CH4-安全协议攻击1.pptVIP

电子科技大学计算机科学与工程学院 School of Computer Science And Technology, UESTC 网络安全协议Network Security Protocols 安全协议攻击 消息重放 中间人攻击 反射攻击 预言机（Oracle） 交错攻击 前向保密失败 平行会话攻击 ……. 回顾：消息重放攻击 消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。 消息重放的实质是消息的新鲜性（Freshness）不能得到保证。 消息重放攻击是安全协议中最容易出现的问题之一。 回顾：消息重放攻击 Alice (A) Bob (B) Trent (T) A, B, RA EAT(RA,B,K,EBT(K,A)) EBT(K,A） K K EK(RB） EK(RB－1） EK(M={I Love XXX}) Example 1：Needham－Schroeder协议 攻击者如果获知以前的一个工作密钥，可以重放消息EBT（K，A） 协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。 EAT()表示用A与T的共享密钥加密 消息重放攻击 消息重放攻击分类 根据消息的来源： 协议轮内攻击：一个协议轮内消息重放 协议轮外攻击：一个协议不同轮次消息重放 根据消息的去向： 偏转攻击：改变消息的去向 直接攻击：将消息发送给意定接收方 其中偏转攻击分为： 反射攻击：将消息返回给发送者 第三方攻击：将消息发给协议合法通信双方之外的任一方 本课程将单独考虑反射攻击 回顾：消息重放攻击 消息重放对策 挑战－应答机制 时戳机制（Timestamp） 序列号机制（Sequence No） 通信双方通过消息中的序列号来判断消息的新鲜性 要求通信双方必须事先协商一个初始序列号，并协商递增方法 对消息盖上本地时戳，只有当消息上的时戳与当前本地时间的差值在意定范围之内，才接受该消息。 要求有一个全局同步时钟，但是如果双方时钟偏差过大或者允许的范围过大，则可以被攻击者利用。 通过发送挑战值（Nonce）来确保消息的新鲜性。 消息重放攻击 Example 1：Needham－Schroeder协议的时戳机制改进 Bob收到消息后，根据本地时间和消息中的时戳，决定是否接受该消息 协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。 Alice (A) Bob (B) Trent (T) A, B, RA EAT(RA,B,K,EBT(K,T,A)) EBT(K,T,A） K K EK(RB） EK(RB－1） EK(M={I Love XXX}) 中间人攻击 攻击者Malice将自己伪装于用户Alice和Bob之间进行通信。 许银川 胡荣华 Little girl 我可以战胜胡荣华！！ 炮二平五 炮二平五 马八进七 马八进七 中间人攻击 Example 2: Diffie－Hellman密钥协商协议 协议目的：Alice和Bob利用公钥体制建立一个新的共享密钥Kab 协议组成：2条消息组成 A：计算Kab=gxy B：计算Kab=gxy Diffie-Hellman密钥协商协议的理论依据的离散对数困难性问题。 中间人攻击 许银川（A） 胡荣华(B) Little girl（ M ） 攻击结果：M拥有A和B的密钥，而A和B并不知道。 中间人攻击 Example 3: 一次性口令协议（S/Key） 协议目的：用户通过口令向服务器认证，但口令不会重复。（口令认证协议） 回忆口令认证协议 中间人攻击 其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数Pu，计算机计算f（ Pu ）, f（ f（ Pu ））， f（ f（ f（ Pu ）） ），…,共计算n次，计算得到的数为x1, x2 , x3 ,… xn，A打印出这样的表，随身携带，计算机将xn存在A的名字旁边。 第一次登录，键入xn-1，计算机xn，并与存储的xn比较，相同则认证通过；否则认真失败。 以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。 S/Key（Simple key):一次性口令系统 中间人攻击 Example 3: S/Key协议 身份标识 fc(Pu) c值 ID1···· fc (P1) R1 ID2 fc (P2) R2 ID3 fc (P3) R3 .... .... ... IDn