第七章密码协议 内容提要 ●71密码协议概述 ●72认证协议基本概念 ●73密钥建立认证协议 74口令认证协议 ●75零知识证明与身份识别协议 7.6其它密码协议简介 77量子密钥分发协议 78安全协议标准 历忠毛孑技*字
内容提要 7.1 密码协议概述 7.2 认证协议基本概念 7.3 密钥建立认证协议 7.4 口令认证协议 7.5 零知识证明与身份识别协议 7.6 其它密码协议简介 7.7 量子密钥分发协议 7.8 安全协议标准 2/ 第七章 密码协议
第七章密码协议:7.1密码协议概述 7.1密码协议概述 ●协议是一种有序的过程,每一步必须依次执行;需要至少两个或两 个以上的参与者,且最终要完成某种任务,即实现某种功能 ●协议对参与者一定是完全公开的,且按照规范动作 ●协议的基本要求是有效性、公平性和完整性 ●密码协议也叫安全协议,是建立在密码体制的基础上的一种交互式 通信协议,借助于密码算法来达到安全功能 ●密码协议所能实现的安全功能是多种多样的 身份认证、密钥协商、消息鉴别、公平抛币 多方计算、秘密共享、不经意传输 零知识证明 密码协议的应用: ●安全通信通信的保密认证等)电子选举、电子拍卖、公平电子 交易… 历忠毛孑技*字
7.1 密码协议概述 协议是一种有序的过程,每一步必须依次执行;需要至少两个或两 个以上的参与者,且最终要完成某种任务,即实现某种功能 协议对参与者一定是完全公开的,且按照规范动作 协议的基本要求是有效性、公平性和完整性 密码协议也叫安全协议,是建立在密码体制的基础上的一种交互式 通信协议,借助于密码算法来达到安全功能 密码协议所能实现的安全功能是多种多样的 ⚫ 身份认证、密钥协商、消息鉴别、公平抛币 ⚫ 多方计算、秘密共享、不经意传输 ⚫ 零知识证明… 密码协议的应用: ⚫ 安全通信(通信的保密认证等)、电子选举、电子拍卖、公平电子 交易… 3/ 第七章 密码协议:7.1 密码协议概述
第七章密码协议:72认证协议概述 721认证协议概述 ●认证:一个实体向另一个实体证明某种声称的东西的过程 ●认证协议:主要目标是确认某个主体的真实性,确保信息的安全性 ●安全可靠的通信除需进行消息的认证外,还需建立一些规范的协议对 数据来源的可靠性、通信实体的真实性加以认证,以防止欺骗、伪装 等攻击 ●认证的分类 身份认证:也称实体认证。验证消息发送者所声称的身份,发起通信或访 问的实体是否具有合法身份和相应权限 密钥建立认证:生成、获得加解密密钥 数据源认证:验证消息与其发送主体的一致性,数据从哪儿来 消息完整性认证:验证消息是否被篡改 ≥这些认证常常一起进行,也有时单独进行 即通信之前首先进行实体认证(身份认证),身份认证之后会协商出 会话密钥用于对每个传输数据的数据源认证和完整性认证 历毛孑拌技大字
7.2.1 认证协议概述 认证:一个实体向另一个实体证明某种声称的东西的过程 认证协议:主要目标是确认某个主体的真实性,确保信息的安全性 安全可靠的通信除需进行消息的认证外,还需建立一些规范的协议对 数据来源的可靠性、通信实体的真实性加以认证,以防止欺骗、伪装 等攻击 认证的分类 ⚫ 身份认证:也称实体认证。验证消息发送者所声称的身份,发起通信或访 问的实体是否具有合法身份和相应权限 ⚫ 密钥建立认证:生成、获得加解密密钥 ⚫ 数据源认证:验证消息与其发送主体的一致性,数据从哪儿来 ⚫ 消息完整性认证:验证消息是否被篡改 这些认证常常一起进行,也有时单独进行 ⚫ 即通信之前首先进行实体认证(身份认证),身份认证之后会协商出 会话密钥用于对每个传输数据的数据源认证和完整性认证 4/ 第七章 密码协议:7.2 认证协议概述
第七章密码协议:72认证协议概述 721认证协议概述 ●身份认证有两个层次:身份证实和身份识别,二者差别是是否出示身份 ●身份证实:你是否是你宜称的你,一般的身份认证都是指这种情况 ●验证方首先知道要验证的身份是谁,进步证实来访或与之通信的 人是否具有该身份 一般用于A和B确定通信时所用,通常的网络认证协议都是身份证实 具体技术:输入个人信息,经公式或算法运算所得结果与卡中或数 据库中存储信息经公式运算所得结果比较 身份识别:我是否知道你是谁 验证方不知道来访人是否为合法身份,没有比较确定的目标,只要 满足某个条件就可判定身份的特点。验证者一般为权威机构 般在实体认证中需要,比如判断来访者是否是在逃犯,是否为密 码开启者,是否为本公司员工。通常用指纹、虹膜技术 具体技术:输入个人信息,经过处理提取模版信息,试着在存储数 据库中找出一个与之匹配的模版而后得出结论 历毛孑拌技大字
