密码协议

1.4.2 鉴别 鉴别(Authentication)
安全假设2:敌手能够使用任何可用的信息修改一个 安全假设2:敌手能够使用任何可用的信息修改一个 2: 密码协议中所传送的所有消息. 密码协议中所传送的所有消息.敌手能够把任何消 息重发给任何其他的主体. 息重发给任何其他的主体.这包括产生和插入全新 消息的能力. 消息的能力.
中山大学计算机系
1.1 什么是安全协议（密码协议） 什么是安全协议（密码协议）
Definition: As with any protocol, a security protocol ( also known as cryptographic protocol ) comprises a prescribed sequence of interactions between entities designed to a achieve a certain end, deferent from a communications protocol which is designed to establish communication between agents, i.e. set up a link, agree syntax, and so on. Goals: - Authentication of agents or nodes - Establishing session keys between nodes - Ensuring secrecy, integrity, anonymity, nonnonrepudiation and so on.
中山大学计算机系
教学基本要求
掌握以下基本方法,理论和技术： 掌握以下基本方法,理论和技术： 安全协议分析与设计的几种典型的形式化方法： 安全协议分析与设计的几种典型的形式化方法： BAN类逻辑 CSP模型 串空间模型等； 类逻辑、 模型、 BAN类逻辑、CSP模型、串空间模型等； 学会应用自动验证工具（AVISPA、CSP＋FDR）具体 学会应用自动验证工具（AVISPA、CSP＋FDR） 分析安全协议； 分析安全协议； 掌握安全协议设计的基本原则； 掌握安全协议设计的基本原则； 应用上述理论和方法自行设计安全而且正确的安全 协议。提高自己的安全系统设计能力； 协议。提高自己的安全系统设计能力；
中山大学计算机系
1.3 两个简单有趣的安全协议攻击实例之一
现代轿车锁:Engine Controller与Transponder in 现代轿车锁:Engine Controller与 Key之间的交互 the Car Key之间的交互 挑战－应答协议(Challenge挑战－应答协议(Challenge-Response) (Challenge - E->T: N - T->E:{T,N}K 考虑当Engine Controller产生的随机数可预测时 考虑当Engine Controller产生的随机数可预测时 会有什么攻击? 会有什么攻击?
中山大学计算机系
How to implement: Typically they make liberal use of various cryptographic mechanism, such as symmetric and asymmetric encryption, hash functions, and digital signatures.
B
中山大学计算机系
Alice-Bob 记号（Notation） 记号（ ）
1. A -> S : A, B 2. S -> A : KAB 3. A -> B : KAB, A 这种记法虽然简洁但是有很多局限
中山大学计算机系
1.4.1 机密性 机密性(Confidentiality)
安全假设1:敌手能够窃听密码协议中传送的所有消 安全假设1:敌手能够窃听密码协议中传送的所有消 1: 息.
中山大学计算机系
1.3 两个简单有趣的安全协议攻击实例之二安哥拉 南 两个简单有趣的安全协议攻击实例之二安哥拉-南 非空战 80年代，南非（South Africa）与古巴空军在南安 80年代，南非（ Africa） 年代 哥拉（ Angola） 哥拉（Southern Angola）与北纳米比亚 Namibia）间展开战争。 （Northern Namibia）间展开战争。 南非的战争目标是：确保南非在Namibia的白人统 南非的战争目标是：确保南非在Namibia的白人统 Namibia 治；且在Angola建立一个亲南非的安盟(争取安哥 且在Angola建立一个亲南非的安盟( Angola建立一个亲南非的安盟 拉彻底独立全国联盟，简称UNITA) UNITA)政府 拉彻底独立全国联盟，简称UNITA)政府 安哥拉“安人运” 安哥拉人民解放运动， 安哥拉“安人运”(安哥拉人民解放运动，简称 得到古巴（Cuba）支持， MPLA) 得到古巴（Cuba）支持，属于苏联社会主义 阵营。 阵营。 敌我识别系统－Identify-Friend-or敌我识别系统－Identify-Friend-or-Foe(IFF)
中山大学计算机系
课程介绍
“安全协议设计与分析” 安全协议设计与分析” 课程性质: 课程性质:选修课 考查方式:平时作业 + 课程报告 考查方式: 教学目的:在开放网络（Internet、无线网络等） 教学目的:在开放网络（Internet、无线网络等）中，网络 安全技术正在扮演着越来越重要的角色。 安全技术正在扮演着越来越重要的角色。安全协议则是分布 式系统或开放网络系统之安全的核心和基石。 式系统或开放网络系统之安全的核心和基石。选择使用国际 上认可的密码系统和强度大的密钥并不难， 上认可的密码系统和强度大的密钥并不难，但是能够正确运 用这些基本构造模块而搭建起完善的安全体系则不是一件简 单的事。安全协议是以密码学为基础的协议， 单的事。安全协议是以密码学为基础的协议，它在网络和分 布式系统中提供各种各样的安全服务，有着大量的应用， 布式系统中提供各种各样的安全服务，有着大量的应用，起 桥梁”的作用，在信息系统安全中占据十分重要的位置。 着“桥梁”的作用，在信息系统安全中占据十分重要的位置。 网络安全协议》是中山大学信息安全－ 《网络安全协议》是中山大学信息安全－网络安全技术课程 群中一门重要的课程。 群中一门重要的课程。
中山大学计算机系
第三次尝试协议
中山大学计算机系
1.4.3 重放 重放(Replay)
安全假设4:敌手能够从以前协议运行中通过密码分 安全假设4:敌手能够从以前协议运行中通过密码分 4: 析获取会话密钥K 析获取会话密钥KAB.
