安全协议分析与设计课件第1章-上安全协议基础知识.ppt

安全协议分析与设计第一章（上） 卫剑钒 安全协议基础知识 NSSK（Needham-Schroeder Shared Key）协议。 A→S: A，B，Na S→A: { Na，B，Kab，{ Kab，A }Kbs }Kas A→B: { Kab，A }Kbs B→A: { Nb }Kab A→B: { Nb – 1 }Kab 问题1：为什么需要随机数Na？ 问题2：为什么在消息2中，要把B放在用Kas加密的部分中？ 问题3：为什么要在消息2中出现A无法解读的{ Kab，A }Kbs？ 问题4：最后两条消息是做什么用的？ 问题5：为什么在消息5中使用{ Nb – 1 }Kab而不是{ Nb }Kab或者{ Nb – 2 }Kab? 3年后，Denning 和Sacco在论文[DS81]中发表了对NSSK协议的一个攻击，攻击者在破获了一个过期的会话密钥Kab后，冒充A重放含有这个旧会话密钥的消息3给B，并冒充A完成随后的协议。从而使B接受了一个过期的被破获的Kab。 这个协议还有一个公开密钥算法版本：NSPK协议。17年后，Lowe在文献[Lowe96a]成功地找到NSPK的一个漏洞（见2.2节），而此前，该协议被多次“证明”是正确的。 安全协议形式化分析的现状 逻辑类分析方法自1989年BAN逻辑为起源，大多数基于推理知识和信念的模态逻辑。 模型检测技术是一种有效的形式化分析工具，主要通过构造攻击来证明协议是不安全的。 定理证明类方法可以处理无限状态空间，不限制主体参与协议运行的回合。其缺点是证明过程复杂，缺乏自动化工具支持。 除形式化方法外，可证明安全性理论也受到了很多关注，这类方法通常基于复杂性理论，将协议的安全性规约到一些极微本原（atomic primitives）上。严格地讲，称之为“规约安全”比“可证明安全”更为恰当。 上述的形式化方法可有效地发现协议中的漏洞，但人们普遍怀疑没有哪种方法能够完备地证明一个协议是正确无误的，也没有哪种方法被公认为是最有效的。 基本概念 安全协议：使用消息交换机制，通过各参与主体的执行，在某种攻击者能力模型下，为达到一定的安全目标而规定的一组关于消息含义和顺序的规则。 攻击者：以破坏认证协议目标为目标的实体。 主体：可以执行协议的实体。主体包括诚实主体和变节主体两种，后者为一种攻击者。主体通常用A，B，C…来表示。 诚实主体：严格按照协议规范执行协议的主体。 变节主体：身份被诚实主体认可的攻击者。 会话：协议的每个运行实例为一个会话。主体可以同时参与多个会话。 角色：协议中因执行动作不同而划分的主体类别。通常包括发起方、响应方和可信第三方3种角色，分别记作I、R和S。 发起方：在协议执行中，触发整个协议执行的角色。通常是第1条消息的发送方。 响应方：在协议执行中，发起方意欲与之建立安全目标的角色。 可信第三方：在协议执行中，起中心或服务器作用的角色。它辅助发起方和响应方之间建立认证目标。 密钥建立：密钥建立是这样一个过程，通过该过程，使得两个或多个主体拥有良好的共享秘密，以用于后继的密码学运算。 会话密钥：在安全协议成功运行完毕后，主体间进行应用层会话时使用的密钥，使用时间较短。 长期密钥：与会话密钥相对应，可以长时间多次使用，可能是共享的对称密钥，也可能是公开密钥系统中的公钥或私钥。 前向安全：一个协议具备前向安全，是指即便安全协议中使用的长期密钥被攻击者破获，而由这些长期密钥所建立（通过安全协议建立）的会话密钥仍然是安全的。 协议描述：Alice-Bob记法 每条消息以Msg n起始，其中n表示消息的序号。 以“→”符号表示消息的流向，→两边的符号（如A、B、C等）表示主体。 PKa、PKb或者Ka、Kb表示相应主体的公钥。 SKa、SKb 或者Ka?1，Kb?1表示相应主体的私钥。 Kab则表示主体A和B之间的共享密钥。 {x}K表示对x用密钥K加密（用私钥加密即意味着签名）。 以T代表时间戳，N代表Nonce（即用于检测新鲜性的随机数或称为“现时”）。 协议描述实例 Msg1 A→B: A，Na Msg2 B→A: { Nb，Na，A }SKb Msg3 A→B: { Na，Nb，B }SKa ISO 9798-3三条消息双向认证协议 对攻击的描述 用‘号来标识不同的会话。 通常用Z和C表示攻击者，如用Z（A）表示Z冒充A和另一方交互。 对NSPK协议的攻击描述： Msg1 A →C: { A，Na }PKc Msg1 C(A) →B: { A，Na }PKb Msg2 B→C(A): { Na，Nb }PKa Msg2 C →A: { Na，Nb }PKa Msg3 A →C: { Nb }PKc Msg3 C(A) →B: {