CH4-安全协议攻击2.pptVIP

密码服务滥用攻击 Alice (A) Bob (B) Trent (T) Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 Otway-Rees key exchanging protocol的一种变形 该变形同样存在前面所描述的类型错误攻击。除此之外，引来了其他攻击 密码服务滥用攻击 Bob (B) Trent (T) Carol (C) Example 13 Otway-Rees key exchanging protocol的一种变形的密码服务滥用攻击：缺失完整性保护 Alice (A) Carol冒充Alice Bob (B) Carol冒充Bob 密码服务滥用攻击 攻击结果：Bob认为于Alice共享了会话密钥，而实际上是于Carol共享了密钥 结论：新鲜性应该由完整性而非机密性来保证：缺失完整性 前向保密失败 定义： 泄漏不应该被传播：过去泄漏的信息不应该影响到后来的消息。 协议设计时的应用： 如果密钥传输协议使用了密钥加密的形式，则使用已经被泄漏的密钥加密的另外一个密钥，也必须被视为已经泄漏的密钥。 回顾：Needham-Schroeder协议 Alice (A) Bob (B) Trent (T) A, B, RA EA(RA,B,K,EB(K,A)) EB(K,A） K K EK(RB） EK(RB－1） EK(M={I Love XXX}) Example 1：Needham－Schroeder协议前向保密失败 攻击者如果破解了以前的一个会话密钥，可以重放消息EB（K，A） 协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。 课外阅读资料 范红，冯登国，安全协议理论与方法，科学出版社 ，2003 第一章，第二章 课外阅读资料 Mao Wenbo， Modern Cryptography: Theory and Practice?， 电子工业出版社，2004 第一章，第二章，第十一章， Any Question? QA 安全协议攻击2 平行会话攻击 定义： 在攻击者Malice的安排下，一个协议的两个或者多个的运行并发执行。 目的： 平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。 平行会话攻击 Example8: Woo－Lam单向认证协议 协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己(单向认证）。 如果Bob解密所得到的正确的nonce，则信任Alice T.?Y.?C. Woo and S.?S. Lam. A lesson on authentication protocol design. Operating Systems Review, 1994. 平行会话攻击 Example8: Woo－Lam单向认证协议 Alice (A) Trent (T) Bob (B) 该协议在许多方面存在致命缺陷。 随后的许多修改版本也存在不同程度的缺陷。 分析该协议可以从中学到很多协议设计的经验和教训。 平行会话攻击 Example8: Woo－Lam协议的平行会话攻击 Alice (A) Trent (T) Bob (B) Malice (M) 结果：Bob拒绝和Malice的通信，而接受和Alice（实际上也是Malice）的通信。 拒绝 认可 平行会话攻击 平行会话攻击成功原因：消息参与者身份不明确。 Example8: Woo－Lam协议的平行会话攻击 Trent (T) Bob (B) Malice (M) 反射攻击 定义： 当一个诚实的主体给某个意定的通信方发送消息时，攻击者Malice截获该消息，并将该消息返回给消息的发送者。 注： 攻击者返回消息时，不一定是“原封不动”返回，他可能会对消息修改（比如通过修改底层通信协议中的地址和身份信息），使得消息发送者意识不到该消息是反射回来的。 反射消息的目的是，使得该消息是对发送者的应答或者询问，从而欺骗消息发送者提供“预言服务” 反射攻击 反射攻击实现方式实例 IP头其他域 IP源地址 IP目的地址 其他域 IP头其他域 202.115.2.1 211.2.1.1 其他域 IP头其他域 211.2.1.1 202.115.2.1 其他域 反射攻击 Example9: Woo－Lam单向认证协议的一个修正 协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己。 协议组成：5条消息 在消息中加入了Alice的身份标识。 反射攻击 Alice (A) Trent (T) Bob