收藏
下载资源

安全协议理论与方法

上传人:艾力 文档编号:49557496 上传时间:2018-07-30 格式:PPT 页数:72 大小:359.50KB
返回 下载 相关 举报
安全协议理论与方法_第1页
第1页 / 共72页
安全协议理论与方法_第2页
第2页 / 共72页
安全协议理论与方法_第3页
第3页 / 共72页
安全协议理论与方法_第4页
第4页 / 共72页
安全协议理论与方法_第5页
第5页 / 共72页
点击查看更多>>
资源描述

《安全协议理论与方法》由会员分享,可在线阅读,更多相关《安全协议理论与方法(72页珍藏版)》请在金锄头文库上搜索。

1、安全协议理论与方法安全协议2.1 安全协议概述各种攻击 黑客 利用安全协议本身的缺陷进行攻击 重设计 面向具体应用 基于经验和软件测试来保证安全性 对现有协议改进和优化安全协议的概念定义:协议是两个或两个以上的参与者采取一系列 步骤以完成某项特定的任务。 安全协议是密码体制基础上的一种高互通协议。 协议至少需要两个参与者。 在参与者之间呈现为消息处理和消息交换交替进 行的一系列步骤。 通过执行协议必须能够完成某项任务,或达成某 种共识。安全协议常见类型密钥交换协议:用于完成会话密钥的建立。 认证协议:实体、身份、数据源(目)、消息。用 来防止篡改、假冒、否认等攻击。 认证和密钥交换协议:IKE

2、、DASS、Kerberos等。 电子商务协议:由于协议双方利益矛盾,因此需 要保证公平,如SET。安全协议系统模型环境定义系统环境:消息的发送和接收者、攻击者(恶意 网络环境)、管理消息发送和接收的规则。 恶意网络环境:攻击者 攻击者操作: 截取、重放、篡改、级联、分离 、加密和解密。 被动攻击者:知道信息。 主动攻击者:操纵信息。安全协议系统模型攻击行为转发消息到其意定接收者处。 延迟消息的送达。 将消息篡改后转发。 将消息与以前接收的消息合并。 改变部分或全部消息的去处。重放消息。安全协议系统模型-示意图诚实主体诚实主体诚实主体诚实主体环境/攻击者安全协议的性质及实现目标:保证下面安全性

3、质在协议执行完毕时能够得以实现。认证性-关键性质机密性完整性不可否认性认证性实现通过共享秘密实现,例如: 加密的密钥。 声称者使用仅为其与验证者知道的密钥封装消息 ,如果验证者能够成功地解密消息或验证封装是 正确的,则证毕。 声称者使用私钥对消息签名,验证者使用声称者 的公钥验证签名,如正确,证毕。 声称者通过可信第三方来证明自己。 用途: 对抗假冒攻击,确保身份,从而获取对某 人或某事的信任。秘密性实现目的:保护协议消息不被泄漏非授权拥有此消息 的人,即使是攻击者观测到了消息的格式,它也 无法从中得到消息的内容或提炼出有用的消息。实现方法之一:对消息明文加密。完整性实现应用:保护协议消息不被

4、非法篡改、删除和替代 。常用方法:封装和签名。即用加密的方法或者 Hash函数产生一个明文的摘要附在传送的消息上 ,作为验证消息完整性的依据,称为完整性校验 值(ICV)。 关键问题: 通信双方必须事先达成有关算法的选 择等诸项的共识。不可否认性实现目的:通过通信主体提供对方参与协议交换的证 据来保证其合法利益不受侵害。收集证据,以便事后能够向可信仲裁证明对方主 体的确发送或接收了消息。 证据实现:签名消息的形式。协议特点:证据的正确性,交易的公平性。次要性质:适时中止性、可追究性等。协议设计准则缺陷来源:设计不规范和具体执行时产生。 消息独立完整性原则 消息前提准确原则 主体身份标识原则 加

5、密目的原则原则 签名原则 随机数的使用原则 时戳的使用原则 编码原则消息独立完整性原则一条消息的解释应完全由其内容来决定,而不必 借助于上下文来推断。 发送者标识接收者标识:消息AB: mm应包含A ,B的标识,否则易造成攻击。消息前提准确原则与消息的执行相关的先决前提条件应当明确指出 ,并且其正确性与合理性能够得到验证,由此可 判断出此消息是否应当接收。解释: 每条消息所基于的假设是否能够成立?主体身份标识原则主体标识重要时在消息中明确附上主体名称显式:主体的名字以明文形式出现。隐式:采用加密或签名技术,需要从消息格式中 推知消息所属主体的身份。加密目的原则加密可实现多种安全目的:秘密性、完

