1、2020/7/28,電子科技大學 計算機科學與工程學院,計算系統(tǒng)與網(wǎng)絡安全Computer System and Network Security,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,安全服務（Security Services） Encryption, signatures, cryptographic hash, 安全機制（Security mechanisms

2、） Access control policy protocols 安全實現(xiàn)（Implementation） Cryptographic library Firewall IDS network protocol stack Information security foundation Number theory Computational complexity ,幾個基本概念,2020/7/28,幾個概念,2020/7/28,正確性與安全性,正確性：滿足規(guī)范 對合理的輸入，總可以得到合理的輸出 安全性：在存在攻擊者的條件下，滿足所要求的屬性 對不合理的輸入，輸出也不能帶來災難性的輸出結果

3、正確性與安全性的主要區(qū)別 受到攻擊者被動干擾 受到攻擊者主動干擾 即便設計極為精致，也可能存在漏洞,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,協(xié)議定義,什么是協(xié)議？ 協(xié)議是兩個或兩個以上的參與者所采取的一系列步驟以完成某項特點的任務 協(xié)議的內(nèi)涵 協(xié)議至少需要兩個參與者 參與者之間呈現(xiàn)為消息處理和消息交換的一系列步驟 通過執(zhí)行協(xié)議，必須能完成某項任務，或者達成某種共識,2020/7/28,協(xié)議特點,協(xié)議中的每人都必須了解協(xié)議，并且預先知道所要完成的所有步驟。 協(xié)議中的每人都必須同意遵循它。 協(xié)議

4、必須是不模糊的，每一步必須明確定義，并且不會引起誤解。 協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作。,2020/7/28,網(wǎng)絡協(xié)議定義,網(wǎng)絡協(xié)議：為網(wǎng)絡數(shù)據(jù)交換而制定的規(guī)則、標準或約定。 網(wǎng)絡協(xié)議三要素： 語法，數(shù)據(jù)與控制信息的結構或格式：數(shù)據(jù)格式、編碼和信號電平； 語義，需要發(fā)出何種控制信息，完成何種動作及做出的何種應答：協(xié)調與差錯處理的控制信息 規(guī)則，事件實現(xiàn)順序的詳細說明：速度匹配和排序,2020/7/28,安全協(xié)議定義,什么是安全協(xié)議？ 安全協(xié)議(Cryptographic Protocol)是在消息處理過程中采用了若干密碼算法的協(xié)議 安全協(xié)議的內(nèi)涵： 安全協(xié)議是一個協(xié)議 安

5、全協(xié)議涉及密碼算法 安全協(xié)議是在密碼算法的基礎上為網(wǎng)絡安全提供解決方案 兩方或者多方 在不安全信道上進行安全通信 使用密碼技術是為了達到某個目的 密鑰交換 身份認證 ,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,安全協(xié)議分類,按照協(xié)議的目的不同，常見的安全協(xié)議可以分為四類： 密鑰交換協(xié)議 認證協(xié)議 認證和密鑰交換協(xié)議 電子商務協(xié)議,2020/7/28,密鑰交換協(xié)議,密鑰交換協(xié)議用于會話密鑰的建立 會話密鑰：也叫工作密鑰，用于加密消息的一次性密鑰 協(xié)議中可以采用對稱密碼算法，也可以采用非對稱密碼算

6、法 對稱密碼算法：加密密鑰和解密密鑰相同 非對稱密碼算法：加密密鑰和解密密鑰不相同 密鑰交換協(xié)議一般不會單獨使用，而是往往與認證協(xié)議等相結合 密鑰交換協(xié)議分為兩種情況： 密鑰傳輸協(xié)議：共享密鑰來自于參與協(xié)議的某個主體 密鑰協(xié)商協(xié)議：共享密鑰根據(jù)協(xié)議參與者的輸入用某個函數(shù)產(chǎn)生,主體：協(xié)議參與者,2020/7/28,認證協(xié)議,認證是用來獲得誰對什么事情信任的一種方法 實體：一個身份的合法擁有者 主體：各種物理形式的人或物 認證協(xié)議包括實體認證（身份認證）協(xié)議、消息認證協(xié)議、數(shù)據(jù)起源認證協(xié)議和數(shù)據(jù)目的認證協(xié)議 認證協(xié)議主要用來防止假冒、篡改、否認等攻擊,2020/7/28,認證協(xié)議單項認證,認證協(xié)議

