网络安全教程 教学课件 田园 第9章 对网络安全协议的.pptVIP

第9章 对网络安全协议的典型攻击 9.1 一个例子、一段历史 9.2 更多的例子 9.2.1 其他身份鉴别协议的例子 9.2.2 加密的运用 9.2.3 时效 9.2.4 类型攻击 9.2.5 代数攻击 9.2.1 其他身份鉴别协议的例子 9.2.2 加密的运用 9.2.3 时 效 9.2.4 类型攻击 9.2.5 代数攻击 9.3 更复杂的协议和攻击 Na、Nb分别是S和B生成的随机数，最后两条消息是用来使A向B证明A知道密钥K。 注意K是由S生成的，并且S生成的消息项{K, A}Kbs明确地将K与A关联，似乎除非能破译B、S之间的共享密钥Kbs，否则B通过最后两条消息总能证实当前知道密钥K的一定是A。 可惜，以上结论是错误的，关键在于这里的K没有时效保证，一个攻击者P可以用一个他已经破译出的旧会话密钥K0来欺骗B并将自己伪装成A，看下面的攻击途径。 P→S：A,B,Na S→P：{Na,B, K, {K, A}Kbs}Kas A/P→B：{K0, A}Kbs P重放以前的消息{K0, A}Kbs B→A/P：{ Nb}K0 A/P→B：{ Nb+1}K0 A/P表示P伪装成A的身份进行操作，实际操作者是P。 注意以上攻击实际上并不需要前两条消息，P只需要直接从第三条消息开始攻击，{K0, A}K