1安全協(xié)議概述課件

1安全協(xié)議概述1安全協(xié)議概述2協(xié)議

所謂協(xié)議，就是兩個或者兩個以上的參與者為完成某項特定的任務(wù)而采取的一系列步驟。在日常生活中，幾乎所有的事情都有非正式的協(xié)議：電話訂貨、玩撲克、選舉中投票，沒有人認(rèn)真考慮過這些協(xié)議，這些協(xié)議隨著時間的推移而發(fā)展，人們都知道怎樣使用它們，而且它們也很有效。2協(xié)議所謂協(xié)議，就是兩個或者兩個以上的參與者為完成某項特定3協(xié)議的主要特點

協(xié)議具有以下特點：協(xié)議自始至終是有序的過程，每一個步驟必須執(zhí)行，在前一步?jīng)]有執(zhí)行完之前，后面的步驟不可能執(zhí)行；協(xié)議至少需要兩個參與者；通過協(xié)議必須能夠完成某項任務(wù)。3協(xié)議的主要特點協(xié)議具有以下特點：4協(xié)議的其他特點

協(xié)議還有其他特點：（1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。（2）協(xié)議中的每人都必須同意遵循它。（3）協(xié)議必須是不模糊的，每一步必須明確定義，并且不會引起誤解。（4）協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作。

4協(xié)議的其他特點協(xié)議還有其他特點：5協(xié)議與算法

相同點完成某項任務(wù)要求高效區(qū)別算法應(yīng)用于協(xié)議中消息處理的環(huán)節(jié)，對不同的消息處理方式要求不同的算法協(xié)議是應(yīng)用算法提供實現(xiàn)方案5協(xié)議與算法相同點6安全協(xié)議密碼學(xué)的用途是解決種種難題。當(dāng)我們考慮現(xiàn)實世界中的應(yīng)用時，常常遇到以下安全需求：機(jī)密性、完整性、認(rèn)證性、匿名性、公平性等，密碼學(xué)解決的各種難題圍繞這些安全需求。密碼協(xié)議（cryptographicprotocol）是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，又稱安全協(xié)議（securityprotocol）。在密碼協(xié)議中，經(jīng)常使用對稱密碼、公開密鑰密碼、單向函數(shù)、偽隨機(jī)數(shù)生成器等。

6安全協(xié)議密碼學(xué)的用途是解決種種難題。7安全協(xié)議中的角色協(xié)議參與者認(rèn)證協(xié)議:發(fā)起者/響應(yīng)者簽名協(xié)議:簽名申請者/簽署人/驗證人零知識證明:證明者/驗證者電子商務(wù)協(xié)議:商家/銀行/用戶攻擊者(或稱敵手)內(nèi)部攻擊者/外部攻擊者被動攻擊者/主動攻擊者可信第三方7安全協(xié)議中的角色協(xié)議參與者8安全協(xié)議的安全性質(zhì)

機(jī)密性

完整性

認(rèn)證性非否認(rèn)性正確性

可驗證性公平性匿名性

隱私屬性強(qiáng)健性

高效性

這些要求根據(jù)應(yīng)用組合

8安全協(xié)議的安全性質(zhì)機(jī)密性這些要求9基本的安全協(xié)議

拋幣游戲假設(shè)在通信網(wǎng)絡(luò)上有兩個人要玩拋硬幣的游戲游戲的公平性？

盲簽名

簽名者不知道所簽署數(shù)據(jù)的內(nèi)容，也不知道簽名的結(jié)果許多應(yīng)用需要匿名或隱私如數(shù)字現(xiàn)金、電子選舉

密鑰協(xié)商兩個或多個實體協(xié)商，共同建立會話密鑰，任何一個參與者均對結(jié)果產(chǎn)生影響不需要任何可信的第三方（TTP）9基本的安全協(xié)議拋幣游戲10

秘密共享

把一個秘密消息分成n塊，分割給一組參與者每個參與者只擁有一塊

只有所有塊組合在一起才能恢復(fù)秘密

每一塊對擁有者來說是沒用的.