7、 單向認證：只認證通信中的一個主體 雙向認證：驗證通信中的兩個主體,2020/7/28,認證協(xié)議單項認證（續(xù)）,認證協(xié)議 單向認證：只認證通信中的一個主體 雙向認證：驗證通信中的兩個主體,例：ISO三次傳輸雙向認證,問題：ISO三次傳輸雙向認證是否安全？,思路：Bob同時與Alice和另外一個人通信的情況。,2020/7/28,認證與密鑰交換協(xié)議,認證和密鑰交換協(xié)議 該協(xié)議首先對通信實體的身份進行認證 如果認證成功，進一步進行密鑰交換，以建立通信中的工作密鑰 也叫密鑰確認協(xié)議 互聯(lián)網(wǎng)密鑰交換協(xié)議（IKE）、以及Kerberos等均屬于認證和密鑰交換協(xié)議,本課程后續(xù)將討論許多密鑰確認協(xié)議,202

8、0/7/28,電子商務協(xié)議,電子商務協(xié)議中主體往往代表交易的雙方 電子商務協(xié)議往往關注公平性，即協(xié)議應該保證交易雙方都不通過損害對方的利益而得到它不應該得到的利益 常見的電子商務協(xié)議有SET（Secure Electronic Transaction）協(xié)議等。,SET協(xié)議將作為一個作業(yè)討論，本課程不涉及該協(xié)議。,2020/7/28,安全協(xié)議分類,按照是否需要可信第三方（TTP）： 仲裁協(xié)議（Arbitrated Protocols）（包括裁決協(xié)議） 自動執(zhí)行協(xié)議（Self-Enforcing Protocols ）,2020/7/28,仲裁協(xié)議,Alice (A),Bob (B),Trent

9、(T),EA(RA,B,K,EB(K,A),EB(K,A）,K,K,EK(RB）,EK(RB1）,EK(M=I Love XXX),NeedhamSchroeder協(xié)議,問題：NS協(xié)議是否安全？,思路：消息3,2020/7/28,Trent (T),基于公鑰體制的認證協(xié)議： 基本方案,無可信第三方,問題：STS協(xié)議是否安全？,思路：考慮Alice和Bob之間有第三者Malice,Example6: 工作站工作站協(xié)議（STS）,自動執(zhí)行協(xié)議,2020/7/28,安全協(xié)議模型,安全協(xié)議模型 安全協(xié)議模型用于描述協(xié)議及所處的環(huán)境 安全協(xié)議模型設計以下要素： 誠實的主體集合 主體之間的通信 攻擊者集合

10、 主體及攻擊者所處環(huán)境及一組規(guī)則,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,攻擊者模型,對于攻擊者，比較好的一個模型是DolevYao模型。本課程后面將介紹。,協(xié)議模型最困難的部分在于對攻擊者的認識。,2020/7/28,攻擊者模型（續(xù)）,攻擊者 誠實主體之間的消息可為攻擊者截獲 攻擊者可以對截獲的消息進行各種操作 級聯(lián)、分離、加密和解密等 攻擊者有主動和被動之分 攻擊者可能的攻擊行為主要有 轉發(fā)消息到任意接受者、延遲消息到達、篡改消息、與原來消息合并、改變部分或者全部消息的去處、重放消息等,

11、對于攻擊者建模是非常復雜的課題。,2020/7/28,什么使得協(xié)議不安全,協(xié)議攻擊模型,安全協(xié)議的分類,什么是協(xié)議,第7章 協(xié)議安全技術（基礎A）,安全概述,2020/7/28,安全協(xié)議中安全的定義,安全協(xié)議中安全性的內(nèi)涵 安全協(xié)議的評判標準是檢查其欲達到的安全性是否遭到攻擊者的破壞 安全性主要包括： 認證性 機密性 完整性 不可否認性,2020/7/28,安全協(xié)議缺陷的定義,安全協(xié)議的缺陷 是協(xié)議不安全的固有屬性或性質 現(xiàn)實中協(xié)議不安全的主要原因包括： 設計不規(guī)范 執(zhí)行時產(chǎn)生,2020/7/28,安全協(xié)議缺陷的分類,分類 基本協(xié)議缺陷 協(xié)議中沒有或者很少防范攻擊者攻擊而引發(fā)的協(xié)議缺陷 如對加

