计算机科学与工程学院研究报告课件.ppt

1、2023-1-26电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26l安全服务（安全服务（Security Services）lEncryption,signatures,cryptographic hash,l安全机制（安全机

2、制（Security mechanisms）lAccess control policylprotocolsl安全实现（安全实现（Implementation）lCryptographic librarylFirewalllIDSlnetwork protocol stacklInformation security foundationlNumber theorylComputational complexityl几个基本概念几个基本概念2023-1-26正确性与安全性正确性与安全性l正确性：满足规范正确性：满足规范l对合理的输入，总可以得到合理的输出对合理的输入，总可以得到合理的输出l安全

3、性：在存在攻击者的条件下，满足所要求的安全性：在存在攻击者的条件下，满足所要求的属性属性l对不合理的输入，输出也不能带来灾难性的输出结果对不合理的输入，输出也不能带来灾难性的输出结果l正确性与安全性的主要区别正确性与安全性的主要区别l受到攻击者被动干扰受到攻击者被动干扰l受到攻击者主动干扰受到攻击者主动干扰l即便设计极为精致，也可能存在漏洞即便设计极为精致，也可能存在漏洞2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26协议定义协议定义l什么是协议？什么是协议？l协议是两个或两个以上的参与者所采取的一系列步骤以协议是两个或两个以上的参与者所采取的一

4、系列步骤以完成某项特点的任务完成某项特点的任务l协议的内涵协议的内涵l协议至少需要两个参与者协议至少需要两个参与者l参与者之间呈现为消息处理和消息交换的一系列步骤参与者之间呈现为消息处理和消息交换的一系列步骤l通过执行协议，必须能完成某项任务，或者达成某种共通过执行协议，必须能完成某项任务，或者达成某种共识识2023-1-26协议特点协议特点l协议中的每人都必须了解协议，并且预先知道所协议中的每人都必须了解协议，并且预先知道所要完成的所有步骤。要完成的所有步骤。l协议中的每人都必须同意遵循它。协议中的每人都必须同意遵循它。l协议必须是不模糊的，每一步必须明确定义，并协议必须是不模糊的，每一步必

5、须明确定义，并且不会引起误解。且不会引起误解。l协议必须是完整的，对每种可能的情况必须规定协议必须是完整的，对每种可能的情况必须规定具体的动作。具体的动作。2023-1-26网络协议定义网络协议定义l网络协议：网络协议：为网络数据交换而制定的规则、标准或约定。为网络数据交换而制定的规则、标准或约定。l网络协议三要素：网络协议三要素：l语法，数据与控制信息的结构或格式：数据格式、编语法，数据与控制信息的结构或格式：数据格式、编码和信号电平；码和信号电平；l语义，需要发出何种控制信息，完成何种动作及做出语义，需要发出何种控制信息，完成何种动作及做出的何种应答：协调与差错处理的控制信息的何种应答：协

6、调与差错处理的控制信息 l规则，事件实现顺序的详细说明：速度匹配和排序规则，事件实现顺序的详细说明：速度匹配和排序 2023-1-26安全协议定义安全协议定义l什么是安全协议？什么是安全协议？l安全协议安全协议(Cryptographic Protocol)是在消息处理过程中是在消息处理过程中采用了若干采用了若干密码算法密码算法的协议的协议l安全协议的内涵：安全协议的内涵：l安全协议是一个协议安全协议是一个协议l安全协议涉及密码算法安全协议涉及密码算法l安全协议是在密码算法的基础上为网络安全提供解决方安全协议是在密码算法的基础上为网络安全提供解决方案案l两方或者多方两方或者多方l在不安全信道上

7、进行安全通信在不安全信道上进行安全通信l使用密码技术是为了达到某个目的使用密码技术是为了达到某个目的l密钥交换密钥交换l身份认证身份认证l2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26安全协议分类安全协议分类l按照协议的目的不同，常见的安全协议可以分为按照协议的目的不同，常见的安全协议可以分为四类：四类：l密钥交换协议密钥交换协议l认证协议认证协议l认证和密钥交换协议认证和密钥交换协议l电子商务协议电子商务协议2023-1-26密钥交换协议密钥交换协议l密钥交换协议用于密钥交换协议用于会话密钥会话密钥的建立的建立l会话密钥：也叫工作密钥，用于加

