OtwayRees密钥交换协议续Example11Otway电子科技大学课件.ppt

1、2023-1-10电子科技大学电子科技大学 计算机科学与工程学院计算机科学与工程学院 计算系统与网络安全计算系统与网络安全Computer System and Network SecurityComputer System and Network Security2023-1-10第第7 7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B B）2023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10消息重放消息重放l消息重放攻击是指攻击者利用其消息再生能力生消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新

2、发送，从成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。而达到破坏协议安全性的目的。l消息重放的实质是消息的消息重放的实质是消息的新鲜性新鲜性（Freshness）不）不能得到保证。能得到保证。l消息重放攻击是安全协议中最容易出现的问题之消息重放攻击是安全协议中最容易出现的问题之一。一。2023-1-10Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A)EB(K,A）KKEK(RB）EK(RB1）EK(M=I Love XXX)Example 1：NeedhamSchroeder协议协议攻击者如果获知以前的一个攻击者如果获知以前的一

3、个工作密钥，可以重放消息工作密钥，可以重放消息EB（K，A）协议目的：基于认证服务器（协议目的：基于认证服务器（PPT）实现双）实现双向认证及密钥交换。向认证及密钥交换。消息重放（续）消息重放（续）2023-1-10消息重放（续）消息重放（续）l考虑诚实主体：考虑诚实主体：l它接收到的消息它接收到的消息：l轮内消息重放轮内消息重放l轮外消息重放轮外消息重放l延迟的消息延迟的消息l它发送的消息：它发送的消息：l被返还被返还l被发往第三方被发往第三方l被延迟被延迟2023-1-10消息重放（续）消息重放（续）l消息重放攻击分类消息重放攻击分类l根据消息的来源：根据消息的来源：l协议轮内攻击：一个协

4、议轮内消息重放协议轮内攻击：一个协议轮内消息重放l协议轮外攻击：一个协议不同轮次消息重放协议轮外攻击：一个协议不同轮次消息重放l根据消息的去向：根据消息的去向：l偏转攻击：改变消息的去向偏转攻击：改变消息的去向l直接攻击：将消息发送给意定接收方直接攻击：将消息发送给意定接收方l其中偏转攻击分为：其中偏转攻击分为：l反射攻击：将消息返回给发送者反射攻击：将消息返回给发送者l第三方攻击：将消息发给协议合法通信双方之外的任一方第三方攻击：将消息发给协议合法通信双方之外的任一方2023-1-10消息重放（续）消息重放（续）l消息重放对策消息重放对策l挑战应答机制挑战应答机制l时戳机制（时戳机制（Tim

5、estamp）l序列号机制（序列号机制（Sequence No）通信双方通过消息中的序列号通信双方通过消息中的序列号来判断消息的新鲜性来判断消息的新鲜性要求通信双方必须事先协商一要求通信双方必须事先协商一个初始序列号，并协商递增方个初始序列号，并协商递增方法法对消息盖上本地时戳，只有当对消息盖上本地时戳，只有当消息上的时戳与当前本地时间消息上的时戳与当前本地时间的差值在意定范围之内，才接的差值在意定范围之内，才接受该消息。受该消息。要求有一个全局同步时钟，但要求有一个全局同步时钟，但是如果双方时钟偏差过大或者是如果双方时钟偏差过大或者允许的范围过大，则可以被攻允许的范围过大，则可以被攻击者利用

6、。击者利用。通过发送挑战值（通过发送挑战值（Nonce）来确保消息的新鲜性。来确保消息的新鲜性。2023-1-10Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A,T)EB(K,A,T）KKEK(RB）EK(RB1）EK(M=I Love XXX)Example 1：NeedhamSchroeder协议的协议的时戳机制改进时戳机制改进Bob收到消息后，根据本地收到消息后，根据本地时间和消息中的时戳，决定时间和消息中的时戳，决定是否接受该消息是否接受该消息协议目的：基于认证服务器（协议目的：基于认证服务器（PPT）实现双向认证及密钥）实现双向认证及密钥交换