門限方案

用公鑰加密消息，對應(yīng)的私鑰n個人共享，m為門限值為了解密密文，利用任意m（2≤m≤n）個或更多個共享份額才可以恢復(fù)私鑰基本的安全協(xié)議

10秘密共享基本的安全協(xié)議11基本的安全協(xié)議

零知識證明

假如某個協(xié)議向V證明P的確掌握某些信息，但V無法推斷出這些信息是什么如果V除了知道P能夠證明某一事實外，不能夠得到其他任何知識

鑒別與認(rèn)證在通信網(wǎng)絡(luò)上,通信一方Alice向通信的另一方Bob證明他就是真正的Alice.允許通信一方Alice向另一方Bob證明他擁有秘密消息而不用泄漏消息11基本的安全協(xié)議零知識證明12基本的安全協(xié)議

私有信息檢索

(PIR)

允許一個用戶查詢一個數(shù)據(jù)庫，而數(shù)據(jù)庫不知道他查詢的是什么

安全多方計算

(SMC)

一組參與者希望共同計算某個約定的函數(shù)，每個參與者提供函數(shù)的一個輸入出于安全考慮，要求參與者提供的輸入對其他人保密12基本的安全協(xié)議私有信息檢索(PIR)13協(xié)議的應(yīng)用

電子商務(wù)

SET(安全電子交易)–

信用卡交易

數(shù)字現(xiàn)金,電子支票,電子貨幣

電子拍賣

網(wǎng)上銀行

電子政務(wù)

電子選舉

公平交換

(簽約)

應(yīng)用環(huán)境

傳統(tǒng)的應(yīng)用的轉(zhuǎn)變新應(yīng)用的出現(xiàn)促進(jìn)了密碼學(xué)的發(fā)展

13協(xié)議的應(yīng)用電子商務(wù)14Dolev和Yao攻擊者模型認(rèn)為攻擊者具有如下能力：(1)可以竊聽所有經(jīng)過網(wǎng)絡(luò)的消息；(2)可以阻止和截獲所有經(jīng)過網(wǎng)絡(luò)的消息；(3)可以存儲所獲得或自身創(chuàng)造的消息；(4)可以根據(jù)存儲的消息偽造消息，并發(fā)送該消息；(5)可以作為合法的主體參與協(xié)議的運(yùn)行。14Dolev和Yao攻擊者模型認(rèn)為攻擊者具有如下能力：15安全協(xié)議的攻擊原因協(xié)議的參與者可能是完全信任的人，也可能是攻擊者和完全不信任的人。

許多面對面的協(xié)議依靠人的現(xiàn)場存在來保證公平和安全。你會交給陌生人一疊現(xiàn)金去為你買食品嗎？如果你沒有看到他洗牌和發(fā)牌，你愿意和他玩撲克嗎？如果沒有匿名的保證，你會將秘密投票寄給政府嗎？那種假設(shè)使用計算機(jī)網(wǎng)絡(luò)的人都是誠實的想法，是天真的。天真的想法還有：假設(shè)計算機(jī)網(wǎng)絡(luò)的管理員是誠實的，假設(shè)計算機(jī)網(wǎng)絡(luò)的設(shè)計者是誠實的。