8、密消息的一次性密会话密钥：也叫工作密钥，用于加密消息的一次性密钥钥l协议中可以采用对称密码算法，也可以采用非对协议中可以采用对称密码算法，也可以采用非对称密码算法称密码算法l对称密码算法：加密密钥和解密密钥相同对称密码算法：加密密钥和解密密钥相同l非对称密码算法：加密密钥和解密密钥不相同非对称密码算法：加密密钥和解密密钥不相同l密钥交换协议一般不会单独使用，而是往往与认密钥交换协议一般不会单独使用，而是往往与认证协议等相结合证协议等相结合l密钥交换协议分为两种情况密钥交换协议分为两种情况：l密钥密钥传输协议传输协议：共享密钥来自于参与协议的某个：共享密钥来自于参与协议的某个主体主体l密钥密钥协

9、商协议协商协议：共享密钥根据协议参与者的输入用某：共享密钥根据协议参与者的输入用某个函数产生个函数产生主体：协议参与者主体：协议参与者2023-1-26认证协议认证协议l认证是用来获得谁对什么事情信任的一种方法认证是用来获得谁对什么事情信任的一种方法l实体：一个身份的合法拥有者实体：一个身份的合法拥有者l主体：各种物理形式的人或物主体：各种物理形式的人或物l认证协议包括认证协议包括实体认证实体认证（身份认证）协议、（身份认证）协议、消息消息认证认证协议、协议、数据起源认证数据起源认证协议和数据目的认证协协议和数据目的认证协议议l认证协议主要用来防止假冒、篡改、否认等攻击认证协议主要用来防止假冒

10、、篡改、否认等攻击2023-1-26认证协议认证协议单项认证单项认证l认证协议认证协议l单向认证单向认证：只认证通信中的一个主体：只认证通信中的一个主体l双向认证：验证通信中的两个主体双向认证：验证通信中的两个主体Alice(A)Bob(B)声称者声称者验证者验证者121(1),aaaKCA N B MN B MBob收到后利收到后利用用Alice的公的公钥验证签名。钥验证签名。国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO公钥一次公钥一次传输单向认证协议传输单向认证协议”问题：问题：ISO一次传输单向认证是否安全？一次传输单向认证是否安全？2023-1-26认

11、证协议认证协议单项认证（续）单项认证（续）l认证协议认证协议l单向认证：只认证通信中的一个主体单向认证：只认证通信中的一个主体l双向认证双向认证：验证通信中的两个主体：验证通信中的两个主体Alice(A)Bob(B)(1)bN1(2),aababkCA NNBNNB1(3),bababkCB NNANNA例：例：ISO三次传输双向认证三次传输双向认证问题：问题：ISO三次传输双向认证是否安全？三次传输双向认证是否安全？思路：思路：Bob同时与同时与Alice和另外一个人通信和另外一个人通信的情况。的情况。2023-1-26认证与密钥交换协议认证与密钥交换协议l认证和密钥交换协议认证和密钥交换协

12、议l该协议该协议首先首先对通信实体的身份进行认证对通信实体的身份进行认证l如果认证成功，如果认证成功，进一步进一步进行密钥交换，以建立通信中的进行密钥交换，以建立通信中的工作密钥工作密钥l也叫也叫密钥确认密钥确认协议协议l互联网密钥交换协议（互联网密钥交换协议（IKE）、以及）、以及Kerberos等等均属于认证和密钥交换协议均属于认证和密钥交换协议本课程后续将讨论许多密钥确认协议本课程后续将讨论许多密钥确认协议2023-1-26电子商务协议电子商务协议l电子商务协议中主体往往代表交易的双方电子商务协议中主体往往代表交易的双方l电子商务协议往往关注公平性，即协议应该保证电子商务协议往往关注公平

