安全协议_认证协议要点详解.pptVIP

B A 22 1 3 4 图2-5 Andrew安全RPC协议 针对Andrew安全RPC协议的攻击 （1） 针对Andrew安全RPC协议的“类型缺陷”型攻击 假设临时值、序列号与密钥的长度都相同，例如均为128比特，则攻击者P可以记录监听到的消息2，截获A发送给B的消息3，并在第4步重放消息2给A。攻击过程如下： 如此协议执行后，A相信临时值 是服务器B新分配给她的会话密钥，因此攻击是有效的。虽然，这时攻击者并不一定知道新的会话密钥 。但是，临时值的作用与密钥不同，绝对不能当作会话密钥使用。猜测密钥要比猜测临时值困难得多。因为，在协议的各个回合中，临时值均不相同就足够了，并不要求临时值一定是随机的。因此，临时值往往容易猜测。 （2） 针对Andrew 安全RPC协议的“新鲜性”型攻击 攻击者P可以记录在协议前一个回合中监听到的消息4，并在第4步重放该消息给A。 “大嘴青蛙”协议是由Burrows提出的，这是一种最简单的、应用对称密码的三方认证协议。 S A B 1 2 图2-6 “大嘴青蛙”协议 针对“大嘴青蛙”协议的攻击 这个简单的协议有多种安全缺陷，攻击它也有多种方法。一种方法是在有效的时间范围内重放第1个消息，其后果实将进行重新认证。第二种攻击方法需要应用3个协议回合，攻击过程如下： 在回合1中，攻击者P记录A与B之间的一次会话。然后，在第2与第3回合，攻击者假冒A与B从S处获得对他有用的消息 和 这时，攻击者P可以假冒S向A与B重放上述消息，引起A与B之间的重新认证。 2.其他重要的认证协议 （1） Helsinki协议的描述 Helsinki协议是国际标准ISO/IEC DIS 11770-3中提出的认证协议草案。 B A 22 1 3 图2-8 Helsinki协议 Helsinki协议的目标是为主体A和B安全地分配一个共享会话密钥 ，他最终由 和 和单向函数 确定，即 （2） 针对Helsinki协议的Horng-Hsu攻击 Horng和Hsu指出，Helsinki协议存在安全缺陷，不能达到它的安全目标。Horng-Hsu攻击是一种内部攻击，即攻击者必须是合法的协议主体，而且其他合法主体希望与他通过协议分配共享通信密钥。Horng-Hsu攻击的过程如下： 经过上述两回合协议运行之后，主体A相信，他成功地完成了一次与主体P的会话，并获得共享会话密钥 但是主体P并不知道会话密钥 的组成部分 。同时，主体B相信，他与主体A成功地进行了一次会话，并获得会话密钥 。但是主体A并不知道会话密钥 的组成部分 。因此，攻击者P的攻击是有效的。 （3） Mitchell-Yeun的改进协议 Mitchell和Yeun对Helsinki协议进行了改进。他们认为Horng-Hsu攻击成功的原因是A相信B发送的第2条消息 来源于P。这是因为消息2没有明确指出消息来源，从而造成了消息的重放。因此，攻击者P虽然并不知道消息2的真实内容，但P可以将消息2转发给A，使A相信消息2来源于P。 基于上述理由， Mitchell-Yeun的改进协议如下： Woo-Lam单向认证协议是Woo和Lam于1992年提出的。 S A B 42 1 5 2 3 图2-9 Woo-Lam协议 针对Woo-Lam协议的攻击方法 攻击1： 攻击2： 攻击3： 如果Woo-Lam协议所应用的对称密码算法满足交换律，则这种攻击方法可以奏效。 临时值与时间戳 临时值的作用是保证消息的新鲜性，防止消息重放。时间戳和临时值都是用于保证消息的新鲜性的，但它们之间有很重要的区别。使用时间戳时，一般要求各主体的时钟同步，但时间戳并不和某个主体之间关联，任何一个主体产生的时间戳都能被其他主体用来检验消息的新鲜性。临时值则是某个主体产生的随机数值，一个主体只能根据他自己所产生的临时值来检验消息的新鲜性。此外，时间戳不具有唯一性，它通常有一个有效范围，只要它位于这个有效范围内，主体都接受它的新鲜性。因此，在一次会话中使用的时间戳可能在另一次时间上接近的会话中被主体接收为新鲜的。临时值则具有唯一性，任何一个主体在两次会话中产生的临时值在很长一段时间内不可能相同。所以在一次会话中使用的临时值不可能在另一次会话中被主体接收为新鲜的临时值。 认证协议的设计原则 设计目标明确，无二义性； 最好应用描述协议的形式语言，对认证协议本身进行形式化描述； 通过形式化分析方法证明认证协议实现了设计目标； 安全性与具体