12、密消息簽名，未考慮攻擊者可以替換原來的簽名 口令/密鑰猜測缺陷 口令或者密鑰選用常用的字詞，或者用戶選取了不安全的口令,2020/7/28,安全協(xié)議缺陷分類（續(xù)）,分類（續(xù)） 陳舊消息缺陷 沒有考慮消息的時效性（新鮮性），從而使得攻擊者可以進行重放攻擊 并行會話缺陷 協(xié)議設計對并行會話缺乏考慮，使得攻擊者可以相互交換適當?shù)膮f(xié)議消息來獲得更為重要的消息 內(nèi)部協(xié)議缺陷 協(xié)議參與者中至少有一方不能夠完成所有必須的動作而導致缺陷 密碼系統(tǒng)缺陷 協(xié)議中使用的密碼算法的安全強度問題導致協(xié)議不能完全滿足所要求的機密性、完整性、認證等需要而產(chǎn)生的缺陷,該協(xié)議是否安全呢？,有關協(xié)議攻擊的問題后續(xù)內(nèi)容討論,202

13、0/7/28,消息重放攻擊,消息重放攻擊是指攻擊者利用其消息再生能力生成誠實用戶所期望的消息格式，并重新發(fā)送，從而達到破壞協(xié)議安全性的目的。 消息重放的實質是消息的新鮮性（Freshness）不能得到保證。 消息重放攻擊是安全協(xié)議中最容易出現(xiàn)的問題之一。,2020/7/28,消息重放攻擊（續(xù)）,Alice (A),Bob (B),Trent (T),Example 1：NeedhamSchroeder協(xié)議,問題：如何攻擊該協(xié)議？,2020/7/28,消息重放攻擊（續(xù)）,消息重放攻擊分類 根據(jù)消息的來源： 協(xié)議輪內(nèi)攻擊：一個協(xié)議輪內(nèi)消息重放 協(xié)議輪外攻擊：一個協(xié)議不同輪次消息重放 根據(jù)消息的去向

14、： 偏轉攻擊：改變消息的去向 直接攻擊：將消息發(fā)送給意定接收方 其中偏轉攻擊分為： 反射攻擊：將消息返回給發(fā)送者 第三方攻擊：將消息發(fā)給協(xié)議合法通信雙方之外的任一方,本課程將單獨考慮反射攻擊,2020/7/28,消息重放攻擊（續(xù)）,消息重放對策（新鮮性對策） 挑戰(zhàn)應答機制 時戳機制（Timestamp） 序列號機制（Sequence No）,通信雙方通過消息中的序列號來判斷消息的新鮮性 要求通信雙方必須事先協(xié)商一個初始序列號，并協(xié)商遞增方法,對消息蓋上本地時戳，只有當消息上的時戳與當前本地時間的差值在意定范圍之內(nèi)，才接受該消息。 要求有一個全局同步時鐘，但是如果雙方時鐘偏差過大或者允許的范圍過

15、大，則可以被攻擊者利用。,通過發(fā)送挑戰(zhàn)值（Nonce：中文含義是現(xiàn)在，目前）來確保消息的新鮮性。,2020/7/28,含義： 驗證者（Bob）在協(xié)議消息的組合中擁有他的輸入消息：可能是一個一次性隨機數(shù)（稱之為Nonce）； 聲稱者（Alice）對該消息進行密碼操作，并返回給驗證者Bob； Bob能夠通過他自己輸入消息的新鮮性來驗證Alice通信的真實性。,聲稱者,驗證者,如果Alice的應答符合Bob的要求，則消息是新鮮的。,消息重放攻擊的對策：挑戰(zhàn)-應答,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,分類： 依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑戰(zhàn)應答機制分為： 對

