電子科技大學(xué)計算機科學(xué)與工程學(xué)院培訓(xùn)課件

電子科技大學(xué)計算機科學(xué)與工程學(xué)院計算系統(tǒng)與網(wǎng)絡(luò)安全

ComputerSystemandNetworkSecurity2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全服務(wù)（SecurityServices）Encryption,signatures,cryptographichash,…安全機制（Securitymechanisms）Accesscontrolpolicyprotocols安全實現(xiàn)（Implementation）CryptographiclibraryFirewallIDSnetworkprotocolstackInformationsecurityfoundationNumbertheoryComputationalcomplexity……幾個基本概念2024/9/26正確性與安全性正確性：滿足規(guī)范對合理的輸入，總可以得到合理的輸出安全性：在存在攻擊者的條件下，滿足所要求的屬性對不合理的輸入，輸出也不能帶來災(zāi)難性的輸出結(jié)果正確性與安全性的主要區(qū)別受到攻擊者被動干擾受到攻擊者主動干擾即便設(shè)計極為精致，也可能存在漏洞2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26協(xié)議定義什么是協(xié)議？協(xié)議是兩個或兩個以上的參與者所采取的一系列步驟以完成某項特點的任務(wù)協(xié)議的內(nèi)涵協(xié)議至少需要兩個參與者參與者之間呈現(xiàn)為消息處理和消息交換的一系列步驟通過執(zhí)行協(xié)議，必須能完成某項任務(wù)，或者達成某種共識2024/9/26協(xié)議特點協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。協(xié)議中的每人都必須同意遵循它。協(xié)議必須是不模糊的，每一步必須明確定義，并且不會引起誤解。協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作。

2024/9/26網(wǎng)絡(luò)協(xié)議定義網(wǎng)絡(luò)協(xié)議：

為網(wǎng)絡(luò)數(shù)據(jù)交換而制定的規(guī)則、標(biāo)準(zhǔn)或約定。網(wǎng)絡(luò)協(xié)議三要素：①語法，數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式：數(shù)據(jù)格式、編碼和信號電平；②語義，需要發(fā)出何種控制信息，完成何種動作及做出的何種應(yīng)答：協(xié)調(diào)與差錯處理的控制信息③規(guī)則，事件實現(xiàn)順序的詳細(xì)說明：速度匹配和排序2024/9/26安全協(xié)議定義什么是安全協(xié)議？安全協(xié)議(CryptographicProtocol)是在消息處理過程中采用了若干密碼算法的協(xié)議安全協(xié)議的內(nèi)涵：安全協(xié)議是一個協(xié)議安全協(xié)議涉及密碼算法安全協(xié)議是在密碼算法的基礎(chǔ)上為網(wǎng)絡(luò)安全提供解決方案兩方或者多方在不安全信道上進行安全通信使用密碼技術(shù)是為了達到某個目的密鑰交換身份認(rèn)證……2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全協(xié)議分類按照協(xié)議的目的不同，常見的安全協(xié)議可以分為四類：密鑰交換協(xié)議認(rèn)證協(xié)議認(rèn)證和密鑰交換協(xié)議電子商務(wù)協(xié)議2024/9/26密鑰交換協(xié)議密鑰交換協(xié)議用于會話密鑰的建立會話密鑰：也叫工作密鑰，用于加密消息的一次性密鑰協(xié)議中可以采用對稱密碼算法，也可以采用非對稱密碼算法對稱密碼算法：加密密鑰和解密密鑰相同非對稱密碼算法：加密密鑰和解密密鑰不相同密鑰交換協(xié)議一般不會單獨使用，而是往往與認(rèn)證協(xié)議等相結(jié)合密鑰交換協(xié)議分為兩種情況：密鑰傳輸協(xié)議：共享密鑰來自于參與協(xié)議的某個主體密鑰協(xié)商協(xié)議：共享密鑰根據(jù)協(xié)議參與者的輸入用某個函數(shù)產(chǎn)生主體：協(xié)議參與者2024/9/26認(rèn)證協(xié)議認(rèn)證是用來獲得誰對什么事情信任的一種方法實體：一個身份的合法擁有者主體：各種物理形式的人或物認(rèn)證協(xié)議包括實體認(rèn)證（身份認(rèn)證）協(xié)議、消息認(rèn)證協(xié)議、數(shù)據(jù)起源認(rèn)證協(xié)議和數(shù)據(jù)目的認(rèn)證協(xié)議認(rèn)證協(xié)議主要用來防止假冒、篡改、否認(rèn)等攻擊2024/9/26認(rèn)證協(xié)議——單項認(rèn)證認(rèn)證協(xié)議單向認(rèn)證：只認(rèn)證通信中的一個主體雙向認(rèn)證：驗證通信中的兩個主體Alice(A)Bob(B)聲稱者驗證者Bob收到后利用Alice的公鑰驗證簽名。