安全协议理论与方法

安全协议理论与方法安全协议2.1安全协议概述■各种攻击■黑客■利用安全协议本身的缺陷进行攻击■重设计■面向具体应用■基于经验和软件测试来保证安全性■对现有协议改进和优化安全协议的概念定义：协议是两个或两个以上的参与者采取一系列步骤以完成某项特定的任务。安全协议是密码体制基础上的一种高互通协议。■协议至少需要两个参与者。■在参与者之间呈现为消息处理和消息交换交替进行的一系列步骤。■通过执行协议必须能够完成某项任务，或达成某种共识。安全协议常见类型■密钥交换协议：用于完成会话密钥的建立。■认证协议：实体、身份、数据源(目)、消息。用来防止篡改、假冒、否认等攻击。■认证和密钥交换协议：IKE、DASS、Kerberos等。■电子商务协议：由于协议双方利益矛盾，因此需要保证公平，如SET。安全协议系统模型—环境定义■系统环境：消息的发送和接收者、攻击者(恶意网络环境)、管理消息发送和接收的规则。■恶意网络环境：攻击者■攻击者操作：截取、重放、篡改、级联、分离、加密和解密。■被动攻击者：知道信息。■主动攻击者：操纵信息。安全协议系统模型—攻击行为■转发消息到其意定接收者处。■延迟消息的送达。■将消息篡改后转发。■将消息与以前接收的消息合并。■改变部分或全部消息的去处。■重放消息。安全协议系统模型--示意图诚实主体诚实主体诚实主体诚实主体环境/攻击者安全协议的性质及实现目标：保证下面安全性质在协议执行完毕时能够得以实现。■认证性--关键性质■机密性■完整性■不可否认性认证性实现通过共享秘密实现，例如：加密的密钥。■声称者使用仅为其与验证者知道的密钥封装消息，如果验证者能够成功地解密消息或验证封装是正确的，则证毕。■声称者使用私钥对消息签名，验证者使用声称者的公钥验证签名，如正确，证毕。■声称者通过可信第三方来证明自己。■用途：对抗假冒攻击，确保身份，从而获取对某人或某事的信任。秘密性实现■目的：保护协议消息不被泄漏非授权拥有此消息的人，即使是攻击者观测到了消息的格式，它也无法从中得到消息的内容或提炼出有用的消息。■实现方法之一：对消息明文加密。完整性实现■应用：保护协议消息不被非法篡改、删除和替代。■常用方法：封装和签名。即用加密的方法或者Hash函数产生一个明文的摘要附在传送的消息上，作为验证消息完整性的依据，称为完整性校验值(ICV)。■关键问题：通信双方必须事先达成有关算法的选择等诸项的共识。不可否认性实现■目的：通过通信主体提供对方参与协议交换的证据来保证其合法利益不受侵害。■收集证据，以便事后能够向可信仲裁证明对方主体的确发送或接收了消息。■证据实现：签名消息的形式。■协议特点：证据的正确性，交易的公平性。次要性质：适时中止性、可追究性等。协议设计准则缺陷来源:设计不规范和具体执行时产生。■消息独立完整性原则■消息前提准确原则■主体身份标识原则■加密目的原则原则■签名原则■随机数的使用原则■时戳的使用原则■编码原则消息独立完整性原则■一条消息的解释应完全由其内容来决定，而不必借助于上下文来推断。■序列号发送者标识接收者标识：消息2AB:mm应包含A，B的标识，否则易造成攻击。消息前提准确原则■与消息的执行相关的先决前提条件应当明确指出，并且其正确性与合理性能够得到验证，由此可判断出此消息是否应当接收。解释:■每条消息所基于的假设是否能够成立?主体身份标识原则主体标识重要时在消息中明确附上主体名称■显式：主体的名字以明文形式出现。■隐式：采用加密或签名技术，需要从消息格式中推知消息所属主体的身份。加密目的原则■加密可实现多种安全目的：秘密性、完整性、认证性■在协议中使用加密算法时，要事先确定什么目的并能够保证某种安全性的实现。签名原则■主体对加密消息签名时，并不表明主体知道加密消息的内容。■如果主体对一个消息签名后再加密，则表明主体知道消息的内容。■同时使用加密与签名时，应该先签名后加密。