一种新的密码协议攻击分类方法.pdfVIP

一种新的密码协议攻击分类方法* 王贵林 卿斯汉 中国科学院软件研究所 北京 100080 中国科学院信息安全技术工程研究中心 北京 100080 摘 要：本文提出了一种新的密码协议攻击分类方法。作为例子，给出了对应于 三种版本下 Otway-Rees 协议的多种攻击类型。 关键词：密码协议 协议攻击 Otway-Rees 协议 密码体系 1. 引 言 密码协议是保证现代计算机网络通信的重要手段，但实践表明密码协议的设计却是非常 容易出错的。近十年来，对密码协议的攻击和形式化分析进行了广泛的研究，但还没有获得 满意的结果。[Syv94]对重发攻击进行了分类，但重发攻击只是众多的攻击类型中的一种（尽 管也是最为重要的一种）。为了更好地认识和区分不同的协议攻击类型，我们在本文中提出了 一种新的协议攻击分类方法。作为例子，列举了对应于三种版本下Otway-Rees 协议的5 种攻 击（后3 种攻击是我们发现的）。构造攻击3 和攻击4 时，分别参考了[Mao]和[BM93]。 在本文中，用大写英文字母A ,B 等表示一般主体，用S 表示服务器，用C 表示攻击者。 而用K ab 等表示A ,B 间的共享密钥。在描述协议攻击时，将用到与下列式子类似的报文： 1 C(A) →B : X 2 B →(A)C : Y . 其中的报文 1 表示，主体C 冒充主体A 向主体B 发送报文X ；而报文2 则表示，主体B 发 送给主体A 的报文Y 被主体C 截获。一句话，(A )表示A 是某报文的预期发送者（或接收 者），但不是该报文的实际发送者（或接收者）。 2 密码协议的攻击分类 由于进行通信的主体之间并没有绝对可靠的安全通信信道，协议攻击者（某些非法用户 或合法用户）出于各种原因可能对认证协议的报文实施截取、替换、篡改、重发，以至冒充 其他主体进行报文发送，或使发往某主体的报文转向、延迟，由此干扰协议的运行，进而形 成对协议执行主体的欺骗。当然，由于攻击者的技能高低不等，更由于协议的安全程度不同， 许多攻击报文会被协议执行主体或系统拒绝，从而是无效攻击。但另外一些攻击利用了协议 设计或实现中的安全缺陷，加之伪造的报文与真实报文格式吻合，使得协议执行主体无法辨 认真伪，从而对协议执行主体形成欺骗，致使密码协议失败，不能实现预期目的。 我们认为协议攻击可分为实现攻击和理论攻击两类。实现攻击是指在协议的工程实现过 程中，由于软件设计或编码的不当而引入的攻击，尽管协议并不存在与此相对应的理论攻击。 协议的理论攻击是指由协议的设计错误或规范描述不清楚等引起的攻击，可分为以下三 种形式。(1)协议设计错误引起的攻击：按协议设计者所给出的规范描述，协议实际上不能达 到预期目标。目前，大多数协议攻击例子都属于这种情况。在这一类攻击中，主要涉及到以 *本文的研究得到国家自然科学基金项目资助(编号为。 下一些问题：报文的加密目的是否明确；通信主体身份是否清楚；临时值和时间戳的使用是 否得当；签名和加密的次序是否正确；报文格式是否重复；通信角色是否确定等。(2)协议规 范描述不清引起的攻击：由于协议的设计者没有清楚地说明协议的某些部分，从而对协议相 关部分可能有不同的理解而引起的攻击。例如，如果协议的规范描述中没有说明临时值和密 钥长度是否相同，那么就可以设想二者长度相同，进而构造攻击。在现有的许多协议的规范 描述中，主要有这样一些问题：对加密报文的加密目的和加密算法不加说明，或说明不清， 甚至认为所采用的是理想加密算法；对各域之长不给出定性或定量的描述；对服务器的功能 说明不详等。(3)协议报文冗余过大引起的攻击：由于协议中报文的冗余过大，加之现实密码 算法的非完美性，从而引起机密信息的保密性降低，于是便于攻击者进行密码分析，由此导 致攻击。 下面的5 种攻击都是关于Otway-Rees 协议的。攻击1 是由于对协议中的各域长没有得到 说明而引起的；攻击2 是由于对服务器的功能描述不清或考虑不周而引起的；攻击3 是由于 对协议中的加密目的认识不清，导致选取了不当的加密算法而引起的；攻击4 是由于对临时 值的使用产生了错误理解而引起的；而攻击5