15安全協(xié)議的攻擊原因協(xié)議的參與者可能是完全信任的人，也可能16攻擊途徑攻擊協(xié)議中所用的密碼算法攻擊用來實現(xiàn)該算法和協(xié)議的密碼技術(shù)攻擊協(xié)議16攻擊途徑攻擊協(xié)議中所用的密碼算法17攻擊手法竊聽攻擊者獲取協(xié)議運(yùn)行中所傳輸?shù)南⒋鄹墓粽吒膮f(xié)議運(yùn)行中所傳輸?shù)南⒌膬?nèi)容重放攻擊者記錄已經(jīng)獲取的消息并在隨后的協(xié)議運(yùn)行中發(fā)送給相同的或不同的接收者預(yù)重放重放的一種反射攻擊者將消息發(fā)回給消息的發(fā)送者拒絕服務(wù)攻擊者阻止合法用戶完成協(xié)議類型攻擊攻擊者將協(xié)議運(yùn)行中某一類消息域替換成其它的消息域密碼分析攻擊者利用在協(xié)議運(yùn)行中所獲取的消息進(jìn)行分析以獲取有用的信息證書操縱攻擊者選擇或更改證書信息來攻擊協(xié)議的運(yùn)行17攻擊手法竊聽攻擊者獲取協(xié)議運(yùn)行中所傳輸18竊聽明文傳輸認(rèn)證信息POP3/SMTPFTPTelnet被動攻擊,破壞機(jī)密性搭線竊聽/廣播網(wǎng)絡(luò)/肩窺18竊聽明文傳輸認(rèn)證信息19篡改刪除修改偽造亂序重放插入主動攻擊,破壞完整性,有時加密并不能提供數(shù)據(jù)完整性19篡改刪除20重放篡改的一種特例拷貝+重放20重放篡改的一種特例21預(yù)重放重放的一種特例C竊聽A與B的會話,但計算不出A與B的會話密鑰,之后,C與A會話,C與B會話,C計算出之前A與B的會話密鑰21預(yù)重放重放的一種特例22反射重放特例1.A→B：{NA}K2.B→A：{NB}K，NA3.A→B：NB22反射重放特例23反射C假冒B1.A→C：{NA}K1’.C→A：{NA}K2’.A→C：{N’A}K，NA2.C→A：{N’A}K，NA3.A→C：N’A3’.C→A：N’A23反射C假冒B24拒絕服務(wù)例如:口令更換協(xié)議/RFID認(rèn)證協(xié)議/死鎖/郵件自動回復(fù)1.Aura，Nikander提出的無狀態(tài)連接保護(hù)對服務(wù)器的連接資源?？蛻舳吮４娣?wù)器需要的所有狀態(tài)并在發(fā)送消息時返回給服務(wù)器。這要求服務(wù)器對于每個消息的狀態(tài)信息進(jìn)行認(rèn)證性和秘密性的驗證，增加了通信代價和計算代價。例如cookies24拒絕服務(wù)例如:口令更換協(xié)議/RFID認(rèn)證協(xié)議/死鎖/郵件25拒絕服務(wù)2.Meadows的工作提出為保護(hù)連接資源，每一個信息必須被認(rèn)證，但是可以采用弱認(rèn)證的方式來降低認(rèn)證時消耗的計算代價。提出了基于fail－stop思想的協(xié)議。3.Juels，Brainard提出了基于clientpuzzles思想的機(jī)制加強(qiáng)認(rèn)證的強(qiáng)度。使得用戶在發(fā)起新的連接時必須解決一個puzzle。這樣對于攻擊者來說要發(fā)起拒絕服務(wù)攻擊就必須解決很多的puzzle。25拒絕服務(wù)2.Meadows的工作提出為保護(hù)連接資源，26類型攻擊當(dāng)用戶接收到的信息都是二進(jìn)制串時，用戶無法判斷是否是經(jīng)過加密等處理。類型攻擊就是利用這一點使得用戶將一個消息錯誤的解釋成其他的消息。26類型攻擊當(dāng)用戶接收到的信息都是二進(jìn)制串時，用戶無法判斷是27類型攻擊OtwayRees協(xié)議:類型攻擊:假冒B.1,41.AB:M,A,B,{NA,M,A,B}KAS2.BS:M,A,B,{NA,M,A,B}KAS,{NB,M,A,B}KBS3.SB:M,{NA,KAB}KAS,{NB,KAB}KBS4.BA:M,{NA,KAB}KASABS27類型攻擊OtwayRees協(xié)議:類型攻擊:假冒B.1,28類型攻擊抵抗類型攻擊的方法有很多，有的使用每次改變消息元素的順序，確保每次的加密密鑰不同?；蛘咴谙⒅刑砑诱J(rèn)證數(shù)或消息域的類型信息28類型攻擊抵抗類型攻擊的方法有很多，有的使用每次改變消息元29密碼分析一般來講在進(jìn)行協(xié)議分析的時候我們不考慮算法本身的問題。但實際中還需要注意一些問題。例如產(chǎn)生弱密鑰的可能性。尤其是在一些基于口令的協(xié)議當(dāng)中，為了便于記憶，口令一般不夠長從而使得猜測或者遍歷成為可能。29密碼分析一般來講在進(jìn)行協(xié)議分析的時候我們不考慮算法本身的30證書操縱A和B分別擁有公鑰ga和gb