7、。交换。消息重放（续）消息重放（续）2023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10中间人攻击中间人攻击l攻击者攻击者Malice将自己伪装于用户将自己伪装于用户Alice和和Bob之间之间进行通信。进行通信。许银川许银川 胡荣华胡荣华 Little girl 我可以战胜我可以战胜胡荣华！胡荣华！炮二平五炮二平五炮二平五炮二平五马八进七马八进七马八进七马八进七2023-1-10DiffieHellman密钥协商协议密钥协商协议:gn 大素数：是模n的本原元Example 2:DiffieHellman密钥协商协密钥协商协议议协议目的：协议

8、目的：Alice和和Bob利用公钥体制建利用公钥体制建立一个新的共享密钥立一个新的共享密钥Kab协议组成：协议组成：2条消息组成条消息组成1:mod n2:modnxymessagAB gmessagBA g（）（）A：计算：计算Kab=gxyB：计算：计算Kab=gxyDiffie-Hellman密钥协商协议的理论依据密钥协商协议的理论依据的离散对数困难性问题。的离散对数困难性问题。2023-1-10DiffieHellman密钥协商协议（续）密钥协商协议（续）许银川（许银川（A）胡荣华胡荣华(B)Little girl（M）(1)xg(2)zg(1)zg()zxxzamKgg(2)yg()

9、zxxzamKgg()yzyzbmKgg()zyyzbmKgg攻击结果：攻击结果：M拥有拥有A和和B的密钥，而的密钥，而A和和B并不知道。并不知道。2023-1-10一次性口令协议一次性口令协议Example 3:一次性口令协议一次性口令协议（S/Key）协议目的：用户通过口令向服务器认协议目的：用户通过口令向服务器认证，但口令不会重复。（证，但口令不会重复。（口令认证协口令认证协议议）熟悉口令熟悉口令认证协议认证协议吗吗?2023-1-10口令认证协议明文形式存放的口令表口令认证协议明文形式存放的口令表身份标识身份标识 注册口令注册口令ID1 PW1ID2 PW2ID3 PW3.IDn PW

10、n拒绝拒绝N明文形式存放的口令表明文形式存放的口令表ID OK？用户输入用户输入ID查找与该查找与该ID对应的对应的PW相同？相同？拒绝拒绝NY接受接受Y用户输入用户输入PWPWIDPW2023-1-10口令认证协议基于单向口令认证协议基于单向hash函数的口令表函数的口令表拒绝拒绝身份标识身份标识 注册口令注册口令ID1 H(PW1)ID2 H(PW2)ID3 H(PW3).IDn H(PWn)Hash值形式存放的口令表值形式存放的口令表ID OK？用户输入用户输入ID查找与该查找与该ID对应的对应的H(PW)相同？相同？接受接受拒绝拒绝NNYY用户输入用户输入PW用预定的用预定的Hash函

11、数计算函数计算H(PW)H(PW)ID2023-1-10口令认证协议基于单向口令认证协议基于单向hash函数和函数和“盐盐”的口令表的口令表身份标识身份标识 注册口令注册口令 盐盐ID1 H(PW1+R1)R1ID2 H(PW2+R2)R2ID3 H(PW3+R3)R3.IDn H(PWn+Rn)Rn“加盐加盐”Hash值形式存值形式存放的口令表放的口令表ID OK？用户输入用户输入ID拒绝拒绝查找与该查找与该ID对应的对应的H(PW)相同？相同？接受接受拒绝拒绝NNYY用户输入用户输入PW用预定的用预定的Hash函数计算函数计算H(PW+R)H(PW+R)IDR2023-1-10一次性口令系

