言，對(duì)安全協(xié)議本身進(jìn)行形式化描述；(3)通過(guò)形式化分析方法證明安全協(xié)議實(shí)現(xiàn)設(shè)計(jì)目標(biāo)；(4)安全性與具體采用的密碼算法無(wú)關(guān)；37安全協(xié)議的設(shè)計(jì)原則

(5)保證臨時(shí)值和會(huì)話密鑰等重要消息的新鮮性,防止重放攻擊；(6)盡量采用異步認(rèn)證方式，避免采用同步時(shí)鐘(時(shí)戳)