安全协议分析与设计课件第1章-上安全协议基础知识
合集下载
网络安全协议基础(PPT50页)
协议:定义了数据的协议,分别为:TCP、UDP、ICMP和IGMP。
校验和:首先将该字段设置为0,然后将IP头的每16位进行二进制 取反求和,将结果保存在校验和字段。
源IP地址:将IP地址看作是32位数值则需要将网络字节顺序转化位 主机字节顺序。
目的IP地址:转换方法和源IP地址一样。
IP是面向非连接的,传递数据的时候不检测网络是否连通,所以是
source
M
Ht M Hn Ht M Hl Hn Ht M
application transport network
link physical
destination
application transport network
link physical
M
Ht M Hn Ht M Hl Hn Ht M
message segment datagram frame
一般来说,主机号部分为全“1 ”的IP地址保留用作广播地址; 主机号部分为全“0 ”的IP地址保留用作网络地址。26
子网掩码(一)
子网掩码是用来判断任意两台计算机的IP地 址是否属于同一子网的根据。
两台计算机各自的IP地址与子网掩码进行二 进制“与”(AND)运算后,如果得出的结 果是相同的,则说明这两台计算机是处于同 一个子网络上的,可以进行直接通信。
15
分层: 逻辑通信(一)
每一层 分布式的 “实体”在每个节点上实现本层的功能 实体与对等实体交换消息
16
分层: 逻辑通信(二)
如: transport 从应用层得到数据 添加地址和可靠性标记信息,得到”数据报” 把数据报发送给对等实体 等待对方发送确认信息
17
分层: 物理通信
安全协议与标准第一部分优选PPT
数字签名:对身份认证(1),保持数据完整性(4)、不可否认性(5)。
Schnorr签字体制 考虑到网络本身的延迟,误差范围应足够大;
签名:
因此,EKE协议中前面的两行消息提供一种具独创性的技术珍品。 (1)签名是可信的:任何人可验证签名的有效性。
用 户 为 待 签 消 息m 选 取
体制参数: p:大素数,p≥2512;
k
Lamport基于口令的远端访问机制已经被修补并实现为“一次性口令”系统,称为S/KEY。
s xe
g s y e mod p
Okamoto签字体制
体制参数: p:大素数,且p≥2512; q:大素数,q|(p-1),且q≥2140; g1, g2:两个阶为q的元素, g1,g2Z*p x1, x2:用户A的秘密钥,两个小于q的随机数; y:用户A的公开钥,yg1x1g2x2mopd。
H
(
g s1 1
g s2 2
ye
mod
p, m)
e
一. 身份证明技术
在很多情况下,用户都需证明自己的身份,如登录 计算机系统、存取电子 中的账目数据库、从自动 出纳机ATM(automatic teller machine)取款等。 传统的方法:使用通行字或个人身份识别号 PIN(personal identification number)来证明自己的 身份。 缺点:检验用户通行字或PIN的人或系统可使用用 户的通行字或PIN冒充用户。
《安全协议与标准》
先修课程:
《信息安全数学基础》,《密码学基础》
学习典型的安全协议、密码标准和系统,对其进 行分析和研究,熟悉其工作原理,分析其安全特 性,讨论其实际应用。
参考书:
1. 《现代密码学》,杨波编著,清华大学出版社,2007年。
Schnorr签字体制 考虑到网络本身的延迟,误差范围应足够大;
签名:
因此,EKE协议中前面的两行消息提供一种具独创性的技术珍品。 (1)签名是可信的:任何人可验证签名的有效性。
用 户 为 待 签 消 息m 选 取
体制参数: p:大素数,p≥2512;
k
Lamport基于口令的远端访问机制已经被修补并实现为“一次性口令”系统,称为S/KEY。
s xe
g s y e mod p
Okamoto签字体制
体制参数: p:大素数,且p≥2512; q:大素数,q|(p-1),且q≥2140; g1, g2:两个阶为q的元素, g1,g2Z*p x1, x2:用户A的秘密钥,两个小于q的随机数; y:用户A的公开钥,yg1x1g2x2mopd。
H
(
g s1 1
g s2 2
ye
mod
p, m)
e
一. 身份证明技术
