基于概率可观察等价性的安全协议分析
- 格式:pdf
- 大小:171.04 KB
- 文档页数:4
tamarin prover安全协议语法Tamarin Prover是一种用于分析安全协议的形式化验证工具,它采用了自定义的安全协议语法。
本文将对Tamarin Prover的安全协议语法进行详细介绍和解释。
Tamarin Prover的安全协议语法基于应用层代理逻辑,并通过一种称为符号执行的方法进行协议分析。
这使得Tamarin Prover能够检测协议中可能存在的安全漏洞和攻击。
在Tamarin Prover中,安全协议被建模为一组规则,这些规则描述了协议中的消息传递和状态变化。
每个规则包含一个或多个前提条件和一个结果,前提条件描述了规则应用的条件,结果描述了规则应用之后的状态变化。
在安全协议语法中,可以定义以下几种类型的规则:1. 规则:这是最基本的规则类型,描述了消息的传递和处理。
规则可以定义消息的发送、接收和处理的行为。
例如,以下是一个简单的规则示例:rule["发送M1到B","接收M2来自B"]-->["发送M3到C","接收M4来自C"];这个规则表示在发送消息M1到B并接收消息M2来自B之后,发送消息M3到C并接收消息M4来自C。
2. 初始化规则:这种规则描述了协议开始运行时的初始状态。
它定义了初始化的条件和协议的起始状态。
以下是一个初始化规则的示例:rule["初始条件"]-->["初始状态"];这个规则表示协议在初始状态下满足所定义的初始条件。
3. 超级规则:这种规则允许将其他规则组合在一起形成更复杂的行为模式。
它可以用于描述许多规则之间的关系和顺序。
以下是一个超级规则的示例:rule["规则1","规则2"]-->["规则3"];这个规则表示在规则1和规则2被应用后,规则3将被应用。
密码学报 I S S N 2095-7025 C N 10-1195/T NJournal of Cryptologic Research^ 2021, 8(2): 282-293◎《密码学报》编辑部版权所有.E-mail:jcr@ http://w w Tel/F a x:+86-10-82789618概率型2选1不经意传输协议的方案设计*张艳硕'赵瀚森\陈H1,杨亚涛31.北京电子科技学院密码科学与技术系,北京1000702.密码科学技术国家重点实验室,北京1008783.北京电子科技学院电子与通信工程系,北京100070通信作者:张艳硕,E~mail: zhang_***************摘要:目前的2选1不经意传输协议可以分为两类:一类是接收方有50%的概率可以获取自己想得到的消息,另一类是接收方有100%的概率可以获取自己想得到的消息.考虑到复杂网络情形,以固定概率获取所需信息的接收方受到限制.本文分别在E v e n、Bellare和N a o r的2选1不经意传输协议的基础上,对接收方成功恢复所需的秘密信息的概率进行了一般化处理,使得接收方可以以一般的概率来成功恢复自己想得到的秘密信息,并分析了协议的安全性及正确性.由于概率可以根据需求进行设置,因此可以在应用方面更加灵活.关键词:不经意传输;协议;2选1;概率型;安全中图分类号:T P309.7 文献标识码:A D O I: 10.13868/ki.jcr.000437中文引用格式:张艳硕,赵瀚森,陈辉焱,杨亚涛.概率型2选1不经意传输协议的方案设计1J1.密码学报,2021, 8(2): 282-293. [DOI:10.13868/ki.jcr.000437]英文引用格式:ZHANG Y S, ZHAO H S, CHEN H Y, YANG Y T. On scheme design of probabilistic 1out of 2 oblivious transfer protocol[J]. Journal of Cryptologic Research, 2021, 8(2): 282-293. [DOI: 10.13868/ki.jcr.000437]O n S ch em e D esig n o f P rob ab ilistic 1 ou t o f 2 O b liviou s TransferP ro to co lZ H A N G Y a n-S h u o1’2,Z H A O H a n-S e n1,C H E N Hui-Y a n1,Y A N G Y a-T a o31. Department of Cryptology Science and Technology, Beijing Electronic Science & Technology Institute, Beijing 100070, China2. State Key Laboratory of Cryptology, Beijing 100878, China3. Department of Electronic and Communication Engineering, Beijing Electronic Science Technology Institute, Beijing 100070, ChinaCorresponding author: ZHANG Yan-Shuo, E-mail: **********************基金项目:国家重点研发计划(2017Y FB0801803);国家自然科学基金面上项目(61772047);中央高校基本科研业务费 (3282〇19〇2);密码科学技术国家重点实验室开放课题(M M KFKT;201804); “十三五”国家密码发展基金(MMJJ20170110) Foundation: Key Research and Development Program of China (2017YFB0801803); General Program of National N atural Science Foundation of China (61772047); Fundamental Research Funds for the Central Universities (328201902); Open Fund of State Key Laboratory of Cryptology (MMKFKT201804); National Cryptography Development Fund of T hirteenth Five-Year Plan (MMJJ20170110)收稿日期:2020-05-21 定稿日期:2020-07-27张艳碩等:概率型2选1不经意传输协议的方案设计283A b stra ct:At present,l-out-of-2 oblivious transfer protocols can be divided into two categories:one is that the receiver has a50%probability of getting the message he wants,another is that the receiver has a 100% probability to get the message he wants.Considering complex networks,the receiver who