安全协议分析与的设计课件第2章-上身份认证协议.pptVIP

Wei Jianfan Andrew Secure PRC协议的类型缺陷攻击 攻击者可以利用Msg2来代替Msg4。 A可能会误以为Msg2中的随机数Na+1是新的会话密钥Kab‘，A接受了一个并非B产生的会话密钥。 协议运行中的随机数可能是可以预知的。 Andrew Secure PRC协议的并行会话攻击 Needham-Schroeder Public Key（NSPK）协议 NSPK协议提供了对主体双方的双向认证。主体A和B交换各自的随机数Na、Nb，从而共享Na和Nb，并将其结合以生成一个新的会话密钥。PKa和PKb分别为A和B的公开密钥。 协议发布后，被多种方法检验无误，直到1996年，Gavin Lowe发现该协议的一个并行会话缺陷[Lowe96a]，即Lowe对NSPK协议的攻击。 攻击者Z首先使A发起一个会话，然后在另一个会话中，攻击者成功地冒充了A。 Yahalom协议 Yahalom协议是一个基于对称密码体制带可信第三方的密钥传送协议，由于其不常见的结构使得该协议经常被研究者用来进行形式化的验证分析。 A可以通过Msg3中的随机数Na来检查会话密钥的新鲜性。但是，对B而言，Msg4中并没有关于Kab新鲜性的标记。 B只能间接地通过核对{Nb}Kab中的随机数Nb来获得一定的新鲜性保证。 Kab本身是一个会话密钥，在协议未完成之际就使用Kab是很不明智的。 但是，该协议并未被发现严重漏洞。 对Yahalom协议的类型缺陷攻击 Msg2中的{A，Na，Nb}Kbs被重放到Msg4中，并用Na和Nb的连接作为密钥对Nb加密，使得B误将{Na，Nb}当成新的会话密钥。 如果A不诚实，在产生Msg4时，使用旧的Kab和新的Nb，而B不能察觉。这是不是一个攻击呢？在以往的研究中，有人认为是[PS00b]，而有人则认为不是[BAN89]。 关键在于研究所基于的假设，在诚实主体假设下，只考虑两个诚实主体间的认证目标是否会被攻击者破坏，而不考虑一个诚实主体和一个或多个攻击者之间的交互是否能够达到协议目标。 采用诚实主体假设，上述问题就不是一个攻击。 BAN-Yahalom协议 [BAN89]给出了改进版本的Yahalom协议，即BAN-Yahalom协议 对BAN-Yahalom协议的类型缺陷攻击 攻击中，B并没有参加协议运行，但A却认为和B完成了 一次成功的协议运行。 Otway-Rees协议 Otway-Rees协议是基于对称密钥算法带可信第三方的密钥传送协议。 M是协议运行的会话标识符。新的会话密钥Kab由可信第三方S产生，S将新的会话密钥通过Msg3传送给B，B再在Msg4中将其传送给A。 对Otway-Rees协议的攻击1 A将Msg4解密后，误把M、A、B的连接当做新的会话密钥。 而M、A、B对攻击者来说都是已知的，A将会使用攻击者已知的会话密钥与B通信。 对Otway-Rees协议的攻击2 攻击者在B发出Msg2之后，向S重发Msg2，服务器S如果不保留以往所有的运行标识符信息，会认为这是一次新的会话密钥申请，而产生新的会话密钥Kab‘，攻击者把{Na，Kab’ }Kas作为Msg4送给A，导致A接受了Kab‘而B使用Kab。 这虽然不会导致严重的后果，但说明了协议存在设计者未考虑到的缺陷（正常情况下，如果协议运行双方都正确地运行完协议，应该能得到一致的可用于后继应用的会话密钥）。 对Otway-Rees协议的攻击3 该攻击得以成立的前提是，协议的实现有这样的漏洞： S虽然知道与自己会话的是Z，但在解开Msg2‘中的加密项后，却认为需要给A和B产生一个密钥，并没有发觉Z不等于B，这样导致Z在Msg3’中得到了Kab。 漏洞产生的主要原因是协议实现者没有做足够的检查，导致攻击者Z冒充B和A建立了新会话密钥。如果S将Msg2中加密项解密后的结果{M，A，B}与Msg2中的明文部分{M，A，Z}进行比较，则可以抵抗此攻击。 对Otway-Rees协议的攻击4 B认为它和自己进行了认证，而事实上并没有 协议无攻击不能保证协议的实现无攻击，协议的实现者需要对协议理解良好； 协议的设计者，应该给明实现时的细节要求，如应在何时做哪些检查等。 大嘴青蛙协议（Wide-Mouthed-Frog Protocol） 会话密钥由主体产生，可信第三方将这个会话密钥传送给另外的主体，Ta、Ts分别为A、S根据各自的本地时钟产生的时间戳。 S通过Ta来检查Msg1的新鲜性。如果Msg1是新鲜的，S则将密钥Kab连同自己产生的时间戳Ts发送给B。B收到Msg2后，检查其中的Ts，若Ts位于时间窗口内，B则认为Kab是新鲜的。 Msg1 A→S: A，{ Ta，B，Kab }Kas M