第4章-安全協(xié)議

4.1安全協(xié)議概述4.2身份認證協(xié)議4.3密鑰建立協(xié)議第4章安全協(xié)議

4.1安全協(xié)議概述

安全協(xié)議是以密碼算法為基礎(chǔ)的消息交換協(xié)議，其目的是在網(wǎng)絡(luò)環(huán)境中提供各種安全服務(wù)。密碼學是網(wǎng)絡(luò)安全的基礎(chǔ)，但網(wǎng)絡(luò)安全不能單純依靠安全的密碼算法。安全協(xié)議是網(wǎng)絡(luò)安全的一個重要組成部分。我們需要通過安全協(xié)議進行實體間的認證，并在實體之間安全地分配密鑰或傳輸其它的秘密信息，確保發(fā)送和接收消息的不可否認性。

4.1.1安全協(xié)議的基本概念4.1.2安全協(xié)議的安全性4.1.3針對安全協(xié)議的常見攻擊和防范措施

4.1安全協(xié)議概述

4.1.1安全協(xié)議的基本概念所謂協(xié)議（Protocol），指的是兩個或兩個以上的參與者為完成某項特定的任務(wù)而采取的一系列步驟，而且每一步必須依次執(zhí)行，在前一步完成之前，后面的步驟都不能執(zhí)行。一個好的協(xié)議應(yīng)該滿足以下幾點要求：協(xié)議中的每一方都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟；協(xié)議中的每一方都必須同意遵守協(xié)議；協(xié)議必須是明確的，每個步驟都必須確切定義，避免引起誤解；協(xié)議必須是完備的，對每種可能的情況必須規(guī)定具體的動作。

4.1.1安全協(xié)議的基本概念安全協(xié)議的功能包括：對網(wǎng)絡(luò)中各個實體的認證、網(wǎng)絡(luò)中的各個實體之間進行密鑰的分發(fā)和管理、對消息發(fā)送或接收的不可否認性處理等。按照目的的不同，可以把網(wǎng)絡(luò)通信中最基本和最常用的安全協(xié)議分為以下幾類：認證協(xié)議：認證協(xié)議主要包括實體認證（身份認證）協(xié)議和消息認證協(xié)議，用于防止假冒、篡改、否認等攻擊。密鑰建立協(xié)議：這類協(xié)議一般用于參與協(xié)議的兩個或者多個實體之間構(gòu)建共享的會話密鑰。協(xié)議中的密碼算法可以采用對稱密碼算法，也可以采用非對稱密碼算法。這一類協(xié)議往往與認證協(xié)議結(jié)合使用。認證和密鑰建立協(xié)議：這類協(xié)議將認證協(xié)議和密鑰建立協(xié)議結(jié)合在一起，先對通信實體的身份進行認證，在認證成功的基礎(chǔ)上，為下一步的安全通信分發(fā)所需的會話密鑰。常見的認證和密鑰建立協(xié)議有互聯(lián)網(wǎng)密鑰交換（IKE）協(xié)議和Kerberos認證協(xié)議。

4.1.2安全協(xié)議的安全性如果一個安全協(xié)議受到非法攻擊，但攻擊者不能獲得有用的信息，那么就稱這個協(xié)議是安全的。通常，安全協(xié)議有以下幾個安全性質(zhì)：1.認證性認證性主要是完成對通信雙方身份的識別和消息來源的確認。2.機密性

機密性是指協(xié)議消息不被非授權(quán)者獲得有用信息的一種性質(zhì)。3.完整性

完整性是指協(xié)議數(shù)據(jù)在產(chǎn)生、傳輸和存儲的過程中沒有被非法改動的一種性質(zhì)。4.驗證性在協(xié)議執(zhí)行過程中，每個參與者都應(yīng)按照協(xié)議中預(yù)先設(shè)置的規(guī)定，交換一系列信息。在每個中間階段，參與者作出回應(yīng)前需要驗證所收到信息的正確性。在協(xié)議結(jié)束時，每個參與者應(yīng)該能夠驗證最終結(jié)果的正確性。

4.1.2安全協(xié)議的安全性5.不可否認性

不可否認性主要是指通信主體提供對方參與協(xié)議的證據(jù)，以此來保證其合法權(quán)益不受侵害。常用的實現(xiàn)不可否認性的方法是數(shù)字簽名。正確性

正確性是安全協(xié)議的重要特征。只有正確完善的協(xié)議才能得到廣泛的應(yīng)用，否則不法分子會利用安全協(xié)議中存在的漏洞發(fā)起攻擊，造成用戶的損失。公平性

公平性是指協(xié)議應(yīng)保證雙方都不能通過損害對方的利益來獲取不應(yīng)有的利益。

4.1.3針對安全協(xié)議的常見攻擊和防范措施針對不同類型的安全協(xié)議的攻擊方法主要有以下幾種：竊聽竊聽是最基本的攻擊方式，也是唯一的一種被動攻擊方式。重放攻擊攻擊者通過竊取并復(fù)制用戶之間的通信內(nèi)容，然后將用戶之前發(fā)送的消息重放到信道中，讓另一用戶誤以為對方又進行了新一輪的認證，會造成雙方的通信內(nèi)容泄露。