在很多情况下,用户都需证明自己的身份,如登录 计算机系统、存取电子 中的账目数据库、从自动 出纳机ATM(automatic teller machine)取款等。 传统的方法:使用通行字或个人身份识别号 PIN(personal identification number)来证明自己的 身份。 缺点:检验用户通行字或PIN的人或系统可使用用 户的通行字或PIN冒充用户。
《安全协议与标准》
先修课程:
《信息安全数学基础》,《密码学基础》
学习典型的安全协议、密码标准和系统,对其进 行分析和研究,熟悉其工作原理,分析其安全特 性,讨论其实际应用。
参考书:
1. 《现代密码学》,杨波编著,清华大学出版社,2007年。
安全协议的设计与分析
$/ , 8 & 4 2 * 6 4 S L S H T 8 2 ( NK K T S AC KJ S C H C V S 8 7 H K C V S ; S VB KB A B C HT S L E H 7 8 7 7; S B 8 C D S ! / G G IU GL I GT $ F J C F C T 7 F KL 7 A F T C H H X C ; 7 H A S H T J F T T E SY S B T F ; S K7 Y T E S/ 2 ( NK K T S A KB H VT E SL 7 H K T ; B C H T K7 Y W : IS G / 2 ( NV S X C L S KA B ; C H J 7 F T X B ; C 7 F K: ; C X B L ; 7 J 8 S A K 9 5 E SJ C S K T L E B 8 8 S H S Y 7 ;/ 2 ( NT S L E H 7 8 = GJ IB G: I I I 7 C K T 7: ; 7 X C V SJ S H S Y C T KU C T E 7 F T T E ; S B T S H C H E S: ; C X B L YL 7 H K F A S ; K 95 E C K: B S ;; S X C S U KT E S I G IT G7 : $ U C T EB Y 7 L F K7 HL ; T 7 ; B E C L: ; 7 T 7 L 7 8 K 9[ S B \ H S K K S K S Z C K T C H 2 ( NK K T S AK S L F ; C T S L E B H C K A K G : I : I/ G GA 7 ; Y 8 B U K C H T E S K S: ; 7 T 7 L 7 8 K B ; S S Z B A C H S V 9 5 E S HB T E S 7 ; S T C L B 8A 7 V S 8 B H VA S T E 7 V T 7V S K C HB H VB H B = I 8 D S/ 2 ( N: ; 7 T 7 L 7 8 KU C T E C HT E S: ; 7 X B J 8 SK S L F ; C T ; B A S U 7 ; \C KV C K L F K K S V 9 G GY " " 9 % : / 2 + & 2 ( NK K T S A" L ; T 7 ; B E C L: ; 7 T 7 L 7 8 ; 7 X B J 8 SK S L F ; C T K S L F ; C T 7 V S 8 !/ G G : I : GA : G . 部署和 使 用 / 关键的问题之一是 2 ( N 系 统 时$
安全协议理论与方法13744PPT课件
•密钥分配只包含前3步,后3步起了认证作用
•最后两步保证了B收到的不是一个重放
•对于大规模网络,可以使用层次式的KDC
16
密钥的分配技术
➢基于公钥密码体制的对称密钥分配 公钥密码体制未必在通讯中直接使用,但却很合适用于对称
密钥分配 简单的密钥分配
17
密钥的分配技术
具有保密和鉴别能力的分配
18
密钥的分配技术
安全协议理论与方法
第一章 引论
1.1 密码体制
Key=K
Key=K-1
明
密
文
文
P
C
发送者
明 文 P 接收者
加密
图1.1 加密与解密
解密
• 保密性服务主要用于防止被动攻击,也是实现其他安 全服务的重要基础。
• 密码技术是实现保密性服务的主要手段,因此密码技 术是信息安全核心技术。
• 一个密码体制决定了一对数据变换,分别称为加密变 换和解密变换(也称加密和解密)。密码体制的基本 要素是密码算法和密钥。密码算法是一些公式、法则 或程序;密钥是密码算法中的控制参数。
– 未经授权使用
