密碼協(xié)議培訓資料

1、密碼協(xié)議中山大學計算機系中山大學計算機系第一章第一章 Introduction 課程介紹課程介紹1.1 1.1 什么是安全協(xié)議（密碼協(xié)議）什么是安全協(xié)議（密碼協(xié)議）1.2 1.2 為什么研究密碼協(xié)議為什么研究密碼協(xié)議1.3 1.3 兩個簡單有趣的安全協(xié)議攻擊實例兩個簡單有趣的安全協(xié)議攻擊實例1.4 1.4 實驗：設計一個密鑰建立協(xié)議實驗：設計一個密鑰建立協(xié)議1.5 Dolev-Yao1.5 Dolev-Yao模型模型1.6 1.6 密碼屬性密碼屬性中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系1.1 什么是安全協(xié)

2、議（密碼協(xié)議）什么是安全協(xié)議（密碼協(xié)議）Definition: As with any protocol, a Definition: As with any protocol, a security security protocolprotocol ( also known as ( also known as cryptographic protocolcryptographic protocol ) ) comprises a prescribed sequence of interactions comprises a prescribed sequence of interacti

3、ons between entities designed to a achieve a certain end, between entities designed to a achieve a certain end, deferent from a communications protocol which is deferent from a communications protocol which is designed to establish communication between agents, designed to establish communication be

4、tween agents, i.e. set up a link, agree syntax, and so on.i.e. set up a link, agree syntax, and so on.Goals:Goals:- Authentication of agents or nodesAuthentication of agents or nodes- Establishing session keys between nodesEstablishing session keys between nodes- Ensuring secrecy, integrity, anonymi

5、ty, non-Ensuring secrecy, integrity, anonymity, non-repudiation and so on.repudiation and so on.中山大學計算機系中山大學計算機系How to implement: Typically they make How to implement: Typically they make liberal use of various cryptographic liberal use of various cryptographic mechanism, such as symmetric and asymm

6、etric mechanism, such as symmetric and asymmetric encryption, hash functions, and digital encryption, hash functions, and digital signatures.signatures.中山大學計算機系中山大學計算機系1.2 為什么研究密碼協(xié)議為什么研究密碼協(xié)議即使只討論最基本的認證協(xié)議，其中參加協(xié)議的主即使只討論最基本的認證協(xié)議，其中參加協(xié)議的主體只有體只有2-32-3個，交換的消息只有個，交換的消息只有3-53-5條，設計一個正條，設計一個正確的、符合認證目標的、沒有冗余的

7、認證協(xié)議也是確的、符合認證目標的、沒有冗余的認證協(xié)議也是很不容易的。很不容易的。Needham-SchroederNeedham-Schroeder公開密鑰認證協(xié)議（公開密鑰認證協(xié)議（NSPKNSPK）于）于19781978年提出，年提出，Gavin LoweGavin Lowe與與19961996年發(fā)現年發(fā)現NSPKNSPK協(xié)議缺協(xié)議缺陷。陷。中山大學計算機系中山大學計算機系1.3 兩個簡單有趣的安全協(xié)議攻擊實例之一兩個簡單有趣的安全協(xié)議攻擊實例之一現代轎車鎖現代轎車鎖:Engine Controller:Engine Controller與與Transponder in Transpond

8、er in the Car Keythe Car Key之間的交互之間的交互挑戰(zhàn)應答協(xié)議挑戰(zhàn)應答協(xié)議(Challenge-Response)(Challenge-Response)-E-T: NE-T: N-T-E:T,NT-E:T,NK K考慮當考慮當Engine ControllerEngine Controller產生的隨機數可預測時產生的隨機數可預測時會有什么攻擊會有什么攻擊? ?中山大學計算機系中山大學計算機系1.3 兩個簡單有趣的安全協(xié)議攻擊實例之二安哥拉兩個簡單有趣的安全協(xié)議攻擊實例之二安哥拉-南南非空戰(zhàn)非空戰(zhàn)8080年代，南非（年代，南非（South AfricaSouth A

9、frica）與古巴空軍在南安）與古巴空軍在南安哥拉（哥拉（Southern AngolaSouthern Angola）與北納米比亞）與北納米比亞（Northern NamibiaNorthern Namibia）間展開戰(zhàn)爭。）間展開戰(zhàn)爭。南非的戰(zhàn)爭目標是：確保南非在南非的戰(zhàn)爭目標是：確保南非在NamibiaNamibia的白人統(tǒng)的白人統(tǒng)治；且在治；且在AngolaAngola建立一個親南非的安盟建立一個親南非的安盟( (爭取安哥爭取安哥拉徹底獨立全國聯盟，簡稱拉徹底獨立全國聯盟，簡稱UNITA)UNITA)政府政府安哥拉安哥拉“安人運安人運”( (安哥拉人民解放運動，簡稱安哥拉人民解放運動，

