第5章 協(xié)議安全技術(shù)

考試大綱

  • 掌握安全協(xié)議的概念
  • 掌握Kerberose協(xié)議
  • 掌握TLS和SSL協(xié)議
  • 身份認證協(xié)議——一次性口令認證,加“鹽”的認證系統(tǒng)、PAP、CHAP等

一、協(xié)議安全基礎(chǔ)

安全協(xié)議:

在消息交換和處理過程中使用的若干密碼算法的協(xié)議

二、安全協(xié)議分類

1.按照協(xié)議目的分類

  • 密鑰交換協(xié)議
    1.密鑰傳輸協(xié)議:RPC
    2.密鑰協(xié)商協(xié)議:DH
  • 認證協(xié)議
    包括:實體認證、消息認證、數(shù)據(jù)起源認證和消息目的認證
    單向認證協(xié)議
    雙向認證協(xié)議
  • 認證與密鑰交換協(xié)議
    站間(STS)協(xié)議
  • 電子商務(wù)協(xié)議:
    除了一般協(xié)議要求的機密性、完整性、不可抵賴性之外,還強調(diào)公平性、匿名性
    SET協(xié)議

2.按照是否需要可信第三方

  • 仲裁協(xié)議(借助可信第三方/仲裁者)
    NSSK協(xié)議
  • 裁決協(xié)議(出現(xiàn)爭議,裁決人才參與)
  • 自動執(zhí)行協(xié)議(不需要第三方)

二、協(xié)議安全協(xié)議

協(xié)議不安全根本原因:

環(huán)境復(fù)雜性,存在協(xié)議攻擊者

公認較好的攻擊者模型:Dolev-Yao

協(xié)議缺陷及其原因:

1.基本協(xié)議缺陷
2.口令/密碼設(shè)置缺陷
3.陳舊消息缺陷(協(xié)議設(shè)計未考慮時效性,易重放攻擊*)
4.并行會話缺陷(協(xié)議設(shè)計缺乏多個協(xié)議并行的考慮)
5.內(nèi)部協(xié)議缺陷(協(xié)議參與者不能完成必須動作)
6.密碼系統(tǒng)缺陷(密碼算法不安全)

NSSK協(xié)議中的消息重放攻擊

消息重放對策:
1.挑戰(zhàn)-應(yīng)答機制(發(fā)送挑戰(zhàn)值)
2.時戳機制(對比接收時間和發(fā)送時間差值,只能由消息發(fā)送者提供)
3.序列號機制

對比分析

安全協(xié)議設(shè)計的基本原則:

1.消息獨立性原則(消息含義一目了然)
2.消息前提準(zhǔn)確原則(明確指出所依賴條件)
3.協(xié)議主題身份標(biāo)識原則
4.加密目的明確原則(明確加密的作用和目的)
5.簽名原則(一般原則:先加密后簽名)
6.隨機數(shù)使用原則
7.隨機數(shù)隨機性原則
8.時戳使用原則(全局同步)
9.密鑰新鮮性原則
10.編碼原則(明確說明使用的編碼方法)
11.信任原則(依賴于安全策略判斷,而不是邏輯)

三、認證協(xié)議

1.用戶口令認證協(xié)議PAP

用于向點到點連接(PPP)服務(wù)器證明自己身份的協(xié)議,僅初期

2.挑戰(zhàn)-握手認證協(xié)議CHAP

同上,但也可以再次認證

3.Kerberos認證協(xié)議

認證步驟:
1.認證服務(wù)交換
2.票據(jù)許可服務(wù)交換
3.用戶與服務(wù)器交換

Kerberos的跨域認證
image.png
4.X.509認證協(xié)議

應(yīng)用:
PEM、SSL、SET、IPSec

認證協(xié)議:
  • 單向認證協(xié)議
  • 雙向認證協(xié)議
  • 三向認證協(xié)議

四、電子商務(wù)及其安全協(xié)議

1.概述

分類:
  • 按活動內(nèi)容
  • 按是否涉及支付
  • 按涉及的交易實體

2.設(shè)計原則

1.公平性
2.不可否認性
3.可追究性
4.匿名性

3.安全電子商務(wù)交易SET協(xié)議

安全性體現(xiàn):

1.認證:數(shù)字證書+數(shù)字簽名
2.數(shù)據(jù)完整性
3.消息私密性:對稱密碼算法,公鑰密碼算法

SET協(xié)議中的實體:
  • 持卡人
  • 商家
  • 發(fā)卡行
  • 收單行(處理付款授權(quán)和付款結(jié)算)
  • 支付網(wǎng)關(guān)(第三方的一套設(shè)備)
  • 認證中心
協(xié)議中的實體
SET協(xié)議中的密碼算法

使用方法:

  • DES:數(shù)據(jù)加密
  • RSA:身份認證、密鑰交換、數(shù)字簽名
  • SHA1和HMAC-SHA1:生成摘要

算法:
1.數(shù)字信封:保證數(shù)據(jù)私密性
2.雙重數(shù)字簽名:持卡人對訂單信息支付信息同時簽名

交易流程

1.購買請求


2.支付請求


3.付款結(jié)算


SET協(xié)議與SSL協(xié)議的區(qū)別

1.認證方面:早期SSL沒提供商家身份認證,不能實現(xiàn)多方認證
2.安全方面:SET規(guī)范了整個商務(wù)流程;SSL只對持卡人與商家的信息交換進行加密
3.網(wǎng)絡(luò)層協(xié)議方面:SSL基于傳輸層;SET位于應(yīng)用層
4.應(yīng)用領(lǐng)域方面:SSL和Web一起工作;SET為信用卡交易提供保障

五、安全協(xié)議實例:傳輸層安全協(xié)議T

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時請結(jié)合常識與多方信息審慎甄別。
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容