安全协议重点

安全协议重点

协议特点

协议角色

安全协议的概念

安全协议（Security Protocols)也被
称为密码协议(Cryptographic
Protocols),是以密码学为基础的消息交换
协议，其目的是在网络环境中提供各种安全
服务

密码协议是使用密码技术的协议。
参与该协议的伙伴可能是朋友和完全信任的
，或者也可能是敌人和互相完全不信任的
人
密码协议包含某种密码算法，但通常，协议
的目的不仅仅是为了简单的秘密性。参与协
议的各方可能为了计算一个数值想共享它们
的秘密部分、共同产生随机系列、确定互相
的身份、或者同时签署合同。
在协议中使用密码的目的是防止或发现偷听
者和欺骗

协议的安全性质主要有：
机密性
完整性
认证性
非否认性
公平性

常见攻击方法与防范

重放攻击

攻击：入侵者捕获以前协议运行或当前协议运行中的消息用于对当前协议运行进行攻击，例NS单钥协议

防范：

1. 在发送的消息中，添加新鲜因子
2. 在消息中添加消息的来源和消息的目的地，
3. 避免发送消息中的消息对称性

类型攻击

攻击：当消息接收者承认消息的有效性但对表示消息成分的位序列的解释不同于建立该位序列的主体时，类型攻击就形成了，例WOO and lam双向认证协议

防范：确保协议中不通的加密成分具有明显不通的形式

与实现相关的攻击

攻击：如果协议中消息成分的具体表示中包含一些冗余值，使得位序列能够表达特定类型的特定值，那么类型攻击就可以避免，例如NS单钥认证协议的最后两步。

绑定攻击

在公钥密码体制中，公钥的完整性是极为重要的。
假设你的公钥为K,，入侵者的公钥为K,入侵者
能够解密任何用K加密的消息。如果一个主体想要
把消息秘密地传送给你，那么他将会用他认为是你
的公钥来加密消息。因此，如果入侵者能够使别人
相信你的公钥就是K,那么别人就会用K:来加密
消息，而这些消息对于入侵者来说就是可读的。产
生这种攻击可能的原因是消息中没有包含明显的主
体身份标识，而且这一原因也可能会导致其他类型
的攻击。因此，负责分配公钥的主体必须确保以上
事件不会发生，这就要求在公钥和相应的主体间形
成一种可验证的绑定形式。

防范：在消息中添加主体的身份消息

封装攻击

攻击：在很多协议中主体A可以安排另一个主体B来加密一些由A选择的数据，通常这样的数据应该呗视为用户数据，并且呗当作是进行与密码分析相关的攻击手段

防范：用完整性校验加以抵抗。

主动攻击与被动攻击

●被动攻击
·与协议无关的人能够窃听协议的一部分或全部，因为攻击
者不可能影响协议，所以他能做的事是观察协议并试图获
取消息。
●主动攻击
可能改变协议以便对自己有利。
可能假装是其他一些人，在协议中引入新的消息，删除原
有的消息，用另外的消息代替原来的消息，重放旧的消息
,破坏通信信道，或者改变存储在计算机中的消息等；
他们具有主动的干预。

模型

Dolev-Yao模型
1983年，Dole和Yao(姚期智)发表了
一篇重要的论文。该论文的主要贡献有两点
第一点：将协议本身与协议采用的密码系统分
开，在假定密码系统是“完善”的基础上讨论
安全协议本身的正确性、安全性、冗余性等课
题
第二点：Dolev和Yao建立了攻击者模型。
他们认为，攻击者的知识和能力不能够被低估
，攻击者可以控制整个网络。

第二章

NSSK安全协议漏洞

不能使B相信会话密钥是新鲜的。

Helsink协议（攻击方法，攻击原理，改进方法

协议原理：

攻击原理：

A相信B发送的第二条消息来源于P，因为消息2没有明确指出消息来源

改进协议

临时值与时间戳，防止重放攻击的场景方法

临时值的作用是保证消息的新鲜性，防止消息重
放。时间戳和临时值都是用于保证消息的新鲜性的
但它们之间有很重要的区别。使用时间戳时，一般要求各主体时钟同步，但时间戳并不和某个主体之间关联，任何一个主体产生的时间戳都能呗替他主体用来检验消息的新鲜性。临时值则是某个主体产生的随机数值，一个主体只能根据他自己所长生的零时至来检验消息的新鲜性。因此在一次会话中使用的时间戳可能在另一次时间上接近得到会话中呗主体接受为新鲜的，临时值测具有唯一性，任何

什么是零知识证明，

指的是证明者能够在不想验证者提供任何有用的信息的情况下，使验证者相信某个论断是正确的

方案的构造，模块—比特承诺的性质

比特承诺基本思想：承诺者Alice向接收者Bob承诺一个消息，承诺过程要求Alice向Bob承诺时，Bob不可能获得关于被承诺消息的任何信息；经过一段时间后，Alice能够像Bob他所承诺的消息，但是Alice无法欺骗Bob