密钥管理的原则:
– 密钥难于窃取
– 密钥有使用范围和时效
– 密钥的分配和更换过程对用户透明,用户不一定要掌管密钥
密钥管理方法:因所使用的密码体制(对称密码和公钥密码体制)而异。
密钥生命周期:密钥管理是指在一种安全策略指导下密钥的产生、存储、
使用,更新,删除等处理,涵盖了密钥的整个生命周期
设用户I的身份标识为整数IDi, 在RSA体制下,找出整数g为p或q的本
原,计算: SID Sk mord
i
i
将整数组(r,g,Pk,Si)存储在卡中发给用户(其中Si需要保密)
《网络安全协议基础》课件
1 SSH
2 SSL/TLS
Secure Shell 是一种常用 的应用层安全协议,用于 安全远程登录和文件传输。
SSL/TLS在应用层进行加 密,保护Web浏览器和服 务器之间的通信安全。
3 PGP
Pretty Good Privacy 是一 种常用的加密和数字签名 协议,用于保护电子邮件 和文件的安全。
主要的网络安全协议标准
1
RFC 5246
TLS协议的标准文档,规定了TLS/SSL的
RFC 4301
2
实现和使用。
IPSec协议的标准文档,定义了IPSec的
协议规范和安全架构。
3
RFC 4251
SSH协议的标准文档,描述了SSH协议 的工作原理和安全机制。
总结
网络安全协议是保护网络通信安全的重要手段,包括传输层安全协议、网络 层安全协议和应用层安全协议。了解常见的网络安全协议和标准,对建立安 全的网络环境至关重要。
网络层安全协议
1
IPS ec隧道模式
IPSec隧道模式用于创建安全的虚拟专用网络,保证数据在网络上的安全传输。
2
防火墙
防火墙是一种常见的网络层安全设备,用于检测和过滤网络流量,以保护网络免 受攻击。
3
路由器访问控制列表
路由器访问控制列表用于限制网络流量的访问权限,增强网络的安全性。
应用层安全协议
SSH
Secure Shell 是一种应用层安 全协议,用于远程登录和安全 文件传输程
SSL证书
HTTPS
TLS握手过程包括协议版本协商、 密钥交换、身份验证和加密通信 等步骤。
SSL证书用于验证服务器身份, 并提供公钥加密和数字签名功能。
安全协议分析与设计课程设计 (2)
安全协议分析与设计课程设计课程简介本课程旨在培养学生对安全协议的分析和设计能力。
具体内容包括:安全协议的基础知识、安全通信协议的需求分析、安全协议的设计与实现、安全协议的评估与分析等。
通过本课程的学习,学生将掌握安全协议的核心概念与技术,提高信息安全保障的能力。
教学目标1.了解安全协议的基本概念和分类2.熟悉安全协议设计的方法和流程3.掌握安全协议实现和评估的步骤4.学会分析和解决安全协议中的安全漏洞和其他问题5.提高信息安全保障的技能和能力教学内容安排第一章安全协议基础1.安全协议概述2.安全协议的分类与应用3.安全协议设计的目标与原则4.安全协议的工作机制与通信模型第二章安全通信协议的需求分析1.安全通信协议的基本要求2.安全通信协议的需求分析方法3.安全通信协议的安全需求分析4.安全通信协议的可信度需求分析第三章安全协议的设计与实现1.安全协议设计的基础知识2.安全协议设计的方法与流程3.安全协议实现的步骤与技术4.安全协议实现的案例分析第四章安全协议的评估与分析1.安全协议评估的基础知识2.安全协议评估的方法与标准3.安全协议分析的基础技术4.安全协议分析的案例分析考核方式1.平时成绩:包括课堂表现和作业。
2.期末考试:对学生对课程知识的掌握和理解程度进行考核。
实验内容1.安全协议实现:学生自行实现一个安全协议并进行分析与评估。
2.安全协议分析:学生针对一个现有安全协议进行分析和改进,提出解决方案并进行实现和测试。
参考文献1.安全协议分析与设计:原理、方法与实践2.信息安全协议设计原理与实践3.安全协议分析工具及应用结语本课程以培养学生的安全协议分析与设计能力为目标,通过课堂讲授和实验实践相结合的方式,使学生深入理解安全协议的实际应用。
同时,本课程也将为学生的职业发展提供有力支持。
安全协议理论与方法ppt课件
多重会话攻击分列表示
1) A Z(B): A, Na
2)
1’)Z(B) A: B, Na
3) K’ab)
2’)A Z(B): E(Kab: Na’,
4) 2)Z(B) A:E(Kab:Na’,K’ab)
5) 3)A Z(B):A,E(K’ab: Na’)
6)
3’) Z(B) A: A, E(K’ab:Na’)
■问题:系统开销添加.
