《安全协预习(密码协议)》公开课件（设计）.pptVIP

3. Diffie-Hellman协议 A?B: X=Gx mod N B?A: Y=Gy mod N G,N是通信主体A、B的共识。 协议执行完成后，双方计算得到新的密钥 K=GXY mod N(本协议不提供认证) 4.station-to-station协议 A?B: A,B, ax B?A: B,A,ay, E(K: (ayax)) A?B: A,B,E(K: (axay)) 攻击：B与Z通信，不知道A的存在 对该协议的攻击 A?Z(B): A,B,ax 1’) Z?B: Z,B,ax 2’) B?Z: B,Z,ay,E(K: (ayax)) Z(B)?A: B,A,ay,E(K: (ayax)) A?Z(B): A,B,E(K: (axay)) 对STS协议的修改 A?B: A,B, ax B?A: B,A,ay, E(K: (A, ayax)) A?B: A,B,E(K: (B, axay)) 此时， 2’) B?Z: B,Z,ay, E(K: (Z, ayax)) 2) Z(B)?A: B,A,ay, E(K: (Z, ayax)) 其他协议 ISO two-pass 双方公钥认证协议 ISO three-pass 双方公钥认证协议 Bilateral密钥交换公钥协议 Station-to-Station协议 2.3.4 有可信第三方参与的公钥协议 1. Needham-Schroeder公钥协议 A?S: A,B S?A: E(Ka-1: Kb, B) A?B: E(Kb: Na, A) B?S: B,A S?B: E(Ks-1: Ka, A) B?A: E(Ka: Na,Nb) A?B: E(Kb:Nb) Lowe发现的对此协议的攻击 A?Z: E(Kz: Na, A) 3’) Z(A)?B: E(Kb: Na, A) Z?A: E(Ka: Na, Nb) A?Z: E(Kz: Nb) 7’) Z(A)?B: E(Kb:Nb) Lowe的修改 6) B?A: E(Ka: Na, Nb, B) 2. Denning Sacco密钥分配协议 A?S: A, B S?A: Certa,Certb A?B: Certa, Certb, E(Kb: E(Ka-1: Kab,T)) 欺骗过程： B?S: B,C S?A: Certb,Certc B?C: Certa, Certc, E(Kc: E(Ka-1:Kab,T)) 其他协议 SPLICE / AS 认证协议 Denning Sacco密钥分配协议 SRA three-pass协议 Gong双方认证协议 加密的密钥交换协议 2.4 安全协议的形式化分析 新兴领域 目前的技术主要用于对密钥正确的认证 安全协议的形式化分析有助于： 1. 更准确地描述安全协议的行为。 2. 更准确地定义安全协议的特性。 3. 证明安全协议满足其说明，以及证明安 全协议在什么条件下不能满足其说明。 安全协议形式化分析的历史与现状(1) 实现网上密钥分配与实体认证。 最早提出对安全协议形式化分析思想的是Needham和Schroeder. [NESC78] R.M.Needham and M.D.Schroeder，Using encryption for authentications of large networks of computers. Communications of the ACM,21(12),993-999,1978 安全协议形式化分析的历史与现状(2) 真正在此领域做出工作的为Dolev 和Yao。 1989年，Burrows,Abadi 和Needham提出了BAN逻辑，较成功。 目前典型的方法： 以BAN逻辑代表的基于推理结构性方法。 基于攻击结构性方法。 基于证明结构性方法。 相关问题---open-ended协议 针对有限主体通信： 数据结构固定，如随机数、名字、密钥等。 变动 (1) 协议并行执行的数目不可知。 (2) 攻击者为创建一个消息而执行的操作 数是不受限制的。 相关问题---拒绝服务 攻击者开始一个协议之后就放弃，使得受骗者处于悬挂等待状态，由于受骗者占用一定的资源以维持连接直到协议连接等待时间到。 认证可缓解解决: 识别攻击者的来源，从而受骗者可断开与攻击者的连接。 相关问题---匿名通信 防止“旁观者”判断服务请求的来源与去处，主要的方法是采用加密手段使得路径上的节点只知道与其直接通信的节点，而对其他节点忽略不计。 相关问题---可合成性 在同一环境下，两个或多个协议同时执行时，一个协议的消息是否会破坏其他协议的安全目标。 相关问题