13、性，即协议应该保证交易双方都不通过损害对方的利益而得到它不应交易双方都不通过损害对方的利益而得到它不应该得到的利益该得到的利益l常见的电子商务协议有常见的电子商务协议有SET（Secure Electronic Transaction）协议等。）协议等。SET协议将作为一个作业讨论，本课程不涉及该协议。协议将作为一个作业讨论，本课程不涉及该协议。2023-1-26安全协议分类安全协议分类l按照是否需要可信第三方（按照是否需要可信第三方（TTP）：）：l仲裁协议（仲裁协议（Arbitrated Protocols）（包括裁决协议）（包括裁决协议）l自动执行协议（自动执行协议（Self-Enfor

14、cing Protocols）2023-1-26仲裁协议仲裁协议Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A)EB(K,A）KKEK(RB）EK(RB1）EK(M=I Love XXX)NeedhamSchroeder协议协议可信第三方在认证协议可信第三方在认证协议中也叫做中也叫做认证服务器认证服务器问题：问题：NS协议是否安全？协议是否安全？思路：消息思路：消息32023-1-26Trent(T)基于公钥体制的认证协议：基于公钥体制的认证协议：基本方案基本方案无可信第三方无可信第三方问题：问题：STS协议是否安全？协议是否安全？思路：考虑思路：考虑

15、Alice和和Bob之间有第之间有第三者三者MaliceAlice(A)Bob(B)(1)xg1(2),abbyxyKkgg g1(3),abaxyKkg gxyabKgxyabKgExample6:工作站工作站协议（工作站工作站协议（STS）自动执行协议自动执行协议 2023-1-26安全协议模型安全协议模型l安全协议模型安全协议模型l安全协议模型用于描述协议及所处的环境安全协议模型用于描述协议及所处的环境l安全协议模型设计以下要素：安全协议模型设计以下要素：l诚实的诚实的主体主体集合集合l主体之间的通信主体之间的通信l攻击者攻击者集合集合l主体及攻击者所处主体及攻击者所处环境环境及一组规则

16、及一组规则2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26攻击者模型攻击者模型通信通信通信通信通信通信通信通信环境环境攻击者攻击者对于攻击者，比较好的一对于攻击者，比较好的一个模型是个模型是DolevYao模型。模型。本课程后面将介绍。本课程后面将介绍。主体主体主体主体主体主体主体主体协议模型最困难的部分在协议模型最困难的部分在于对攻击者的认识。于对攻击者的认识。2023-1-26攻击者模型（续）攻击者模型（续）l攻击者攻击者l诚实主体之间的消息可为攻击者截获诚实主体之间的消息可为攻击者截获l攻击者可以对截获的消息进行各种操作攻击者可以对截获的消

17、息进行各种操作l级联、分离、加密和解密等级联、分离、加密和解密等l攻击者有主动和被动之分攻击者有主动和被动之分l攻击者可能的攻击行为主要有攻击者可能的攻击行为主要有l转发消息到任意接受者、延迟消息到达、篡改消息、与原来转发消息到任意接受者、延迟消息到达、篡改消息、与原来消息合并、改变部分或者全部消息的去处、重放消息等消息合并、改变部分或者全部消息的去处、重放消息等攻击者攻击者对于攻击者建模是非常复杂的课题。对于攻击者建模是非常复杂的课题。2023-1-26第第7 7章章 协议安全技术（基础协议安全技术（基础A A）2023-1-26安全协议中安全的定义安全协议中安全的定义l安全协议中安全性的内

18、涵安全协议中安全性的内涵l安全协议的评判标准是检查其欲达到的安全性是否遭到安全协议的评判标准是检查其欲达到的安全性是否遭到攻击者的破坏攻击者的破坏l安全性主要包括：安全性主要包括：l认证性认证性l机密性机密性l完整性完整性l不可否认性不可否认性2023-1-26安全协议缺陷的定义安全协议缺陷的定义l安全协议的缺陷安全协议的缺陷l是协议不安全的固有属性或性质是协议不安全的固有属性或性质l现实中协议不安全的主要原因包括：现实中协议不安全的主要原因包括：l设计不规范设计不规范l执行时产生执行时产生2023-1-26安全协议缺陷的分类安全协议缺陷的分类l分类分类l基本协议缺陷基本协议缺陷l协议中没有或