6、整性、认证性在协议中使用加密算法时,要事先确定什么目的 并能够保证某种安全性的实现。签名原则主体对加密消息签名时,并不表明主体知道加密 消息的内容。如果主体对一个消息签名后再加密,则表明主体 知道消息的内容。同时使用加密与签名时,应该先签名后加密。随机数的使用原则作用: 在协议中使用随机数时,应明确其所起的 作用和属性,它的目的是提供消息的新鲜性。关键问题:随机数的真正随机性。时戳的使用原则原则:使用时戳时,要考虑各个机器的时钟与当 地标准时间的差异,这种差异不能影响到协议执 行有效性。时戳的使用主要依赖于时钟的同步。编码原则明确指出具体的编码格式编码是与协议的安全性相关。安全协议缺陷分类 基

7、本协议缺陷 口令/密钥猜测缺陷 陈旧消息缺陷 并行会话缺陷 内部协议缺陷 密码系统缺陷基本协议缺陷设计时没有考虑或很少考虑攻击者攻击而引发的 协议缺陷。实例:对消息先加密后签名就有漏洞,因为签名 者并不一定知道被加密的消息内容,而且签名者 的公钥是公开的。使攻击者通过用他自己的签名 替换原有的签名来伪装成发送者。口令/密钥猜测缺陷可检测的口令在线猜测攻击:不成功的登录能被 检测并被认证服务器记录(以便限定次数)。 不可检测的口令在线猜测攻击:攻击者从认证服 务器的响应中逐渐推导出正确的口令。 可离线的口令猜测攻击:攻击者使用认证协议消 息复件,猜测口令并离线验证。 改进的措施: 认证服务器只响

8、应新鲜的请求。 认证服务器只响应可验证的真实性。其他几种缺陷陈旧消息缺陷:在协议设计中没有对消息的新鲜 性充分考虑。从而存在消息重放攻击。 并行会话缺陷:攻击者通过交换一定的协议消息 获得重要的消息。 内部协议缺陷:协议的参与者中至少有一方不能 够完成所有必需的动作而导致缺陷。 密码系统缺陷:协议中使用的密码算法的安全强 度有问题,导致协议不能满足所要求的机密性、 认证等需求而产生的缺陷。消息重放攻击及对策消息重放攻击 对策 序列号机制 时戳机制 挑战-应答机制消息重放攻击攻击者利用其消息再生能力生成诚实用户所期望 的消息格式并重放,从而达到破坏协议安全性质 的目的。 类别:本协议的轮内攻击和

9、轮外攻击。 轮内攻击影响消息去向的攻击偏转攻击: 将消息返还给发方-反射攻击 非协议的双方-第三方攻击直接攻击-意定的接收方,但被延迟诚实主体收到的重放消息类型本轮内的消息重放 无重叠轮外消息的重放 有重叠轮外消息的重放 延迟的消息对策-序列号(挑战-应答)序列号机制接收方通过比较消息中的序列号以 判断消息是新产生的还是重放的。 问题:开销增大,适用系统中成员较少的情况。挑战-应答机制-消息的时间变量参数由接收方 在该消息传递前明确地向消息发送方说明。 问题:系统开销增加.对策-时戳机制消息的新旧是由消息上盖的时戳决定的,只有当 消息上的时戳与当前本地时间的差值在一定范围 内,接收方才接收这个

10、消息。 问题: 需要全局时钟,但仍难以同步。 1)如果验证者弄错了当前的时间,那么旧消息就能 被很容易地重放。 2)如果合法声称者弄错当前时间,有可能被利用在合 理的时间点接收验证者重放产生的认证请求。 3)如果双方的时钟都有较大的偏差,则双方都会被 攻击者利用。安全协议及其受到攻击的实例A,B,: 表示参与协议的主体。 Kij: 主体i,j共享的会话密钥。 Ki:主体i的公钥,Ki-1:主体i的私钥。 Ri:主体i生成的随机数,Ni:主体i生成的序列号。 Ti:主体i生成的时戳。 m1| m2: 表示消息 的级联 E(k:m): 表示用密钥K对消息m加密。 Text1,Text2, : 为消