1.A→B：gx，Cert(A)2.B→A：gy，Cert(B)共享密鑰是KAB=g

ay

+bx

30證書操縱A和B分別擁有公鑰ga和gb31證書操縱攻擊者C選擇一個隨機(jī)值c，聲明gac是他的公鑰1.A→CB：gx，Cert(A)1’.C→B：gx，Cert(C)2’.B→C：gy，Cert(B)2.CB→A：gyc，Cert(B)A,B將計算密鑰KAB=g

acy

+

bx。但A相信僅A和B知道這個密鑰而B相信僅C和B知道這個密鑰。31證書操縱攻擊者C選擇一個隨機(jī)值c，聲明gac是他的32證書操縱一般的，用戶可以使用零知識證明向服務(wù)器證明自己掌握相應(yīng)的私鑰?；蛘哂脩艨梢杂盟借€簽署一個特殊的消息或者挑戰(zhàn)證明證書的可靠性。32證書操縱一般的，用戶可以使用零知識證明向服務(wù)器證明自己33協(xié)議交互大多數(shù)長期密鑰都用在單個的協(xié)議中。但是，可以出現(xiàn)密鑰用于多個協(xié)議的情況。如在存儲能力很小的設(shè)備有多個應(yīng)用的情形(智能卡)。例如，一個利用解密來證明持有認(rèn)證密鑰的協(xié)議，可能會被攻擊者用來解密另外一個協(xié)議中的消息攻擊者也可以自己構(gòu)造新的協(xié)議使其和要攻擊的協(xié)議交互運(yùn)行來達(dá)到自己的攻擊目的（選擇協(xié)議攻擊）33協(xié)議交互大多數(shù)長期密鑰都用在單個的協(xié)議中。但是，可以出現(xiàn)34安全協(xié)議的缺陷基本協(xié)議缺陷并行會話缺陷口令猜測缺陷陳舊消息缺陷內(nèi)部協(xié)議缺陷密碼系統(tǒng)缺陷34安全協(xié)議的缺陷基本協(xié)議缺陷35安全協(xié)議設(shè)計的困難性

安全協(xié)議設(shè)計與分析的困難性在于：(1)安全目標(biāo)本身的微妙性。例如，表面上十分簡單的“認(rèn)證目標(biāo)”，實際上十分微妙。(2)協(xié)議運(yùn)行環(huán)境的復(fù)雜性.實際上,當(dāng)安全協(xié)議運(yùn)行在一個十分復(fù)雜的公開環(huán)境時,攻擊者處處存在。(3)攻擊者模型的復(fù)雜性。我們必須形式化地描述攻擊者的能力，對攻擊者和攻擊行為進(jìn)行分類和形式化的分析。(4)安全協(xié)議本身具有“高并發(fā)性”的特點。35安全協(xié)議設(shè)計的困難性安全協(xié)議設(shè)計與分析的困難性在于：36安全協(xié)議的設(shè)計原則