随机数的使用原则■作用：在协议中使用随机数时，应明确其所起的作用和属性，它的目的是提供消息的新鲜性。■关键问题：随机数的真正随机性。时戳的使用原则■原则：使用时戳时，要考虑各个机器的时钟与当地标准时间的差异，这种差异不能影响到协议执行有效性。■时戳的使用主要依赖于时钟的同步。编码原则■明确指出具体的编码格式■编码是与协议的安全性相关。安全协议缺陷分类■基本协议缺陷■口令/密钥猜测缺陷■陈旧消息缺陷■并行会话缺陷■内部协议缺陷■密码系统缺陷基本协议缺陷■设计时没有考虑或很少考虑攻击者攻击而引发的协议缺陷。■实例：对消息先加密后签名就有漏洞，因为签名者并不一定知道被加密的消息内容，而且签名者的公钥是公开的。使攻击者通过用他自己的签名替换原有的签名来伪装成发送者。口令/密钥猜测缺陷■可检测的口令在线猜测攻击：不成功的登录能被检测并被认证服务器记录(以便限定次数)。■不可检测的口令在线猜测攻击：攻击者从认证服务器的响应中逐渐推导出正确的口令。■可离线的口令猜测攻击：攻击者使用认证协议消息复件，猜测口令并离线验证。改进的措施：■认证服务器只响应新鲜的请求。■认证服务器只响应可验证的真实性。其他几种缺陷■陈旧消息缺陷：在协议设计中没有对消息的新鲜性充分考虑。从而存在消息重放攻击。■并行会话缺陷：攻击者通过交换一定的协议消息获得重要的消息。■内部协议缺陷：协议的参与者中至少有一方不能够完成所有必需的动作而导致缺陷。■密码系统缺陷：协议中使用的密码算法的安全强度有问题，导致协议不能满足所要求的机密性、认证等需求而产生的缺陷。消息重放攻击及对策■消息重放攻击■对策①序列号机制②时戳机制③挑战-应答机制消息重放攻击■攻击者利用其消息再生能力生成诚实用户所期望的消息格式并重放，从而达到破坏协议安全性质的目的。■类别：本协议的轮内攻击和轮外攻击。■轮内攻击影响消息去向的攻击■偏转攻击：将消息返还给发方---反射攻击非协议的双方---第三方攻击■直接攻击---意定的接收方，但被延迟诚实主体收到的重放消息类型■本轮内的消息重放■无重叠轮外消息的重放■有重叠轮外消息的重放■延迟的消息对策---序列号(挑战-应答)■序列号机制—接收方通过比较消息中的序列号以判断消息是新产生的还是重放的。■问题:开销增大,适用系统中成员较少的情况。■挑战-应答机制---消息的时间变量参数由接收方在该消息传递前明确地向消息发送方说明。■问题：系统开销增加.对策---时戳机制■消息的新旧是由消息上盖的时戳决定的，只有当消息上的时戳与当前本地时间的差值在一定范围内，接收方才接收这个消息。■问题：需要全局时钟，但仍难以同步。1)如果验证者弄错了当前的时间，那么旧消息就能被很容易地重放。2)如果合法声称者弄错当前时间,有可能被利用在合理的时间点接收验证者重放产生的认证请求。3)如果双方的时钟都有较大的偏差，则双方都会被攻击者利用。安全协议及其受到攻击的实例■A,B,…:表示参与协议的主体。■Kij:主体i，j共享的会话密钥。■Ki：主体i的公钥，Ki-1：主体i的私钥。■Ri：主体i生成的随机数，Ni：主体i生成的序列号。■Ti：主体i生成的时戳。■[m1|m2]:表示消息的级联■E(k:m):表示用密钥K对消息m加密。■Text1,Text2,…:为消息常量。■fKab(X):表示用Kab加密的Hash函数。■Z:表示攻击者。无可信第三方参与的对称密钥协议■ISOone-pass单方对称密钥认证协议1)AB:Text2,E(Kab:[Ta|Na],B,Text1)■ISOtwo-pass单方对称密钥认证协议1)BA:Rb,Text12)AB:Text3,E(Kab:Rb,B,Text2)无可信第三方参与的对称密钥协议■ISOtwo-pass双方对称密钥认证协议1)AB:Text2,E(Kab:[Ta|Na],B,Text1)2)BA:Text4,E(Kab:[Tb|Nb],A,Text3)■ISOthree-pass双方对称密钥认证协议1)BA:Rb,Text12)AB:Text3,E(Kab:Ra,Rb,B,Text2)3)BA:Text5,E(Kab:Rb,Ra,Text4)无可信第三方参与的对称密钥协议■使用单向函数1)BA:B,Rb2)AB:A,E(Kab:f(Rb),Ra,A,K)3)BA:B,E(K:f(Ra))使用f(Rb)和f(Ra)单向函数验证消息的正确性。