通信保密与信息安全_教学课件_6.pptVIP

* （8）密码服务滥用攻击 Otway-Rees协议 6.3 对认证协议的典型攻击方法 * （8）密码服务滥用攻击 对Otway-Rees协议的密码服务滥用攻击 6.3 对认证协议的典型攻击方法 * （9）其它攻击 认证协议的其它一些攻击方式 边信道攻击 实现相关攻击 绑定攻击 封装攻击 服务器误信攻击 …… 6.3 对认证协议的典型攻击方法 * 本章小结 认证的基本概念（掌握） 认证的细分概念（掌握） 认证协议的参与者行为约定（了解） 询问-应答机制（熟悉） 双方认证（了解） Needham、Lamport、S/KEY协议（掌握） 认证协议的攻击方法（熟悉） * 思考题 描述数据完整性和数据源认证的差别。 某个主体所执行的新鲜密码操作是否就意味该主体所发送消息的新鲜性? Alice对某个密文（例如，用AES-CBC加密得到）解密后，看到了一个有效的新鲜性标识符（例如，Alice发送的一次性随机数），那么Alice能否断定该密文消息是新鲜的? 在UNIX操作系统的口令认证协议中，密码变换 fPU 使用了DES加密函数。那么该协议是否使用了DES解密函数？ * ③ 一次性口令机制Lamport协议 U 和 H 下一次运行口令认证协议 U→H: IDU； H→U: “输入口令”； U→H：f n-2PU ； H对f n-2PU 应用函数 f，然后从口令文档中找出记录IDU, f n-1PU，若计算与记录匹配，就允许访问。 H 用 f n-2PU 替换 f n-1PU，更新U的口令记录为：IDU, f n-2PU。 1协议有状态：使用了计数器从 n 递减到1，当计数器的值是1时，U 和H 应重新设置口令。 2协议要求 U 和 H 口令同步：当H在f iPU 状态， U 必须在 f i-1PU状态。 6.2 认证协议分析 —— 基于口令的认证技术 * ③ 一次性口令机制Lamport协议 问题：同步可能丢失（可能是Malice造成） “不可靠”的通信链路 主机系统“死机” 如何解决同步丢失：重建同步—系统“向前跳” 如果H在 f jPU状态而 U在 f kPU状态，并且j≠k+1，则同步丢失。 此时 H 和 U 通过双方认证后再“向前跳”， H 回到状态 f iPU ，U 回到状态 f i-1PU，i≤minj, k。 6.2 认证协议分析 —— 基于口令的认证技术 * ④ S/KEY协议 目的：彻底解决基于口令的远端访问机制的“不可靠通信”问题，修补基于口令的远端访问机制。 基本思想：H 为 U 维护一个计数器 c。 初始化：H 保存用户U的口令记录 IDU, f cPU, c，c 初始值为n。 6.2 认证协议分析 —— 基于口令的认证技术 * ④ S/KEY协议 U 和 H 口令是同步：当 H 在 f iPU 状态时，U 必在处于 f i-1PU 状态。 U和H再也不会失去同步，不可靠通信链路问题不复存在。 6.2 认证协议分析 —— 基于口令的认证技术 * ④ S/KEY协议 S/KEY对Lamport协议的修改并不完善 解决了口令机制的安全存储问题和口令机制同步丢失的“不可靠通信”问题 却反而没有解决口令的在线窃听问题：因为该协议只实现了 H 对 U 的身份识别，没有识别H 的身份，所以 U 收到的计数器值 c 可能是Malice发送的，或者是已经被Malice修改过的。 6.2 认证协议分析 —— 基于口令的认证技术 * ⑤ 加密的密钥交换（EKE）协议 Lamport一次性口令机制不能抗击离线字典攻击 口令的离线字典攻击：口令空间的规模不大，Malice搜索一个包含不好口令的字典来匹配f PU 。 攻击特点：离线、自动、快速 Lamport一次性口令机制的离线字典攻击：Malice窃听当前状态 i 和 f iPU，进而展开离线字典搜索攻击。 6.2 认证协议分析 —— 基于口令的认证技术 * ⑤ 加密的密钥交换（EKE）协议 1992年，Bellovin和Merritt提出，实现安全的口令认证。 不仅可以抗击口令的在线窃听，还可以抗击离线字典攻击。 使用的技术是概率加密，即对口令进行加盐操作。 在前面基于口令的认证协议中，H 只拥有 U 的口令的单向函数值；而在EKE协议中，U 和 H 共享口令 PU。该共享口令用做对称密码密钥。 6.2 认证协议分析 —— 基于口令的认证技术 * ⑤ 加密的密钥交换（EKE）协议 6.2 认证协议分析 —— 基于口令的认证技术 * ⑤ 加密的密钥交换（EKE）协议 EKE分析 步骤1：用口令PU作为密钥对一次性随机串EU加密得到密文组PUEU 步骤2：密文组PUEUK中包含会话密钥K。 随机串EU和K的空间规模比PU大，消息1和2的 密文组通过和