電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院培訓(xùn)課件

電子科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院計(jì)算系統(tǒng)與網(wǎng)絡(luò)安全

ComputerSystemandNetworkSecurity2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全服務(wù)（SecurityServices）Encryption,signatures,cryptographichash,…安全機(jī)制（Securitymechanisms）Accesscontrolpolicyprotocols安全實(shí)現(xiàn)（Implementation）CryptographiclibraryFirewallIDSnetworkprotocolstackInformationsecurityfoundationNumbertheoryComputationalcomplexity……幾個(gè)基本概念2024/9/26正確性與安全性正確性：滿足規(guī)范對(duì)合理的輸入，總可以得到合理的輸出安全性：在存在攻擊者的條件下，滿足所要求的屬性對(duì)不合理的輸入，輸出也不能帶來(lái)災(zāi)難性的輸出結(jié)果正確性與安全性的主要區(qū)別受到攻擊者被動(dòng)干擾受到攻擊者主動(dòng)干擾即便設(shè)計(jì)極為精致，也可能存在漏洞2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26協(xié)議定義什么是協(xié)議？協(xié)議是兩個(gè)或兩個(gè)以上的參與者所采取的一系列步驟以完成某項(xiàng)特點(diǎn)的任務(wù)協(xié)議的內(nèi)涵協(xié)議至少需要兩個(gè)參與者參與者之間呈現(xiàn)為消息處理和消息交換的一系列步驟通過(guò)執(zhí)行協(xié)議，必須能完成某項(xiàng)任務(wù)，或者達(dá)成某種共識(shí)2024/9/26協(xié)議特點(diǎn)協(xié)議中的每人都必須了解協(xié)議，并且預(yù)先知道所要完成的所有步驟。協(xié)議中的每人都必須同意遵循它。協(xié)議必須是不模糊的，每一步必須明確定義，并且不會(huì)引起誤解。協(xié)議必須是完整的，對(duì)每種可能的情況必須規(guī)定具體的動(dòng)作。

2024/9/26網(wǎng)絡(luò)協(xié)議定義網(wǎng)絡(luò)協(xié)議：

為網(wǎng)絡(luò)數(shù)據(jù)交換而制定的規(guī)則、標(biāo)準(zhǔn)或約定。網(wǎng)絡(luò)協(xié)議三要素：①語(yǔ)法，數(shù)據(jù)與控制信息的結(jié)構(gòu)或格式：數(shù)據(jù)格式、編碼和信號(hào)電平；②語(yǔ)義，需要發(fā)出何種控制信息，完成何種動(dòng)作及做出的何種應(yīng)答：協(xié)調(diào)與差錯(cuò)處理的控制信息③規(guī)則，事件實(shí)現(xiàn)順序的詳細(xì)說(shuō)明：速度匹配和排序2024/9/26安全協(xié)議定義什么是安全協(xié)議？安全協(xié)議(CryptographicProtocol)是在消息處理過(guò)程中采用了若干密碼算法的協(xié)議安全協(xié)議的內(nèi)涵：安全協(xié)議是一個(gè)協(xié)議安全協(xié)議涉及密碼算法安全協(xié)議是在密碼算法的基礎(chǔ)上為網(wǎng)絡(luò)安全提供解決方案兩方或者多方在不安全信道上進(jìn)行安全通信使用密碼技術(shù)是為了達(dá)到某個(gè)目的密鑰交換身份認(rèn)證……2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全協(xié)議分類按照協(xié)議的目的不同，常見(jiàn)的安全協(xié)議可以分為四類：密鑰交換協(xié)議認(rèn)證協(xié)議認(rèn)證和密鑰交換協(xié)議電子商務(wù)協(xié)議2024/9/26密鑰交換協(xié)議密鑰交換協(xié)議用于會(huì)話密鑰的建立會(huì)話密鑰：也叫工作密鑰，用于加密消息的一次性密鑰協(xié)議中可以采用對(duì)稱密碼算法，也可以采用非對(duì)稱密碼算法對(duì)稱密碼算法：加密密鑰和解密密鑰相同非對(duì)稱密碼算法：加密密鑰和解密密鑰不相同密