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”問題：ISO一次傳輸單向認(rèn)證是否安全？2024/9/26認(rèn)證協(xié)議——單項認(rèn)證（續(xù)）認(rèn)證協(xié)議單向認(rèn)證：只認(rèn)證通信中的一個主體雙向認(rèn)證：驗證通信中的兩個主體Alice(A)Bob(B)例：ISO三次傳輸雙向認(rèn)證問題：ISO三次傳輸雙向認(rèn)證是否安全？思路：Bob同時與Alice和另外一個人通信的情況。2024/9/26認(rèn)證與密鑰交換協(xié)議認(rèn)證和密鑰交換協(xié)議該協(xié)議首先對通信實體的身份進行認(rèn)證如果認(rèn)證成功，進一步進行密鑰交換，以建立通信中的工作密鑰也叫密鑰確認(rèn)協(xié)議互聯(lián)網(wǎng)密鑰交換協(xié)議（IKE）、以及Kerberos等均屬于認(rèn)證和密鑰交換協(xié)議本課程后續(xù)將討論許多密鑰確認(rèn)協(xié)議2024/9/26電子商務(wù)協(xié)議電子商務(wù)協(xié)議中主體往往代表交易的雙方電子商務(wù)協(xié)議往往關(guān)注公平性，即協(xié)議應(yīng)該保證交易雙方都不通過損害對方的利益而得到它不應(yīng)該得到的利益常見的電子商務(wù)協(xié)議有SET（SecureElectronicTransaction）協(xié)議等。SET協(xié)議將作為一個作業(yè)討論，本課程不涉及該協(xié)議。2024/9/26安全協(xié)議分類按照是否需要可信第三方（TTP）：仲裁協(xié)議（ArbitratedProtocols）（包括裁決協(xié)議）自動執(zhí)行協(xié)議（Self-EnforcingProtocols

）2024/9/26仲裁協(xié)議Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Needham－Schroeder協(xié)議可信第三方在認(rèn)證協(xié)議中也叫做認(rèn)證服務(wù)器問題：NS協(xié)議是否安全？思路：消息32024/9/26Trent(T)基于公鑰體制的認(rèn)證協(xié)議：基本方案無可信第三方問題：STS協(xié)議是否安全？思路：考慮Alice和Bob之間有第三者MaliceAlice(A)Bob(B)Example6:工作站－工作站協(xié)議（STS）自動執(zhí)行協(xié)議

2024/9/26安全協(xié)議模型安全協(xié)議模型安全協(xié)議模型用于描述協(xié)議及所處的環(huán)境安全協(xié)議模型設(shè)計以下要素：誠實的主體集合主體之間的通信攻擊者集合主體及攻擊者所處環(huán)境及一組規(guī)則2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26攻擊者模型通信通信通信通信環(huán)境攻擊者對于攻擊者，比較好的一個模型是Dolev－Yao模型。本課程后面將介紹。主體主體主體主體協(xié)議模型最困難的部分在于對攻擊者的認(rèn)識。2024/9/26攻擊者模型（續(xù)）攻擊者誠實主體之間的消息可為攻擊者截獲攻擊者可以對截獲的消息進行各種操作級聯(lián)、分離、加密和解密等攻擊者有主動和被動之分攻擊者可能的攻擊行為主要有轉(zhuǎn)發(fā)消息到任意接受者、延遲消息到達、篡改消息、與原來消息合并、改變部分或者全部消息的去處、重放消息等攻擊者對于攻擊者建模是非常復(fù)雜的課題。2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全協(xié)議中安全的定義安全協(xié)議中安全性的內(nèi)涵安全協(xié)議的評判標(biāo)準(zhǔn)是檢查其欲達到的安全性是否遭到攻擊者的破壞安全性主要包括：認(rèn)證性機密性完整性不可否認(rèn)性2024/9/26安全協(xié)議缺陷的定義安全協(xié)議的缺陷是協(xié)議不安全的固有屬性或性質(zhì)現(xiàn)實中協(xié)議不安全的主要原因包括：設(shè)計不規(guī)范執(zhí)行時產(chǎn)生2024/9/26安全協(xié)議缺陷的分類分類基本協(xié)議缺陷協(xié)議中沒有或者很少防范攻擊者攻擊而引發(fā)的協(xié)議缺陷如對加密消息簽名，未考慮攻擊者可以替換原來的簽名口