03 安全協(xié)預(yù)習(xí)(密碼協(xié)議).ppt

1、安全協(xié)預(yù)習(xí)(密碼協(xié)議),安全服務(wù)的項目包含： 對代理和結(jié)點的認(rèn)證 建立結(jié)點之間的會話密鑰 確保安全性、完整性、不可否認(rèn)性 使用的密碼機制：對稱、非對稱、哈希函數(shù)、數(shù)字簽名、時戳、隨機數(shù)和序列號等。,設(shè)計和分析安全協(xié)議的困難,1. 安全協(xié)議所確保的各種性質(zhì)非常細微。 2.協(xié)議的執(zhí)行環(huán)境復(fù)雜且充滿入侵者，要考慮代理蓄意破壞協(xié)議的可能性。 3.完全獲知入侵者的能力極其困難。入侵者除了通常操縱經(jīng)過的網(wǎng)絡(luò)信息外，還假定他們掌握密碼分析技術(shù)。 例：很多協(xié)議的漏洞都經(jīng)過若干年才發(fā)現(xiàn)。,Needham-Schroeder安全協(xié)議(NSSK),Jeeves 共享密鑰(Anne) 共享密鑰(Bob) Anne K

2、ab Bob 安全通道的建立,一些假設(shè),ServerKey(a)【kas】 長期密鑰 ServerKey(b) 【kbs】長期密鑰 每個用戶與服務(wù)器有一個長期密鑰 用戶之間沒有長期密鑰 為什么不是每兩個用戶之間都擁有一個長期密鑰？ N個用戶，N2個密鑰。,NSSK協(xié)議步驟,消息1aJ: a.b. na 消息2Ja: na. b.Kab. kab. aServerKey(b) ServerKey(a) 消息3ab:kab. a ServerKey(b) 消息4ba: nbkab 消息5ab: nb-1kab,協(xié)議中的符號含義,一般格式 消息 m ab: data data k：該符號表示用密鑰k

3、對data加密后得到的值。 m.n: 該符號表示正文m后緊跟著(連接符)文本n。 na： 隨機數(shù)(nonce),本協(xié)議目標(biāo),若協(xié)議正常運行，則用戶Anne和Bob最終可以使用臨時密鑰kab共享信息。 消息4和5： 認(rèn)證信息。 a收到消息4可以確認(rèn)b知道密鑰Kab。 b收到消息5可以確認(rèn)a知道密鑰Kab。,安全協(xié)議的脆弱性例1,1.用戶Anne向Bob發(fā)送一條消息XpkAnne。 2.當(dāng)用戶Bob不能閱讀收到的消息，只有用戶Anne可以解密。因此BobXpkAnne pkBob并將它發(fā)送回給用戶Anne。 3.現(xiàn)在根據(jù)RSA算法的交換性，可以得出： XpkAnnepkBob = XpkBobpk

4、Anne 4.用戶Anne可以將上述結(jié)果回發(fā)給用戶Bob，然后也只有Bob能解密。,中間人攻擊,1.攻擊者Yves截獲用戶Anne向Bob發(fā)送的第1條消息XpkAnne，用自己的公鑰對它加密。 XpkAnne pkYves 2.攻擊者將加密結(jié)果發(fā)給用戶Anne，而用戶Anne無法識別這個應(yīng)答消息是不是它所期望的從用戶Bob發(fā)出的。XpkYves 3.攻擊者Yves在消息傳遞至用戶Bob之前再次截獲它，解密就得到了秘密信息X。,安全協(xié)議的脆弱性例2穿插,攻擊者試圖使協(xié)議在兩個或者多個連接中間時執(zhí)行以多個步驟之間的重疊。 考察 Needham-Schroeder公鑰協(xié)議 消息1ab: a.napk

5、b 消息2ba: na.nbpka 消息3ab: nbpkb,最終所有用戶都確信的原則, 他們知道自己正在和誰進行會話。 他們對na和nb的值達成一致。 沒有其他人知道na和nb的值。 多年以后發(fā)現(xiàn)的一個攻擊：G.Lowe,Breaking and fixing the Needham-Schroeder public-key protocol using FDR. Proceedings of TACAS number 1055 in LNCS,Springer,1996,攻擊原理如下,消息.1AY: a, naPKY 消息.1 Y(A)B:a,naPKB 消息.2BY(A):na.nbPK

6、A 消息.2YA:na.nbPKA 消息.3AY:nbPKY 消息.3Y(A)B:nbPKB Anne、Yvve共享na,nb。 Bob、Anne卻認(rèn)為僅他們單獨共享na,nb。,Yahalom-密碼泄漏,消息1ab: a.na 消息2bJ:b.a.na.nbserverkey(b) 消息3Ja: b.kab.na.nbserverkey(a) . a.kab ServerKey(b) 消息4ab: a.kab ServerKey(b) .nbkab,安全協(xié)議,2.3 安全協(xié)議及其受到的攻擊實例,2.3 安全協(xié)議及受到攻擊的實例,A,B,: 表示參與協(xié)議的主體。 Kij: 主體i，j共享的會話