对策---时戳机制
■音讯的新旧是由音讯上盖的时戳决议的,只需当音 讯上的时戳与当前本地时间的差值在一定范围内, 接纳方才接纳这个音讯。
■问题: 需求全局时钟,但仍难以同步。
1)假设验证者弄错了当前的时间,那么旧音讯就能 被很容易地重放。
2)假设合法声称者弄错当前时间,有能够被利用在合 理的时间点接纳验证者重放产生的认证恳求。
无可信第三方参与的对称密钥协议
■ISO one-pass 一方对称密钥认证协议
1) A B: Text2, E(Kab: [Ta | Na], B, Text1)
■ISO two-pass 一方对称密钥认证协议 1) B A: Rb, Text1 2) A B: Text3, E(Kab:Rb, B, Text2)
重放替代,并且A不能觉察。
RFC协议的修正
■ 将前述协议的2)3)4)修正为: A B: A, Na B A: E(Kab: Na’, K’ab) A B: A, E(K’ab: Na’) B A: Nb ■问题:仍有缺陷,由于存在多重会话攻击。
多重会话攻击
1) A Z(B): A, Na
2) 1’) 接)
• ■ <序列号>发送者标识 接纳者标识:音 讯
•
《网络安全协议基础》课件
概述
工作原理
应用场景
安全性分析
SSH协议是一种网络协议,用于安全地远程登录和管理远程服务器。它提供了加密的通信通道,确保用户身份验证和数据传输的安全性。
SSH协议使用公钥加密算法和密钥交换机制来建立安全的通信通道。它支持多种认证方式,如密码认证、公钥认证等,并提供数据加密和完整性保护功能。
SSH协议广泛应用于远程登录和管理服务器、配置网络设备等场景,提供安全的远程访问和管理能力。
Kerberos协议通过使用对称加密算法和密钥交换机制,确保用户身份的真实性和通信的安全性。
Kerberos协议还支持单点登录和多因素认证的特点,以提高身份认证的安全性。
Kerberos协议是一种基于对称加密算法的身份认证协议,通过密钥管理实现用户之间的安全通信。
02
03
04
网络安全协议的应用场景
IPsec协议通过使用加密算法和安全关联(SA)来提供安全服务。它支持多种加密算法,如AES、DES等,并使用数字签名和哈希函数来验证数据的完整性和来源。
IPsec协议广泛应用于虚拟专用网络(VPN)、远程访问、企业网等场景,为IP数据包提供端到端的安全保护。
IPsec协议具有较高的安全性,但配置和管理相对复杂,需要仔细考虑密钥管理和安全策略等方面的问题。
《网络安全协议基础》ppt课件
目录
网络安全协议概述常见的网络安全协议网络安全协议的工作原理网络安全协议的应用场景网络安全协议的未来发展与挑战
网络安全协议概述
网络安全协议
网络安全协议是指在计算机网络通信中,用于实现安全防护和数据传输的协议。它是一系列规则和标准的集合,用于保护网络通信中的数据不被非法获取、篡改或泄露。
02
01
单点登录
工作原理
应用场景
安全性分析
SSH协议是一种网络协议,用于安全地远程登录和管理远程服务器。它提供了加密的通信通道,确保用户身份验证和数据传输的安全性。
SSH协议使用公钥加密算法和密钥交换机制来建立安全的通信通道。它支持多种认证方式,如密码认证、公钥认证等,并提供数据加密和完整性保护功能。
SSH协议广泛应用于远程登录和管理服务器、配置网络设备等场景,提供安全的远程访问和管理能力。
Kerberos协议通过使用对称加密算法和密钥交换机制,确保用户身份的真实性和通信的安全性。
Kerberos协议还支持单点登录和多因素认证的特点,以提高身份认证的安全性。
Kerberos协议是一种基于对称加密算法的身份认证协议,通过密钥管理实现用户之间的安全通信。
02
03
04
网络安全协议的应用场景
IPsec协议通过使用加密算法和安全关联(SA)来提供安全服务。它支持多种加密算法,如AES、DES等,并使用数字签名和哈希函数来验证数据的完整性和来源。
IPsec协议广泛应用于虚拟专用网络(VPN)、远程访问、企业网等场景,为IP数据包提供端到端的安全保护。
IPsec协议具有较高的安全性,但配置和管理相对复杂,需要仔细考虑密钥管理和安全策略等方面的问题。
《网络安全协议基础》ppt课件
目录
网络安全协议概述常见的网络安全协议网络安全协议的工作原理网络安全协议的应用场景网络安全协议的未来发展与挑战
网络安全协议概述
网络安全协议
网络安全协议是指在计算机网络通信中,用于实现安全防护和数据传输的协议。它是一系列规则和标准的集合,用于保护网络通信中的数据不被非法获取、篡改或泄露。
02
01
单点登录
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