中山大学计算机系
对第三次尝试协议的攻击
中山大学计算机系
定义:一个临时值(Nonce)是一个主体产生的随机数 定义:一个临时值(Nonce)是一个主体产生的随机数 (Nonce) 并且在协议的一条消息中回传给该主体以表明此条 消息是最新产生的. 消息是最新产生的. 即挑战－应答（challenge-response） 即挑战－应答（challenge-response）
中山大学计算机系
1.2 为什么研究密码协议
即使只讨论最基本的认证协议，其中参加协议的主 即使只讨论最基本的认证协议， 体只有2 交换的消息只有3 体只有2-3个，交换的消息只有3-5条，设计一个正 确的、符合认证目标的、 确的、符合认证目标的、没有冗余的认证协议也是 很不容易的。 很不容易的。 Needham-Schroeder公开密钥认证协议（NSPK）于 Needham-Schroeder公开密钥认证协议（NSPK） 公开密钥认证协议 1978年提出 年提出， Lowe与1996年发现NSPK协议缺 年发现NSPK 1978年提出，Gavin Lowe与1996年发现NSPK协议缺 陷。
中山大学计算机系
协议目标
在协议结束时，KAB应该为A和B所知，但是除了S之 在协议结束时， 应该为A 所知，但是除了S 外的其它主体应该无法知道K 外的其它主体应该无法知道KAB A和B应该知道KAB时最新产生的 应该知道K
中山大学计算机系
wk.baidu.com
第一次尝试协议
S
1. A, 1 A B 2. KAB
A
3. KAB, A
中山大学计算机系
对第二次协议的攻击
中山大学计算机系
对第二次协议的另一种攻击
中山大学计算机系
安全假设3:敌手可以是合法的协议参与者(an 安全假设3:敌手可以是合法的协议参与者(an 3:敌手可以是合法的协议参与者 insider),或者一个外来者 或者一个外来者(an outsider),或者是 insider),或者一个外来者(an outsider),或者是 两者的组合. 两者的组合.
中山大学计算机系
教材、 教材、教学参考书和资料
《安全协议》作者：卿斯汉,丛书名：高等院校信息安全专业系列教 安全协议》作者：卿斯汉,丛书名： 2005年 材 清华大学出版社 2005年3月 《密码协议形式化分析》(高等院校信息安全专业规划教材) 作者:王 密码协议形式化分析》 高等院校信息安全专业规划教材) 作者: 亚弟、束妮娜、韩继红、 出版社： 亚弟、束妮娜、韩继红、王娜 出版社：机械工业出版社 The Modelling and Analysis of Security Protocols: the CSP 作者： Approach 作者：P.Y.A.Ryan and S.A.Schneider etc. First Edition 2001 《安全协议的建模与分析:CSP方式》作者：（英）瑞安，（英）施奈 安全协议的建模与分析:CSP方式》作者：（英 瑞安，（英 :CSP方式 ：（ ，（ 德 著，张玉清 等译 机械工业出版社 作者： Protocols for Authentication and Key Establishment 作者： Colin Boyd and Anish Mathuria. First Edition (September 17, 2003) 作者： Formal Correctness of Security Protocols 作者：Giampaolo Bella, 2007
中山大学计算机系
中山大学计算机系
1.4 实验：设计一个密钥建立协议 实验：
背景：A（Alice）和B（Bob）希望建立一个新鲜的 背景： Alice） Bob） 会话密钥（ Key） 会话密钥（Session Key）用来加密他们随后的通 信。 我们采用TTP（ Party） 我们采用TTP（Third Trusted Party）的方式来传 TTP 递信任关系 协议主体： Server） 协议主体：A，B，S（Third Trusted Server） 前提： 之间没有信任关系； 信任S 信任S 前提： A与B之间没有信任关系；A信任S；B信任S； 的任务是产生随机的会话密钥K 并传输给A S的任务是产生随机的会话密钥KAB并传输给A和B 会话密钥(Session Key)与长期密钥 会话密钥(Session Key)与长期密钥
中山大学计算机系
安全协议 (密码协议 密码协议) 密码协议
刘璟 liujing3@mail.sysu.edu.cn
中山大学计算机系
第一章 Introduction
课程介绍 什么是安全协议（密码协议） 1.1 什么是安全协议（密码协议） 1.2 为什么研究密码协议 1.3 两个简单有趣的安全协议攻击实例 实验： 1.4 实验：设计一个密钥建立协议 Dolev-Yao模型 1.5 Dolev-Yao模型 1.6 密码属性
中山大学计算机系
第二次尝试协议
A，S共享：KAS ， 共享 共享： B，S共享：KBS ， 共享 共享：
S
1. A, 1 A B 2. {KAB}KAS, {KAB}KBS
A
3. {KAB}KBS, A
B
中山大学计算机系
完美密码假设Perfect Cryptography 完美密码假设
中山大学计算机系