7.2.1 认证协议概述 身份认证有两个层次:身份证实和身份识别,二者差别是是否出示身份 身份证实:你是否是你宣称的你,一般的身份认证都是指这种情况 ⚫ 验证方首先知道要验证的身份是谁,进一步证实来访或与之通信的 人是否具有该身份 ⚫ 一般用于A和B确定通信时所用,通常的网络认证协议都是身份证实 ⚫ 具体技术:输入个人信息,经公式或算法运算所得结果与卡中或数 据库中存储信息经公式运算所得结果比较 身份识别:我是否知道你是谁 ⚫ 验证方不知道来访人是否为合法身份,没有比较确定的目标,只要 满足某个条件就可判定身份的特点。验证者一般为权威机构 ⚫ 一般在实体认证中需要,比如判断来访者是否是在逃犯,是否为密 码开启者,是否为本公司员工。通常用指纹、虹膜技术 ⚫ 具体技术:输入个人信息,经过处理提取模版信息,试着在存储数 据库中找出一个与之匹配的模版而后得出结论 5/ 第七章 密码协议: 7.2 认证协议概述
第七章密码协议:72认证协议概述 721认证协议概述 ●数据源认证和消息完整性认证的区别 ●(1)数据源认证必然涉及通信,是一种安全服务 消息完整性认证不一定包含通信,可用于存储的数据 (2)数据源认证一定涉及消息源识别,而消息完整性不一定 涉及该过程 比如用户A将一个由用户C签名的消息文件发给用户B,那么用户B 能够通过验证C的签名判断消息的完整性,但是消息的来源却不是C 而是A ●(3)数据源认证必然涉及确认消息的新鲜性,而数据完整性 却无此必要 一组老的数据,或者重放的数据可能有完善的数据完整性。而数据 源认证要求确认收到的消息是新鲜的,即使当前新发送的,而不是 旧消息的重放 历忠毛孑技*字
7.2.1 认证协议概述 数据源认证和消息完整性认证的区别 (1) 数据源认证必然涉及通信,是一种安全服务 ⚫ 消息完整性认证不一定包含通信,可用于存储的数据 (2)数据源认证一定涉及消息源识别,而消息完整性不一定 涉及该过程 ⚫ 比如用户A将一个由用户C签名的消息文件发给用户B,那么用户B 能够通过验证C的签名判断消息的完整性,但是消息的来源却不是C 而是A (3) 数据源认证必然涉及确认消息的新鲜性,而数据完整性 却无此必要 ⚫ 一组老的数据,或者重放的数据可能有完善的数据完整性。而数据 源认证要求确认收到的消息是新鲜的,即使当前新发送的,而不是 旧消息的重放 6/ 第七章 密码协议: 7.2 认证协议概述
第七章密码协议:72认证协议概述 721认证协议概述 ●在认证的几个类别里,消息完整性认证是最普通的层次,在前几种认 证中一般都包含了消息完整性认证 ●认证需求也不同 有的协议只需要认证身份 有的协议除了认证身份还需要建立之后通信的密钥以保护通信的安 全,即身份认证与密钥协商(密钥建立认证协议) 有的协议主要是考虑对消息源的认证,这时一般首先要认证身份并 建立密钥,然后再基于该会话密钥对传输的每个消息进行认证,以 使收方确信收到的消息来自发方,而且不是重放、在顺序、时间等 方面都是正确的,即完整性 ●对于身份认证,主要验证用户知道什么(如口令、密钥、私钥、秘密等) 验证用户拥有什么(如IC卡等)验证用户具有什么特征(如指纹、掌纹、 虹膜、DNA等) 其中基于口令的身份认证是比较重要的一类,具有广泛的应用,因为 用户不需要携带或记忆复杂的密钥或者认证信息 历毛孑拌技大字
7.2.1 认证协议概述 在认证的几个类别里,消息完整性认证是最普通的层次,在前几种认 证中一般都包含了消息完整性认证 认证需求也不同 ⚫ 有的协议只需要认证身份 ⚫ 有的协议除了认证身份还需要建立之后通信的密钥以保护通信的安 全,即身份认证与密钥协商(密钥建立认证协议) ⚫ 有的协议主要是考虑对消息源的认证,这时一般首先要认证身份并 建立密钥,然后再基于该会话密钥对传输的每个消息进行认证,以 使收方确信收到的消息来自发方,而且不是重放、在顺序、时间等 方面都是正确的,即完整性 对于身份认证,主要验证用户知道什么(如口令、密钥、私钥、秘密等)、 验证用户拥有什么(如IC卡等)、验证用户具有什么特征(如指纹、掌纹、 虹膜、DNA等) 其中基于口令的身份认证是比较重要的一类,具有广泛的应用,因为 用户不需要携带或记忆复杂的密钥或者认证信息 7/ 第七章 密码协议: 7.2 认证协议概述
第七章密码协议:72认证协议概述 722 Daley-Yao威胁模型与常见攻击 ≥协议的安全性及形式化分析方法 协议的安全威胁模型:对敌手能力的建模 Doley-Ya0安全威胁模型 Canetti-Krawczyk(CK)模型 协议的安全模型:定义协议的各种安全目标 ●如机密性,完整性等等 历忠毛孑技*字