12、统一次性口令系统l一次性口令机制确保在每次认证中所使用的口一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。令不同，以对付重放攻击。l确定口令的方法：确定口令的方法：（1）两端共同拥有一串随机口令，在该串的某一位）两端共同拥有一串随机口令，在该串的某一位置保持同步；置保持同步；（2）两端共同使用一个随机序列生成器，在该序）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；列生成器的初态保持同步；（3）使用时戳，两端维持同步的时钟。）使用时戳，两端维持同步的时钟。S/Key（Simple key):一次性口令系统一次性口令系统2023-1-10一次性口令系统（续）一次性

13、口令系统（续）l其其安全性依赖于一个单向函数。为建立这样安全性依赖于一个单向函数。为建立这样的系统的系统A输入一随机数输入一随机数Pu，计算机计算，计算机计算f（Pu）,f（f（Pu），），f（f（f（Pu），），,共计算共计算n次，计算得到的数次，计算得到的数为为x1,x2,x3,xn，A打印出这样的表，随身打印出这样的表，随身携带，计算机将携带，计算机将xn存在存在A的名字旁边。的名字旁边。l第一次登录，键入第一次登录，键入xn-1，计算机，计算机xn，并与存储，并与存储的的xn比较，相同则认证通过；否则认真失败。比较，相同则认证通过；否则认真失败。l以后依次键入以后依次键入xi，计算机计

14、算计算机计算f(xi)，并将它与并将它与xi+1比较。比较。S/Key（Simple key):一次性口令系统一次性口令系统2023-1-10一次性口令系统（续）一次性口令系统（续）客户端客户端S/KEY服务器服务器口令计算器口令计算器1.用户登用户登录录2.登录请登录请求求3.S/KEY质询质询4.输入私输入私钥钥5.私钥与私钥与质询输入质询输入计算器计算器6.产生本产生本次口令次口令7.传送口令传送口令S/Key（Simple key):一次性口令系统一次性口令系统2023-1-10一次性口令协议一次性口令协议11:2:,3:()ucumessagAB IDmessagBA cmessag

15、AB fP输入口令：Example 3:一次性口令协议（一次性口令协议（S/Key）身份标识身份标识 fc(Pu)c值值ID1 f(P1)R1ID2 f(P2)R2ID3 f(P3)R3.IDn f(Pn)Rn协议目的：用户通过口令向服务器认证，协议目的：用户通过口令向服务器认证，但口令不会重复但口令不会重复,从而有效防御口令在线从而有效防御口令在线猜测攻击。（猜测攻击。（口令认证协议口令认证协议）协议组成：口令存储表协议组成：口令存储表3条消息组成条消息组成口令存储表口令存储表(.():nunufPff f PuP （）def用户初始口令1(,(),)()()uuccuuBIDf Pcf f

16、PfP收到后，从用户口令文件中查找如果则认证通过。2023-1-10一次性口令协议（续）一次性口令协议（续）许银川（A）Little girl（B）(1)uIDExample 3:一次性口令协议（一次性口令协议（S/Key）(2),c输入口令：1(3)()cufP讨论：讨论：（1）尽管）尽管S/Key中口令中口令明文传送明文传送，但是可以抵抗口令的在线窃听攻，但是可以抵抗口令的在线窃听攻击击（2）S/Key协议是否安全？协议是否安全？问题：口令明文传送是否有问题？问题：口令明文传送是否有问题？考虑：协议是双向认证还考虑：协议是双向认证还是单向认证？是单向认证？单向认证中，单向认证中，Alice

17、为什么要相为什么要相信计数器值信计数器值c是是Bob发送的？发送的？2023-1-10一次性口令协议的中间人攻击许银川（A）Little girl（M）(1)uIDExample 3:一次性口令协议（S/Key）的中间人攻击(2)1,c 输入口令：2(3)()cufP攻击结果：攻击者Malice获得了fc-2,下一次他就可以用用户的ID登录了。胡荣华(B)(1)uID(2),c输入口令：1(3)()cufP2023-1-10Needham-Schroeder公钥认证协议公钥认证协议3:,6:,7:babaKabKbKmessagABNAmessagBANNmessagABNExample 4:

18、NeedhamSchroeder公钥认公钥认证协议证协议协议目的：协议目的：Alice和和Bob利用公钥体制建利用公钥体制建立一个新的共享秘密立一个新的共享秘密Na，Nb，并实现认，并实现认证证协议组成：协议组成：7条消息组成条消息组成讨论：消息讨论：消息1，2，4，5是获得公钥，是获得公钥，3，6，7是是A和和B相互认证。如果假设公钥已相互认证。如果假设公钥已知，协议可以简化：知，协议可以简化：111:,2:,3:,4:,5:,6:,7:tbtabbKaKaKabKbKmessagATA BmessagTAKBmessagABNAmessagBTA BmessagTBKAmessagBANN

19、messagABN2023-1-10Needham-Schroeder公钥认证协议的中间人攻击公钥认证协议的中间人攻击许银川（A）胡荣华(B)Little girl（M）(1),maKNA(2),abKaNN(1),baKNA(3)mbKN(2),abKaNN(3)bbKN攻击结果：攻击结果：B认为她和认为她和A建立了共享秘密，而实际上她和建立了共享秘密，而实际上她和M建立了共享秘密。建立了共享秘密。上述攻击可以成功的原因上述攻击可以成功的原因之一之一：在消息（：在消息（3）中，）中，A无意之间为无意之间为M解了解了B的的Nonce（Nb）。）。主体无意地为攻击这执行了一个密码运算时，该主体被

20、认为用作了主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机预言机。2023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10预言机攻击预言机攻击l 主体无意地为攻击这执行了一个密码运算时，该主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了主体被认为用作了预言机预言机（或称该主体提供了预（或称该主体提供了预言服务）。言服务）。l如果存在主体可以提供预言服务，该主体可能被如果存在主体可以提供预言服务，该主体可能被诱导执行某个协议的一些步骤，从而帮助攻击者诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无法得到地信息。得

21、到一些他原本无法得到地信息。2023-1-10Needham-Schroeder公钥认证协议的预言机（公钥认证协议的预言机（Oracle）攻击）攻击许银川（许银川（A）胡荣华胡荣华(M)Little girl（B）(1),maKNA(2),abKaNN(1),baKNA(3)mbKN(2),abKaNN(3)bbKN成功的原因成功的原因之二之二：M利用了该协议的多个运行实例，从而将不同协议的消息利用了该协议的多个运行实例，从而将不同协议的消息交织在一起（如（交织在一起（如（1）、（）、（2）和消息（）和消息（2）。）。攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行，从而攻击者将某

22、个协议的两个或者多个运行实例安排为以交织的方法执行，从而使得攻击这获得不应当获得的信息，这种攻击叫做使得攻击这获得不应当获得的信息，这种攻击叫做交错攻击交错攻击。协议协议1协议协议22023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10交错攻击定义交错攻击定义l攻击者将某个协议的两个或者多个运行实例安排攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。为以交织的方法执行。l结果是：结果是：l（1）攻击者可以合成某条消息，并发送各某个运行中）攻击者可以合成某条消息，并发送各某个运行中的主体，期望收到该主体的一个应答；的主体，期望收到该

23、主体的一个应答；l（2）而该应答可能对于另外某个运行中的另外一个主）而该应答可能对于另外某个运行中的另外一个主体是有用的；体是有用的；l（3）在接下来的运行中，从前面运行中得到的应答可）在接下来的运行中，从前面运行中得到的应答可能促使后面的主体对某个问题作出应答，而该应答又恰能促使后面的主体对某个问题作出应答，而该应答又恰好能运用于第一个运行。好能运用于第一个运行。2023-1-10Needham-Schroeder公钥认证协议的交错攻击公钥认证协议的交错攻击许银川（许银川（A）胡荣华胡荣华(M)Little girl（B）(1),maKNA(2),abKaNN(1),baKNA(3)mbKN