7、密鑰。 Ki：主體i的公鑰。 Ki-1：主體i的私鑰。 Ri：主體i生成的隨機數(shù)。 Ni：主體i生成的序列號。 Ti：主體i生成的時戳。 m1 | m2: 表示消息 的級聯(lián),續(xù)上頁,E(k:m): 表示用密鑰K對消息m加密。 Text1,Text2, : 為消息常量。 fKab(X): 表示用Kab加密的Hash函數(shù)。 Z:表示攻擊者。,2.3.1 無可信第三方參與的對稱密鑰協(xié)議,1. ISO one-pass 單方對稱密鑰認(rèn)證協(xié)議 1) AB: Text2, E(Kab: Ta | Na, B, Text1) 2. ISO two-pass 單方對稱密鑰認(rèn)證協(xié)議 1) BA: Rb, Tex

8、t1 2)AB: Text3, E(Kab:Rb, B, Text2),無可信第三方參與的對稱密鑰協(xié)議(2),3. ISO two-pass 雙方對稱密鑰認(rèn)證協(xié)議 1) AB: Text2, E(Kab: Ta | Na, B, Text1) 2)BA: Text4, E(Kab: Tb | Nb,A, Text3),無可信第三方參與的對稱密鑰協(xié)議(3),4. ISO three-pass 雙方對稱密鑰認(rèn)證協(xié)議 1) BA: Rb, Text1 2)AB: Text3, E(Kab: Ra, Rb, B, Text2) 3)BA: Text5, E(Kab:Rb,Ra,Text4),無可信第三

9、方參與的對稱密鑰協(xié)議(4),5 使用單向函數(shù) 1)BA: B, Rb 2)AB: A, E(Kab: f(Rb), Ra, A, K) 3)BA: B, E(K: f(Ra) 使用單向函數(shù)驗證消息的正確性。,無可信第三方參與的對稱密鑰協(xié)議(5),6. RFC 協(xié)議 AB: A, E(Kab: Na) BA: E(Kab: Na+1, Nb) AB: E(Kab:Nb+1) BA: E(Kab: Kab, Nb) 有缺陷，例如4)易被 E(Kab: Na+1, Nb)替代，并且A不能覺察()。,RFC協(xié)議的修改,AB: A, Na BA:E(Kab: Na, Kab) AB:A, E(Kab:

10、Na) BA:Nb 仍有缺陷，存在多重會話攻擊,多重會話攻擊A與B建立會話，Z假冒B又邀請A建立會話,AZ(B):A, Na 1)Z(B)A:B,Na 2)AZ(B):E(Kab: Na, Kab) Z(B)A:E(Kab: Na,Kab) AZ(B):A, E(Kab: Na) 3)Z(B)A:A, E(Kab:Na) Z(B)A:Ni 4)AZ(B):Na,2.3.2 有可信第三方參與的對稱密鑰協(xié)議(1),1.Needham-Schroeder私鑰協(xié)議 AS:A,B,Na SA:E(Kas:Na,B,Kab,E(Kbs:Kab,A) AB:E(Kbs:Kab,A) BA:E(Kab: Nb

11、) AB:E(Kab:Nb-1) 問題：消息3)新鮮性無法保證。若使用流密碼則消息4)和5)差別很小，易被攻擊。,缺陷分析,若在給定的時間內(nèi)舊密鑰Kab被解密，則該協(xié)議有問題： 由于消息3)中沒有新鮮性標(biāo)記，因此攻擊者重放一個以前A發(fā)給B的報文。 Z(A)B: E(Kbs: Kab, A) 使得B以為是A發(fā)來的。,2. 修訂的Needham Schroeder協(xié)議,AB:A BA:E(Kbs:A, Nb) AS:A,B,Na,E(Kbs:A,Nb) SA:E(Kas:Na,B,Kab,E(Kbs:Kab,Nb,A) AB:E(Kbs:Kab,Nb,A) BA:E(Kab: Nb) AB:E(K

12、ab:Nb-1),該協(xié)議仍然有缺陷，見文獻 C. Boyd. Towards a formal framework for authentication. Manuscript, University of Manchester, 1990,3. Yahalom 協(xié)議,AB:A,Na BS:B,E(Kbs: A, Na, Nb) SA:E(Kas:B,Kab,Na,Nb),E(Kbs:A,Kab) AB:E(Kbs:A,Kab), E(Kab:Nb),對協(xié)議的一個攻擊為,Z(A)B:A,Na BZ(S):B, E(Kbs: A, Na, Nb) SA: E(Kas:B,Kab,Na,Nb),

13、E(Kbs:A,Kab) Z(A)B: E(Kbs:A,Na,Nb),E(Na,Nb:Nb) Nb怎么獲??？若Z為A很容易做到。,其他協(xié)議,Needham-Schroeder簽名協(xié)議 大嘴青蛙協(xié)議 Carlson SKI協(xié)議 ISO四向認(rèn)證協(xié)議 ISO五向認(rèn)證協(xié)議 Woo & Lam 認(rèn)證協(xié)議 Neuman Stubblebine協(xié)議,2.3.3 無可信第三方參與的公鑰協(xié)議,1. ISO one-pass 單方公鑰認(rèn)證協(xié)議 AB: CertA, Ta|Na , B, Text2, E(Ka-1: Ta|Na, B, Text1) 2. ISO two-pass 單方公鑰認(rèn)證協(xié)議 BA:Rb,