16、稱密鑰加密機制 篡改碼機制（完整性機制） 非對稱密鑰簽名機制,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,對稱密鑰加密機制,如果Bob解密后的Nb與自己發(fā)送的相同，則接受。,M1，M2，M3等為可選消息參數(shù)。,國際標準化組織（ISO）將該方式稱之為“ISO兩次傳輸單向認證協(xié)議”,問題：這種挑戰(zhàn)應答機制是否存在問題？,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,對稱密鑰加密機制,加密的作用是機密性還是完整性？,消息的新鮮性其實是用完整性來提供的，因此這里的加密功能主要應該是完整性。,Bob期望的Nb是機密性還是完整性？,但是該對稱加密真的提供了完整性嗎？,問題：為什么

17、加密沒有提供足夠的完整性,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,完整性機制,采用篡改檢測碼（MDC）來實現(xiàn)完整性,對稱密碼技術：KeKv 公鑰密鑰技術：KeKv,MDC：Manipulation Detection Code,信源變換,信宿驗證,密鑰源,消息附加值,Kv,信宿,信道,Ke：編碼密鑰 Kv：驗證密鑰,MDC聲稱：MDCf（Ke，Data） MDC驗證：g（Kv，Data，MDC）true or false,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,完整性機制,采用篡改檢測碼（MDC）來實現(xiàn)完整性,MDC：Manipulation Detecti

18、on Code,f和g是密碼變換，對于對稱密碼算法，fg，而對公開密碼算法，fg。,由對成密碼算法聲稱的MDC稱之為消息認證碼（MAC）：Message Authentication Code,消息認證碼（MAC）的實現(xiàn)可以采用雜湊函數(shù) 也可以使用加密算法,MD5，SHA1,DES，3DES,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,完整性機制,Bob收到后重構MAC，如果相同則接受。,國際標準化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的 ISO兩次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,完整性機制,Bob收到后重構MAC，如果相同則

19、接受。,例：利用Hash函數(shù)實現(xiàn),2020/7/28,消息重放攻擊的對策：挑戰(zhàn)-應答（續(xù)）,非對稱密鑰簽名機制,Bob收到后利用Alice的公鑰驗證簽名。,國際標準化組織（ISO）將該方式稱之為“使用公鑰的 ISO兩次傳輸單向認證協(xié)議”,Na可以防止Alice對Bob意定消息簽名,2020/7/28,消息重放攻擊的對策：時戳,分類： 依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑戰(zhàn)應答機制分為： 對稱密鑰加密機制 篡改碼機制（完整性機制） 非對稱密鑰簽名機制,2020/7/28,消息重放攻擊的對策：時戳（續(xù)）,對稱密鑰加密機制,Bob收到后解密得到時戳，并與本地時間比較。如果在允許范圍內(nèi)

20、就接受。,國際標準化組織（ISO）將該方式稱之為“ISO對稱密鑰一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：時戳（續(xù)）,完整性機制,Bob收到后重構MAC，并比較是否相同；如果相同則接受。,國際標準化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的ISO一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：時戳（續(xù)）,非對稱密鑰簽名機制,Bob收到后利用Alice的公鑰驗證簽名。,國際標準化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：時戳（續(xù)）,分類： 依據(jù)聲稱者（Alice）對該消息進行密碼操作不同，挑

21、戰(zhàn)應答機制分為： 對稱密鑰加密機制 篡改碼機制（完整性機制） 非對稱密鑰簽名機制,2020/7/28,消息重放攻擊的對策：時戳（續(xù)）,對稱密鑰加密機制,Bob收到后解密得到時戳，并與本地時間比較。如果在允許范圍內(nèi)就接受。,國際標準化組織（ISO）將該方式稱之為“ISO對稱密鑰一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：序列號,完整性機制,Bob收到后重構MAC，并比較是否相同；如果相同則接受。,國際標準化組織（ISO）將該方式稱之為“使用密碼驗證函數(shù)的ISO一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：序列號（續(xù)）,非對稱密鑰簽名機制,Bob收到后利用Alice的公鑰驗證簽名。,國際標準化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認證協(xié)議”,2020/7/28,消息重放攻擊的對策：序列號（續(xù)）,對稱算法,2020/7/28,消息重放攻擊的對策：序列號（續(xù)）,非對稱算法,2020/7/28,參考資料,Bruce Schneier（吳世忠登譯），應用密碼學協(xié)議、算法與C源程序，機械工業(yè)出版社，2000,第二章，第三章,2020/7/28,參考資料,范紅