can only obtain the required information with a fixed probability will be limited.In this paper,on the basis of Even,Bellare and Naor’s l-out-of-2oblivious transfer,we generalize the probability of the receiver's successful recovery of the secret information needed,so that the receiver can recover the secret information he wants with a general probability.The security and correctness of the protocols are analyzed.Because the probability of the protocols can be set according to the needs,the protocols have more flexible applications.Key w ords:oblivious transfer;protocol;l-out-of-2; probabilistic;securityi引言不经意传输协议(oblivious transfer,O T)是密码学的一个基本协议,是一种可保护隐私的双方通信协议,通信双方可以以一种模糊化的方式传送消息.他使得服务的接收方以不经意的方式得到服务发送方输入的某些消息,这样就可以在保证接收者在不知道发送者隐私的前提下,保护接受者的隐私不被发送者所知道.因此不经意传输协议也经常作为一种基本的密码模块来实现许多密码协议的构造,如安全多方计算、零知识证明和电子合同等.不经意传输协议最初是由R a b i n M在1981年提出的,在R a b i n的方案中实现了 1选1不经意传输协议,接收方有50%的概率可以成功获取秘密信息,从此不经意传输协议逐渐成为密码学的一个重要组成部分,随着学者们的不断深入研宄,不经意传输协议也在不断的发展和完善,逐渐应用到我们生活的各个领域,如安全多方计算、电子交易、公平拍卖协议等.目前,不经意传输协议主要分为以下四个研宄方向:经典1选1不经意传输协议M、2选1不经意传输协议W、…选i不经意传输协议W和…选不经意传输协议[51.其中,2选1不经意传输协议是由E v e n W在1985年最先提出的,并随之涌现出许多基于该协议的研宄设计,如Bellare W提出的非交互式2选1不经意传输协议、N a o r M基于Bellare的协议所提出的改进方案和H u a n g基于E D D H(extended decisional Diffe-H e l l m a n)假设而设计出的2选1不经意传输协议等等,均是对2选1不经意传输协议的很好的应用扩展.我们对经典的E v e n方案…U Bellare方案和N a o r方案间研究后发现,这三个典型的2选1不经意传输协议可以根据接收方成功获取所需秘密信息的概率分为两类:一类是接收方有50%的概率可以获取自己所需的秘密信息,如E v e n方案和Bellare方案;另一类是接收方有100%的概率可以获取自己所需的秘密信息,如N a o r方案.因此,本文分别对E v e n Bellare W和N a o r的2选1不经意传输协议进行了一般化推广,提出了三个接收方可以以一般概率接受信息的概率型2选1不经意传输协议,针对三个基本方案中接收方获取信息的概率进行了一般化改进,使得接收方可以以一定的概率获取信息,且经过分析,本文所提出的三个概率型2选1不经意传输协议方案是安全、可行的.原来的E v e n方案、Bellare方案和N a o r方案中接收方获取所需信息的概率是固定的,而在我们所提出的三个概率型2选1不经意传输协议方案中,概率可以根据实际需要灵活调整,可以说,我们用一种可变换概率的方式将三个—在复杂网经典方案在概率上实现了统一的P =f的形式,而这种形式也就可以实现我们统一的目的—络中根据实际需要进行概率的灵活变化和调整,更好得适应目前复杂网络环境中不经意传输协议的信息传输需求.2不经意传输协议不经意传输协议经过多年的研究发展,逐渐成为密码学的一个重要组件.目前不经意传输协议的研究主要分为四类:经典1选1不经意传输协议i21、2选1不经意传输协议M、n选1不经意传输协议W和n选fc不经意传输协议这四类不经意传输协议在后续的研究中均有很大的进展.284JowrnaZ 〇/CVyp<oZogic i?esearc/i 密码学报 Vol.8,No.2,A pr.2021经典1选1不经意传输协议在1981年由R abin121第一次提出,在R a b i n的方案中,接收方有50%的概率可以成功获取发送方所持有的唯一的秘密信息,且发送方并不知道接收方到底是否得到了秘密信息,此方案是基于二次剩余计算的.在2009年,郑天翔等人[31将R a b i n方案中的二次剩余替换成三次剩余,对R a b i n方案进行了改进.2选1不经意传输协议首先由E v e n W在1985年提出,是结合电子商务通信时代的背景所构建的一种通信协议,这种方案是由发送方向接收方秘密传送两个秘密消息,而接收方只能接收其中一个秘密消息,且发送方也不知道接收方所接收的是哪一个秘密消息,这样就保证了双方的隐私性.1987年,Goldreich等人用2选1不经意传输协议构造了一种安全多方计算方案;2008年,P a r a k h [111基于Diffie-Hellman 方案,为实现不经意传输的传统方法提供了一种有用的替代方案;1989年,C M p e a u等人1121用2选1不经意传输协议实现了对未察觉电路的评估和比特的公平交换;1995年,Stadler等人I13)基于2选1不经意传输协议构造了一种公平的盲签名方案;1999年,N a o r等人1141用2选1不经意传输协议构造了一个用于公平安全拍卖的体系结构;2000年,C a c h i n等人1151基于2选1不经意传输协议实现了一轮的安全多方计算;2010年,J a i n等人[161对P a r a k h的2选1不经意传输协议进行推广.在J a i n所提出的协议中,相关各方不经意地生成Diffie-H e l l m a n密钥,然后将它们用于秘密的不经意传输;2015年,K u m a r 等人1171提出了一种非自适应的,并且是完全可模拟的2选1不经意传输协议方案;2017年,P l e s c h等人[181提出了一种更为简化的2选1不经意传输协议.n选1不经意传输协议在1986年由Brassard141第一次提出,通过调用n次2选1的不经意传输协议来实现.