14、Text1 AB:CertA,Ra,Rb,B,Text3, E(Ka-1: Ra,Rb,B,Text2),3. Diffie-Hellman協(xié)議,AB:X=Gxmod N BA:Y=Gymod N G,N是通信主體A、B的共識。 協(xié)議執(zhí)行完成后，雙方計算得到新的密鑰 K=GXY mod N(本協(xié)議不提供認(rèn)證),4.station-to-station協(xié)議,AB:A,B, ax BA:B,A,ay, E(K: (ayax) AB:A,B,E(K: (axay) 攻擊：B與Z通信，不知道A的存在,對該協(xié)議的攻擊,AZ(B):A,B,ax 1)ZB:Z,B,ax 2)BZ:B,Z,ay,E(K: (

15、ayax) Z(B)A:B,A,ay,E(K: (ayax) AZ(B):A,B,E(K: (axay),對STS協(xié)議的修改,AB:A,B, ax BA:B,A,ay, E(K: (A, ayax) AB:A,B,E(K: (B, axay) 此時， 2)BZ:B,Z,ay, E(K: (Z, ayax) 2) Z(B)A:B,A,ay, E(K: (Z, ayax),其他協(xié)議,ISO two-pass 雙方公鑰認(rèn)證協(xié)議 ISO three-pass 雙方公鑰認(rèn)證協(xié)議 Bilateral密鑰交換公鑰協(xié)議 Station-to-Station協(xié)議,2.3.4 有可信第三方參與的公鑰協(xié)議,1. N

16、eedham-Schroeder公鑰協(xié)議 AS:A,B SA:E(Ka-1: Kb, B) AB:E(Kb: Na, A) BS:B,A SB:E(Ks-1: Ka, A) BA: E(Ka: Na,Nb) AB:E(Kb:Nb),Lowe發(fā)現(xiàn)的對此協(xié)議的攻擊,AZ:E(Kz: Na, A) 3)Z(A)B:E(Kb: Na, A) ZA:E(Ka: Na, Nb) AZ:E(Kz: Nb) 7)Z(A)B:E(Kb:Nb) Lowe的修改 6) BA: E(Ka: Na, Nb, B),2. Denning Sacco密鑰分配協(xié)議,AS:A, B SA:Certa,Certb AB:Cert

17、a, Certb, E(Kb: E(Ka-1: Kab,T) 欺騙過程： BS:B,C SA:Certb,Certc BC:Certa, Certc, E(Kc: E(Ka-1:Kab,T),其他協(xié)議,SPLICE / AS 認(rèn)證協(xié)議 Denning Sacco密鑰分配協(xié)議 SRA three-pass協(xié)議 Gong雙方認(rèn)證協(xié)議 加密的密鑰交換協(xié)議,2.4 安全協(xié)議的形式化分析,新興領(lǐng)域 目前的技術(shù)主要用于對密鑰正確的認(rèn)證 安全協(xié)議的形式化分析有助于： 1. 更準(zhǔn)確地描述安全協(xié)議的行為。 2.更準(zhǔn)確地定義安全協(xié)議的特性。 3.證明安全協(xié)議滿足其說明，以及證明安 全協(xié)議在什么條件下不能滿足其說明

18、。,安全協(xié)議形式化分析的歷史與現(xiàn)狀(1),實現(xiàn)網(wǎng)上密鑰分配與實體認(rèn)證。 最早提出對安全協(xié)議形式化分析思想的是Needham和Schroeder. NESC78 R.M.Needham and M.D.Schroeder，Using encryption for authentications of large networks of computers. Communications of the ACM,21(12),993-999,1978,安全協(xié)議形式化分析的歷史與現(xiàn)狀(2),真正在此領(lǐng)域做出工作的為Dolev 和Yao。 1989年，Burrows,Abadi 和Needham提出了BAN邏輯，較成功。 目前典型的方法： 以BAN邏輯代表的基于推理結(jié)構(gòu)性方法。 基于攻擊結(jié)構(gòu)性方法。 基于證明結(jié)構(gòu)性方法。,相關(guān)問題-open-ended協(xié)議,針對有限主體通信： 數(shù)據(jù)結(jié)構(gòu)固定，如隨機數(shù)、名字、密鑰等。 變動 (1) 協(xié)議并行執(zhí)行的數(shù)目不可知。 (2) 攻擊者為創(chuàng)建一個消息而執(zhí)行的操作 數(shù)是不受限制的。,相關(guān)問題-拒絕服務(wù),攻擊者開始一個協(xié)議之后就放棄，使得受騙者處于懸掛等待狀態(tài)，由于受騙者占用一定的資源以維持連接直到協(xié)議連接等待時間到。 認(rèn)證可緩解解決: 識別攻擊