24、(2),abKaNN(3)bbKN（1）攻击者构造消）攻击者构造消息息（2）该应答对于）该应答对于M是有是有用的用的（3）应答使得）应答使得A作出应作出应答答2023-1-10ISO三次传输双向认证协议Example5:ISO三次传输双向认证协议协议目的：Alice和Bob利用公钥体制实现双向认证协议组成：3条消息组成111:2:,3:,abbababkababkmessagBA NmessagAB CA NNB NNBmessagBA CB NNA NNAAlice(A)Bob(B)(1)bN1(2),aababkCA NNBNNB1(3),bababkCB NNANNA2023-1-101

25、3:,bababkmessagBA CB N N A N N A11():2():,baababkmessageM AB NmessageBM A CA N N A N N A11():2():,abbabakmessagM BA NmessagAM BCA NNB NNBExample5:ISO三次传输双向认证协议的三次传输双向认证协议的Wiener攻击（加拿大人攻击）攻击（加拿大人攻击）攻击协议的关键：第三条消攻击协议的关键：第三条消息息在上述消息中，在上述消息中，A信任信任B的条件是：的条件是：A能用能用B的公钥解密消息得到的公钥解密消息得到Na，并与自己发送的并与自己发送的Na相比较。

26、如果相同则信任；否则不信任。相比较。如果相同则信任；否则不信任。对于对于Nb，只要求明文和解密结果中所得到的值相同即可。，只要求明文和解密结果中所得到的值相同即可。13():,bababkmessagM BA CB NNA NNA攻击者攻击者M无法回答无法回答第三条消息（没有第三条消息（没有B的私钥）的私钥）攻击者攻击者M向向B发起发起一次通信（得到一次通信（得到B用私钥签名的消息）用私钥签名的消息）ISO三次传输双向认证协议的交错攻击三次传输双向认证协议的交错攻击2023-1-10Alice(A)Bob(B)(1)aN1(2),bababkCB NNANNA1(3),bababkCB NNA

27、NNAExample5:ISO三次传输双向认证协议的三次传输双向认证协议的Wiener攻击（加拿大人攻击）攻击（加拿大人攻击）Mallory(1)bN1(2),ababakCA NNB NNB通过与通过与B通信，通信，得到所期望的得到所期望的应答消息应答消息攻击结果：攻击结果：A认为认为B发起了一次协议通信，并接受了该发起了一次协议通信，并接受了该B的身份；的身份；而而B实际上没有发起协议，而且在等待由实际上没有发起协议，而且在等待由M（A）发起的运行。）发起的运行。ISO三次传输双向认证协议的三次传输双向认证协议的Wiener攻击攻击2023-1-10工作站工作站协议（工作站工作站协议（ST

28、S）Example6:工作站工作站协议（工作站工作站协议（STS）协议目的：协议目的：Alice和和Bob利用公钥体制实现密利用公钥体制实现密钥协商钥协商(即得到密钥即得到密钥Kab（同时，该协议还实（同时，该协议还实现了双向实体认证、双向密钥确认、完善前现了双向实体认证、双向密钥确认、完善前向保密性和不可否认性）向保密性和不可否认性）协议组成：协议组成：3条消息组成条消息组成111:2:,3:,xabbabaxyykKxykKmessagAB gmessagBA gggmessagABggxyabKg:gn 大素数：是模n的本原元Alice(A)Bob(B)(1)xg1(2),abbyxyK

29、kggg1(3),abaxyKkgg2023-1-10工作站工作站工作站协议（工作站协议（STS）存在一个小小的瑕疵）存在一个小小的瑕疵Example6:工作站工作站协议（工作站工作站协议（STS）存）存在一个小小的在一个小小的瑕疵瑕疵1(3),abaxyKkggAlice(A)Malice(M)Bob(B)(1)xg(1)xg1(2),abbyxyKkggg1(2),abbyxyKkggg攻击结果：攻击结果：Alice被完全欺骗，她认为和被完全欺骗，她认为和Bob进行了一次会话，并共进行了一次会话，并共享了某个会话密钥，而享了某个会话密钥，而Bob认为和认为和Malice运行了一次不完全的协