接着,在1987年,Brassard141进一步改进了 n选1的方案,仅需调用log2n次2选1不经意传输协议,大大提高了协议的效率.2000年,G e r t n e r等人提出了一种分布式ri选1不经意传输协议;2004年,Tzeng等人基于判定性Diffie Heilman困难性假设,设计出了一个新的不经意传输协议;接着在2005年,赵春明等人1211在Tzeng等人的方案的基础上加以改进,提出了增强的n选1不经意传输协议;2006年,叶君耀等人1221提出了一个基于门限思想并且可复用的n选1不经意传输协议,在效率方面优于以往的N ao r协议和Tzeng协议;2007年,朱健东等人f231在N ao r协议的基础上,基于现有公钥体制同态性设计出了一个在计算上更简单的不经意传输协议的构造方法;2007年,Camenisch等人1241基于一些基础的密码学原件设计出了不经意传输协议方案;2008年,张京良等人p5l对N aor协议进行改进并应用到群签名中;2019年,M i等人1261提出了一种基于N T R U密码原语的更适合在异构和分布式环境中部署的后量子轻量级n选1不经意传输协议.n选A:不经意传输协议首次提出是在1989年由Bellare所构建的一类提出非交互式n选A:不经意传输,第一次实现了接收方可以一次选择接收多个秘密信息.1999年,N a o r W在2选1不经意传输协议的基础上,提出了一个只针对某种特殊情况可以使用的n选fc不经意传输协议,到了 2001年,N a o r 又接着W提出了具有普适性的ri选A;不经意传输协议,成为以后不经意传输协议研究的基础之一;2009年,C h a n g等人提出一种基于C R T的鲁棒《选fc的不经意传输协议;2014年,L o u等人在椭圆曲线密码体制的基础上,提出了一种新的用于私人信息检索的n选fc不经意传输协议,该协议更适合于智能卡或移动设备;2018年,L a i等人1291提出了一个以最小通讯成本的n选fc不经意传输方案;2019年,D o t t l i n g等人I#提出了一种构造恶意安全的两轮不经意转移的新方法,在可计算Diffie-Hellman (computational Diffie-H e l l m a n,C D H)假设或学习等价噪声(Learning Parity with Noise,L P N)假设下给出了基本O T的简单构造,得到了恶意两轮O T的第一个构造;2020年,G o y a l等人[31】给出了三轮不经意传输协议的第一个构造-在普通模型中-基于多项式时间假设,实现接收者的统计隐私和发送者对抗恶意对手的计算隐私.3经典2选1不经意传输协议的对比研究3.1 2选1不经意传输协议2选1不经意传输协议是一种能保护通信双方隐私的通信协议,信息的持有者将自己所拥有的两个秘密信息加密后发送给接收方,接收方只能成功恢复其中一个消息,而信息持有者并不知道接收方恢复的是哪一个秘密消息.张艳硕等:概率型2选1不经意传输协议的方案设计285本节所列举了三个典型的2选1不经意传输协议,分别是1985年E v e n丨6丨首次提出的2选1不经 意传输协议、1990年Bellare [71提出的非交互式2选1不经意传输协议和2001年N a o r间针对Bellare 方案提出的改进2选1不经意传输协议方案,而这三个方案也是后续2选1不经意传输协议的基础,后 续各位学者所提出的各个新的方案及各个领域的应用,有相当一部分与这三个方案密切相关,是对这三个 方案中的某一个的改进扩展,因此我们也将基于这三个基础方案进行概率的一般化扩展,提出三个概率型 2选1不经意传输协议方案.3.2 E v e n的2选1不经意传输协议本节将对E v e n间的2选1不经意传输协议方案进行简单描述,方案如下:(1) 设和分别为A l i c e的公钥加解密函数.A l i c e从自己的公钥系统的消息空间中随机选择勿而.A l i c e将加密函数和z0,发送给B o b.(2) B o b随机选择r e {0,1},并从A l i c e的公钥系统的消息空间中随机选择f c.计算9 =私㈨®将g发送给Alice.(3) 对于 i =0,1,Alice 计算 f c; =ArQ—4).Alice 随机选择 s € {0,1}.将(M〇+fc:,Mi发送给Bob.⑷最终B o b可以成功得到3.3 B e lla r e的2选1不经意传输协议本节将对Bellare I7]的2选1不经意传输协议方案进行简单描述,方案如下:初始化:选择一个素数p,且定义g为■^的生成元,从Z纟中选择C1(其中C =汰x并公开.B o b随机选择i e {0,1},再随机选择灼€ {0,1, —,p-2},接着计算爲=0和魚-i =C x (广广1,得到B o b自己的公钥03,,/^和私钥(i,).传输阶段:(1) Alice随机选择如,e {0,1,…,p-2},计算a〇 =g110和如=分yi.A lice接着计算7〇 = /^。
V ol.16, No.10 ©2005 Journal of Software 软 件 学 报 1000-9825/2005/16(10)1743 可证明安全性理论与方法研究∗冯登国+ (信息安全国家重点实验室(中国科学院 软件研究所),北京 100080)Research on Theory and Approach of Provable SecurityFENG Deng-Guo +(State Key Laboratory of Information Security (Institute of Software, The Chinese Academy of Sciences), Beijing 100080, China) + Corresponding author: Phn: +86-10-62658643, Fax: +86-10-62520469, E-mail: fdg@, Received 2004-07-06; Accepted 2005-08-24Feng DG. Research on theory and approach of provable security. Journal of Software , 2005,16(10):1743−1756. DOI: 10.1360/jos161743Abstract : This paper presents a survey on the theory of provable security and its applications to the design and analysis of security protocols. It clarifies what the provable security is, explains some basic notions involved in the theory of provable security and illustrates the basic idea of random oracle model. It also reviews the development and advances of provably secure public-key encryption and digital signature schemes, in the random oracle model or the standard model, as well as the applications of provable security to the design and analysis of session-key distribution protocols and their advances.Key words : provable security; cryptosystem; security protocol; random oracle model; standard model摘 要: 论述了可证明安全性理论在安全方案与安全协议的设计与分析中的应用,内容主要包括:什么是可证明安全性,可证明安全性理论涉及到的一些基本概念,RO(random oracle)模型方法论的基本思想及其在公钥加密和数字签名等方案中的应用研究进展,标准模型下可证明安全性理论在公钥加密和数字签名等方案中的应用研究进展,以及可证明安全性理论在会话密钥分配协议的设计与分析中的应用研究进展.