10、簡稱MPLA) MPLA) 得到古巴（得到古巴（CubaCuba）支持，屬于蘇聯社會主義）支持，屬于蘇聯社會主義陣營。陣營。敵我識別系統(tǒng)敵我識別系統(tǒng)Identify-Friend-or-Foe(IFF)Identify-Friend-or-Foe(IFF)中山大學計算機系中山大學計算機系中山大學計算機系中山大學計算機系1.4 實驗：設計一個密鑰建立協(xié)議實驗：設計一個密鑰建立協(xié)議背景：背景：A A（AliceAlice）和）和B B（BobBob）希望建立一個新鮮的）希望建立一個新鮮的會話密鑰（會話密鑰（Session KeySession Key）用來加密他們隨后的通）用來加密他們隨后的通信。

11、信。我們采用我們采用TTPTTP（Third Trusted PartyThird Trusted Party）的方式來傳）的方式來傳遞信任關系遞信任關系協(xié)議主體：協(xié)議主體：A A，B B，S S（Third Trusted ServerThird Trusted Server）前提：前提： A A與與B B之間沒有信任關系；之間沒有信任關系；A A信任信任S S；B B信任信任S S；S S的任務是產生隨機的會話密鑰的任務是產生隨機的會話密鑰K KABAB并傳輸給并傳輸給A A和和B B會話密鑰會話密鑰(Session Key)(Session Key)與長期密鑰與長期密鑰中山大學計算機系中

12、山大學計算機系協(xié)議目標協(xié)議目標在協(xié)議結束時，在協(xié)議結束時，K KABAB應該為應該為A A和和B B所知，但是除了所知，但是除了S S之之外的其它主體應該無法知道外的其它主體應該無法知道K KABABA A和和B B應該知道應該知道K KABAB時最新產生的時最新產生的中山大學計算機系中山大學計算機系第一次嘗試協(xié)議第一次嘗試協(xié)議中山大學計算機系中山大學計算機系Alice-Bob 記號（記號（Notation）1. A - S : A, B1. A - S : A, B2. S - A : K2. S - A : KABAB3. A - B : K3. A - B : KABAB, A, A這種

13、記法雖然簡潔但是有很多局限這種記法雖然簡潔但是有很多局限中山大學計算機系中山大學計算機系1.4.1 機密性機密性(Confidentiality)安全假設安全假設1:1:敵手能夠竊聽密碼協(xié)議中傳送的所有消敵手能夠竊聽密碼協(xié)議中傳送的所有消息息. .中山大學計算機系中山大學計算機系第二次嘗試協(xié)議第二次嘗試協(xié)議A，S共享：共享：KASB，S共享：共享：KBS中山大學計算機系中山大學計算機系完美密碼假設完美密碼假設Perfect Cryptography中山大學計算機系中山大學計算機系1.4.2 鑒別鑒別(Authentication)安全假設安全假設2:2:敵手能夠使用任何可用的信息修改一個敵手能

14、夠使用任何可用的信息修改一個密碼協(xié)議中所傳送的所有消息密碼協(xié)議中所傳送的所有消息. .敵手能夠把任何消敵手能夠把任何消息重發(fā)給任何其他的主體息重發(fā)給任何其他的主體. .這包括產生和插入全新這包括產生和插入全新消息的能力消息的能力. .中山大學計算機系中山大學計算機系對第二次協(xié)議的攻擊對第二次協(xié)議的攻擊中山大學計算機系中山大學計算機系對第二次協(xié)議的另一種攻擊對第二次協(xié)議的另一種攻擊中山大學計算機系中山大學計算機系安全假設安全假設3:3:敵手可以是合法的協(xié)議參與者敵手可以是合法的協(xié)議參與者(an (an insider),insider),或者一個外來者或者一個外來者(an outsider),(

15、an outsider),或者是或者是兩者的組合兩者的組合. .中山大學計算機系中山大學計算機系第三次嘗試協(xié)議第三次嘗試協(xié)議中山大學計算機系中山大學計算機系1.4.3 重放重放(Replay)安全假設安全假設4:4:敵手能夠從以前協(xié)議運行中通過密碼分敵手能夠從以前協(xié)議運行中通過密碼分析獲取會話密鑰析獲取會話密鑰K KABAB. .中山大學計算機系中山大學計算機系對第三次嘗試協(xié)議的攻擊對第三次嘗試協(xié)議的攻擊中山大學計算機系中山大學計算機系定義定義: :一個臨時值一個臨時值(Nonce)(Nonce)是一個主體產生的隨機數是一個主體產生的隨機數并且在協(xié)議的一條消息中回傳給該主體以表明此條并且在協(xié)議