30、议。运行了一次不完全的协议。随后，随后，Alice试图与试图与Bob进行安全通信，但是不会得到任何回应。进行安全通信，但是不会得到任何回应。攻击者攻击者Malice没有得到会话密钥，因此这种攻击只是很小的一个瑕没有得到会话密钥，因此这种攻击只是很小的一个瑕疵。疵。2023-1-10Example6:工作站工作站协议（工作站工作站协议（STS）存）存在一个小小的在一个小小的瑕疵瑕疵1(3),abaxyKkggAlice(A)Malice(M)Bob(B)(1)xg(1)xg1(2),abbyxyKkggg1(2),abbyxyKkggg不安全不安全 运行协议：如果协议实运行协议：如果协议实体的某

31、一方（体的某一方（A）接受了对方的）接受了对方的身份，但是对方运行协议的记身份，但是对方运行协议的记录与录与A的记录不匹配。的记录不匹配。问题：该攻击问题：该攻击是否属于协议是否属于协议攻击？攻击？问题：什么是问题：什么是安全认证？安全认证？上述攻击属于攻击的理由：（上述攻击属于攻击的理由：（1）是不）是不安全运行协议；（安全运行协议；（2）协议执行后）协议执行后Alice资源被浪费（拒绝服务攻击）资源被浪费（拒绝服务攻击）上述攻击成立的原因：消上述攻击成立的原因：消息缺乏消息主体身份信息！息缺乏消息主体身份信息！工作站工作站工作站协议（工作站协议（STS）存在一个小小的瑕疵（续）存在一个小小

32、的瑕疵（续）2023-1-10简化的工作站工作站协议简化的工作站工作站协议Example7:简化的工作站工作站协议简化的工作站工作站协议协议目的：实现站间协议中的双向认证功协议目的：实现站间协议中的双向认证功能能（唯认证协议唯认证协议）。协议组成：协议组成：3条消息组成条消息组成111:2:,3:,baababKabKmessagAB NmessagBA CB NNNmessagAB CA NNAlice(A)Bob(B)(1)aN1(2),bbabKCB NN N1(3),aabKCANN简化的工作站工作站协简化的工作站工作站协议与议与ISO三次传输双向协三次传输双向协议的区别：议的区别：前

33、者没有包括前者没有包括通信实体的身份。通信实体的身份。111:2:,3:,abbababkababkmessagBA NmessagAB CA NNBNNBmessagBA CB NNANNA2023-1-10唯认证协议的唯认证协议的“替换证书签名攻击替换证书签名攻击”1(3),aabkCANNAlice(A)Malice(M)Bob(B)(1)aN(1)aN1(2),mabkCMNN1(2),bbabkCB NNN攻击结果：攻击结果：Bob认为他和认为他和Alice进行了一次对话（实际上和与进行了一次对话（实际上和与Malice进行了一次对话）；而进行了一次对话）；而Alice认为她只是与认

34、为她只是与Malice进行了一次对话；进行了一次对话；B被被Malice欺骗。欺骗。Example7:唯认证协议的唯认证协议的“替换证书签名替换证书签名攻击攻击”1(3),aabkCANN该攻击对未简化的站间协议并不适用，因为加密使得证书替换不可该攻击对未简化的站间协议并不适用，因为加密使得证书替换不可能。能。2023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10平行会话攻击平行会话攻击l定义：定义：l在攻击者在攻击者Malice的安排下，一个协议的两个或者多个的安排下，一个协议的两个或者多个的运行并发执行。的运行并发执行。l目的：目的：l平行

