安全协议理论与方法.ppt

从主体认证属性的证明 In_window=true??((SB.NB)kB known_in Sz) 增加：SA.slave≠B?SB.NB≠SA.NB。 例如如果A与其他主体C通信，那么SA.NB将不是B所期待的随机数。 与上类似为使行为6a保持不变式，需有： ?(SA.NA,SB.NB) KA known_in Sz 也即:A收到一个消息如果第一部分SA.NA是正确的，那么其第二部分一定不同于SB.NB。 从主体认证属性的证明续 但是如果SA.NA和SB.NB是不同的，那么不变式显然是不成立的。而且根据它的角色，A必须发送(SA.NA, A)kc给C，但根据假设攻击者是知道此消息的(因为除了A,B,S外任何主体都可充当攻击者的角色)。攻击者因此知道了Kc-1和SA.NA,并能够发送(SA.NA,A)kc给B。由此(SA.NA, SB.NB)KA known_in Sz 和 SA.slave≠B 及SB.NB=SA.NB都为真，并且7b可由A的一个不正确响应6a所触发。 从主体认证属性的证明续 由上述说明可知，协议是有缺陷的。 修改之一：在消息6中增加发送者的标识。 第二个约束条件变为： ?b.(SA.NA, SB.NB, b)kA known_in Sz?b=B 并行多重会话续 A?B: Na B?A: E(Kab: Na, Nb) A?B: Nb 协议的行为包括6步：1