在設(shè)計協(xié)議時，如何保證安全協(xié)議能夠滿足保密性、無冗余、認(rèn)證身份等設(shè)計目標(biāo)呢?經(jīng)過總結(jié)，有安全協(xié)議的設(shè)計原則。(1)設(shè)計目標(biāo)明確，無二義性；(2)最好應(yīng)用描述協(xié)議的形式語言，對安全協(xié)議本身進(jìn)行形式化描述；(3)通過形式化分析方法證明安全協(xié)議實現(xiàn)設(shè)計目標(biāo)；(4)安全性與具體采用的密碼算法無關(guān)；36安全協(xié)議的設(shè)計原則在設(shè)計協(xié)議時，如何保證安全協(xié)議能夠滿37安全協(xié)議的設(shè)計原則

(5)保證臨時值和會話密鑰等重要消息的新鮮性,防止重放攻擊；(6)盡量采用異步認(rèn)證方式，避免采用同步時鐘(時戳)的認(rèn)證方式；(7)具有抵抗常見攻擊，特別是防止重放攻擊的能力；(8)進(jìn)行運(yùn)行環(huán)境的風(fēng)險分析,作盡可能少的初始安全假設(shè)；(9)實用性強(qiáng)，可用于各種網(wǎng)絡(luò)的不同協(xié)議層；(10)盡可能減少密碼運(yùn)算，以降低成本,擴(kuò)大應(yīng)用范圍。37安全協(xié)議的設(shè)計原則(5)保證臨時值和會話密鑰等重要消38好的安全協(xié)議滿足目標(biāo)(應(yīng)用目標(biāo),安全目標(biāo))各方計算量小易于實現(xiàn)各方存儲量小通信負(fù)載小(延遲小,占用帶寬小)交互輪數(shù)少38好的安全協(xié)議滿足目標(biāo)(應(yīng)用目標(biāo),安全目標(biāo))39安全協(xié)議的三大理論分析方法安全多方計算

安全協(xié)議的形式化分析方法

安全協(xié)議的可證明安全性理論

39安全協(xié)議的三大理論分析方法安全多方計算40安全協(xié)議概述1安全協(xié)議概述41協(xié)議

所謂協(xié)議，就是兩個或者兩個以上的參與者為完成某項特定的任務(wù)而采取的一系列步驟。在日常生活中，幾乎所有的事情都有非正式的協(xié)議：電話訂貨、玩撲克、選舉中投票，沒有人認(rèn)真考慮過這些協(xié)議，這些協(xié)議隨著時間的推移而發(fā)展，人們都知道怎樣使用它們，而且它們也很有效。2協(xié)議所謂協(xié)議，就是兩個或者兩個以上的參與者為完成某項特定42協(xié)議的主要特點

協(xié)議具有以下特點：協(xié)議自始至終是有序的過程，每一個步驟必須執(zhí)行，在前一步?jīng)]有執(zhí)行完之前，后面的步驟不可能執(zhí)行；協(xié)議至少需要兩個參與者；通過協(xié)議必須能夠完成某項任務(wù)。3協(xié)議的主要特點協(xié)議具有以下特點：43協(xié)議的其他特點

協(xié)議還有其他特點：（1）協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。（2）協(xié)議中的每人都必須同意遵循它。（3）協(xié)議必須是不模糊的，每一步必須明確定義，并且不會引起誤解。（4）協(xié)議必須是完整的，對每種可能的情況必須規(guī)定具體的動作。