16、的一條消息中回傳給該主體以表明此條消息是最新產生的消息是最新產生的. .即挑戰(zhàn)應答（即挑戰(zhàn)應答（challenge-responsechallenge-response）中山大學計算機系中山大學計算機系第四次嘗試協(xié)議（第四次嘗試協(xié)議（Needham-Schroeder）NSSK中山大學計算機系中山大學計算機系對第四次嘗試協(xié)議的攻擊對第四次嘗試協(xié)議的攻擊中山大學計算機系中山大學計算機系第五次嘗試協(xié)議（第五次嘗試協(xié)議（final）中山大學計算機系中山大學計算機系對比最終協(xié)議和第四次嘗試協(xié)議對比最終協(xié)議和第四次嘗試協(xié)議Key ConfirmationKey Confirmation中山大學計算機系中

17、山大學計算機系1.5 Dolev-Yao模型模型將密碼協(xié)議本身與密碼協(xié)議所具體采用的密碼系統(tǒng)將密碼協(xié)議本身與密碼協(xié)議所具體采用的密碼系統(tǒng)分開，在假定密碼系統(tǒng)分開，在假定密碼系統(tǒng)“完善完善”的基礎上討論密碼的基礎上討論密碼協(xié)議本身的正確性、安全性、冗余性等課題協(xié)議本身的正確性、安全性、冗余性等課題建立了攻擊者模型。攻擊者可以控制整個通信網絡。建立了攻擊者模型。攻擊者可以控制整個通信網絡。攻擊者具有如下能力：攻擊者具有如下能力：-竊聽所有經過網絡的消息；竊聽所有經過網絡的消息；-阻止和截獲所有經過網絡的消息；阻止和截獲所有經過網絡的消息；-存儲所獲得的或自己創(chuàng)造的消息；存儲所獲得的或自己創(chuàng)造的消息

18、；-可以根據存儲的消息偽造消息并發(fā)送消息；可以根據存儲的消息偽造消息并發(fā)送消息；-可以作為合法的主體參與協(xié)議的運行?？梢宰鳛楹戏ǖ闹黧w參與協(xié)議的運行。中山大學計算機系中山大學計算機系姚期智簡介姚期智簡介Andrew Chi-Chih Yao, 世界著名計算機科學世界著名計算機科學家，家，2000年獲得圖靈獎?，F任清華大學高年獲得圖靈獎。現任清華大學高等研究中心等研究中心(The Center for Advanced Study in Tsinghua University)教授。姚期教授。姚期智先生于智先生于1967年獲得臺灣大學物理學士學年獲得臺灣大學物理學士學位，位，1972年獲得美國哈

19、佛大學物理博士學年獲得美國哈佛大學物理博士學位，位，1975年獲得美國伊利諾依大學計算機年獲得美國伊利諾依大學計算機科學博士學位。科學博士學位。In recognition of his fundamental contributions to the theory of computation, including the complexity-based theory of pseudorandom number generation, cryptography, and communication complexity.中山大學計算機系中山大學計算機系1.6 構造密碼協(xié)議的密碼算法構造密

20、碼協(xié)議的密碼算法(Cryptographic Algorithm) 所提供的密碼屬性所提供的密碼屬性(服務服務)密碼算法能為我們提供一下不同的密碼屬性（密碼服務）密碼算法能為我們提供一下不同的密碼屬性（密碼服務）機密性機密性(Confidentiality)(Confidentiality)：確保數據僅能為那些被授權的：確保數據僅能為那些被授權的主體獲得。通常是通過這種方式來實現，即對數據進行加密主體獲得。通常是通過這種方式來實現，即對數據進行加密以使得只有掌握正確解密密鑰的主體能夠恢復它的。在密碼以使得只有掌握正確解密密鑰的主體能夠恢復它的。在密碼協(xié)議中，機密性是確保密鑰和其它數據安全的重要手段。具協(xié)議中，機密性是確保密鑰和其它數據安全的重要手段。具體通過體通過對稱或非對稱密碼算法對稱或非對稱密碼算法實現。實現。數據完整性數據完整性(Integrity)(Integrity)：確保數據沒有被未授權的主體修：確保數