关键词: 可证明安全性;密码方案;安全协议;RO(random oracle)模型;标准模型中图法分类号: TP309 文献标识码: A目前多数安全协议的设计现状是:(1) 提出一种安全协议后,基于某种假想给出其安全性论断;如果该协议在很长时间,如10年仍不能被破译,大家就广泛接受其安全性论断;(2) 一段时间后可能发现某些安全漏洞,于是对协议再作必要的改动,然后继续使用;这一过程可能周而复始.这样的设计方法存在以下问题:(1) 新的分析技术的提出时间是不确定的,在任何时候都有可能提出新的分析技术;(2) 这种做法使我们很难确信协议的安全性,反反复复的修补更增加了人们对安全性的担心,也增加了实现代价或成本.那么有什么解决办法呢?可证明安全性理论就是针对上述问题而提出的一种解决方案(当然,并非是唯一∗ Supported by the National Grand Fundamental Research 973 Program of China under Grant No.G1999035802 (国家重点基础研究发展规划(973)); the National Natural Science Foundation of China under Grant No.60273027 (国家自然科学基金)作者简介: 冯登国(1965-),男,陕西靖边人,博士,研究员,博士生导师,主要研究领域为网络与信息安全.1744 Journal of Software软件学报 2005,16(10)的解决方案).可证明安全性是指,安全方案或协议的安全性可以被“证明”,但用“证明”一词并不十分恰当,甚至有些误导[1].一般而言,可证明安全性是指这样一种“归约”方法:首先确定安全方案或协议的安全目标.例如,加密方案的安全目标是确保信息的机密性,;然后根据敌手的能力构建一个形式的敌手模型,并且定义它对安全方案或协议的安全性“意味”着什么,对某个基于“极微本原(atomic primitives,是指安全方案或协议的最基本组成构件或模块,例如某个基础密码算法或数学难题等)”的特定方案或协议,基于以上形式化的模型去分析它,“归约”论断是基本工具;最后指出(如果能成功),挫败方案或协议的唯一方法就是破译或解决“极微本原”.换句话讲,对协议的直接分析是不必要的,因为你对协议的任何分析结果都是对极微本原的安全性的分析.可见,称“归约安全”也许比“可证明安全”更恰当.实际上,可证明安全性理论是在一定的敌手模型下证明了安全方案或协议能够达到特定的安全目标,因此,定义合适的安全目标、建立适当的敌手模型是我们讨论可证明安全性的前提条件.可证明安全性理论的应用价值是显而易见的:我们可以把主要精力集中在“极微本原”的研究上,这是一种古老的、基础性的、带有艺术色彩的研究工作;另一方面,如果你相信极微本原的安全性,不必进一步分析协议即可相信其安全性.综上所述,可证明安全性理论本质上是一种公理化的研究方法,其最基础的假设或“公理”是:“好”的极微本原存在.安全方案设计难题一般分为两类:一类是极微本原不可靠造成方案不安全(如用背包问题构造加密方案);另一类是,即使极微本原可靠,安全方案本身也不安全(如DES-ECB等).后一种情况更为普遍,是可证明安全性理论的主要研究范围.必须说明的是,可证明安全性理论也存在一定的局限性:首先必须注意模型规划,即注意所建立的模型都涵盖了哪些攻击.显然,一些基于物理手段的攻击都不包含在内,但这并不意味着可证明安全性的方案就一定不能抵抗这类攻击,而是说未证明可以抵抗这类攻击;其次,即使应用具有可证明安全性的方案,也可能有多种方式破坏安全性:有时证明了安全性,但问题可能是错误的,也可能应用了错误的模型或者协议被错误操作,甚至软件本身可能有“Bugs”.另一个需要注意的问题是基础假设的选取:可证明安全性是以某一假设为基础的,因此一旦该假设靠不住,安全性证明也就没有意义了(当然,不一定意味着可构造对方案的攻击实例);选取基础假设的原则就是“越弱越好”,通常称弱假设为标准假设.基础假设的强弱是比较不同安全方案的重要尺度之一.上述定义较为抽象,下面以RSA为例加以说明.给定某个基于RSA的协议P,如果设计者或分析者给出了从RSA单向函数到P安全性的归约,那么P具有以下转换性质:对于任何声称破译P的敌手(程序)A,以A为“转换算法”的输入,必然导致一个协议Q,Q可被证明破译RSA.结论是:只要你不相信RSA是可破译的,那么上述的Q就不存在,因而P是安全的.对可证明安全性的精确形式化有多种形式,一般是在计算复杂性理论框架下加以讨论,如主要考虑“概率多项式时间(PPT)”的敌手A和转换算法,以及“可忽略”的成功概率.这是一种“渐近”观点,有着广泛的适用范围.具体内容可参见Goldreich的研究综述[2].1.1 基本概念本质上,可证明安全性理论的主要研究途径是规划安全方案或协议的形式化安全模型,不同的安全方案或协议会导致不同的安全模型,而这些安全模型大多基于一些很基本的密码学概念.因此对一些最基本的密码学概念(如加密、签名及其安全性定义等)给予精确的形式化定义是可证明安全性理论的基础组成部分,有助于消除自然语言的语义二义性.下面分别介绍数字签名方案和公钥加密方案的安全模型.定义1(数字签名方案). 一个数字签名方案由以下3种算法组成:(1) 密钥生成算法K.对于输入1k,K产生一对匹配值(k p,k s),分别称为公钥和私钥,K可以是概率算法.k称为安全参数,密钥等因素的规模都依赖于k.(2) 签名算法Σ.给定消息m和(k p,k s),Σ产生签名σ,Σ可以是概率算法.(3) 验证算法V.给定签名σ和消息m以及公钥k p,V检验σ是否是m的对应于公钥k p的合法签名,通常情况冯登国:可证明安全性理论与方法研究1745下,V 是确定性算法.对于任一数字签名方案(K ,Σ,V ),敌手A 的模型如下: A 的目标有如下3个:揭示签名者私钥(完全破译);构造成功率高的伪签名算法(通用伪造);提供一个新的消息-签名对(存在性伪造). 存在性伪造一般并不危及安全,因为输出消息很可能无意义,但这样的方案本身不能确保签名方的身份,例如不能用来确认伪随机元素(如密钥),也不能用来支持非否认.A的两类攻击:未知消息攻击和已知消息攻击.后一种情况中最强的攻击是“适应性选择消息攻击”,即A 可以向签名方询问对任何消息的签名(当然不能询问欲伪造消息的签名,这是一类自明的约定,后文不再注释),因而可能根据以前的答案适应性地修改随后的询问. 定义2(数字签名方案在适应性选择消息攻击下的安全性). 对任一数字签名方案(K ,Σ,V ),如果敌手A 的攻击成功概率]1),,(:)(),(),1(),Pr[(=←←=Σσσm k V k A m K k k Succ p p k s p A s k是可忽略的,则称该方案能够抵抗适应性选择消息攻击.