4協(xié)議的其他特點協(xié)議還有其他特點：44協(xié)議與算法

相同點完成某項任務(wù)要求高效區(qū)別算法應(yīng)用于協(xié)議中消息處理的環(huán)節(jié)，對不同的消息處理方式要求不同的算法協(xié)議是應(yīng)用算法提供實現(xiàn)方案5協(xié)議與算法相同點45安全協(xié)議密碼學(xué)的用途是解決種種難題。當(dāng)我們考慮現(xiàn)實世界中的應(yīng)用時，常常遇到以下安全需求：機(jī)密性、完整性、認(rèn)證性、匿名性、公平性等，密碼學(xué)解決的各種難題圍繞這些安全需求。密碼協(xié)議（cryptographicprotocol）是使用密碼學(xué)完成某項特定的任務(wù)并滿足安全需求的協(xié)議，又稱安全協(xié)議（securityprotocol）。在密碼協(xié)議中，經(jīng)常使用對稱密碼、公開密鑰密碼、單向函數(shù)、偽隨機(jī)數(shù)生成器等。

6安全協(xié)議密碼學(xué)的用途是解決種種難題。46安全協(xié)議中的角色協(xié)議參與者認(rèn)證協(xié)議:發(fā)起者/響應(yīng)者簽名協(xié)議:簽名申請者/簽署人/驗證人零知識證明:證明者/驗證者電子商務(wù)協(xié)議:商家/銀行/用戶攻擊者(或稱敵手)內(nèi)部攻擊者/外部攻擊者被動攻擊者/主動攻擊者可信第三方7安全協(xié)議中的角色協(xié)議參與者47安全協(xié)議的安全性質(zhì)

機(jī)密性

完整性

認(rèn)證性非否認(rèn)性正確性

可驗證性公平性匿名性

隱私屬性強(qiáng)健性

高效性

這些要求根據(jù)應(yīng)用組合

8安全協(xié)議的安全性質(zhì)機(jī)密性這些要求48基本的安全協(xié)議

拋幣游戲假設(shè)在通信網(wǎng)絡(luò)上有兩個人要玩拋硬幣的游戲游戲的公平性？

盲簽名

簽名者不知道所簽署數(shù)據(jù)的內(nèi)容，也不知道簽名的結(jié)果許多應(yīng)用需要匿名或隱私如數(shù)字現(xiàn)金、電子選舉

密鑰協(xié)商兩個或多個實體協(xié)商，共同建立會話密鑰，任何一個參與者均對結(jié)果產(chǎn)生影響不需要任何可信的第三方（TTP）9基本的安全協(xié)議拋幣游戲49

秘密共享

把一個秘密消息分成n塊，分割給一組參與者每個參與者只擁有一塊

只有所有塊組合在一起才能恢復(fù)秘密

每一塊對擁有者來說是沒用的.

門限方案

用公鑰加密消息，對應(yīng)的私鑰n個人共享，m為門限值為了解密密文，利用任意m（2≤m≤n）個或更多個共享份額才可以恢復(fù)私鑰基本的安全協(xié)議

10秘密共享基本的安全協(xié)議50基本的安全協(xié)議

零知識證明

假如某個協(xié)議向V證明P的確掌握某些信息，但V無法推斷出這些信息是什么如果V除了知道P能夠證明某一事實外，不能夠得到其他任何知識

鑒別與認(rèn)證在通信網(wǎng)絡(luò)上,通信一方Alice向通信的另一方Bob證明他就是真正的Alice.允許通信一方Alice向另一方Bob證明他擁有秘密消息而不用泄漏消息11基本的安全協(xié)議零知識證明51基本的安全協(xié)議

私有信息檢索

(PIR)

允許一個用戶查詢一個數(shù)據(jù)庫，而數(shù)據(jù)庫不知道他查詢的是什么

安全多方計算

(SMC)

一組參與者希望共同計算某個約定的函數(shù)，每個參與者提供函數(shù)的一個輸入出于安全考慮，要求參與者提供的輸入對其他人保密12基本的安全協(xié)議私有信息檢索(PIR)52協(xié)議的應(yīng)用

電子商務(wù)

SET(安全電子交易)–

信用卡交易

數(shù)字現(xiàn)金,電子支票,電子貨幣

電子拍賣

網(wǎng)上銀行

電子政務(wù)

電子選舉

公平交換

(簽約)