19、者协议中没有或者很少防范很少防范攻击者攻击而引发的协议缺陷攻击者攻击而引发的协议缺陷如对加密消息签名，未考虑攻击者可以替换原来的签名如对加密消息签名，未考虑攻击者可以替换原来的签名l口令口令/密钥猜测缺陷密钥猜测缺陷l口令或者密钥选用常用的字词，或者用户选取了口令或者密钥选用常用的字词，或者用户选取了不安全不安全的的口令口令2023-1-26安全协议缺陷分类（续）安全协议缺陷分类（续）l分类（续）分类（续）l陈旧消息缺陷陈旧消息缺陷l没有考虑消息的没有考虑消息的时效性（新鲜性）时效性（新鲜性），从而使得攻击者可，从而使得攻击者可以进行以进行重放攻击重放攻击l并行会话缺陷并行会话缺陷l协议设计对

20、并行会话缺乏考虑，使得攻击者可以相互交协议设计对并行会话缺乏考虑，使得攻击者可以相互交换适当的协议消息来获得更为重要的消息换适当的协议消息来获得更为重要的消息l内部协议缺陷内部协议缺陷l协议参与者中至少有一方不能够完成所有必须的动作而协议参与者中至少有一方不能够完成所有必须的动作而导致缺陷导致缺陷l密码系统缺陷密码系统缺陷l协议中使用的密码算法的安全强度问题导致协议不能完协议中使用的密码算法的安全强度问题导致协议不能完全满足所要求的机密性、完整性、认证等需要而产生的全满足所要求的机密性、完整性、认证等需要而产生的缺陷缺陷(1):()(2):()baAB E MBA E M该协议是否安全呢？该协

21、议是否安全呢？有关协议攻击的问题后续有关协议攻击的问题后续内容讨论内容讨论2023-1-26消息重放攻击消息重放攻击l消息重放攻击消息重放攻击是指攻击者利用其消息再生能力生是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。而达到破坏协议安全性的目的。l消息重放的实质是消息的消息重放的实质是消息的新鲜性新鲜性（Freshness）不）不能得到保证。能得到保证。l消息重放攻击是安全协议中最容易出现的问题之消息重放攻击是安全协议中最容易出现的问题之一。一。2023-1-26消息重放攻击（续）消息重放攻击（续）

22、Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A)EB(K,A）KKEK(RB）EK(RB1）EK(M=I Love XXX)Example 1：NeedhamSchroeder协议协议攻击者如果获知以前的攻击者如果获知以前的一个工作密钥，可以重一个工作密钥，可以重放消息放消息EB（K，A）问题：如何攻击该协议？问题：如何攻击该协议？2023-1-26消息重放攻击（续）消息重放攻击（续）l消息重放攻击分类消息重放攻击分类l根据消息的来源根据消息的来源：l协议轮内攻击：一个协议轮内攻击：一个协议轮内协议轮内消息重放消息重放l协议轮外攻击：一个协议轮外攻击：

23、一个协议不同轮协议不同轮次消息重放次消息重放l根据消息的去向：根据消息的去向：l偏转攻击：改变消息的去向偏转攻击：改变消息的去向l直接攻击：将消息发送给意定接收方直接攻击：将消息发送给意定接收方l其中偏转攻击分为：其中偏转攻击分为：l反射攻击：将消息返回给发送者反射攻击：将消息返回给发送者l第三方攻击：将消息发给协议合法通信双方之外的任一方第三方攻击：将消息发给协议合法通信双方之外的任一方本课程将单独考虑反射攻击本课程将单独考虑反射攻击2023-1-26消息重放攻击（续）消息重放攻击（续）l消息重放对策消息重放对策（新鲜性对策新鲜性对策）l挑战应答机制挑战应答机制l时戳机制时戳机制（Times

24、tamp）l序列号机制序列号机制（Sequence No）通信双方通过消息中的序列号来判断通信双方通过消息中的序列号来判断消息的新鲜性消息的新鲜性要求通信双方必须事先协商一个初始要求通信双方必须事先协商一个初始序列号，并协商递增方法序列号，并协商递增方法对消息盖上本地时戳，只有当消息上对消息盖上本地时戳，只有当消息上的时戳与当前本地时间的差值在意定的时戳与当前本地时间的差值在意定范围之内，才接受该消息。范围之内，才接受该消息。要求有一个全局同步时钟，但是如果要求有一个全局同步时钟，但是如果双方时钟偏差过大或者允许的范围过双方时钟偏差过大或者允许的范围过大，则可以被攻击者利用。大，则可以被攻击者