该假设认为协议采用的密码算法是完美的,不考虑 密码算法被攻破的情况。如Hash函数提供单向性和 无碰撞性,加密算法提供语义安全性(Semantic Security)及不可延展性(Non-Malleability)等。
无加密项冲突,即若有{m1}k1= {m2}k2,则有m1= m2和k1 = k2。这使得攻击者试图用{ m2 }k2使A相 信其为{m1}k1是不可行的。
24
协议交互攻击
密钥通常是被设计在一个单独的协议中使用,然而, 由于设计上或者使用上的疏忽,可能在多个协议中 使用同一个密钥。
防范这种攻击可以考虑两种方法:一种方法是对于 不同的协议使用不同的密钥;另外一种方法是在消 息中添加协议标识(如协议名称及其版本号)并对 其认证。
通常情况下,对协议的分析都只针对单个协议,并 不考虑协议交互攻击。
14
单一协议假设
单一协议假设是指协议运行环境中不存在其他协议 的运行。目前各种形式化分析中都显式或隐式地包 含了这个假设。
多个不同的安全协议同时运行可能会被攻击者利用 造成攻击,这是因为有些密钥(如公钥)可以用于 多个应用中,多个协议同时运行为攻击者提供了大 量的加密和解密机会。
Kelsey等人在文献[KSW98]中给出了一些这样的例 子,称之为协议选择攻击。
安全协议分析与设计课件第1章-上安全协议基础知识
安全协议基础知识
NSSK(Needham-Schroeder Shared Key)协议。
A→S: S→A: A→B: B→A: A→B:
A,B,Na { Na,B,Kab,{ Kab,A }Kbs }Kas { Kab,A }Kbs
{ Nb }Kab { Nb – 1 }Kab
前向安全:一个协议具备前向安全,是指即便安全 协议中使用的长期密钥被攻击者破获,而由这些长 期密钥所建立(通过安全协议建立)的会话密钥仍 然是安全的。
9
协议描述:Alice-Bob记法
每条消息以Msg n起始,其中n表示消息的序号。 以“→”符号表示消息的流向,→两边的符号(如A、
B、C等)表示主体。 PKa、PKb或者Ka、Kb表示相应主体的公钥。 SKa、SKb 或者Ka−1,Kb−1表示相应主体的私钥。 Kab则表示主体A和B之间的共享密钥。 {x}K表示对x用密钥K加密(用私钥加密即意味着签
通常用Z和C表示攻击者,如用Z(A)表示Z冒充A 和另一方交互。
对NSPK协议的攻击描述:
Msg1 A →C:
{ A,Na }PKc
Msg1' C(A) →B: { A,Na }PKb
Msg2' B→C(A): { Na,Nb }PKa
Msg2 C →A:
{ Na,Nb }PKa
Msg3 A →C:
5
除形式化方法外,可证明安全性理论也受到了很多 关注,这类方法通常基于复杂性理论,将协议的安 全性规约到一些极微本原(atomic primitives)上。 严格地讲,称之为“规约安全”比“可证明安全” 更为恰当。
上述的形式化方法可有效地发现协议中的漏洞,但 人们普遍怀疑没有哪种方法能够完备地证明一个协 议是正确无误的,也没有哪种方法被公认为是最有 效的。
2
问题1:为什么需要随机数Na? 问题2:为什么在消息2中,要把B放在用Kas加密的
部分中? 问题3:为什么要在消息2中出现A无法解读的{ Kab,
A }Kbs? 问题4:最后两条消息是做什么用的? 问题5:为什么在消息5中使用{ Nb – 1 }Kab而不是
{ Nb }Kab或者{ Nb – 2 }Kab?
8
密钥建立:密钥建立是这样一个过程,通过该过程, 使得两个或多个主体拥有良好的共享秘密,以用于 后继的密码学运算。
会话密钥:在安全协议成功运行完毕后,主体间进 行应用层会话时使用的密钥,使用时间较短。
长期密钥:与会话密钥相对应,可以长时间多次使 用,可能是共享的对称密钥,也可能是公开密钥系 统中的公钥或私钥。
个网络地址的消息。 历史纪录(仅攻击者):能够存储所有已收到的消息。 本会话记录:记录本次会话中用到的消息。 伪造网络地址(仅攻击者):攻击者能够使用虚假的网络地
址。
19
变节执行协议(仅攻击者):变节执行协议是指攻击者能够 以合法身份(也即系统内认可的身份)执行协议。具备该能 力的攻击者为变节主体。
15
诚实主体假设
A如果是诚实主体,那么A必须忠实地按照协议的规范执行协 议。采用诚实主体假设也即只考虑诚实主体间的交互是否会 被破坏。
在协议执行过程中,一个不诚实的B在和A建立了一个密钥后, B没有按照协议规范的要求,私自将这个密钥通过网络广播 了出去。或者可信第三方S应该产生一个新的密钥,但S却发 送了一个旧的已经过期的密钥。那么能否说这两个密钥建立 协议是不安全的?
