协议-湖南大学.PPT

第一章 安全协议概述 杨秋伟 湖南大学 计算机与通信学院 1.1 安全协议的概念 安全协议——密码协议 内涵 以密码学为基础的消息交换协议 目的 在网络环境中提供各种安全服务 协议、算法与安全协议 协议、算法 协议：两个或者两个以上的参与者采取一系列步骤以完成某项特定的任务 安全协议 1.1 安全协议的概念 协议运行环境中的角色 参与者 可能是完全信任的人，也可以是攻击者或者完全不信任的人 攻击者——敌手 目的 企图破坏协议安全性和正确性的人 人员特性 可能是协议的合法参与者，或者是外部实体，或两者结合体 可能是单个实体，也可以是合谋的多个实体 可信第三方 1.2 常用的安全协议 秘钥建立协议 目的 在两个或者多个实体之间建立共享的会话密钥 认证协议 目的 数据起源认证 非授权地改变数据意味着数据来源的改变，保证数据的完整性 实体认证 证实用户的身份，以防止假冒攻击 1.2 常用的安全协议 电子商务协议 目的 保证交易双方都不能通过损害对方利益而得到其不应该得到的利益 保证公平性 安全多方计算协议 目的 保证分布式环境中各参与方以安全的方式来共同执行分布式的计算任务 保证协议的正确性和各参与方私有输入的秘密性 协议执行完后每个参与者都得到正确的输出，除此之外不能获知其它信息 1.3 安全协议的安全性质 安全协议的安全性质 机密性 完整性 认证性 不可否认性 公平性 1.4 对安全协议的攻击 协议攻击类型 窃听、篡改 重放/预重放 反射 拒绝服务 类型攻击 密码分析 证书操纵 协议交互 1.4 对安全协议的攻击 重放/预重放攻击 重放 攻击者把之前运行协议中的消息或部分消息插入到当前运行的协议 预重放 重放攻击的一种扩展攻击 1.4 对安全协议的攻击 反射攻击 典型情形——重放的一种很重要的特例 相同协议的并行运行——并行会话攻击 实例 Alice和Bob通过表明知道共享的密钥K来达到相互认证 1.4 对安全协议的攻击 类型攻击 当用户接收到的信息都是二进制串时 用户无法判断是否是加密传输 用户可能会将一个消息错误的解释成其它的消息（不同类型的） 实例 本来为实体的标识符可能被错误的解释成一个密钥 1.4 对安全协议的攻击 对Otway和Rees协议的类型攻击 协议描述 Alice和Bob分别与Server共享一个长期密钥KAS和KBS Server生成新的会话密钥KAB并传递给Alice和Bob 1.4 对安全协议的攻击 证书操纵攻击 当可信第三方没有证明相应的私钥真实的被这个声明拥有密钥对的实体所拥有时可以实施证书操纵攻击 攻击者可以获得合法的公钥证书，即使它不知道该公钥对应的私钥 实例(Cert(C)对应的公钥是gac) 1.4 对安全协议的攻击 协议攻击者模型——Dolev和Yao(姚期智)模型 可以窃听所有经过网络的消息 可以阻止和截获所有经过网络的消息 可以存储所获得或自身创造的消息 可以根据存储的消息伪造消息，并发送该消息 可以作为合法的主体参与协议的运行 1.5 安全协议的三大理论分析方法 安全多方计算 1982年姚期智给出概念，Goldreich\Micali\Wigderson给出一般描述 刻画了在不同环境下攻击者所具备的能力 有利于澄清分布式计算中的一些最基本的安全性问题 有利于说明在既定的安全模型下哪些计算功能是可以安全实现的 给出设计分布式安全协议的一般技术和方法 有助于设计可应用于实际系统中的某些具体的方案和模块 任何安全多方计算问题可以通过电路计算协议来解决 1.5 安全协议的三大理论分析方法 安全协议的形式化分析方法 采用一种正规的、标准的方法对协议进行分析，以检查协议是否满足其安全目标 有助于界定安全协议的边界，即协议系统与其运行环境的界面 有助于更准确地描述安全协议的行为 有助于更准确的定义安全协议的特性 有助于证明安全协议满足其说明，以及在何种情况不满足说明 研究动态 BAN类逻辑——Dolev-Yao 串空间(Strand Space)理论、Paulson的归纳方法 1.5 安全协议的三大理论分析方法 安全协议的可证明安全性理论 可证明安全性 确定安全方案或协议的安全目标 构造一个形式攻击者模型，并定义它对安全方案或协议的安全性“意味”着什么 一般将安全协议归约到一个“极微本原”——它必须存在 挫败方案或协议的唯一方法是破译或解决“极微本原” 研究动态 标准模型——严重牺牲效率 RO模型——面向实用 敌手Malice首先窃听Alice和Bob的通信 Malice用真实的身份分别与Alice和Bob通信 Malice利用“1”中的部分信息诱使Alice和Bob透露部分秘密信息 Malice利用得到的秘密信息计算出Alice和Bob通信的密钥 Alice-Bob:{NA}K Bo