Otway-Rees密钥交换协议续Example11Otway-电子科技大学.PPT

计算系统与网络安全Computer System and Network Security 电子科技大学 计算机科学与工程学院 第7章 协议安全技术（协议安全基础B） 第7章 协议安全技术（协议安全基础B） 消息重放 消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。 消息重放的实质是消息的新鲜性（Freshness）不能得到保证。 消息重放攻击是安全协议中最容易出现的问题之一。 消息重放（续） 消息重放（续） 考虑诚实主体： 它接收到的消息： 轮内消息重放 轮外消息重放 延迟的消息 它发送的消息： 被返还 被发往第三方 被延迟 消息重放（续） 消息重放攻击分类 根据消息的来源： 协议轮内攻击：一个协议轮内消息重放 协议轮外攻击：一个协议不同轮次消息重放 根据消息的去向： 偏转攻击：改变消息的去向 直接攻击：将消息发送给意定接收方 其中偏转攻击分为： 反射攻击：将消息返回给发送者 第三方攻击：将消息发给协议合法通信双方之外的任一方 消息重放（续） 消息重放对策 挑战－应答机制 时戳机制（Timestamp） 序列号机制（Sequence No） 消息重放（续） 第7章 协议安全技术（协议安全基础B） 中间人攻击 攻击者Malice将自己伪装于用户Alice和Bob之间进行通信。 Diffie－Hellman密钥协商协议 Diffie－Hellman密钥协商协议（续） 一次性口令协议 口令认证协议－明文形式存放的口令表 口令认证协议－基于单向hash函数的口令表 口令认证协议－基于单向hash函数和“盐”的口令表 一次性口令系统 一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。 确定口令的方法： （1）两端共同拥有一串随机口令，在该串的某一位置保持同步；（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步； （3）使用时戳，两端维持同步的时钟。 一次性口令系统（续） 其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数Pu，计算机计算f（ Pu ）, f（ f（ Pu ））， f（ f（ f（ Pu ）） ），…,共计算n次，计算得到的数为x1, x2 , x3 ,… xn，A打印出这样的表，随身携带，计算机将xn存在A的名字旁边。 第一次登录，键入xn-1，计算机xn，并与存储的xn比较，相同则认证通过；否则认真失败。 以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。 一次性口令系统（续） 一次性口令协议 一次性口令协议（续） 一次性口令协议的中间人攻击 Needham-Schroeder公钥认证协议 Needham-Schroeder公钥认证协议的中间人攻击 第7章 协议安全技术（协议安全基础B） 预言机攻击 主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机（或称该主体提供了预言服务）。 如果存在主体可以提供预言服务，该主体可能被诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无法得到地信息。 Needham-Schroeder公钥认证协议的预言机（Oracle）攻击 第7章 协议安全技术（协议安全基础B） 交错攻击定义 攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。 结果是： （1）攻击者可以合成某条消息，并发送各某个运行中的主体，期望收到该主体的一个应答； （2）而该应答可能对于另外某个运行中的另外一个主体是有用的； （3）在接下来的运行中，从前面运行中得到的应答可能促使后面的主体对某个问题作出应答，而该应答又恰好能运用于第一个运行。 Needham-Schroeder公钥认证协议的交错攻击 ISO三次传输双向认证协议 ISO三次传输双向认证协议的交错攻击 ISO三次传输双向认证协议的Wiener攻击 工作站－工作站协议（STS） 工作站—工作站协议（STS）存在一个小小的瑕疵 工作站—工作站协议（STS）存在一个小小的瑕疵（续） 简化的工作站－工作站协议 唯认证协议的“替换证书签名攻击” 第7章 协议安全技术（协议安全基础B） 平行会话攻击 定义： 在攻击者Malice的安排下，一个协议的两个或者多个的运行并发执行。 目的： 平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。 Woo－Lam单向认证协议 Woo－Lam单向认证协议（续） Woo－Lam单向认证协议的平行会话攻击 Woo－Lam单向认证协议的平行会话攻击（续） 第7章 协议安全技术（协议安全基础B） 反射攻击 定义： 当一个诚实的主体给某个意定的通信方发送消息时，攻击者Malice截获该消息，并将该消息返回给消息的发送者。 注： 攻击者返回消息时，不一定时“原封不动