鑰交換協(xié)議一般不會(huì)單獨(dú)使用，而是往往與認(rèn)證協(xié)議等相結(jié)合密鑰交換協(xié)議分為兩種情況：密鑰傳輸協(xié)議：共享密鑰來(lái)自于參與協(xié)議的某個(gè)主體密鑰協(xié)商協(xié)議：共享密鑰根據(jù)協(xié)議參與者的輸入用某個(gè)函數(shù)產(chǎn)生主體：協(xié)議參與者2024/9/26認(rèn)證協(xié)議認(rèn)證是用來(lái)獲得誰(shuí)對(duì)什么事情信任的一種方法實(shí)體：一個(gè)身份的合法擁有者主體：各種物理形式的人或物認(rèn)證協(xié)議包括實(shí)體認(rèn)證（身份認(rèn)證）協(xié)議、消息認(rèn)證協(xié)議、數(shù)據(jù)起源認(rèn)證協(xié)議和數(shù)據(jù)目的認(rèn)證協(xié)議認(rèn)證協(xié)議主要用來(lái)防止假冒、篡改、否認(rèn)等攻擊2024/9/26認(rèn)證協(xié)議——單項(xiàng)認(rèn)證認(rèn)證協(xié)議單向認(rèn)證：只認(rèn)證通信中的一個(gè)主體雙向認(rèn)證：驗(yàn)證通信中的兩個(gè)主體Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后利用Alice的公鑰驗(yàn)證簽名。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”問(wèn)題：ISO一次傳輸單向認(rèn)證是否安全？2024/9/26認(rèn)證協(xié)議——單項(xiàng)認(rèn)證（續(xù)）認(rèn)證協(xié)議單向認(rèn)證：只認(rèn)證通信中的一個(gè)主體雙向認(rèn)證：驗(yàn)證通信中的兩個(gè)主體Alice(A)Bob(B)例：ISO三次傳輸雙向認(rèn)證問(wèn)題：ISO三次傳輸雙向認(rèn)證是否安全？思路：Bob同時(shí)與Alice和另外一個(gè)人通信的情況。2024/9/26認(rèn)證與密鑰交換協(xié)議認(rèn)證和密鑰交換協(xié)議該協(xié)議首先對(duì)通信實(shí)體的身份進(jìn)行認(rèn)證如果認(rèn)證成功，進(jìn)一步進(jìn)行密鑰交換，以建立通信中的工作密鑰也叫密鑰確認(rèn)協(xié)議互聯(lián)網(wǎng)密鑰交換協(xié)議（IKE）、以及Kerberos等均屬于認(rèn)證和密鑰交換協(xié)議本課程后續(xù)將討論許多密鑰確認(rèn)協(xié)議2024/9/26電子商務(wù)協(xié)議電子商務(wù)協(xié)議中主體往往代表交易的雙方電子商務(wù)協(xié)議往往關(guān)注公平性，即協(xié)議應(yīng)該保證交易雙方都不通過(guò)損害對(duì)方的利益而得到它不應(yīng)該得到的利益常見(jiàn)的電子商務(wù)協(xié)議有SET（SecureElectronicTransaction）協(xié)議等。SET協(xié)議將作為一個(gè)作業(yè)討論，本課程不涉及該協(xié)議。2024/9/26安全協(xié)議分類按照是否需要可信第三方（TTP）：仲裁協(xié)議（ArbitratedProtocols）（包括裁決協(xié)議）自動(dòng)執(zhí)行協(xié)議（Self-EnforcingProtocols

）2024/9/26仲裁協(xié)議Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Needham－Schroeder協(xié)議可信第三方在認(rèn)證協(xié)議中也叫做認(rèn)證服務(wù)器問(wèn)題：NS協(xié)議是否安全？思路：消息32024/9/26Trent(T)基于公鑰體制的認(rèn)證協(xié)議：基本方案無(wú)可信第三方問(wèn)題：STS協(xié)議是否安全？思路：考慮Alice和Bob之間有第三者M(jìn)aliceAlice(A)Bob(B)Example6:工作站－工作站協(xié)議（STS）自動(dòng)執(zhí)行協(xié)議