在所有运行实例中,主体产生的Nonce是唯一的 (唯一性通常通过一定长度的随机数来逼近)。
主体通常不保存以往产生过或接收过的Nonce,这 意味着主体是有通过检验本次会话中自己产生的 Nonce来确认新鲜性的。
主体不保存任何时间戳。检验时,主体把消息中收 到的时间戳与当前时间比较,如果其差异在一个许 可的范围(常称为时间窗口)内,就认可该时间戳 是正确的。
21
攻击类型
重放攻击 类型缺陷攻击 协议交互攻击 拒绝服务攻击
22
重放攻击
重放攻击是针对安全协议的最常见攻击,重放攻击 指的是攻击者参与到协议的交互过程中,利用窃听 到的已经发送过的部分或全部消息,在交互过程中 重新发送,来干涉协议的正常进行。
关于重放攻击的分类,Paul Syverson在[Syve94]中 提出了一个较为全面的分类方法。这个分类方法是 根据重放消息的发送和接收情况来划分的。
名)。 以T代表时间戳,N代表Nonce(即用于检测新鲜性
的随机数或称为“现时”)。
10
协议描述实例
Msg1 Msg2 Msg3
பைடு நூலகம்
A→B: B→A: A→B:
A,Na { Nb,Na,A }SKb { Na,Nb,B }SKa
ISO 9798-3三条消息双向认证协议
11
对攻击的描述
用‘号来标识不同的会话。
18
诚实主体及攻击者的能力
对诚实主体和攻击者的能力进行分类,若为双方都具备的, 则不做声明;若仅为攻击者所拥有,则在能力后标注“仅攻 击者”。
消息发送:能够向其他网络地址发送消息。 消息接收:能够收到发往自己网络地址的消息。 消息窃听(仅攻击者):能够收到发往其他网络地址的消息。 消息阻断(仅攻击者):能够阻断一个网络地址发往另外一
诚实主体假设并不意味没有攻击者,攻击者可以在这个过程 进行窃听、窜改、重放,也可以作为一个变节主体参与协议 运行。简单地说,在诚实主体假设下,考虑协议中所有诚实 主体间的认证目标是否会被外来的攻击者破坏。
16
随机数和时间戳的假设
随机数(Nonce)也称“现时”。Nonce和时间戳在 协议中的主要作用是验证消息的新鲜性。通常有如 下假设。
激活发起方(仅攻击者):触发某个诚实主体以发起方身份 开始执行协议的能力。
消息生成:生成某个消息或子消息(消息的子项)的能力。 如主体可以生成身份、Nonce、所有主体的公钥、自身的私 钥以及自身与其他主体的预共享密钥等消息项;已知消息项 x1,…, xn,则可计算消息f( x1,…,xn )。
6
基本概念
安全协议:使用消息交换机制,通过各参与主体的执行,在 某种攻击者能力模型下,为达到一定的安全目标而规定的一 组关于消息含义和顺序的规则。
攻击者:以破坏认证协议目标为目标的实体。 主体:可以执行协议的实体。主体包括诚实主体和变节主体
两种,后者为一种攻击者。主体通常用A,B,C…来表示。 诚实主体:严格按照协议规范执行协议的主体。 变节主体:身份被诚实主体认可的攻击者。 会话:协议的每个运行实例为一个会话。主体可以同时参与
4
安全协议形式化分析的现状
逻辑类分析方法自1989年BAN逻辑为起源, 大多数基于推理知识和信念的模态逻辑。
模型检测技术是一种有效的形式化分析工具, 主要通过构造攻击来证明协议是不安全的。
定理证明类方法可以处理无限状态空间,不 限制主体参与协议运行的回合。其缺点是证 明过程复杂,缺乏自动化工具支持。
并行会话攻击是一种常见的攻击,是指攻击者安排 协议的一个或多个会话并行地执行,使得自己能够 从一个会话中获得消息,并通过重放到其他并行的 会话中以达到自己的目的,如针对NSPK的并行会话 攻击。
23
类型缺陷攻击
消息最终是由一系列的二进制比特串组成的,类型缺陷 (Type flaw)攻击使得诚实主体对它所接收的消息发生了错 误的理解。
如把攻击者重放的另一个会话中的Msg3当成了本会话中的 Msg2,并进一步有可能把Msg3中的某个项(如一个随机数) 当成是会话密钥。
在第2章中将介绍的Yahalom协议、Andrew Secure PRC协 议和Otway-Rees协议都存在这样的类型缺陷攻击。
这种攻击并不是总能成功,因为这和实现密切相关,包括消 息的格式、每个数据项的大小,是否有数据项标识,消息顺 序号是否被加密或做完整性验证等。
消息获取:从某个消息中获取子消息的能力。 获取过期密钥(仅攻击者):获知已过期会话密钥的能力。
20
诚实主体在密钥过期后会立即销毁该密钥,即便由 于其他目的而保留,也不会再次使用,故不赋予诚 实主体获取过期密钥的能力。