25、利用。通过发送挑战值（通过发送挑战值（Nonce：中文含义：中文含义是现在，目前）来确保消息的新鲜是现在，目前）来确保消息的新鲜性。性。2023-1-26l含义：含义：l验证者验证者（Bob）在协议消息的组合中拥有他的输入消息：）在协议消息的组合中拥有他的输入消息：可能是一个一次性随机数（称之为可能是一个一次性随机数（称之为Nonce）；）；l声称者声称者（Alice）对该消息进行）对该消息进行密码操作密码操作，并返回给验，并返回给验证者证者Bob；lBob能够通过他自己输入消息的新鲜性来验证能够通过他自己输入消息的新鲜性来验证Alice通信通信的真实性。的真实性。Alice(A)Bob(B)

26、声称者声称者验证者验证者挑战消息挑战消息应答消息应答消息如果如果Alice的的应答符合应答符合Bob的要求，则的要求，则消息是新鲜消息是新鲜的。的。消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答应答2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答（续）应答（续）l分类：分类：l依据声称者（依据声称者（Alice）对该消息进行）对该消息进行密码操作密码操作不同，挑不同，挑战应答机制分为：战应答机制分为：l对称密钥加密机制对称密钥加密机制l篡改码机制（完整性机制）篡改码机制（完整性机制）l非对称密钥签名机制非对称密钥签名机制2023-1-26消息重放攻击的对策：挑战

27、消息重放攻击的对策：挑战-应答（续）应答（续）l对称密钥加密机制对称密钥加密机制Alice(A)Bob(B)声称者声称者验证者验证者32(2),abbKMN B M如果如果Bob解密解密后的后的Nb与自与自己发送的相己发送的相同，则接受。同，则接受。1(1),bM NM1，M2，M3等为可选等为可选消息参数。消息参数。国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO两次传输两次传输单向认证协议单向认证协议”问题：这种挑战应答机制是否存在问题？问题：这种挑战应答机制是否存在问题？2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答（续）应答（续）

28、l对称密钥加密机制对称密钥加密机制Alice(A)Bob(B)声称者声称者验证者验证者32(2),abbKMN B M1(1),bM N加密的作用是机密性还加密的作用是机密性还是完整性？是完整性？消息的新鲜性其实是用完整性来提供的，因此这里的加消息的新鲜性其实是用完整性来提供的，因此这里的加密功能主要应该是密功能主要应该是完整性完整性。Bob期望的期望的Nb是是机密性还是完整机密性还是完整性？性？但是该对称加密真的提供了完整性吗？但是该对称加密真的提供了完整性吗？问题：为什问题：为什么加密没有么加密没有提供足够的提供足够的完整性完整性2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策

29、：挑战-应答（续）应答（续）l完整性机制完整性机制采用篡改检测码（采用篡改检测码（MDC）来实现完整性）来实现完整性对称密码技术：对称密码技术：KeKv公钥密钥技术：公钥密钥技术：KeKvMDC：Manipulation Detection Code信源变换信源变换信宿验证信宿验证密钥源密钥源安全信道安全信道信源信源消息附加值消息附加值KeKv信宿信宿信道信道Ke：编码密钥：编码密钥Kv：验证密钥：验证密钥MDC声称：声称：MDCf（Ke，Data）MDC验证：验证：g（Kv，Data，MDC）true or false2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答（

30、续）应答（续）l完整性机制完整性机制采用篡改检测码（采用篡改检测码（MDC）来实现完整性）来实现完整性MDC：Manipulation Detection Codef和和g是密码变换，对于对称密码算法，是密码变换，对于对称密码算法，fg，而对公，而对公开密码算法，开密码算法，fg。由对成密码算法声称的由对成密码算法声称的MDC称之为消息认证码称之为消息认证码（MAC）：）：Message Authentication Code消息认证码（消息认证码（MAC）的实现可以采用杂凑函数）的实现可以采用杂凑函数也可以使用加密算法也可以使用加密算法MD5，SHA1DES，3DES2023-1-26消息重