2024/9/26安全協(xié)議模型安全協(xié)議模型安全協(xié)議模型用于描述協(xié)議及所處的環(huán)境安全協(xié)議模型設(shè)計(jì)以下要素：誠(chéng)實(shí)的主體集合主體之間的通信攻擊者集合主體及攻擊者所處環(huán)境及一組規(guī)則2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26攻擊者模型通信通信通信通信環(huán)境攻擊者對(duì)于攻擊者，比較好的一個(gè)模型是Dolev－Yao模型。本課程后面將介紹。主體主體主體主體協(xié)議模型最困難的部分在于對(duì)攻擊者的認(rèn)識(shí)。2024/9/26攻擊者模型（續(xù)）攻擊者誠(chéng)實(shí)主體之間的消息可為攻擊者截獲攻擊者可以對(duì)截獲的消息進(jìn)行各種操作級(jí)聯(lián)、分離、加密和解密等攻擊者有主動(dòng)和被動(dòng)之分攻擊者可能的攻擊行為主要有轉(zhuǎn)發(fā)消息到任意接受者、延遲消息到達(dá)、篡改消息、與原來(lái)消息合并、改變部分或者全部消息的去處、重放消息等攻擊者對(duì)于攻擊者建模是非常復(fù)雜的課題。2024/9/26什么使得協(xié)議不安全協(xié)議攻擊模型安全協(xié)議的分類什么是協(xié)議第7章協(xié)議安全技術(shù)（基礎(chǔ)A）安全概述2024/9/26安全協(xié)議中安全的定義安全協(xié)議中安全性的內(nèi)涵安全協(xié)議的評(píng)判標(biāo)準(zhǔn)是檢查其欲達(dá)到的安全性是否遭到攻擊者的破壞安全性主要包括：認(rèn)證性機(jī)密性完整性不可否認(rèn)性2024/9/26安全協(xié)議缺陷的定義安全協(xié)議的缺陷是協(xié)議不安全的固有屬性或性質(zhì)現(xiàn)實(shí)中協(xié)議不安全的主要原因包括：設(shè)計(jì)不規(guī)范執(zhí)行時(shí)產(chǎn)生2024/9/26安全協(xié)議缺陷的分類分類基本協(xié)議缺陷協(xié)議中沒(méi)有或者很少防范攻擊者攻擊而引發(fā)的協(xié)議缺陷如對(duì)加密消息簽名，未考慮攻擊者可以替換原來(lái)的簽名口令/密鑰猜測(cè)缺陷口令或者密鑰選用常用的字詞，或者用戶選取了不安全的口令2024/9/26安全協(xié)議缺陷分類（續(xù)）分類（續(xù)）陳舊消息缺陷沒(méi)有考慮消息的時(shí)效性（新鮮性），從而使得攻擊者可以進(jìn)行重放攻擊并行會(huì)話缺陷協(xié)議設(shè)計(jì)對(duì)并行會(huì)話缺乏考慮，使得攻擊者可以相互交換適當(dāng)?shù)膮f(xié)議消息來(lái)獲得更為重要的消息內(nèi)部協(xié)議缺陷協(xié)議參與者中至少有一方不能夠完成所有必須的動(dòng)作而導(dǎo)致缺陷密碼系統(tǒng)缺陷協(xié)議中使用的密碼算法的安全強(qiáng)度問(wèn)題導(dǎo)致協(xié)議不能完全滿足所要求的機(jī)密性、完整性、認(rèn)證等需要而產(chǎn)生的缺陷該協(xié)議是否安全呢？有關(guān)協(xié)議攻擊的問(wèn)題后續(xù)內(nèi)容討論2024/9/26消息重放攻擊消息重放攻擊是指攻擊者利用其消息再生能力生成誠(chéng)實(shí)用戶所期望的消息格式，并重新發(fā)送，從而達(dá)到破壞協(xié)議安全性的目的。消息重放的實(shí)質(zhì)是消息的新鮮性（Freshness）不能得到保證。消息重放攻擊是安全協(xié)議中最容易出現(xiàn)的問(wèn)題之一。2024/9/26消息重放攻擊（續(xù)）Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協(xié)議攻擊者如果獲知以前的一個(gè)工作密鑰，可以重放消息EB（K，A）問(wèn)題：如何攻擊該協(xié)議？2024/9/26消息重放攻擊（續(xù)）消息重放攻擊分類根據(jù)消息的來(lái)源：協(xié)議輪內(nèi)攻擊：一個(gè)協(xié)議輪內(nèi)消息重放協(xié)議輪外攻擊：一個(gè)協(xié)議不同輪次消息重放根據(jù)消息的去向：偏轉(zhuǎn)攻擊：改變消息的去向直接攻擊：將消息發(fā)送給意定接收方其中偏轉(zhuǎn)攻擊分為：反射攻擊：將消息返回給發(fā)送者第三方攻擊：將消息發(fā)給協(xié)議合法通信雙方之外的任一方本課程將單獨(dú)考慮反射攻擊2024/9/26消息重放攻擊（續(xù)）消息重放對(duì)策（新鮮性對(duì)策）挑戰(zhàn)－應(yīng)答機(jī)制時(shí)戳機(jī)制（Timestamp）序列號(hào)機(jī)制（SequenceNo）通信雙方通過(guò)消息中的序列號(hào)來(lái)判斷消息的新鮮性要求通信雙方必須事先協(xié)商一個(gè)初始序列號(hào)，并協(xié)商遞增方法對(duì)消息蓋上本地時(shí)戳，只有當(dāng)消息上的時(shí)戳與當(dāng)前本地時(shí)間的差值在意定范圍之內(nèi)，才接受該消息。