篡改篡改包括修改、刪除等方式。這是一種主動攻擊方式，主要破壞數(shù)據(jù)的完整性。拒絕服務(wù)攻擊拒絕服務(wù)攻擊是一種阻止合法用戶完成協(xié)議的方法。在實際中，一般針對多客戶端連接的服務(wù)器，通過發(fā)起大量的服務(wù)請求來消耗服務(wù)器的系統(tǒng)資源，使服務(wù)器無法向正規(guī)用戶提供服務(wù)。

4.2.1身份認證的概念4.2.2零知識身份證明協(xié)議4.2.3詢問應(yīng)答協(xié)議4.2身份認證協(xié)議

4.2.1身份認證的概念身份認證又稱為身份識別，指的是在正式通信開始之前，某項服務(wù)的申請者向服務(wù)提供者證明自己的真實身份與其所聲稱的身份相符的過程。

目前，常見的身份認證技術(shù)大體上可以分為三類：基于口令的認證技術(shù)、雙因子身份認證技術(shù)、基于生物特征的認證技術(shù)?；诳诹畹恼J證方法也存在以下幾點不足：以明文方式輸入口令，很容易被內(nèi)存中運行的黑客程序記錄下來而造成口令泄露；口令在傳輸、修改過程中都涉及較多的安全問題；攻擊者可以利用服務(wù)系統(tǒng)中存在的漏洞間接獲取用戶口令，并通過字典窮舉法猜測口令信息；只能進行單向認證，即只能是系統(tǒng)認證用戶，而用戶卻無法對系統(tǒng)進行認證。

4.2.1身份認證的概念雙因子認證（Two-FactorAuthentication，2FA），其中的一個因子是只有用戶本人知道的密碼，另一個因子是只有該用戶才擁有的外部物理實體。

例如，現(xiàn)實生活中使用銀行卡在ATM機上取款就是雙因子身份認證的一個實例。取款人必須擁有一張銀行卡并知曉其密碼，才能在ATM機上順利取款。這就彌補了“用戶名+口令”這種認證方式容易造成泄露的缺點。

基于生物特征的認證技術(shù)，相當于在身份認證中加入一些標識個人身份的生物特征作為第三個認證因子，這就形成了三因子認證。

基于生物特征識別的身份認證技術(shù)具有以下優(yōu)點：不易遺忘、丟失或被盜；防偽性能好，不易偽造；隨時隨地可用。

4.2.2零知識身份證明協(xié)議零知識證明（ZeroKnowledgeProof），是由S.Goldwasser等人在20世紀80年代設(shè)計的一種密碼協(xié)議，證明者向驗證者證明并使其相信自己知道或擁有某個消息，但證明過程不能向驗證者泄露任何關(guān)于被證明消息的信息。零知識證明起源于最小泄露證明。假設(shè)P是掌握了某些信息并希望證實這一事實的實體，而V是證明這一事實的實體。假如某個協(xié)議向V證明P的確掌握某些信息，但V無法推斷出這些信息是什么，我們就稱P實現(xiàn)了最小泄露證明。不僅如此，如果V除了知道P能夠證明某一事實外，不能得到其它任何知識，那么我們就稱P實現(xiàn)了零知識證明，相應(yīng)的協(xié)議即為零知識協(xié)議。

4.2.2零知識身份證明協(xié)議A,B,C,D表示洞穴中的四個位置，A是洞口，B位于由C或D通往洞口A的必經(jīng)之路上，C和D之間有一道密門，密門只能用唯一的咒語來打開。證明者P需要向驗證者V證明他知道咒語這一事實，但同時又不能讓V知道這個咒語。假設(shè)P在使用咒語來開門的時候，V聽不到這一過程，無法獲知這個咒語的任何情況。則具體的認證過程如下：V站在洞穴的A處；P走進洞穴，并站在C或D的任意一處；V走到B處；V讓P從左邊或者右邊走出來；P按照V的要求走出；P和V重復(fù)上述過程多次，直到V相信P確實知道打開密門的咒語為止。

4.2.3詢問應(yīng)答協(xié)議采用詢問應(yīng)答方式的身份認證協(xié)議是按照“驗證者提出問題，證明者做出回答，驗證者對回答進行驗證”的順序?qū)ι矸葸M行認證。Schnorr身份認證協(xié)議是一種常用的詢問應(yīng)答認證協(xié)議。因其具有計算量和通信量較少的特點，這種協(xié)議特別適用于如智能卡這樣的硬件性能受限的應(yīng)用環(huán)境。Schnorr協(xié)議的安全性是基于離散對數(shù)計算的困難性，而且該協(xié)議需要一個可信的第三方，即可信中心TA（TrustedAuthority）。每位用戶需要向TA申請自己的公鑰和私鑰，并將自己的公鑰公開。

4.2.3詢問應(yīng)答協(xié)議Schnorr利用離散對數(shù)的知識證明，設(shè)計出一個身份證明協(xié)議。首先，證明者P選取兩個大素數(shù)p和q，q是p-1的大素因子，并選擇一個q