7.2.2 Daolev-Yao威胁模型与常见攻击 协议的安全性及形式化分析方法 ⚫ 协议的安全威胁模型:对敌手能力的建模 ⚫ Dolev-Yao安全威胁模型 ⚫ Canetti-Krawczyk(CK) 模型 ⚫ 协议的安全模型:定义协议的各种安全目标 ⚫ 如机密性,完整性等等 8/ 第七章 密码协议:7.2 认证协议概述
第七章密码协议:72认证协议概述 722 Daley-Yao威胁模型与常见攻击 协议的安全性分析方法 逻辑分析法:基于信仰和知识对协议进行安全性研究,使用最广 泛,如BAN逻辑等 模型检测法:一种验证有限状态系统的自动化分析工具,采用非 专门的说明语言和验证工具来对协议建立模型并加以验证,如 cSP等 定理证明和专家系统方法:类似证明程序的正确性一样,将协议 的证明规约到证明一些循环不变式,基于计算复杂度理论 通用形式化分析方法:试图用一些通用的形式化方法来说明和分 析安全协议。如最弱前置谓词等方法,Petr网,代数方法等。 可证明安全的协议设计 基本思想类似于可证明安全的公钥密码算法 历忠毛孑技*字
7.2.2 Daolev-Yao威胁模型与常见攻击 ⚫ 协议的安全性分析方法 ⚫ 逻辑分析法:基于信仰和知识对协议进行安全性研究,使用最广 泛,如BAN逻辑等 ⚫ 模型检测法:一种验证有限状态系统的自动化分析工具,采用非 专门的说明语言和验证工具来对协议建立模型并加以验证,如 CSP等 ⚫ 定理证明和专家系统方法:类似证明程序的正确性一样,将协议 的证明规约到证明一些循环不变式,基于计算复杂度理论 ⚫ 通用形式化分析方法:试图用一些通用的形式化方法来说明和分 析安全协议。如最弱前置谓词等方法,Petri网,代数方法等。 ⚫ 可证明安全的协议设计 ⚫ 基本思想类似于可证明安全的公钥密码算法 9/ 第七章 密码协议:7.2 认证协议概述
第七章密码协议:72认证协议概述 722 Daley-Yao威胁模型与常见攻击 Doley-yao模型 1983年, Doley和Yao发表了安全协议史上的一篇重要论文,主 要两点贡献 其一是将安全协议本身与安全协议所具体采用的密码系 统分开 在假定密码系统是“完善”的基础上讨论安全协议本 身的正确性、安全性、冗余性等课题 ●安全协议的设计被划分为两个不同的层次首先研究安 全协议本身的安全性质然后讨论实现层次的具体细节, 包括所采用的具体密码算法等等 历忠毛孑技*字
7.2.2 Daolev-Yao威胁模型与常见攻击 Dolev-Yao 模型 ⚫ 1983 年,Dolev 和Yao 发表了安全协议史上的一篇重要论文,主 要两点贡献 ⚫ 其一是将安全协议本身与安全协议所具体采用的密码系 统分开 ⚫ 在假定密码系统是“完善”的基础上讨论安全协议本 身的正确性、安全性、冗余性等课题 ⚫ 安全协议的设计被划分为两个不同的层次:首先研究安 全协议本身的安全性质,然后讨论实现层次的具体细节, 包括所采用的具体密码算法等等. 10/ 第七章 密码协议:7.2 认证协议概述
第七章密码协议:72认证协议概述 722 Daley-Yao威胁模型与常见攻击 第2点贡献是,建立了攻击者模型他们认为攻击者的知 识和能力不能够低估攻击者可以控制整个通信网 络 Doley和Yao认为攻击者具有如下能力: (1)可以窃听所有经过网络的消息; (2)可以阻止和截获所有经过网络的消息; ●(3)可以存储所获得或自身创造的消息; ●(4)可以根据存储的消息伪造消息并发送该消息; (5)可以作为合法的主体参与协议的运行 Dolev和Yao的工作具有深远的影响迄今为止,大部分 有关安全协议的研究工作都遵循Doev和Yao的基本思 想 历忠毛孑技*字
7.2.2 Daolev-Yao威胁模型与常见攻击 ⚫ 第2点贡献是,建立了攻击者模型.他们认为,攻击者的知 识和能力不能够低估,攻击者可以控制整个通信网 络.Dolev 和Yao 认为攻击者具有如下能力: ⚫ (1) 可以窃听所有经过网络的消息; ⚫ (2) 可以阻止和截获所有经过网络的消息; ⚫ (3) 可以存储所获得或自身创造的消息; ⚫ (4) 可以根据存储的消息伪造消息,并发送该消息; ⚫ (5) 可以作为合法的主体参与协议的运行. ⚫ Dolev 和Yao 的工作具有深远的影响.迄今为止,大部分 有关安全协议的研究工作都遵循Dolev 和Yao 的基本思 想 11/ 第七章 密码协议:7.2 认证协议概述