这里,A 可以获得签名Oracle s k Σ(实际上是一个“黑盒”),这模拟了如上所说的“适应性选择消息询问”,而且要求(m ,σ)没有询问过.s k Σ定义3(公钥加密方案). 一个公钥加密方案由以下3种算法组成:(1) 密钥生成算法K .对于输入1k ,K 产生一对匹配值(k p ,k s ),分别称为公钥、私钥,K 是概率算法.(2) 加密算法E .给定消息m 以及公钥k p ,E 产生m 对应的密文C .E 可以是概率算法,这时记为),;,(r m k E p r 表示随机输入.(3) 解密算法D .给定密文C 及私钥k s ,D 产生C 对应的明文m ,一般是确定性算法.一般而言,加密方案的安全目标是单向性(one-wayness,简称OW)的:在不知私钥的情况下,敌手A 在概率空间M ×Ω上成功地对E 求逆的概率是可忽略的(这里,M 是消息空间,Ω是加密方案的随机掷硬币空间),亦即概率]));,(,(:)1(),Pr[(m r m k E k A K k k Succ p p k s p A =←= 是可忽略的.然而,许多应用要求具有更强的安全性.定义4(多项式安全/密文不可区分). 对任一公钥加密方案(K ,E ,D ),如果满足1]),,,(:);,(),(),,(),1(),Pr[(2102110−==←←×b c s m m A r m k E c k A s m m K k k adv b p p k s p A是可忽略的,则称该方案是多项式安全的或密文不可区分的.这里,敌手A =(A 1,A 2)是一个2阶段攻击者(都是PPT 算法),概率取于(b ,r )之上.上述定义形式化了如下性质:敌手了解明文的某些信息(可任选一对消息,其中一个被加密),但它不能从密文得到除明文长度之外的任何信息.敌手的几种攻击类型(相当于敌手拥有的Oracle 数量及性质):(1) CPA(选择明文攻击),该攻击在公钥方案中显然是平凡的;(2) PCA(明文校验攻击),敌手获得明文校验Oracle,用以回答关于任一输入对(m ,c )是否为对应明密对的 询问;(3) CCA(选择密文攻击),除了获得加密Oracle 以外,敌手还获得解密Oracle,即对于任何询问的密文(除了应答密文),Oracle 都给以相应的明文作为回答.这是最强的攻击(根据是否适应性选择密文,还可以细分为CCA1和CCA2).对应以上攻击条件的相应安全性定义,均可用类似于定义4的方法给出,区别仅在于敌手获得的Oracle 数量和性质不一样.对称密码方案的安全性可类似定义.1746 Journal of Software软件学报 2005,16(10) 2 RO模型方法论及其相关研究结果20世纪80年代初,Goldwasser,Micali和Rivest等人首先比较系统地阐述了可证明安全性这一思想,并给出了具有可证明安全性的加密和签名方案[3,4].然而,以上方案的可证明安全性是以严重牺牲效率为代价的,因此以上方案虽然在理论上具有重要意义,但不实用,这种情况严重制约了这一领域的发展.直到20世纪90年代中期出现了“面向实际的可证明安全性(practice-oriented provable-security)”的概念,特别是Bellare和Rogaway提出了著名的RO(random oracle,随机预言)模型方法论[5],才使得情况大为改观:过去仅作为纯理论研究的可证明安全性理论,迅速在实际应用领域取得了重大进展,一大批快捷有效的安全方案相继提出;同时还产生了另一个重要概念:“具体安全性(concrete security or exact security)”,其意义在于,我们不再仅仅满足于安全性的渐近度量,而是可以确切地得到较准确的安全度量.面向实际的可证明安全性理论取得了巨大的成功,已被国际学术界和产业界广为接受;但Canetti和Goldreich对此持有异议[6],并坚持仍在标准模型(standard model)中考虑安全性.Canetti和Goldreich认为:密码方案在RO模型中的安全性和通过“hash函数实现”的安全性之间无必然的因果关系;具体说来,存在这样的实际签名方案和加密方案,它们在RO模型中是安全的,但任何具体实现都是不安全的.这实际上是提出了一个反例.不过,Goldreich也认为,应该明确RO模型方法论并不能作为实际方案安全的绝对证据,但该方法论仍是有意义的,如可以作为一种基本测试——任何实际方案通过这种安全测试是必要的,RO模型方法论至少可以排除很多不安全的设计,虽然并非完备的.Canetti则进一步指出,RO模型方法论虽然存在以上缺点,但它可用于设计简单而有效的协议——可以抵抗许多未知攻击;更重要的是,其基本思想可以用来设计某些安全的理想系统.Pointcheval等人则认为[7],目前还没有人能提出令人信服的关于RO模型实际合法性的反例.文献[6]的反例仅仅是一种理论上的反例,是针对实际目的的“明显错误设计”;RO模型已经被广为接受,并被认为是度量实际安全级别的一种很好的手段;即使并未提供一个正规的安全性证明(像标准模型那样),但在其“安全性论断”(hash函数没有弱点)下,RO模型中的证明确保了整个方案的安全性.更确切些,RO模型可视为对敌手能力的某种限制——敌手的攻击是不考虑任何特殊hash函数实例的一般攻击,而且如果假定存在某些防窜扰设备(如Smart Cards),则RO模型等价于标准模型,这时只要求伪随机函数存在[2].最重要的是,仅就实现效率这一点,RO 模型中的可证明安全性的方案就远远优于那些能够提供标准安全性证明的方案,仅此一点就可以从实际应用中排除当前所有“在标准模型中具有可证明安全性”的方案.事实上,一些有代表性的、有效的标准解决方案,如文献[3,4]中的方案,过于复杂且代价昂贵,归约的复杂性使得难以确定实际安全参数,其有效性也只是相对于过去的标准方案而言.但可以肯定的是,迄今为止,RO模型方法论是可证明安全性理论最成功的实际应用,其现状是:几乎所有国际安全标准体系都要求提供至少在RO模型中可证明安全性的设计,而当前可证明安全性的方案也大都基于RO模型.2.1 RO模型介绍文献[5]中提出如下观点:假定各方共同拥有一个公开的Random Oracle,就可以在密码理论和应用之间架起一座“桥梁”.具体办法是,当设计一个协议P时,首先在RO模型(可看成是一个理想模拟环境)中证明P R的正,然后在实际方案中用“适当选择”的函数h取代该Oracle(潜在论断是理想模拟环境和现实环境在敌手看来是多项式时间计算不可区分的).一般来说,这样设计出来的协议可以和当前协议的实现效率相当.必须指出,这并非是严格意义上的可证明安全性,因为安全性证明仅在RO模型中成立,随后的“取代”过程本质上是一种推测:RO模型中的安全特性可以在标准模型中得以保持.假设我们提出一个协议问题Π(这个问题和h函数“独立”),要设计一个安全协议P解决该问题,可按如下步骤执行:(1) 建立Π在RO模型中的形式定义,RO模型中各方(包括敌手)共享随机Oracle R;(2) 在RO模型中设计一个解决问题Π的有效协议P;(3) 证明P满足Π的定义;冯登国:可证明安全性理论与方法研究1747(4) 在实际应用中用函数h 取代R . 严格说来,h 不可能真的“像”随机函数:首先,其描述较短;其次,所谓的随机Oracle 即hash 函数对每一个新的询问产生一个随机值作为回答(如果问相同的询问2次,回答仍相同),这也是和随机函数的一个微小区别.