令/密鑰猜測缺陷口令或者密鑰選用常用的字詞，或者用戶選取了不安全的口令2024/9/26安全協(xié)議缺陷分類（續(xù)）分類（續(xù)）陳舊消息缺陷沒有考慮消息的時效性（新鮮性），從而使得攻擊者可以進行重放攻擊并行會話缺陷協(xié)議設(shè)計對并行會話缺乏考慮，使得攻擊者可以相互交換適當(dāng)?shù)膮f(xié)議消息來獲得更為重要的消息內(nèi)部協(xié)議缺陷協(xié)議參與者中至少有一方不能夠完成所有必須的動作而導(dǎo)致缺陷密碼系統(tǒng)缺陷協(xié)議中使用的密碼算法的安全強度問題導(dǎo)致協(xié)議不能完全滿足所要求的機密性、完整性、認(rèn)證等需要而產(chǎn)生的缺陷該協(xié)議是否安全呢？有關(guān)協(xié)議攻擊的問題后續(xù)內(nèi)容討論2024/9/26消息重放攻擊消息重放攻擊是指攻擊者利用其消息再生能力生成誠實用戶所期望的消息格式，并重新發(fā)送，從而達到破壞協(xié)議安全性的目的。消息重放的實質(zhì)是消息的新鮮性（Freshness）不能得到保證。消息重放攻擊是安全協(xié)議中最容易出現(xiàn)的問題之一。2024/9/26消息重放攻擊（續(xù)）Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協(xié)議攻擊者如果獲知以前的一個工作密鑰，可以重放消息EB（K，A）問題：如何攻擊該協(xié)議？2024/9/26消息重放攻擊（續(xù)）消息重放攻擊分類根據(jù)消息的來源：協(xié)議輪內(nèi)攻擊：一個協(xié)議輪內(nèi)消息重放協(xié)議輪外攻擊：一個協(xié)議不同輪次消息重放根據(jù)消息的去向：偏轉(zhuǎn)攻擊：改變消息的去向直接攻擊：將消息發(fā)送給意定接收方其中偏轉(zhuǎn)攻擊分為：反射攻擊：將消息返回給發(fā)送者第三方攻擊：將消息發(fā)給協(xié)議合法通信雙方之外的任一方本課程將單獨考慮反射攻擊2024/9/26消息重放攻擊（續(xù)）消息重放對策（新鮮性對策）挑戰(zhàn)－應(yīng)答機制時戳機制（Timestamp）序列號機制（SequenceNo）通信雙方通過消息中的序列號來判斷消息的新鮮性要求通信雙方必須事先協(xié)商一個初始序列號，并協(xié)商遞增方法對消息蓋上本地時戳，只有當(dāng)消息上的時戳與當(dāng)前本地時間的差值在意定范圍之內(nèi)，才接受該消息。要求有一個全局同步時鐘，但是如果雙方時鐘偏差過大或者允許的范圍過大，則可以被攻擊者利用。通過發(fā)送挑戰(zhàn)值（Nonce：中文含義是現(xiàn)在，目前）來確保消息的新鮮性。2024/9/26含義：驗證者（Bob）在協(xié)議消息的組合中擁有他的輸入消息：可能是一個一次性隨機數(shù)（稱之為Nonce）；聲稱者（Alice）對該消息進行密碼操作，并返回給驗證者Bob；Bob能夠通過他自己輸入消息的新鮮性來驗證Alice通信的真實性。Alice(A)Bob(B)聲稱者驗證者挑戰(zhàn)消息應(yīng)答消息如果Alice的應(yīng)答符合Bob的要求，則消息是新鮮的。消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）分類：依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑戰(zhàn)－應(yīng)答機制分為：對稱密鑰加密機制篡改碼機制（完整性機制）非對稱密鑰簽名機制2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）對稱密鑰加密機制Alice(A)Bob(B)聲稱者驗證者如果Bob解密后的Nb與自己發(fā)送的相同，則接受。M1，M2，M3等為可選消息參數(shù)。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO兩次傳輸單向認(rèn)證協(xié)議”問題：這種挑戰(zhàn)應(yīng)答機制是否存在問題？2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）對稱密鑰加密機制Alice(A)Bob(B)聲稱者驗證者加密的作用是機密性還是完整性？消息的新鮮性其實是用完整性來提供的，因此這里的加密功能主要應(yīng)該是完整性。Bob期望的Nb是機密性還是完整性？但是該對稱加密真的提供了完整性嗎？問題：為什么加密沒有提供足夠的完整性2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機制采用篡改檢測碼（MDC）來實現(xiàn)完整性對稱密碼技術(shù)：Ke＝Kv公鑰密鑰技術(shù)：Ke≠KvMDC：ManipulationDetectionCode信源變換信宿驗證密鑰源安全信道信源消息＋附加值KeKv信宿信道Ke：編碼密鑰Kv：驗證密鑰MDC聲稱：MDC←f（Ke，Data）MDC驗證：g（Kv，Data，MDC）＝trueorfalse2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機制采用篡改檢測碼（MDC）來實現(xiàn)完整性MDC：ManipulationDetectionCodef和g是密碼變換，對于對稱密碼算法，f＝g，而對公開密碼算法，f≠g。