31、放攻击的对策：挑战消息重放攻击的对策：挑战-应答（续）应答（续）l完整性机制完整性机制Alice(A)Bob(B)声称者声称者验证者验证者22(2),(,)abKbM fN B MBob收到后重收到后重构构MAC，如，如果相同则接果相同则接受。受。1(1),bM N()abKf是使用密钥变换函数国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“使用密码验使用密码验证函数的证函数的 ISO两次传输单向认证协议两次传输单向认证协议”2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答（续）应答（续）l完整性机制完整性机制Alice(A)Bob(B)声称者声

32、称者验证者验证者22(2),(|)abbM h KNB MBob收到后重收到后重构构MAC，如，如果相同则接果相同则接受。受。1(1),bM N例：利用例：利用Hash函数实现函数实现hashh是函数2023-1-26消息重放攻击的对策：挑战消息重放攻击的对策：挑战-应答（续）应答（续）l非对称密钥签名机制非对称密钥签名机制Alice(A)Bob(B)声称者声称者验证者验证者132(2),aababKCA N N B MN N B MBob收到后利收到后利用用Alice的公的公钥验证签名。钥验证签名。1(1),bM NAlice使用私钥签名国际标准化组织（国际标准化组织（ISO）将该方式称之为

33、）将该方式称之为“使用公钥的使用公钥的 ISO两次传输单向认证协议两次传输单向认证协议”:CA Alice的证书Na可以防止可以防止Alice对对Bob意定消息签名意定消息签名2023-1-26消息重放攻击的对策：时戳消息重放攻击的对策：时戳l分类：分类：l依据声称者（依据声称者（Alice）对该消息进行）对该消息进行密码操作密码操作不同，不同，挑战应答机制分为：挑战应答机制分为：l对称密钥加密机制对称密钥加密机制l篡改码机制（完整性机制）篡改码机制（完整性机制）l非对称密钥签名机制非对称密钥签名机制2023-1-26消息重放攻击的对策：时戳（续）消息重放攻击的对策：时戳（续）l对称密钥加密机

34、制对称密钥加密机制Alice(A)Bob(B)声称者声称者验证者验证者(1),abaKT B MBob收到后解收到后解密得到时戳，密得到时戳，并与本地时并与本地时间比较。如间比较。如果在允许范果在允许范围内就接受。围内就接受。:aT 时戳国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO对称密钥对称密钥一次传输单向认证协议一次传输单向认证协议”2023-1-26消息重放攻击的对策：时戳（续）消息重放攻击的对策：时戳（续）l完整性机制完整性机制Alice(A)Bob(B)声称者声称者验证者验证者11(1),(,)aabaT B M h K T B MBob收到后重收到

35、后重构构MAC，并，并比较是否相比较是否相同；如果相同；如果相同则接受。同则接受。国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“使用密码验使用密码验证函数的证函数的ISO一次传输单向认证协议一次传输单向认证协议”2023-1-26消息重放攻击的对策：时戳（续）消息重放攻击的对策：时戳（续）l非对称密钥签名机制非对称密钥签名机制Alice(A)Bob(B)声称者声称者验证者验证者121(1),aaaKCAT B MT B MBob收到后利收到后利用用Alice的公的公钥验证签名。钥验证签名。国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO公

36、钥一次公钥一次传输单向认证协议传输单向认证协议”2023-1-26消息重放攻击的对策：时戳（续）消息重放攻击的对策：时戳（续）l分类：分类：l依据声称者（依据声称者（Alice）对该消息进行）对该消息进行密码操作密码操作不同，挑不同，挑战应答机制分为：战应答机制分为：l对称密钥加密机制对称密钥加密机制l篡改码机制（完整性机制）篡改码机制（完整性机制）l非对称密钥签名机制非对称密钥签名机制2023-1-26消息重放攻击的对策：时戳（续）消息重放攻击的对策：时戳（续）l对称密钥加密机制对称密钥加密机制Alice(A)Bob(B)声称者声称者验证者验证者(1),abaKN B MBob收到后解收到后