公平执币协议

SM2.3.4.9.zuc

SM2

椭圆曲线公钥密码体制

256

SM3

数据填充目的是使填充后的数据长度位512整数倍

摘要长度256bit

SM4

分组密码体制

数据分组长度位128位，密钥长度位128位，数据处理单位字节（8位)，字(32位)

非对称Feistel结构

SM9

基于双线性对的标识密码算法，密钥长度256bit，

公钥体制，

zuc

序列密码，16级线性反馈以为寄存器，比特重组，非线性函数

LFSR的寄存器元素是31比特

KEBORSE协议，为什么儿提出，解决了什么问题，

目标：

目标是通过网络通信的实体可以相互证明彼
此的身份，可以抵抗旁听和重放等方式的攻
击，并且还可以保证通信数据的完整性和保
密性。

基于DES密码

解决问题：

Kerberos要解决的问题是：假定在一个
公开的分布式环境中，工作站上的用户希望
访问分布在网络中服务器上的服务。我们希
望服务器能限制授权用户的访问，并能对服
务请求进行鉴别。在这种环境下，工作站无
法可信地向网络服务器证实用户的身份。特
别地，存在以下三种威胁：

1. 用户可能访问某个特定工作站，并假装成另
   一个用户在操作工作站
2. 用户可能会更改工作站的网络地址，并使从
   这个已更改工作站发出的请求看似来自伪装
   的工作站
3. 用户可能窃听报文交换过程，并使用重放攻
   击来获得进入服务器或打断进行的操作·

SET协议

为什么提出

SET主要是为了解决用户、商家和银行之间
通过信用卡支付的交易而设计的，以保证支付信
息的机密、支付过程的完整、商户及持卡人的合
法身份、以及可操作性。

提供什么服务

1. 在交易涉及的各方之间提供安全的通信
   信道
2. 通过使用X.509V3数字证书来提供信
   任
3. 保证机密性。

中间参与者

SET协议的参与者包括持卡人和商户，以
及颁发信用卡给持卡人的发卡机构和代表
商户接收支付请求的接收银行，以及与交
易密切相关的第三方一一支付网关和认证
中心。

• 持卡人
• 发卡机构
• 商家
• 接受银行
• 支付网关
• 认证中心

引入双重签名的原因于作用

为了连接两个发送给不同接收者的报文。

防止双方否认

假设消费者将两个报文发送给商人一一签
名的OI和签名的PI，接着商人将PI继续
传递给银行。如果商人可以截获来自这个
消费者的另一个O1，商人可以声明后一
个O1是和那个P!一起的而不是原来的O1

数字信封的技术于构造

数字信封，用支付网关的密钥交换证书中公
开密钥对一次性密钥加密

SSL协议

全称：安全套接层协议

SSL协议要求建立在可靠的传输层协议(TCP)协议之上，

结构

SSL协议是一个分层协议，共分为两层。位
于底层的是记录层协议(SSL Rocord
Protoco),它位于可靠的传输层协议之上，
用于上层数据的封装。SSL握手协议、报警
协议和修改密钥规约协议位于SSL协议的上
层，它主要是在客户端和服务器协商出会话
密钥等一系列参数。SSL协议的具体协议堆
栈如下图所示：

功能

• 客户对服务器的身份认证
  SSL服务器允许客户的浏览器使用标准的公钥加密技术和
  一些可靠的认证中心(CA)的证书，来确认服务器的合
  法性。

• 服务器对客户的身份认证
  可通过公钥技术和证书进行认证，也可通过用户名，
  password来认证。

• 建立服务器与客户之间安全的数据通道

  SSL要求客户与服务器之间的所有发送的数据都被发送端
  加密、接收端解密，同时还检查数据的完整性

子协议功能

• 采用握手协议建立客户与服务器之间的安全
  通道该协议包括双方的相互认证，交换密
  钥参数
• 采用告警协议向对端指示其安全错误
• 采用改变密码规格协议改变密码参数（事实
  上还没这个功能)
  户的浏览器使用标准的公钥加密技术和
  一些可靠的认证中心(CA)的证书，来确认服务器的合
  法性。
• 服务器对客户的身份认证
  可通过公钥技术和证书进行认证，也可通过用户名，
  password来认证。
• 建立服务器与客户之间安全的数据通道
  SSL要求客户与服务器之间的所有发送的数据都被发送端
  加密、接收端解密，同时还检查数据的完整性

子协议功能

• 采用握手协议建立客户与服务器之间的安全
  通道该协议包括双方的相互认证，交换密
  钥参数
• 采用告警协议向对端指示其安全错误
• 采用改变密码规格协议改变密码参数（事实
  上还没这个功能)
• 采用记录协议封装以上三种协议和应用层数