階元素g∈Zp*滿足gq≡1modp(g≠1)，然后選取一個隨機數(shù)x(1<x<q)，計算y≡g-xmodp，將（p,q,g,y）作為公鑰，x作為私鑰。P要向驗證者V證明他知道私鑰x，步驟如下：P選取一個隨機數(shù)k，且0≤k≤q-1，并計算r≡gk

modp，然后將r傳給V；V選取一個隨機數(shù)e，且1≤e≤2t（t≤|q|），并將e傳給P；P計算s≡k+xemodq，將s傳給V；V驗證r≡gsye

modq是否成立，若成立，則相信證明者P知道y對g的離散對數(shù)，從而相信證明者的身份。

密鑰建立是指為兩個或者多個參與方生成共享密鑰。共享密鑰是指對稱密碼算法中使用的密鑰，也稱為會話密鑰。密鑰的建立主要包括密鑰協(xié)商、密鑰分配和密鑰更新，本節(jié)將對這三方面的內(nèi)容進行介紹。4.3密鑰建立協(xié)議

4.3.1密鑰協(xié)商協(xié)議4.3.2密鑰分發(fā)協(xié)議

4.3.3密鑰更新協(xié)議4.3密鑰建立協(xié)議4.3.1密鑰協(xié)商協(xié)議密鑰協(xié)商（KeyAgreement）是一個協(xié)議，它通過兩個或多個成員在一個公開的信道上通信來協(xié)商建立一個會話密鑰。1976年，W.Diffie和M.E.Hellman在論文NewDirectionsinCryptography中首次提出了公鑰密碼的概念，并進一步提出了Diffie-Hellman密鑰交換協(xié)議。Diffie-Hellman協(xié)議是第一個密鑰協(xié)商協(xié)議，它的安全性依賴于有限域上計算離散對數(shù)的難度。4.3.1密鑰協(xié)商協(xié)議假設(shè)Alice和Monica想要進行通話，就可以使用Diffie-Hellman協(xié)議來進行密鑰協(xié)商，并產(chǎn)生會話密鑰。密鑰協(xié)商算法的具體過程如下：首先Alice和Monica協(xié)商一個大素數(shù)q和一個整數(shù)a，a∈Zq是模q的本原元；

Alice隨機產(chǎn)生一個大整數(shù)XA，計算YA=aXAmodq，然后把YA發(fā)給Monica；Monica隨機產(chǎn)生一個大整數(shù)XB，計算YB=aXB

modq，然后把YB發(fā)送給Alice；Alice計算K=（YB）XAmodq；Monica計算K’=（YA）XBmodq。其中，K=K’=aXAXB

modq，即為雙方協(xié)商出的密鑰。

4.3.2密鑰分發(fā)協(xié)議密鑰分發(fā)（KeyDistribution）是指系統(tǒng)中的一個成員選擇一個秘密密鑰并把它傳送給與他通信的其他成員的過程。根據(jù)參與形式的不同，密鑰分發(fā)的模式主要有兩種：直接分發(fā)和第三方分發(fā)。密鑰直接分發(fā)模式會話密鑰K是由用戶A產(chǎn)生，并通過KDC安全地傳送給B。用戶A首先向KDC請求分發(fā)密鑰，KDC產(chǎn)生通信密鑰K之后，通過安全方式分別傳給A和B。密鑰分發(fā)中心(KeyDistributionCenter，KDC)作為可信第三方為用戶A和B分發(fā)通信密鑰K。4.3.3密鑰更新協(xié)議

在實際應(yīng)用中，由于密鑰算法大多是基于數(shù)學難題的計算困難性，而且會存儲在用戶一方。為了確保密鑰和通信過程的安全性，密鑰管理系統(tǒng)一般都會對密鑰設(shè)置生存周期并對密鑰進行定期的更新。

在實際應(yīng)用過程中，由于用戶使用密鑰的種類不同，密鑰更新過程被劃分為三個層次。對于通信系統(tǒng)的用戶而言，其所擁有的密鑰除了與他人進行通信的會話密鑰之外，還包括密鑰加密密鑰和根密鑰。

其中，根密鑰一般只在安裝的時候使用，其它時候很少被用到，也就很少被更新；密鑰加密密鑰需要TA一起參與更新，主要用于對會話密鑰的安全傳輸和更新過程。在這個擁有三個層次的密鑰更新系統(tǒng)中，當會話密鑰需要更新時，系統(tǒng)就使用密鑰加密密鑰對新的會話密鑰進行加密；當密鑰加密密鑰需要更新時，系統(tǒng)就使用根密鑰對新的密鑰加密密鑰進行加密。小結(jié)

安全協(xié)議，是兩個或兩個以上的參與者為完成某項特定的任務(wù)而采取的一系列具有安全性功能的步驟。在不安全的網(wǎng)絡(luò)信道上進行通信和信息交換，需要保證通信雙方的身份真實性和信息傳輸?shù)陌踩?。安全協(xié)議的功能主要包括對網(wǎng)絡(luò)中各個實體的認證、網(wǎng)絡(luò)中實體之間進行密鑰的分發(fā)和管理以及對消息發(fā)送或接收的不可否認性處理。