應(yīng)用環(huán)境

傳統(tǒng)的應(yīng)用的轉(zhuǎn)變新應(yīng)用的出現(xiàn)促進(jìn)了密碼學(xué)的發(fā)展

13協(xié)議的應(yīng)用電子商務(wù)53Dolev和Yao攻擊者模型認(rèn)為攻擊者具有如下能力：(1)可以竊聽所有經(jīng)過網(wǎng)絡(luò)的消息；(2)可以阻止和截獲所有經(jīng)過網(wǎng)絡(luò)的消息；(3)可以存儲所獲得或自身創(chuàng)造的消息；(4)可以根據(jù)存儲的消息偽造消息，并發(fā)送該消息；(5)可以作為合法的主體參與協(xié)議的運(yùn)行。14Dolev和Yao攻擊者模型認(rèn)為攻擊者具有如下能力：54安全協(xié)議的攻擊原因協(xié)議的參與者可能是完全信任的人，也可能是攻擊者和完全不信任的人。

許多面對面的協(xié)議依靠人的現(xiàn)場存在來保證公平和安全。你會交給陌生人一疊現(xiàn)金去為你買食品嗎？如果你沒有看到他洗牌和發(fā)牌，你愿意和他玩撲克嗎？如果沒有匿名的保證，你會將秘密投票寄給政府嗎？那種假設(shè)使用計算機(jī)網(wǎng)絡(luò)的人都是誠實的想法，是天真的。天真的想法還有：假設(shè)計算機(jī)網(wǎng)絡(luò)的管理員是誠實的，假設(shè)計算機(jī)網(wǎng)絡(luò)的設(shè)計者是誠實的。