但这并未改变上述方法论的成功,因为只要求在敌手看来“像”随机函数.此外,h 函数“独立”于Π也是至关重要的(否则可能不安全,可构造反例). 一般来说,函数h 至少要满足以下基本要求:设计上足够保守,能够抵抗各种已知攻击;不会暴露某些相关数学“结构”.文献[5]指出,选择h 并不需要太麻烦,一个适当选择(但并不需过分苛求)的hash 函数就是如上h 函数的一个很好的选择.RO 方法论也易于推广到基于对称密码本原的协议/方案研究,如CBC-MAC,虽然没有hash 函数,但把一个恰当选择的分组密码(如DES)视为随机函数.2.2 归约论断和具体安全性归约论断是可证明安全性理论的最基本工具或推理方法,简单说就是把一个复杂的协议安全性问题归结为某一个或几个难题(如大数分解或求解离散对数等).在RO 模型中的归约论断一般表现为:首先形式化定义方案的安全性,假设PPT 敌手能够以不可忽略的概率破坏协议的安全性(如伪造签名);然后模仿者S (就是设计者或分析者)为敌手提供一个与实际环境不可区分的模拟环境(RO 模型),回答敌手的所有Oracle 询问(模拟敌手能得到的所有攻击条件);最后利用敌手的攻击结果(如一个存在性的伪造签名)设法解决基础难题.如果把RO 模型换成现实模型就得到标准安全性证明.RO 归约论断的一个显著优点是能够提供具体安全性结果.具体地说就是,试图显式地得到安全性的数量特征,这一过程称为“具体安全性处理(concrete or exact treatment of security)”,与前面提到的“渐近”观点有明显区别.其处理结果一般表述为如下形式(举例):“如果DES(本原)可以抵抗这样条件的攻击,即敌手至多获得236个明密对,那么我们的协议就可以抵抗一个能执行t 步操作的敌手发动的攻击,t 值如下…”这样,协议设计者就能够确切地知道具体获得了多少安全保证,不必再笼统地说协议是否安全.例1:文献[8]中研究了CBC MAC 的安全特征,结论是:对任意一个运行时间至多为t 、至多见过q 个正确MAC 值的敌手,成功模仿一个新消息的MAC 值的概率至多为ε+(3q 2n 2+l )/2.这里,l 是基础密码的分组长度,n 是明文消息总数,ε是检测到密码偏离随机行为的概率(在O (nql )时间内).具体安全性处理的一个重要目标就是,在把一个基础极微本原转化成相应协议时,尽可能多地保持极微本原的强度.这表现为要求“紧”的归约方法,因为一个“松”的归约意味着要求采用更长的安全参数,从而降低了 效率.2.3 基于RO 模型方法论的代表性研究结果2.3.1 公钥加密方案第1节的概念推广到RO 模型,即可得到RO 模型中的公钥加密方案的定义.公钥加密方案可以通过PPT 生成器g 来规定:以安全参数1k 为输入,输出一对概率算法(E ,D ),分别称为加、解密算法,D 保密,运行时间以g 的运行时间为界.加密:)(x E y R ←,解密:)(y D x R ←.像定义4一样,称该方案在RO 模型中是CPA 多项式安全的,如果对任意的CP-敌手(选择明文敌手)(F ,A 1),满足).(2/1]),,(:)(};1,0{);(),();1(),(;2Pr[1110n b m E A m E b E F m m g D E R R b R R k μαα+≤=←←←←←∞ 这里,R 表示一般的Oracle,是从{0,1}*到{0,1}∞的函数,2∞表示所有Oracle 的集合,“∞”并非真的无限,只是避免提问“足够长是多长”这类问题,μ(n )是可忽略函数.CCA 安全性:这里的敌手A 称为RS-敌手,即有非一致多项式算法A =(F ,A 1),各自获得一个Oracle R 及一个解密Oracle 的黑盒实现D R ;F 的任务就是提出一对明文10,m m ,A 1被随机给予其中一个的密文α,则只要不允许向解密Oracle D R 询问α(因为禁止提出与最终论断等价的询问),A 1就不可能以不可忽略优势猜中是哪一个1748Journal of Software 软件学报 2005,16(10)明文. 称g 在RO 模型中安全抗CCA 攻击,如果对任意RS-敌手(F ,A 1),满足:).(2/1]),,,(:)(};1,0{);(),();1(),(;2Pr[10,1,10n b m m E A m E b E F m m g D E R R RD R b R D R k μαα+≤=←←←←←∞ Bellare 等人在文献[5]中提出了一个在RO 模型中安全抗CCA 攻击的方案,由于归约并不紧,应用意义并不大,但其设计思想很好地体现了RO 方法论的特点.Bellare 等人把以上思想作了进一步改进,在1994年提出了著名的公钥加密填充方案OAEP [9],可证明是抗CCA2攻击安全的,目前该方案已成为新一代RSA 加密标准.其基本组成是:核心组件是一个Padding 函数,即OAEP G ,H (x ,r )=x ⊕G (r )||r ⊕H (x ⊕G (r )).这里,x 是被加密消息,r 是随机输入;加密算法为E G ,H (x )=f (OAEP G ,H (x ,r )).这里,f 是陷门置换(如RSA 函数).基本设想是构造一个具有良好随机性的“遮掩函数”隐蔽明文的统计特性.2.3.2 数字签名方案Bellare 等人在文献[5]中也给出了一种具有可证明安全性的签名方案.该签名方案要求陷门置换f 具有“均匀分布”的特点,而标准RSA 置换不具有这个性质,因此基于RSA 无法设计该类方案.文献[10]中提出了一种基于RSA 的签名方案:概率签名方案PSS,目前有望成为RSA 签名标准.PSS 引入了概率机制,有更好的安全界.该方案不仅可证明其安全性,而且相应的归约是很紧的,一个敌手伪造签名的能力和对RSA 求逆的能力相当.总之,安全性和分解整数的困难性紧密相关.稍作改进,也可以具有消息恢复性质.目前,其他可证明安全性的签名方案大都是基于识别协议的签名方案,这不是偶然的,前面我们提到Fiat 和Shamir 曾经应用RO 假设试图构造一个安全性和因子分解一样困难的签名方案[11],并证明了其与识别协议的等价性.例如,文献[12]中的主要工作是:对基于Fiat-Shamir 识别协议的签名方案[11]作了具体安全性分析,通过交换应答和承诺的顺序改进设计了一类新的Fiat-Shamir 类型签名方案(E-swap 签名方案),具有更好的具体安 全性.其他一些进展可参见文献[13−15]等.文献[15]基于计算Diffie-Hellman(CDH)假设,对一个源于Schnorr 签名的改进方案EDL 给出了归约很紧的安全性证明,使得该签名方案得到了业界的广泛重视.另外,值得特别说明的是,文献[13]对于完善RO 模型方法论具有重大贡献,即提出了以Folklore 引理为代表的一般安全论断,主要适用于许多基于识别协议的签名方案,特别是证明了迄今为止唯一一个ElGamal 变形签名方案MEG 的安全性.基本方法是,Oracle 重放(replay)攻击,即在RO 模型中实施归约化证明时,重放多项式个不同(但有一定联系)的随机Oracle(这相当于为敌手提供多个模拟环境),然后敌手若能以不可忽略概率伪造多个签名,设计者或分析者就能根据其内在关联求解基础难题(如DLP).缺点是归约还不够紧. 3 标准模型中可证明安全性理论研究的一些重要进展文献[3,4]是满足标准安全性证明的早期有代表性的方案.