消息生成、消息阻断和消息发送能力的组合,意味 着消息伪造(包括篡改)能力;消息生成、消息获 取、消息发送和消息接收能力则意味着协议执行能 力。消息生成、消息发送能力意味着激活响应方能 力。
{ Nb }PKc
Msg3' C(A) →B: { Nb }PKb
12
协议分析的基本假设
无加密项冲突,即若有{m1}k1= {m2}k2,则有m1= m2和k1 = k2。这使得攻击者试图用{ m2 }k2使A相 信其为{m1}k1是不可行的。
24
协议交互攻击
密钥通常是被设计在一个单独的协议中使用,然而, 由于设计上或者使用上的疏忽,可能在多个协议中 使用同一个密钥。
防范这种攻击可以考虑两种方法:一种方法是对于 不同的协议使用不同的密钥;另外一种方法是在消 息中添加协议标识(如协议名称及其版本号)并对 其认证。
通常情况下,对协议的分析都只针对单个协议,并 不考虑协议交互攻击。
14
单一协议假设
单一协议假设是指协议运行环境中不存在其他协议 的运行。目前各种形式化分析中都显式或隐式地包 含了这个假设。
多个不同的安全协议同时运行可能会被攻击者利用 造成攻击,这是因为有些密钥(如公钥)可以用于 多个应用中,多个协议同时运行为攻击者提供了大 量的加密和解密机会。
Kelsey等人在文献[KSW98]中给出了一些这样的例 子,称之为协议选择攻击。
安全协议分析与设计课件第1章-上安全协议基础知识
安全协议基础知识
NSSK(Needham-Schroeder Shared Key)协议。
A→S: S→A: A→B: B→A: A→B:
A,B,Na { Na,B,Kab,{ Kab,A }Kbs }Kas { Kab,A }Kbs
{ Nb }Kab { Nb – 1 }Kab
前向安全:一个协议具备前向安全,是指即便安全 协议中使用的长期密钥被攻击者破获,而由这些长 期密钥所建立(通过安全协议建立)的会话密钥仍 然是安全的。
9
协议描述:Alice-Bob记法
每条消息以Msg n起始,其中n表示消息的序号。 以“→”符号表示消息的流向,→两边的符号(如A、
B、C等)表示主体。 PKa、PKb或者Ka、Kb表示相应主体的公钥。 SKa、SKb 或者Ka−1,Kb−1表示相应主体的私钥。 Kab则表示主体A和B之间的共享密钥。 {x}K表示对x用密钥K加密(用私钥加密即意味着签
通常用Z和C表示攻击者,如用Z(A)表示Z冒充A 和另一方交互。
对NSPK协议的攻击描述:
Msg1 A →C:
{ A,Na }PKc
Msg1' C(A) →B: { A,Na }PKb
Msg2' B→C(A): { Na,Nb }PKa
Msg2 C →A:
{ Na,Nb }PKa
Msg3 A →C:
5
除形式化方法外,可证明安全性理论也受到了很多 关注,这类方法通常基于复杂性理论,将协议的安 全性规约到一些极微本原(atomic primitives)上。 严格地讲,称之为“规约安全”比“可证明安全” 更为恰当。
上述的形式化方法可有效地发现协议中的漏洞,但 人们普遍怀疑没有哪种方法能够完备地证明一个协 议是正确无误的,也没有哪种方法被公认为是最有 效的。
2
问题1:为什么需要随机数Na? 问题2:为什么在消息2中,要把B放在用Kas加密的
部分中? 问题3:为什么要在消息2中出现A无法解读的{ Kab,
A }Kbs? 问题4:最后两条消息是做什么用的? 问题5:为什么在消息5中使用{ Nb – 1 }Kab而不是
{ Nb }Kab或者{ Nb – 2 }Kab?
8
密钥建立:密钥建立是这样一个过程,通过该过程, 使得两个或多个主体拥有良好的共享秘密,以用于 后继的密码学运算。
会话密钥:在安全协议成功运行完毕后,主体间进 行应用层会话时使用的密钥,使用时间较短。
长期密钥:与会话密钥相对应,可以长时间多次使 用,可能是共享的对称密钥,也可能是公开密钥系 统中的公钥或私钥。
个网络地址的消息。 历史纪录(仅攻击者):能够存储所有已收到的消息。 本会话记录:记录本次会话中用到的消息。 伪造网络地址(仅攻击者):攻击者能够使用虚假的网络地
址。
19
变节执行协议(仅攻击者):变节执行协议是指攻击者能够 以合法身份(也即系统内认可的身份)执行协议。具备该能 力的攻击者为变节主体。
15
诚实主体假设
A如果是诚实主体,那么A必须忠实地按照协议的规范执行协 议。采用诚实主体假设也即只考虑诚实主体间的交互是否会 被破坏。
在协议执行过程中,一个不诚实的B在和A建立了一个密钥后, B没有按照协议规范的要求,私自将这个密钥通过网络广播 了出去。或者可信第三方S应该产生一个新的密钥,但S却发 送了一个旧的已经过期的密钥。那么能否说这两个密钥建立 协议是不安全的?