15安全協(xié)議的攻擊原因協(xié)議的參與者可能是完全信任的人，也可能55攻擊途徑攻擊協(xié)議中所用的密碼算法攻擊用來實現(xiàn)該算法和協(xié)議的密碼技術(shù)攻擊協(xié)議16攻擊途徑攻擊協(xié)議中所用的密碼算法56攻擊手法竊聽攻擊者獲取協(xié)議運(yùn)行中所傳輸?shù)南⒋鄹墓粽吒膮f(xié)議運(yùn)行中所傳輸?shù)南⒌膬?nèi)容重放攻擊者記錄已經(jīng)獲取的消息并在隨后的協(xié)議運(yùn)行中發(fā)送給相同的或不同的接收者預(yù)重放重放的一種反射攻擊者將消息發(fā)回給消息的發(fā)送者拒絕服務(wù)攻擊者阻止合法用戶完成協(xié)議類型攻擊攻擊者將協(xié)議運(yùn)行中某一類消息域替換成其它的消息域密碼分析攻擊者利用在協(xié)議運(yùn)行中所獲取的消息進(jìn)行分析以獲取有用的信息證書操縱攻擊者選擇或更改證書信息來攻擊協(xié)議的運(yùn)行17攻擊手法竊聽攻擊者獲取協(xié)議運(yùn)行中所傳輸57竊聽明文傳輸認(rèn)證信息POP3/SMTPFTPTelnet被動攻擊,破壞機(jī)密性搭線竊聽/廣播網(wǎng)絡(luò)/肩窺18竊聽明文傳輸認(rèn)證信息58篡改刪除修改偽造亂序重放插入主動攻擊,破壞完整性,有時加密并不能提供數(shù)據(jù)完整性19篡改刪除59重放篡改的一種特例拷貝+重放20重放篡改的一種特例60預(yù)重放重放的一種特例C竊聽A與B的會話,但計算不出A與B的會話密鑰,之后,C與A會話,C與B會話,C計算出之前A與B的會話密鑰21預(yù)重放重放的一種特例61反射重放特例1.A→B：{NA}K2.B→A：{NB}K，NA3.A→B：NB22反射重放特例62反射C假冒B1.A→C：{NA}K1’.C→A：{NA}K2’.A→C：{N’A}K，NA2.C→A：{N’A}K，NA3.A→C：N’A3’.C→A：N’A23反射C假冒B63拒絕服務(wù)例如:口令更換協(xié)議/RFID認(rèn)證協(xié)議/死鎖/郵件自動回復(fù)1.Aura，Nikander提出的無狀態(tài)連接保護(hù)對服務(wù)器的連接資源。客戶端保存服務(wù)器需要的所有狀態(tài)并在發(fā)送消息時返回給服務(wù)器。這要求服務(wù)器對于每個消息的狀態(tài)信息進(jìn)行認(rèn)證性和秘密性的驗證，增加了通信代價和計算代價。例如cookies24拒絕服務(wù)例如:口令更換協(xié)議/RFID認(rèn)證協(xié)議/死鎖/郵件64拒絕服務(wù)2.Meadows的工作提出為保護(hù)連接資源，每一個信息必須被認(rèn)證，但是可以采用弱認(rèn)證的方式來降低認(rèn)證時消耗的計算代價。提出了基于fail－stop思想的協(xié)議。3.Juels，Brainard提出了基于clientpuzzles思想的機(jī)制加強(qiáng)認(rèn)證的強(qiáng)度。使得用戶在發(fā)起新的連接時必須解決一個puzzle。這樣對于攻擊者來說要發(fā)起拒絕服務(wù)攻擊就必須解決很多的puzzle。25拒絕服務(wù)2.Meadows的工作提出為保護(hù)連接資源，65類型攻擊當(dāng)用戶接收到的信息都是二進(jìn)制串時，用戶無法判斷是否是經(jīng)過加密等處理。類型攻擊就是利用這一點使得用戶將一個消息錯誤的解釋成其他的消息。26類型攻擊當(dāng)用戶接收到的信息都是二進(jìn)制串時，用戶無法判斷是66類型攻擊OtwayRees協(xié)議:類型攻擊:假冒B.1,41.AB:M,A,B,{NA,M,A,B}KAS2.BS:M,A,B,{NA,M,A,B}KAS,{NB,M,A,B}KBS3.SB:M,{NA,KAB}KAS,{NB,KAB}KBS4.BA:M,{NA,KAB}KASABS27類型攻擊OtwayRees協(xié)議:類型攻擊:假冒B.1,67類型攻擊抵抗類型攻擊的方法有很多，有的使用每次改變消息元素的順序，確保每次的加密密鑰不同?；蛘咴谙⒅刑砑诱J(rèn)證數(shù)或消息域的類型信息28類型攻擊抵抗類型攻擊的方法有很多，有的使用每次改變消息元68密碼分析一般來講在進(jìn)行協(xié)議分析的時候我們不考慮算法本身的問題。但實際中還需要注意一些問題。例如產(chǎn)生弱密鑰的可能性。尤其是在一些基于口令的協(xié)議當(dāng)中，為了便于記憶，口令一般不夠長從而使得猜測或者遍歷成為可能。29密碼分析一般來講在進(jìn)行協(xié)議分析的時候我們不考慮算法本身的69證書操縱A和B分別擁有公鑰ga和gb

1.A→B：gx，Cert(A)2.B→A：gy，Cert(B)共享密鑰是KAB=g

ay

+bx

30證書操縱A和B分別擁有公鑰ga和gb70證書操縱攻擊者C選擇一個隨機(jī)值c，聲明gac是他的公鑰1.A→CB：gx，Cert(A)1’.C→B：gx，Cert(C)2’.B→C：gy，Cert(B)2.CB→A：gyc，Cert(B)A,B將計算密鑰KAB=g

acy

+

bx。但A相信僅A和B知道這個密鑰而B相信僅C和B知道這個密鑰。31證書操縱攻擊者C選擇一個隨機(jī)值c，聲明gac是他的71證書操縱一般的，用戶可以使用零知