实际上,前面的结果已经包含了许多这方面的内容,如一些基本概念等,这里我们简要介绍一些近年来的结果.文献[16]研究了数字签名方案中的hash 函数设计应用问题,降低了对hash 函数的要求;文献[17]提出了一类基于强RSA 假设的数字签名方案.其共同之处是都不把hash 函数形式化为RO.文献[17]的安全性证明实际上是用满足强计算假设的hash 函数取代了RO.3.1 基于padding 函数的RSA 签名方案克服RSA 签名方案同态缺陷的一种通用解决方案就是先对消息应用padding 函数作用,然后对结果作解密运算(签名).文献[16]中的主要结果是:基于padding 函数、对一组消息的RSA 签名与对多个分组消息的RSA 签名的安全性等价.而且这里并不要求hash 函数为Random Oracle 或具有自由碰撞性质,只是假设存在某个安全的、用于签署固定长度消息的padding 函数μ;利用它就可以构造一个用于签署任意长度消息的安全padding 方案.但该文在一般标准安全论断研究方面并未有多少进展.冯登国:可证明安全性理论与方法研究17493.2 没有随机Oracle 的安全签名方案(Hash -and -Sign 模式) 文献[17]基于强RSA 假设(即对任意的RSA 模*,nZ s n ∈,要在多项式时间内找到一个满足r e =s mod n 的二元组(e ,r )(e >1)是不可能的),提出了一种抵抗适应性选择消息攻击的签名方案,仍属于Hash-and-Sign 结构.密钥和参数说明类似于RSA,注意公钥为*,nZ s pq n ∈=.签名算法本身很简单:e =h (R ,M ),签名σ是s 模n 的e 次根;验证算法略.在安全性论断研究方面,文献[17]不再把hash 函数视为RO,而是把hash 函数视为具有某些特定性质(如整除难处理性等)的随机函数h (R ,M ).这里,R 是随机数.特别之处在于:既充分利用RO 安全论断的优点,又用一个假想的随机性Oracle 取代RO,即假设已知h 的随机输入因素也对解决强RSA 难题毫无帮助.文献[17]希望这种“相对模型方法论”能够替代RO 方法论,但显然其假设过强(虽然文献[17]认为仍是现实的),归约也不紧,更重要的是目前看不到有推广应用的可能,文献[17]也承认这一点.3.3 Cramer -Shoup 加密方案Cramer 和Shoup [18]于1998年提出了第一个比较实际的标准模型下可证明安全的公钥加密方案,该方案的困难假设是判定性Diffie-Hellman 问题.由于其安全性归约是在标准的杂凑函数假设(抗碰撞)下得到的,并不依赖于随机预言模型,所以受到了很大的关注.设G 是有限域*p Z 的阶为q 的子群,p ,q 为素数,且q |p −1,g 1和g 2是G 中两个随机的非单位元的元素.设),(21x x x =,),(21y y y =,),(21z z z =表示在0和q −1之间的数对;),(21g g g =,),(21u u u =表示G 中的元素对;r 是1和q −1之间的随机数,记),(2121x x x g g g =,),(2121rx rx rx g g g =.假设H 是合适的抗碰撞杂凑函数.用户Alice 的私钥是3对随机产生的数x ,y ,z ,其公钥由3个群元素,x g c =,y g d =z g e =组成.加密:为了发送消息m ∈G ,Bob 选择一个随机数r ,令r g u 11=,r g u 22=,m e w r =,然后计算),,(21w u u H h =和rh r d c v =.Bob 把四元组),,,(21v w u u 作为密文发送给Alice.解密:要解密),,,(21v w u u ,Alice 首先计算),,(21w u u H h =,然后利用她的私钥计算,hy x u +这个结果应该等于v (因为rh r rhy rx hy x d c g u ==++).如果它不等于v ,Alice 就拒绝该消息;如果通过这个检验,Alice 继续进行解密:把w 除以u z ,因为r rx z e g u ==,而m e w r =,所以这就是明文m .对于Cramer-Shoup 加密方案,如果存在一个自适应选择密文攻击的敌手能够破坏定义4中给出的安全性,那么就可以构造一个算法来求解判定性Diffie-Hellman 问题.容易看出,Cramer-Shoup 加密方案实际上是ElGamal 公钥加密方案的一个变型,而后者显然是不能抵抗选择密文攻击的.与ElGamal 方案相比,Cramer-Shoup 方案的一个重要设计思想,是增加了密文的合法性检验,即在其密文中增加了冗余v ,解密者通过检查u x +hy =v 来判断密文的合法性.而正是这个密文合法性检验条件,使得解密Oracle 不能帮助敌手来发动有效的攻击,这也是目前所有的抵抗选择密文攻击的加密方案的重要设计思想之一.4 会话密钥分配(SDK )协议的可证明安全性研究通信双方在充满恶意的环境中传送数据,一般需要确保数据的机密性和可认证性.要达到此目的,必须加密和认证被传送的数据,这就需要密钥,而密钥通常需要通过会话密钥分配(SKD)协议来实现.当前最常见的是三方SKD 协议(可信方参与),因此下文的论述以此为重点.最早的、最流行的三方密钥分配系统是1978年提出的NS 系统[19],并且有许多具体候选方案.之后的数年,又有10多个SKD 协议出现.但是,似乎所有这些工作都存在这样的“怪圈”:提出一个协议;然后是不断地试图破译;不断地修补.实际上,Needham 和Schroeder 在一开始就提出了警告:这样开发的协议容易有微妙的弱点,且不易在正常操作中检测到,很有必要研究验证协议正确性的技术.作为对这种警告的证实,文献[20]指出了一种NS 协议的bug,许多相关协议都有类似的缺陷.如此漫长的攻击历史使得人们终于达成这样的共识:要解决会话密钥分配问题,仅仅由作者给出一个协议、并且作者本人找不到可行的攻击手段是远远不够的.Burrows,Abadi 和Needham [21]试图通过使用特定目的的逻辑来解决这个问题,即著名的BAN 逻辑.形式化。
无线传感器网络安全随着无线传感器网络的广泛应用,其安全问题越来越受到人们的。
无线传感器网络的安全性是保证其可靠运行的关键因素之一,也是防止未经授权的访问和数据泄露的重要保障。
本文将介绍无线传感器网络的安全威胁和防范措施。
无线传感器网络通过无线通信进行数据传输,因此通信安全是其主要的安全问题之一。
通信安全的主要威胁包括:窃听、阻断、篡改和假冒。
这些威胁会导致数据泄露、数据完整性受损以及未经授权的访问等问题。
无线传感器网络的另一个安全问题是传感器节点的安全性。
由于传感器节点通常具有资源限制的特性,因此其安全性比传统的计算机网络更为复杂。
传感器节点的安全威胁主要包括:物理破坏、能量耗尽、恶意软件和拒绝服务攻击等。
无线传感器网络的拓扑结构也是其安全问题之一。
拓扑结构的选择将直接影响网络的性能和安全性。
一些常见的网络拓扑结构包括星型、树型和网状等。
不同的拓扑结构具有不同的优点和缺点,因此需要根据具体的应用场景选择合适的拓扑结构。
加密技术是保障无线传感器网络安全的重要手段之一。
通过对传输的数据进行加密,可以防止未经授权的访问和数据泄露。
常用的加密算法包括对称加密算法和非对称加密算法。