在所有运行实例中,主体产生的Nonce是唯一的 (唯一性通常通过一定长度的随机数来逼近)。
主体通常不保存以往产生过或接收过的Nonce,这 意味着主体是有通过检验本次会话中自己产生的 Nonce来确认新鲜性的。
主体不保存任何时间戳。检验时,主体把消息中收 到的时间戳与当前时间比较,如果其差异在一个许 可的范围(常称为时间窗口)内,就认可该时间戳 是正确的。
21
攻击类型
重放攻击 类型缺陷攻击 协议交互攻击 拒绝服务攻击
22
重放攻击
重放攻击是针对安全协议的最常见攻击,重放攻击 指的是攻击者参与到协议的交互过程中,利用窃听 到的已经发送过的部分或全部消息,在交互过程中 重新发送,来干涉协议的正常进行。
关于重放攻击的分类,Paul Syverson在[Syve94]中 提出了一个较为全面的分类方法。这个分类方法是 根据重放消息的发送和接收情况来划分的。
名)。 以T代表时间戳,N代表Nonce(即用于检测新鲜性
的随机数或称为“现时”)。
10
协议描述实例
Msg1 Msg2 Msg3
பைடு நூலகம்
A→B: B→A: A→B:
A,Na { Nb,Na,A }SKb { Na,Nb,B }SKa
ISO 9798-3三条消息双向认证协议
11
对攻击的描述
用‘号来标识不同的会话。
18
诚实主体及攻击者的能力
对诚实主体和攻击者的能力进行分类,若为双方都具备的, 则不做声明;若仅为攻击者所拥有,则在能力后标注“仅攻 击者”。
消息发送:能够向其他网络地址发送消息。 消息接收:能够收到发往自己网络地址的消息。 消息窃听(仅攻击者):能够收到发往其他网络地址的消息。 消息阻断(仅攻击者):能够阻断一个网络地址发往另外一
诚实主体假设并不意味没有攻击者,攻击者可以在这个过程 进行窃听、窜改、重放,也可以作为一个变节主体参与协议 运行。简单地说,在诚实主体假设下,考虑协议中所有诚实 主体间的认证目标是否会被外来的攻击者破坏。
16
随机数和时间戳的假设
随机数(Nonce)也称“现时”。Nonce和时间戳在 协议中的主要作用是验证消息的新鲜性。通常有如 下假设。
激活发起方(仅攻击者):触发某个诚实主体以发起方身份 开始执行协议的能力。
消息生成:生成某个消息或子消息(消息的子项)的能力。 如主体可以生成身份、Nonce、所有主体的公钥、自身的私 钥以及自身与其他主体的预共享密钥等消息项;已知消息项 x1,…, xn,则可计算消息f( x1,…,xn )。
6
基本概念
安全协议:使用消息交换机制,通过各参与主体的执行,在 某种攻击者能力模型下,为达到一定的安全目标而规定的一 组关于消息含义和顺序的规则。
攻击者:以破坏认证协议目标为目标的实体。 主体:可以执行协议的实体。主体包括诚实主体和变节主体
两种,后者为一种攻击者。主体通常用A,B,C…来表示。 诚实主体:严格按照协议规范执行协议的主体。 变节主体:身份被诚实主体认可的攻击者。 会话:协议的每个运行实例为一个会话。主体可以同时参与
4
安全协议形式化分析的现状
逻辑类分析方法自1989年BAN逻辑为起源, 大多数基于推理知识和信念的模态逻辑。
模型检测技术是一种有效的形式化分析工具, 主要通过构造攻击来证明协议是不安全的。
定理证明类方法可以处理无限状态空间,不 限制主体参与协议运行的回合。其缺点是证 明过程复杂,缺乏自动化工具支持。
并行会话攻击是一种常见的攻击,是指攻击者安排 协议的一个或多个会话并行地执行,使得自己能够 从一个会话中获得消息,并通过重放到其他并行的 会话中以达到自己的目的,如针对NSPK的并行会话 攻击。
23
类型缺陷攻击
消息最终是由一系列的二进制比特串组成的,类型缺陷 (Type flaw)攻击使得诚实主体对它所接收的消息发生了错 误的理解。
如把攻击者重放的另一个会话中的Msg3当成了本会话中的 Msg2,并进一步有可能把Msg3中的某个项(如一个随机数) 当成是会话密钥。
在第2章中将介绍的Yahalom协议、Andrew Secure PRC协 议和Otway-Rees协议都存在这样的类型缺陷攻击。
这种攻击并不是总能成功,因为这和实现密切相关,包括消 息的格式、每个数据项的大小,是否有数据项标识,消息顺 序号是否被加密或做完整性验证等。
消息获取:从某个消息中获取子消息的能力。 获取过期密钥(仅攻击者):获知已过期会话密钥的能力。
20
诚实主体在密钥过期后会立即销毁该密钥,即便由 于其他目的而保留,也不会再次使用,故不赋予诚 实主体获取过期密钥的能力。
消息生成、消息阻断和消息发送能力的组合,意味 着消息伪造(包括篡改)能力;消息生成、消息获 取、消息发送和消息接收能力则意味着协议执行能 力。消息生成、消息发送能力意味着激活响应方能 力。
{ Nb }PKc
Msg3' C(A) →B: { Nb }PKb
12
协议分析的基本假设