11、息常量。 fKab(X): 表示用Kab加密的Hash函数。 Z:表示攻击者。无可信第三方参与的对称密钥协议ISO one-pass 单方对称密钥认证协议1) AB: Text2, E(Kab: Ta | Na, B, Text1)ISO two-pass 单方对称密钥认证协议1) BA: Rb, Text12) AB: Text3, E(Kab:Rb, B, Text2) 无可信第三方参与的对称密钥协议ISO two-pass 双方对称密钥认证协议1)AB: Text2, E(Kab: Ta | Na, B, Text1)2)BA: Text4, E(Kab: Tb | Nb,A, Text

12、3) ISO three-pass 双方对称密钥认证协议1)BA: Rb, Text12)AB: Text3, E(Kab: Ra, Rb, B, Text2) 3)BA: Text5, E(Kab:Rb,Ra,Text4)无可信第三方参与的对称密钥协议使用单向函数1) BA: B, Rb 2) AB: A, E(Kab: f(Rb), Ra, A, K) 3) BA: B, E(K: f(Ra) 使用f(Rb)和f(Ra)单向函数验证消息的正确性。无可信第三方参与的对称密钥协议 RFC 协议 1) AB: A, E(Kab: Na) 2) BA: E(Kab: Na+1, Nb) 3) AB

13、: E(Kab:Nb+1) 4) BA: E(Kab: Kab, Nb)有缺陷,例如第4步易被 E(Kab: Na+1, Nb)重放 替代,并且A不能觉察。RFC协议的修改 将前述协议的2)3)4)修改为: 1) AB: A, Na 2) BA:E(Kab: Na, Kab) 3) AB:A, E(Kab: Na) 4) BA:Nb问题:仍有缺陷,因为存在多重会话攻击。多重会话攻击1) AZ(B): A, Na 1) Z(B)A: B, Na (Z假冒B向A发连接) 2) AZ(B): E(Kab: Na, Kab)(A应答Z的请求) 2)Z(B)A:E(Kab:Na,Kab) (Z重放A应答

14、Z的消息给 A) 3) AZ(B):A, E(Kab: Na) (A回应Z) 3) Z(B)A:A, E(Kab:Na) 4) Z(B)A:Ni 4) AZ(B):Na多重会话攻击分列表示1) AZ(B): A, Na1)Z(B)A: B, Na 2)AZ(B): E(Kab: Na, Kab) 2)Z(B)A:E(Kab:Na,Kab) 3)AZ(B):A,E(Kab: Na) 3) Z(B)A: A, E(Kab:Na) 4)Z(B)A: Ni4) AZ(B): Na有可信第三方参与的对称密钥协议1.Needham-Schroeder私钥协议 1) AS:A,B,Na 2) SA:E(Ka

15、s:Na,B,Kab,E(Kbs:Kab,A) 3) AB:E(Kbs:Kab,A) 4) BA:E(Kab: Nb) 5) AB:E(Kab:Nb-1) 问题:消息3新鲜性无法保证,可用类似旧消息重放。 若使用流密码则消息4和5差别很小,易被攻击。缺陷分析若在给定的时间内E(Kbs:Kab,A)中的旧密钥 Kab被解密,则该协议存在如下的问题: 由于消息3)中没有新鲜性标记,因此攻击 者重放一个以前A发给B的报文。 Z(A)B: E(Kbs: Kab, A) B以为A发来的新消息。由于此处的Kab已被解 密, 因此所有用Kab加密的消息都不保密。NS-无需获得会话密钥的攻击针对Needham-Schroeder协议的另类攻击 1) AS:A,B,Na 2) SA:E(Kas:Na,B,Kab,E(Kbs:Kab,A) 3) AB(Z):E(Kbs:Kab,A) 4) Z(B)A:Nz / 与E(Kab: Nb)格式相同 5) AB(Z):E(Kab:(E(Kab:Nz)-1)-1)此时,A认为主体B已经知道了会话密钥Kab,但B实 际上并没有参与协议的执行过程。1.修订的Needham Schroeder协议1) AB:A

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号