在选择加密算法时,需要考虑其安全性、计算量和资源消耗等因素。
节点认证和授权是保障无线传感器网络安全的重要措施之一。
通过对节点进行认证和授权,可以防止未经授权的节点接入网络,同时也可以防止未经授权的节点访问网络中的数据。
常用的认证和授权技术包括基于密码的认证和基于角色的授权等。
入侵检测和防御是保障无线传感器网络安全的重要手段之一。
通过对网络中的数据进行分析和处理,可以检测出是否有恶意攻击行为发生,并采取相应的防御措施。
常用的入侵检测和防御技术包括基于统计分析的入侵检测技术、防火墙技术等。
网络拓扑结构优化是保障无线传感器网络安全的重要措施之一。
通过对网络拓扑结构进行优化,可以提高网络的性能和安全性。
常用的优化方法包括:选择合适的拓扑结构、优化节点布局、动态调整拓扑结构等。
第29卷第1期Vol.29 N o. 1北京电子科技学院学报Journal of Beijing Electronic Science and Technology Institute2021年3月M ar. 2021基于R abin的概率型1选1不经意传输协议张艳硕#赵瀚森李泽昊北京电子科技学院,北京市100070摘要:不经意传输协议是密码学的一个基本协议,是一种可以保护隐私的双方通信协议,通信 双方可以以一种模糊化的方式传送消息。
这使得协议的接收方以不经意的方式得到协议发送方 传输的某个消息,这样就可以保证接收者在不知道发送者隐私的前提下,保护接受者的隐私不被 发送者所知道。
本文在经典1选1不经意传输协议的基础上,对接收方成功恢复秘密信息的概率只能是1/2的问题进行了一般化处理,使得接收方可以以不是1/2的概率来成功恢复秘密信 息。
在Rabin的思路的基础上,提出概率型1选1不经意传输协议及其性质说明,然后给出概率 型1选1不经意传输协议的具体方案和举例,最后对方案进行具体分析,分析表明概率型1选1不经意传输协议的方案是安全的,可以完成概率型1选1不经意传输协议,实现更多的概率类 型。
关键词:不经意传输;协议;概率型;1选1;安全中图分类号:TN918. 1文献标识码:A文章编号:1672-464X(2021) 1-01-091引言随着电子信息技术的不断迅猛发展,各种信 息系统得到广泛使用,如电子商务,医疗保健、内容保护等。
为获取服务或完成交易通常需要交 换大量个人信息,如商务活动中消费者的信用卡 信息、银行账户信息、支付情况医疗卫生保健系 统中患者的年龄等等。
私人信息的泄漏和滥用 可能导致灾难性的后果。
保护私人数据的隐私 越来越成为信息社会的一个令人关注的问题。
不经意传输协议(O b l i v i o u s T r a n s f e r,简称为 0T协议)[1],是密码学的一个基本协议,是一种 *可保护隐私的双方通信协议,通信双方可以以一 种模糊化的方式传送消息。
TLS1.2协议安全性分析作者:牛乐园来源:《软件导刊》2015年第05期摘要:安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
详细地分析了TLS协议,并给出了TLS1.2协议的具体工作流程。
通过传输层协议中客户端对服务端的认证和服务端对客户端的认证来建立安全模型,并基于计算模型Blanchet使用自动化工具CryptoVerif证明其认证性和安全性。
关键词:TLS1.2;安全协议;计算模型中图分类号:TP393文献标识码:A 文章编号:1672-7800(2015)005-0154-04作者简介:牛乐园(1990-),女,河南许昌人,中南民族大学计算机科学学院硕士研究生,研究方向为信息安全。
0 引言人类建立了通信系统后,如何保证通信安全始终是一个重要问题。
伴随着现代通信系统的建立,人们利用数学理论找到了一些行之有效的方法来保证数字通信安全。
简单而言就是将双方通信的过程进行保密处理,比如对双方通信的内容进行加密,这样可有效防止偷听者轻易截获通信内容。
SSL(Secure Sockets Layer)及其后续版本 TLS(Transport Layer Security)是目前较为成熟的通信加密协议,常被用于在客户端和服务器之间建立加密通信通道。
TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
截至目前其版本有1.0,1.1、1.2[1],由两层协议组成:TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
1 TLS协议结构TLS协议是对SSL协议规范后整理的协议版本,建立在可靠的传输层上,如TCP(UDP 则不行)。
应用层可利用TLS协议传输各种数据,来保证数据的安全性和保密性[2]。
安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
该协议由两层组成:TLS 记录协议(TLS Record)和TLS握手协议(TLS Handshake)。
安全协议课程实验报告姓名主讲教师吴汉炜专业信息安全班级2学号201016163100实验日期2012-10-23课程名称安全协议小组成员一、实验名称:NSPK(Needham-Schroeder Public-Key Protocol)的验证二、实验目的:1.加深对NS 公钥协议的理解。
2.掌握软件分析安全协议的基本方法,认识安全协议的基本描述规则,构建完备的知识体系。
三、实验内容及要求分析NS 协议,并使用Scyther 协议验证软件对其进行安全验证,完成详尽的报告。
1.建立对Needham-Schroeder 公钥协议的认识,在此基础上分析其破解途径。
2.学会使用软件验证安全协议的方法,即协议的代码描述、攻击方法的分析。
3.深入总结实验,进一步发觉安全协议更深层次的知识。
四、实验材料、工具、或软件Microsoft Windows7;Python2.6;Scyther1.0五、实验步骤(或记录)本次实验共分四步执行:第一步:查阅相关资料,系统地认识Needham-Schroeder 公钥协议;第二步:思考该协议的验证流程,推敲其攻击破解的方法;第三步:分析协议的代码描述,并做出详细的解释;第四步:透过Scyther 生成的攻击图,分析其具体的攻击流程。
下面按照这四个步骤开始实验并详细叙述。
一、认识NS 协议Needham-Schroeder 公钥协议时最早提出的密钥建立协议之一,用来提供双向实体认证,但选择性地使用交换随机数ni 和nr ,ni 和nr 作为密钥建立的共享秘密。
1.()()R pk I Ni R I ,:→2.()()I pk Nr Ni I R ,:→3.()()R pk Nr R I :→二、NS 公钥协议攻击Lowe 发现下述攻击可以使R 不能确认最后一条消息是否来自I 。
因为I 从来没有详细地声明她欲与R 对话,故R 不能得到任何保证I 知道R 是她的对等实体。
1.()()E pk I Ni E I ,:→1~.()()R pk I Ni R E ,:→2~.()()I pk Nr Ni E R ,:→2.()()I pk Nr Ni I E ,:→3.()()E pk Nr E I :→3~.()()R pk Nr R E :→上述攻击方法中I 与E 为正常通信,但是I 充当了信使(Oracle ),使E 成功假冒I 与R 进行了通信。