安全协议分析与设计 教学课件 作者 卫剑钒 陈钟 安全协议 第6章 上.pptVIP

安全协议分析与设计第六章（上） 卫剑钒 安全协议的设计 在设计安全协议时，如果稍有不慎，就可能使协议存在安全隐患。有鉴于此，Abadi和Needham提出了设计认证协议的若干原则[AN96]。值得注意的是，这些原则只是非形式化的设计指导，它们既不是认证协议安全的充分条件也不是必要条件[Syve96]。 一些工作致力于将形式化方法结合到协议的设计中，典型的方法有：Heintze-Tygar 方法[HT94]，Gong和Syversion 的fail-stop协议[GS95]，Buttyan Staamann的简单逻辑[BSW98]，Canetti和Krawczyk的CK方法[CK01]等等。 一些方法则通过穷举来搜索所有可能的安全协议，然后进行分析验证以得到安全协议。 最后一节探讨如何设计具有防范DoS攻击能力的安全协议。 安全协议设计的基本原则 这些原则最初是由Martin Abadi和Roger Needham提出来的[AN94，AN96]，Ross Anderson和Roger Needham在文献[AN95]中又专门针对公开密钥协议提出了一系列设计原则。 这些设计原则既不能保证安全，同时也不是达到安全的必要条件，但它们的确能够有效地防止一些常见的攻击。 基本原则 含义明确原则 原则1 每条消息都能清楚地表达它的意思，对消息的解释必须完全依赖于消息的内容。形象地说，每一条消息都能用一句明明白白的语句来替代。 例如，服务器S发出一条消息：{P，S，A，B，Kab}KA。这条消息可以表述为“在接收到P以后，S向A发送一个A与B之间通信的密钥K-ab”，这句话中的所有内容都必须在协议中显式地表达出来，使得消息的接收者根据协议中的信息就可以清楚地知道这条消息的含义，而不需要从上下文中推导。因为如果某个信息需要从上下文中推导，那么攻击者就可能通过在上下文中加入欺诈的信息来扰乱协议的正常运行。 基本原则 声明条件原则 原则2 对消息适用的条件要清楚地说明，以便协议的使用者能够根据这些条件判断是否采用该协议。 例如，某人希望采用公钥加密体制为基础的安全协议，他就可以选用类似NSPK这样的协议而不是NSSK协议；同样地，如果他希望第三方产生密钥，就不会选取大嘴青蛙协议。 此外，保密原则也是一个基本原则，即不以明文的形式传递任何私有密钥以及其他秘密信息，这一点通常是容易做到的。 命名原则 命名原则 原则3 如果主体的身份是一个关键消息，那么消息中应该明确标示主体的名字。 这可看做是原则1的一个特例，但由于不符合这条原则带来的问题太多，故而专门列作一条原则。值得注意的是，不包含主体的名字不一定带来问题，但作为谨慎的做法，最好还是带上主体的名字。 加密原则 原则4 明白为什么需要加密。滥用加密会导致运算成本提高和协议冗余，而且加密并不总是意味着安全，不恰当的加密有时还会导致错误。 早期的Kerberos协议[MNSS87]基于NSSK协议，但使用时间戳替换了Nonce，简化如下 ： Msg1是不需要加密的，Msg2需要加密，因为Msg2中包含了S分配给A和B的通信密钥Kab。使用Kas能够让A知道这是S发出的，有一定的签名意义。 但Msg2中是否需要双重加密？这种做法是从NSSK中继承来的，但双层的加密并没有给机密性和认证性带来任何附加的好处，相反，它增加了运算量。也许有人说这样可以使B在收到Msg3后得知A一定收到了Msg2，但这种解释不太寻常，也未必是协议设计者的本意（后继的Kerberos版本中去掉了这个双重加密）。 原则5 先签名后加密 主体对一个加密了的消息进行签名是不可靠的，因为主体可能并不知道明文是什么；而如果先签名后加密，一方面表明主体认可该消息，另一方面还保证了机密性。 不满足这个原则有时会导致协议的错误，如在X.509系列协议中的单消息协议。 图中Ta是时间戳，Na是随机数（但通常并不使用），Xa和Ya是用户数据，协议的目的是保证Xa和Ya的完整性，让B得知Xa和Ya的产生者为A，并保证数据Ya的机密性。 这个协议的问题在于，B事实上并不能保证主体A知道Ya的内容，[AN96]认为协议存在类似对Denning-Sacco协议的攻击，一个主体C把Msg1中A的签名去掉，然后换成C自己的签名发送给B，B会认为C认可了Ya，而事实上C并不知道Ya的内容。 这个原则仅仅是一个指导性的原则，一些不满足这个原则的协议仍然是安全的，如下图所示的ISO/IEC 11770-3密钥传送协议。 时间性原则 原则6 设计者应该清楚地知道在使用Nonce时所要保证的性质。 以Otway-Rees协议为例 ： 时间性原则 在这个协议中，M是协议运行的会话标识符，新的会话密钥Kab由可信第三方S产生，Na和Nb不仅起到