无可信第三方参与的对称密钥协议■RFC协议1)AB:A,E(Kab:Na)2)BA:E(Kab:Na+1,Nb)3)AB:E(Kab:Nb+1)4)BA:E(Kab:K’ab,N’b)有缺陷，例如第4步易被E(Kab:Na+1,Nb)重放替代，并且A不能觉察。RFC协议的修改■将前述协议的2)3)4)修改为：1)AB:A,Na2)BA:E(Kab:Na’,K’ab)3)AB:A,E(K’ab:Na’)4)BA:Nb■问题:仍有缺陷，因为存在多重会话攻击。多重会话攻击1)AZ(B):A,Na1’)Z(B)A:B,Na(■Z假冒B向A发连接)2’)AZ(B):E(Kab:Na’,K’ab)(■A应答Z的请求)2)Z(B)A:E(Kab:Na’,K’ab)(■Z重放A应答Z的消息给A)3)AZ(B):A,E(K’ab:Na’)(■A回应Z)3’)Z(B)A:A,E(K’ab:Na’)4)Z(B)A:Ni4’)AZ(B):Na’多重会话攻击分列表示1)AZ(B):A,Na1’)Z(B)A:B,Na2’)AZ(B):E(Kab:Na’,K’ab)2)Z(B)A:E(Kab:Na’,K’ab)3)AZ(B):A,E(K’ab:Na’)3’)Z(B)A:A,E(K’ab:Na’)4)Z(B)A:Ni4’)AZ(B):Na’有可信第三方参与的对称密钥协议■1.Needham-Schroeder私钥协议1)AS:A,B,Na2)SA:E(Kas:Na,B,Kab,E(Kbs:Kab,A))3)AB:E(Kbs:Kab,A)4)BA:E(Kab:Nb)5)AB:E(Kab:Nb-1)■问题:消息3新鲜性无法保证,可用类似旧消息重放。若使用流密码则消息4和5差别很小,易被攻击。缺陷分析■若在给定的时间内E(Kbs:Kab,A)中的旧密钥Kab被解密，则该协议存在如下的问题：■由于消息3)中没有新鲜性标记，因此攻击者重放一个以前A发给B的报文。Z(A)B:E(Kbs:Kab,A)B以为A发来的新消息。由于此处的Kab已被解密,因此所有用Kab加密的消息都不保密。NS-无需获得会话密钥的攻击■针对Needham-Schroeder协议的另类攻击1)AS:A,B,Na2)SA:E(Kas:Na,B,Kab,E(Kbs:Kab,A))3)AB(Z):E(Kbs:Kab,A)4)Z(B)A:Nz//与E(Kab:Nb)格式相同5)AB(Z):E(Kab:(E(Kab:Nz)-1)-1)■此时，A认为主体B已经知道了会话密钥Kab,但B实际上并没有参与协议的执行过程。1’.修订的NeedhamSchroeder协议1)AB:A2)BA:E(Kbs:A,Nb’)3)AS:A,B,Na,E(Kbs:A,Nb’)4)SA:E(Kas:Na,B,Kab,E(Kbs:Kab,Nb’,A))5)AB:E(Kbs:Kab,Nb’,A)6)BA:E(Kab:Nb)7)A—B:E(Kab:Nb-1)■该协议见[Boyd90],任有漏洞。2.DenningSacco协议■针对前述协议缺点,提出采用时戳方法来解决上述NS协议中出现的新鲜性问题。1)AS:A,B2)SA:Certa,Certb3)AB:Certa,Certb,E(Kb:E(Ka-1:Kab,T))■消息3的双重加密用于保证消息的秘密性和认证性,但当B收到此消息时,并不能确定这条消息是发给它的。DenningSacco协议的攻击■用户Z通过协议正常执行得到A发的消息3):3)AZ:Ce