1、安全协议 (密码协议),刘璟 ,第一章 Introduction,课程介绍 1.1 什么是安全协议(密码协议) 1.2 为什么研究密码协议 1.3 两个简单有趣的安全协议攻击实例 1.4 实验:设计一个密钥建立协议 1.5 Dolev-Yao模型 1.6 密码属性,课程介绍,“安全协议设计与分析” 课程性质:选修课 考查方式:平时作业 + 课程报告 教学目的:在开放网络(Internet、无线网络等)中,网络安全技术正在扮演着越来越重要的角色。安全协议则是分布式系统或开放网络系统之安全的核心和基石。选择使用国际上认可的密码系统和强度大的密钥并不难,但是能够正确运用这些基本构造模块而搭建起完善的
2、安全体系则不是一件简单的事。安全协议是以密码学为基础的协议,它在网络和分布式系统中提供各种各样的安全服务,有着大量的应用,起着“桥梁”的作用,在信息系统安全中占据十分重要的位置。网络安全协议是中山大学信息安全网络安全技术课程群中一门重要的课程。,教学基本要求,掌握以下基本方法,理论和技术: 安全协议分析与设计的几种典型的形式化方法:BAN类逻辑、CSP模型、串空间模型等; 学会应用自动验证工具(AVISPA、CSPFDR)具体分析安全协议; 掌握安全协议设计的基本原则; 应用上述理论和方法自行设计安全而且正确的安全协议。提高自己的安全系统设计能力;,安全协议作者:卿斯汉,丛书名:高等院校信息安
3、全专业系列教材 清华大学出版社 2005年3月 密码协议形式化分析(高等院校信息安全专业规划教材) 作者:王亚弟、束妮娜、韩继红、王娜 出版社:机械工业出版社The Modelling and Analysis of Security Protocols: the CSP Approach 作者:P.Y.A.Ryan and S.A.Schneider etc. First Edition 2001 安全协议的建模与分析:CSP方式作者:(英)瑞安,(英)施奈德 著,张玉清 等译 机械工业出版社Protocols for Authentication and Key Establishment
4、 作者:Colin Boyd and Anish Mathuria. First Edition (September 17, 2003) Formal Correctness of Security Protocols 作者:Giampaolo Bella, 2007,教材、教学参考书和资料,1.1 什么是安全协议(密码协议),Definition: As with any protocol, a security protocol ( also known as cryptographic protocol ) comprises a prescribed sequence of inte
5、ractions between entities designed to a achieve a certain end, deferent from a communications protocol which is designed to establish communication between agents, i.e. set up a link, agree syntax, and so on. Goals: Authentication of agents or nodes Establishing session keys between nodes Ensuring s
6、ecrecy, integrity, anonymity, non-repudiation and so on.,How to implement: Typically they make liberal use of various cryptographic mechanism, such as symmetric and asymmetric encryption, hash functions, and digital signatures.,1.2 为什么研究密码协议,即使只讨论最基本的认证协议,其中参加协议的主体只有2-3个,交换的消息只有3-5条,设计一个正确的、符合认证目标的、
7、没有冗余的认证协议也是很不容易的。 Needham-Schroeder公开密钥认证协议(NSPK)于1978年提出,Gavin Lowe与1996年发现NSPK协议缺陷。,1.3 两个简单有趣的安全协议攻击实例之一,现代轿车锁:Engine Controller与Transponder in the Car Key之间的交互 挑战应答协议(Challenge-Response) E-T: N T-E:T,NK 考虑当Engine Controller产生的随机数可预测时会有什么攻击?,1.3 两个简单有趣的安全协议攻击实例之二安哥拉-南非空战,80年代,南非(South Africa)与古巴空
