第15讲 认证协议讨论教案.pptVIP

安全协议与标准 第十一章 安全协议的分析 上节课回顾 无线网应用协议概述 无线传输层安全 WAP End-to-End 安全 第十一章 安全协议分析 概述 经典认证协议 关于认证协议攻击的讨论 针对经典认证协议的攻击 有关认证协议的进一步讨论 用BAN逻辑分析NSSK协议 11.1 概述 11.1.1安全协议的安全性与安全性分析 安全协议的安全性: 如果一个安全协议使得非法用户不可能从协议交换过程中获得比协议自身所体现的更多的有用信息,则称协议是安全的. 安全协议的安全性分析: 研究安全协议是否实现预定的安全功能,满足安全要求,称为协议的安全性分析. 密码算法的安全性 协议逻辑的安全性 11.1 概述 11.1.2 安全协议安全性分析的基本方法 非形式化方法 根据已知各种攻击方法对协议进行攻击, 以攻击是否有效来检验安全协议是否安全 形式化方法 形式化分析方法是将安全协议形式化,而后借助人工推导甚至计算机辅助分析,来判别安全协议是否安全可靠. 11.2 经典认证协议 11.2.1 认证协议概述 认证协议是网络安全的重要组成部分。 设计和分析一个正确的认证协议十分困难。 目前状况：设计——发现缺陷——改进——发现新的缺陷——进一步改进 70年代以来，认证协议的形式化分析成为研究热点。 本节用大写字母A、B、C等表示一般主体；用K、Ka、Kb、Kab表示加密密钥;解密密钥为K-1、 Ka-1、Kb-1、Kab-1 A→B：X ;表示A向B发送消息X 描述攻击时：P(A) →B: X; B →P(A): Y 11.2 经典认证协议 11.2.2 经典认证协议介绍 所介绍的几个经典认证协议，都是早期设计的认证协议。 NSSK协议 NSPK协议 Otway-Rees协议 Yahalom协议 Andrew 安全PRC协议 “大青蛙嘴”协议 NSSK协议 Needham-Schroeder 认证协议是1978年提出的。NSSK是对称密码体制的版本，其目的是分配双方会话密钥。 (1) A→S：A，B，Na (2) S →A: {Na, B, Kab , {Kab , A}Kbs}kas (3) A→B: {Kab , A} Kbs (4) B →A:{Nb} Kab (5) A→B: {Nb-1} Kab 临时值的作用 临时值与时间戳的区别 NSSK协议 NSPK协议 NSPK协议是Needham-Schroeder公开密钥协议。其目的是使双方安全地交换两个彼此独立的秘密。 (1) A→S：A，B (2) S →A: {Kb, B} Ks-1 (3) A →B: {Na, A} Kb (4) B →S: B, A (5) S →B: {Ka, A} Ks-1 (6) B →A: {Na, Nb} Ka (7) A →B: {Nb} Kb NSPK协议 Otway-Rees协议 该协议是1987年提出的一种早期的认证协议，其目的也是用于通信双方之间分配会话密钥。 (1) A →B: M, A, B,{Na, M, A, B} Kas (2) B →S: M, A, B,{Na, M, A, B} Kas, {Nb, M, A, B} Kbs (3) S →B: M, {Na, Kab} Kas, {Nb, Kab} Kbs (4) B →A: M, {Na, Kab } Kas Otway-Rees协议 Yahalom协议 该协议是1988年提出的，其目的是在通信双方之间分配会话密钥。 (1) A →B: A, Na (2) B →S: B, {A, Na , Nb}Kbs (3) S →A: {B, Kab , Na , Nb} kas , { A,Kab} Kbs (4) A →B:{A, Kab} Kbs , {Nb} kab 上述三个在对称体制下的认证协议，都包含A、B和S，目的也一样，但协议的结构却不同。 在NSSK中，只有发起者A与S打交道。 在Otway-Rees中只有响应者B与S打交道。 在Yahalom协议中发起者A和响应者B均与S打交道。 Yahalom协议 Andrew 安全PRC协议 Andrew 安全PRC协议只包含二个主体A和B。双方原先共享会话密钥Kab, 协议的目的是A向B申请一个新的会话密钥Kab’。 A→B: A，{Na} Kab B→A: {Na+1,Nb} Kab A→B: {Nb +1} Kab B→A: {Kab’ , Nb’ } Kab Andrew 安全PRC协议 “大青蛙嘴”协议 该协议是一种简单的三方