37、解密得到时戳，密得到时戳，并与本地时并与本地时间比较。如间比较。如果在允许范果在允许范围内就接受。围内就接受。:aN 序列号国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO对称密钥对称密钥一次传输单向认证协议一次传输单向认证协议”2023-1-26消息重放攻击的对策：序列号消息重放攻击的对策：序列号l完整性机制完整性机制Alice(A)Bob(B)声称者声称者验证者验证者11(1),(,)aabaN B M h KN B MBob收到后重收到后重构构MAC，并，并比较是否相比较是否相同；如果相同；如果相同则接受。同则接受。国际标准化组织（国际标准化组织（ISO）将

38、该方式称之为）将该方式称之为“使用密码验使用密码验证函数的证函数的ISO一次传输单向认证协议一次传输单向认证协议”2023-1-26消息重放攻击的对策：序列号（续）消息重放攻击的对策：序列号（续）l非对称密钥签名机制非对称密钥签名机制Alice(A)Bob(B)声称者声称者验证者验证者121(1),aaaKCA N B MN B MBob收到后利收到后利用用Alice的公的公钥验证签名。钥验证签名。国际标准化组织（国际标准化组织（ISO）将该方式称之为）将该方式称之为“ISO公钥一次公钥一次传输单向认证协议传输单向认证协议”2023-1-26消息重放攻击的对策：序列号（续）消息重放攻击的对策：

39、序列号（续）Alice(A)Bob(B)声称者声称者验证者验证者(2)bN(1),abb KB M N对称算法对称算法2023-1-26消息重放攻击的对策：序列号（续）消息重放攻击的对策：序列号（续）Alice(A)Bob(B)声称者声称者验证者验证者(2)bN(1),ab KM B N非对称算法非对称算法2023-1-26参考资料参考资料lBruce Schneier（吴世忠登译），应用密码学协（吴世忠登译），应用密码学协议、算法与议、算法与C源程序，机械工业出版社，源程序，机械工业出版社，2000第二章，第三章第二章，第三章2023-1-26参考资料参考资料l范红，冯登国，安全协议理论与方

40、法，科学出版范红，冯登国，安全协议理论与方法，科学出版社社，2003 第一章，第二章第一章，第二章2023-1-26参考资料参考资料lMao Wenbo，Modern Cryptography:Theory and Practice，电子工业出版社，电子工业出版社，2004第一章，第二章，第十第一章，第二章，第十一章，一章，2023-1-26教材与参考书教材与参考书l教材：教材：l李毅超李毅超 曹跃，网络与系统攻击技术曹跃，网络与系统攻击技术 电子科大出版社电子科大出版社 2007 l周世杰周世杰 陈伟陈伟 钟婷，网络与系统防御技术钟婷，网络与系统防御技术 电子科大出版社电子科大出版社 200

41、7 l参考书参考书l阙喜戎阙喜戎 等等 编著，信息安全原理及应用，清华大学出版社编著，信息安全原理及应用，清华大学出版社lChristopher M.King,Curitis E.Dalton,T.Ertem Osmanoglu（常（常晓波等译）晓波等译）.安全体系结构的设计、部署与操作，清华大学出版社，安全体系结构的设计、部署与操作，清华大学出版社，2003(Christopher M.King,et al,Security Architecture,design,deployment&Operations)lWilliam Stallings，密码编码学与网络安全原理与实践（第三，密码编码

42、学与网络安全原理与实践（第三版），电子工业出版社，版），电子工业出版社，2004lStephen Northcutt，深入剖析网络边界安全，机械工业出版社，深入剖析网络边界安全，机械工业出版社，2003l冯登国，计算机通信网络安全，冯登国，计算机通信网络安全，2001lBruce Schneier,Applied Cryptography,Protocols,algorithms,and source code in C(2nd Edition)(应用密码学应用密码学 协议、算法与协议、算法与C源程源程序，序，吴世忠、祝世雄、张文政等译吴世忠、祝世雄、张文政等译)l蔡皖东，网络与信息安全，西北工业大学出版社，蔡皖东，网络与信息安全，西北工业大学出版社，20042023-1-26Any Question?Q&A