要求有一個(gè)全局同步時(shí)鐘，但是如果雙方時(shí)鐘偏差過(guò)大或者允許的范圍過(guò)大，則可以被攻擊者利用。通過(guò)發(fā)送挑戰(zhàn)值（Nonce：中文含義是現(xiàn)在，目前）來(lái)確保消息的新鮮性。2024/9/26含義：驗(yàn)證者（Bob）在協(xié)議消息的組合中擁有他的輸入消息：可能是一個(gè)一次性隨機(jī)數(shù)（稱之為Nonce）；聲稱者（Alice）對(duì)該消息進(jìn)行密碼操作，并返回給驗(yàn)證者Bob；Bob能夠通過(guò)他自己輸入消息的新鮮性來(lái)驗(yàn)證Alice通信的真實(shí)性。Alice(A)Bob(B)聲稱者驗(yàn)證者挑戰(zhàn)消息應(yīng)答消息如果Alice的應(yīng)答符合Bob的要求，則消息是新鮮的。消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）分類：依據(jù)聲稱者（Alice）對(duì)該消息進(jìn)行密碼操作不同，挑戰(zhàn)－應(yīng)答機(jī)制分為：對(duì)稱密鑰加密機(jī)制篡改碼機(jī)制（完整性機(jī)制）非對(duì)稱密鑰簽名機(jī)制2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）對(duì)稱密鑰加密機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者如果Bob解密后的Nb與自己發(fā)送的相同，則接受。M1，M2，M3等為可選消息參數(shù)。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO兩次傳輸單向認(rèn)證協(xié)議”問(wèn)題：這種挑戰(zhàn)應(yīng)答機(jī)制是否存在問(wèn)題？2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）對(duì)稱密鑰加密機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者加密的作用是機(jī)密性還是完整性？消息的新鮮性其實(shí)是用完整性來(lái)提供的，因此這里的加密功能主要應(yīng)該是完整性。Bob期望的Nb是機(jī)密性還是完整性？但是該對(duì)稱加密真的提供了完整性嗎？問(wèn)題：為什么加密沒(méi)有提供足夠的完整性2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機(jī)制采用篡改檢測(cè)碼（MDC）來(lái)實(shí)現(xiàn)完整性對(duì)稱密碼技術(shù)：Ke＝Kv公鑰密鑰技術(shù)：Ke≠KvMDC：ManipulationDetectionCode信源變換信宿驗(yàn)證密鑰源安全信道信源消息＋附加值KeKv信宿信道Ke：編碼密鑰Kv：驗(yàn)證密鑰MDC聲稱：MDC←f（Ke，Data）MDC驗(yàn)證：g（Kv，Data，MDC）＝trueorfalse2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機(jī)制采用篡改檢測(cè)碼（MDC）來(lái)實(shí)現(xiàn)完整性MDC：ManipulationDetectionCodef和g是密碼變換，對(duì)于對(duì)稱密碼算法，f＝g，而對(duì)公開密碼算法，f≠g。由對(duì)成密碼算法聲稱的MDC稱之為消息認(rèn)證碼（MAC）：MessageAuthenticationCode消息認(rèn)證碼（MAC）的實(shí)現(xiàn)可以采用雜湊函數(shù)也可以使用加密算法MD5，SHA－1DES，3DES2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后重構(gòu)MAC，如果相同則接受。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗(yàn)證函數(shù)的ISO兩次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）完整性機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后重構(gòu)MAC，如果相同則接受。