安全协议分析与设计课件第2章-下安全协议的目标.ppt

安全协议分析与设计第二章（下） 卫剑钒 安全协议的目标 认证目标 密钥建立目标 其他目标 认证目标 ISO安全体系[ISO89]定义身份认证为“证实一个主体是它所声称的那个主体”，这个定义相当粗略，语义也很不明确。 SVO逻辑[SVO96]认为，身份认证是确认对方响应了一个挑战（challenge，可理解为时间戳或Nonce）。 Gollman的观点 Gollman认为身份认证是指“A收到了一个消息，该消息是A发出的挑战的响应，在这条消息中，一个与B相关联的密钥被使用”[Goll96]。 Woo和Lam的观点 Woo和Lam[WL93]认为身份认证的目标是满足一致性（correspondence），即要求协议主体双方按照一定的锁定步骤（locked-step）运行协议，协议的身份认证目标被表述为下列断言的成立： ( i, EndInit( r ) ) = ( r, BeginRespond( i ) ) ( r, EndRespond( i ) ) = ( i, BeginInit( r ) ) 符号“=”表示“之前有”; (i, EndInit(r))表示发起者i完成了对响应者r的协议运行; ( r, BeginRespond( i ) )表示响应者r开始了对发起者i的协议运行； ( r, EndRespond( i ) )表示响应者r完成了对发起者i的协议运行； (i, BeginInit( r ) )表示发起者i开始了对响应者r的协议运行。 Woo和Lam的观点 Woo-Lam这种一致性目标的要求较强，使得某些认证目标较弱的协议（如STS协议）无法被正确描述。 STS协议只有弱身份认证目标，A执行完协议后，可以确认对方是否为B，但A并不关心B是否知道自己是和A通信；B也有对应的弱身份认证目标。 Lowe对修改后STS协议的攻击,不满足断言(A, EndInit(B) )= (B, BeginRespond(A))，也即A在结束对B的协议运行时，B并没有开始对A的响应。但这个运行并不被设计者认为是攻击。 Lowe的分类法 Lowe在文献[Lowe97b]中将认证协议的目标分类，给出了存活性、弱一致性、非单射一致性、单射一致性等目标。 存活性（Aliveness）：协议向发起者A提供存活性认证目标是指，如果A（作为发起者）认为自己和响应者B完成了一次协议运行，那么B一定在之前（previously）运行了该协议。 在这个目标定义中，B可能不认为它刚和A运行了协议，甚至B都不是刚刚（recently）运行了该协议（之前运行并不代表是刚刚运行了）。 Lowe的分类法 弱一致性（Weak Agreement）：协议向发起者A提供弱一致性目标是指，如果A（作为发起者）认为自己和响应者B完成了一次协议运行，则B一定在之前运行了该协议，并且B认为自己是和A运行的。 非单射一致性（Non-injective Agreement）：协议向发起者A提供非单射一致性目标是指，如果A（作为发起者）认为自己和响应者B完成了一次协议运行，并且协议中的数据变量集合为ds，则B一定在之前运行了该协议，B认为自己是和A运行的，B认为自己是响应者，B认为协议中的数据变量集合为ds。 Lowe的分类法 单射一致性（Injective Agreement）：协议向发起者A提供单射一致性目标是指，如果A（作为发起者）认为自己和响应者B完成了一次协议运行，并且协议中的数据变量集合为ds，则B一定在之前运行了该协议，B认为自己是和A运行的，B认为自己是响应者，B认为协议中的数据变量集合为ds，并且对于A的每一次运行，都对应着一次且仅为一次B的运行。 Lowe这种分类相比以往的方法更为清晰和精确，并较好地应用到了CSP模型检测中。但这种分类法也有局限性，比如该方法不能表达STS协议的目标。 Menezes等人的观点 Menezes等人在“Hanbook of Applied Cryptography”中给出的认证目标的定义，在协议分析中使用得较多。 弱身份认证：弱身份认证是这样的一个过程，通过该过程，一个主体可以确信（通过一些可证实的证据）协议中另一个主体的身份，并且那个主体确实参加了协议运行（即在证据获得时或获得前的瞬间是活动（active）的）。 强身份认证（或称身份认证）：协议向A提供对B的强身份认证是指，A能够建立这样一个新鲜（fresh）的确认：B知道A是B的协议对端（参与协议运行的另一端）。 双向身份认证：在同一个协议中，如果两个主体都能认证对方，则称协议提供相互身份认证；如果只有一方能够认证另一方，则称协议提供单向身份认证。 密钥建立目标 良好密钥 密钥确认 前向安全 良好密钥（Good Key）：通过运行密钥建立协议，如果能