由對成密碼算法聲稱的MDC稱之為消息認(rèn)證碼（MAC）：MessageAuthenticationCode消息認(rèn)證碼（MAC）的實現(xiàn)可以采用雜湊函數(shù)也可以使用加密算法MD5，SHA－1DES，3DES2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機制Alice(A)Bob(B)聲稱者驗證者Bob收到后重構(gòu)MAC，如果相同則接受。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的ISO兩次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機制Alice(A)Bob(B)聲稱者驗證者Bob收到后重構(gòu)MAC，如果相同則接受。例：利用Hash函數(shù)實現(xiàn)2024/9/26消息重放攻擊的對策：挑戰(zhàn)-應(yīng)答（續(xù)）非對稱密鑰簽名機制Alice(A)Bob(B)聲稱者驗證者Bob收到后利用Alice的公鑰驗證簽名。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用公鑰的ISO兩次傳輸單向認(rèn)證協(xié)議”Na可以防止Alice對Bob意定消息簽名2024/9/26消息重放攻擊的對策：時戳分類：依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑戰(zhàn)－應(yīng)答機制分為：對稱密鑰加密機制篡改碼機制（完整性機制）非對稱密鑰簽名機制2024/9/26消息重放攻擊的對策：時戳（續(xù)）對稱密鑰加密機制Alice(A)Bob(B)聲稱者驗證者Bob收到后解密得到時戳，并與本地時間比較。如果在允許范圍內(nèi)就接受。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO對稱密鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：時戳（續(xù)）完整性機制Alice(A)Bob(B)聲稱者驗證者Bob收到后重構(gòu)MAC，并比較是否相同；如果相同則接受。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的ISO一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：時戳（續(xù)）非對稱密鑰簽名機制Alice(A)Bob(B)聲稱者驗證者Bob收到后利用Alice的公鑰驗證簽名。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：時戳（續(xù)）分類：依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑戰(zhàn)－應(yīng)答機制分為：對稱密鑰加密機制篡改碼機制（完整性機制）非對稱密鑰簽名機制2024/9/26消息重放攻擊的對策：時戳（續(xù)）對稱密鑰加密機制Alice(A)Bob(B)聲稱者驗證者Bob收到后解密得到時戳，并與本地時間比較。如果在允許范圍內(nèi)就接受。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO對稱密鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：序列號完整性機制Alice(A)Bob(B)聲稱者驗證者Bob收到后重構(gòu)MAC，并比較是否相同；如果相同則接受。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的ISO一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：序列號（續(xù)）非對稱密鑰簽名機制Alice(A)Bob(B)聲稱者驗證者Bob收到后利用Alice的公鑰驗證簽名。國際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對策：序列號（續(xù)）Alice(A)Bob(B)聲稱者驗證者對稱算法2024/9/26消息重放攻擊的對策：序列號（續(xù)）Alice(A)Bob(B)聲稱者驗證者非對稱算法2024/9/26參考資料BruceSchneier（吳世忠登譯），應(yīng)用密碼學(xué)－協(xié)議、算法與C源程序，機械工業(yè)出版社，200