例：利用Hash函數(shù)實(shí)現(xiàn)2024/9/26消息重放攻擊的對(duì)策：挑戰(zhàn)-應(yīng)答（續(xù)）非對(duì)稱密鑰簽名機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后利用Alice的公鑰驗(yàn)證簽名。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用公鑰的ISO兩次傳輸單向認(rèn)證協(xié)議”Na可以防止Alice對(duì)Bob意定消息簽名2024/9/26消息重放攻擊的對(duì)策：時(shí)戳分類：依據(jù)聲稱者（Alice）對(duì)該消息進(jìn)行密碼操作不同，挑戰(zhàn)－應(yīng)答機(jī)制分為：對(duì)稱密鑰加密機(jī)制篡改碼機(jī)制（完整性機(jī)制）非對(duì)稱密鑰簽名機(jī)制2024/9/26消息重放攻擊的對(duì)策：時(shí)戳（續(xù)）對(duì)稱密鑰加密機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后解密得到時(shí)戳，并與本地時(shí)間比較。如果在允許范圍內(nèi)就接受。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO對(duì)稱密鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：時(shí)戳（續(xù)）完整性機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后重構(gòu)MAC，并比較是否相同；如果相同則接受。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗(yàn)證函數(shù)的ISO一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：時(shí)戳（續(xù)）非對(duì)稱密鑰簽名機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后利用Alice的公鑰驗(yàn)證簽名。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：時(shí)戳（續(xù)）分類：依據(jù)聲稱者（Alice）對(duì)該消息進(jìn)行密碼操作不同，挑戰(zhàn)－應(yīng)答機(jī)制分為：對(duì)稱密鑰加密機(jī)制篡改碼機(jī)制（完整性機(jī)制）非對(duì)稱密鑰簽名機(jī)制2024/9/26消息重放攻擊的對(duì)策：時(shí)戳（續(xù)）對(duì)稱密鑰加密機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后解密得到時(shí)戳，并與本地時(shí)間比較。如果在允許范圍內(nèi)就接受。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO對(duì)稱密鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：序列號(hào)完整性機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后重構(gòu)MAC，并比較是否相同；如果相同則接受。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“使用密碼驗(yàn)證函數(shù)的ISO一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：序列號(hào)（續(xù)）非對(duì)稱密鑰簽名機(jī)制Alice(A)Bob(B)聲稱者驗(yàn)證者Bob收到后利用Alice的公鑰驗(yàn)證簽名。國(guó)際標(biāo)準(zhǔn)化組織（ISO）將該方式稱之為“ISO公鑰一次傳輸單向認(rèn)證協(xié)議”2024/9/26消息重放攻擊的對(duì)策：序列號(hào)（續(xù)）Alice(A)Bob(B)聲稱者驗(yàn)證者對(duì)稱算法2024/9/26消息重放攻擊的對(duì)策：序列號(hào)（續(xù)）Alice(A)Bob(B)聲稱者驗(yàn)證者非對(duì)稱算法2024/9/26參考資料BruceSchneier（吳世忠登譯），應(yīng)用密碼學(xué)－協(xié)議、算法與C源程序，機(jī)械工業(yè)出版社，200