8、军在南安哥拉(Southern Angola)与北纳米比亚(Northern Namibia)间展开战争。 南非的战争目标是:确保南非在Namibia的白人统治;且在Angola建立一个亲南非的安盟(争取安哥拉彻底独立全国联盟,简称UNITA)政府 安哥拉“安人运”(安哥拉人民解放运动,简称MPLA) 得到古巴(Cuba)支持,属于苏联社会主义阵营。 敌我识别系统Identify-Friend-or-Foe(IFF),1.4 实验:设计一个密钥建立协议,背景:A(Alice)和B(Bob)希望建立一个新鲜的会话密钥(Session Key)用来加密他们随后的通信。 我们采用TTP(Third
9、Trusted Party)的方式来传递信任关系 协议主体:A,B,S(Third Trusted Server) 前提: A与B之间没有信任关系;A信任S;B信任S;S的任务是产生随机的会话密钥KAB并传输给A和B 会话密钥(Session Key)与长期密钥,协议目标,在协议结束时,KAB应该为A和B所知,但是除了S之外的其它主体应该无法知道KAB A和B应该知道KAB时最新产生的,第一次尝试协议,Alice-Bob 记号(Notation),1. A - S : A, B 2. S - A : KAB 3. A - B : KAB, A 这种记法虽然简洁但是有很多局限,1.4.1 机密性
10、(Confidentiality),安全假设1:敌手能够窃听密码协议中传送的所有消息.,第二次尝试协议,A,S共享:KAS B,S共享:KBS,完美密码假设Perfect Cryptography,1.4.2 鉴别(Authentication),安全假设2:敌手能够使用任何可用的信息修改一个密码协议中所传送的所有消息.敌手能够把任何消息重发给任何其他的主体.这包括产生和插入全新消息的能力.,对第二次协议的攻击,对第二次协议的另一种攻击,安全假设3:敌手可以是合法的协议参与者(an insider),或者一个外来者(an outsider),或者是两者的组合.,第三次尝试协议,1.4.3 重放
11、(Replay),安全假设4:敌手能够从以前协议运行中通过密码分析获取会话密钥KAB.,对第三次尝试协议的攻击,定义:一个临时值(Nonce)是一个主体产生的随机数并且在协议的一条消息中回传给该主体以表明此条消息是最新产生的.即挑战应答(challenge-response),第四次尝试协议(Needham-Schroeder),NSSK,对第四次尝试协议的攻击,第五次尝试协议(final),对比最终协议和第四次尝试协议 Key Confirmation,1.5 Dolev-Yao模型,将密码协议本身与密码协议所具体采用的密码系统分开,在假定密码系统“完善”的基础上讨论密码协议本身的正确性、安
12、全性、冗余性等课题 建立了攻击者模型。攻击者可以控制整个通信网络。攻击者具有如下能力: 窃听所有经过网络的消息; 阻止和截获所有经过网络的消息; 存储所获得的或自己创造的消息; 可以根据存储的消息伪造消息并发送消息; 可以作为合法的主体参与协议的运行。,姚期智简介,Andrew Chi-Chih Yao, 世界著名计算机科学家,2000年获得图灵奖。现任清华大学高等研究中心(The Center for Advanced Study in Tsinghua University)教授。姚期智先生于1967年获得台湾大学物理学士学位,1972年获得美国哈佛大学物理博士学位,1975年获得美国伊利
13、诺依大学计算机科学博士学位。 In recognition of his fundamental contributions to the theory of computation, including the complexity-based theory of pseudorandom number generation, cryptography, and communication complexity.“,1.6 构造密码协议的密码算法(Cryptographic Algorithm) 所提供的密码属性(服务),密码算法能为我们提供一下不同的密码属性(密码服务) 机密性(Confi
14、dentiality):确保数据仅能为那些被授权的主体获得。通常是通过这种方式来实现,即对数据进行加密以使得只有掌握正确解密密钥的主体能够恢复它的。在密码协议中,机密性是确保密钥和其它数据安全的重要手段。具体通过对称或非对称密码算法实现。 数据完整性(Integrity):确保数据没有被未授权的主体修改。通常是通过以下方式来实现:Hash函数和加密相结合的方式(例如数字签名)或消息鉴别码(Message Authentication Code,简称MAC)。数据完整性在密码协议中起到保护身份域、临时值(Nonce)等消息元素的作用。,数据源鉴别(Data Origin Authentication):确保所接收的到数据确实是来自所声明的源头。由于修改了数据必然修改了它的起源,所以数据源鉴别包含了数据完整性。可以通过MAC或数字签名算法来实现。 非否认性(Non-repudiation):防止消息的发送方或接收方对他所发送过的消息进行抵赖。通常是通过数字签名算法来实现。鉴别和密钥建立协议中很少使用这一密码属性。但在电子商务协议中应用普遍。,
