安全协议分析与设计 教学课件 作者 卫剑钒 陈钟 安全协议 第6章 下.pptVIP

安全协议分析与设计第六章（下） 卫剑钒 设计抵御拒绝服务攻击的安全协议 拒绝服务攻击（DoS）是一种常见而有效的攻击手段，它利用协议或系统中的缺陷，向服务提供方进行攻击，试图通过耗尽服务方资源或其他方式，达到使服务方“无法向授权用户提供服务或造成对时间要求急迫类服务的延迟”[ISO89]的效果。 分布式拒绝服务攻击（DDoS）作为DoS攻击的一种特殊形式，则是利用大量的傀儡主机向服务方发起攻击。 攻击者可冒充协议发起方发起大量的认证请求，安全协议如果在设计时未能考虑DoS攻击的威胁，响应方就很容易耗尽受限资源导致拒绝服务。 安全协议中的DoS攻击 下面以ISO/IEC 11770-3密钥交换协议为例，来说明安全协议中普遍存在的DoS攻击隐患。 Na和Nb为Nonce，Kba和Kab为双方各自产生的密钥，协议运行完毕后，每个主体将Kab和Kba进行散列运算后得到会话密钥。 攻击者可以冒充发起方A发出大量的虚假消息Msg1，响应方B接收到Msg1后，不做任何判断（也不能做出判断），就开始进行Kba的生成以及一次公钥加密和一次签名运算，其中后两者在计算上都是较为昂贵的。 同时响应者还要在内存中保存这次认证的状态，如保存A、Na、Nb、Kab等信息，攻击者在短时间内可以冒充任意的发起方向响应方发送大量的Msg1，这样，协议同时受到内存耗尽和计算耗尽DoS攻击的威胁。 防御策略 目前主要的解决策略有无状态、弱认证和增加发起代价3种。 无状态是指响应方在处理请求时，不保存针对每个发起者当前会话的状态，以避免内存资源耗尽； 弱认证是指响应方首先进行一个较小运算量的验证，对协议发起方的身份进行初步的认证，弱认证通过后，才开始安全协议中较为耗费资源的强认证部分； 增加发起代价则是针对DoS攻击发送大量消息的特点，适当增加其资源耗费代价，使得DoS攻击发起难度增大。 无状态连接方法 其出发点在于减轻响应方的内存资源载荷。在收到发起方的协议发起请求后，响应方执行协议但并不保存和协议相关的状态信息，而将状态信息作为响应消息的一部分发给发起方，发起方在下一条消息中再将该状态返回给响应方。 其中I表示发起方，R表示响应方，Stater, i表示R在第i轮交互中生成的状态信息。整个协议可以不必是无状态的，但在确认对方不是DoS攻击者之前，响应方必须保持无状态。 状态信息中有些需要保持秘密，另一方面，应能防止攻击者对状态信息进行更改，所以需要响应方对状态信息进行机密性和完整性保护，Stater,i 可以改为{ Stater,i }Kre，HMAC{ Krm，Stater,i } 其中，Kre和Krm是仅为响应方知道的分别用于机密性和完整性保护的秘密密钥。 对ISO/IEC 11770-3协议进行改进并优化后 ，可得： Cookie方法 自Karn和Simpson提出Photuris协议起[KS99]，cookie机制开始应用于安全协议中，在协议运行起始部分，响应方收到请求后，发送给发起方一小块数据（也即cookie），发起方必须在随后的消息中包含这块数据。其目的是防止攻击者使用假冒的网络地址（以下以IP地址为例）进行DoS攻击。 使用cookie的原则 cookie在使用时，应该注意满足如下原则。 原则1：cookie的产生必须和特定的发起方相绑定。 原则2：除响应方外，没有任何主体可以生成被响应方接受的cookie。 原则3：cookie的生成和检验必须足够快，以防止机制本身被拒绝服务。 原则4：只有在cookie机制运行完毕并通过检验后，响应方才提供内存资源。 原则1是为防止一个攻击者使用真实的IP地址得到cookie，然后使用伪造的IP地址返回cookie，这可通过在产生cookie时和对方的IP地址及端口相绑定来实现；为满足原则2，响应者可在生成和验证cookie时使用本地秘密信息；原则3的实现可通过使用带密钥的单向函数来实现。在Photuris协议中，建议的cookie生成方法为 cookie = HMAC( secret, IP-I, IP-R, Port-I, Port-R, context ) 其中，IP-I和Port-I表示发起方的IP地址和端口，IP-R和Port-R表示响应方的IP地址和端口号，context表示和这次请求相关的一些其他信息。 针对cookie机制的攻击 （1）攻击者使用真实IP地址获得cookie，并使用真实IP地址进行攻击。这在DDoS攻击中较为普遍。 （2）攻击者使用虚假的IP地址发出请求，通过在返回的路径上窃听、使用IP源路由选项等方法获得cookie，并使用该cookie和虚假的IP地址进行DoS攻击。 （3）攻击者窃听到发给某个IP的cookie，然后使用该cookie并伪造该IP进行