35、会话使得从一个运行可以得到另外一个运行中平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。困难性问题的答案。2023-1-10WooLam单向认证协议单向认证协议Example8:WooLam单向认证协议单向认证协议协议目的：在存在可信第三方的条件下，协议目的：在存在可信第三方的条件下，即使即使Alice和和Bob开始互相不相识，但是开始互相不相识，但是Alice仍然能够向仍然能够向Bob证明自己证明自己(单向认证单向认证）。）。协议组成：协议组成：5条消息条消息1:2:3:4:,5:atatbtbtbbKbKKbKMessageABAMessageBA NMessageABNMe

36、ssageBTANMessageTBN如果如果Bob解密所得到的正解密所得到的正确的确的nonce，则信任，则信任AliceT.Y.C.Woo and S.S.Lam.A lesson on authentication protocol design.Operating Systems Review,1994.2023-1-10WooLam单向认证协议（续）单向认证协议（续）Example8:WooLam单向认证协议单向认证协议Alice(A)Trent(T)Bob(B)(1)A(2)bN(3)atbKN(4),atbtbKKAN(5)btbKN该协议在许多方面该协议在许多方面存在存在致命缺

37、陷致命缺陷。随后的许多修改版随后的许多修改版本也存在不同程度本也存在不同程度的缺陷。的缺陷。分析该协议可以从分析该协议可以从中学到很多协议设中学到很多协议设计的计的经验和教训经验和教训。2023-1-10WooLam单向认证协议的平行会话攻击单向认证协议的平行会话攻击Example8:WooLam协议的协议的平行会话攻击平行会话攻击Alice(A)Trent(T)Bob(B)(4),mtbtbKKANMalice(M)(1)A(1)M(2)bN(2)bN(3)mtbKN(3)mtbKN(4),mtbtbKKMN(5)btK垃圾(5)btbKN结果：结果：Bob拒绝和拒绝和Malice的通的通信

38、，而接受信，而接受和和Alice（实（实际上也是际上也是Malice）的）的通信。通信。拒绝拒绝认可认可2023-1-10WooLam单向认证协议的平行会话攻击（续）单向认证协议的平行会话攻击（续）WooLam单向认证协议的单向认证协议的平行会话攻击平行会话攻击Alice(A)Trent(T)Bob(B)(4),mtbtbKKANMalice(M)(1)A(1)M(2)bN(2)bN(3)mtbKN(3)mtbKN(4),mtbtbKKMN(5)btK垃圾(5)btbKN平行会话平行会话攻击成功攻击成功原因：消原因：消息参与者息参与者身份不明身份不明确。确。2023-1-10第第7章章 协议安

39、全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10反射攻击反射攻击l定义：定义：l当一个诚实的主体给某个意定的通信方发送消息时，攻当一个诚实的主体给某个意定的通信方发送消息时，攻击者击者Malice截获该消息，并将该消息返回给消息的发送截获该消息，并将该消息返回给消息的发送者。者。l注：注：l攻击者返回消息时，不一定时攻击者返回消息时，不一定时“原封不动原封不动”返回，他可返回，他可能会对消息修改（比如通过修改底层通信协议中的地址能会对消息修改（比如通过修改底层通信协议中的地址和身份信息），使得消息发送者意识不到该消息是反射和身份信息），使得消息发送者意识不到该消息是反射回来

40、的。回来的。l反射消息的目的是，使得该消息是对发送者的应答或者反射消息的目的是，使得该消息是对发送者的应答或者询问，从而欺骗消息发送者提供询问，从而欺骗消息发送者提供“预言服务预言服务”2023-1-10反射攻击（续）反射攻击（续）l反射攻击实现方式实例反射攻击实现方式实例IP头其他域头其他域IP源地址源地址IP目的地址目的地址其他域其他域IP头其他域头其他域202.115.2.1211.2.1.1其他域其他域IP头其他域头其他域211.2.1.1202.115.2.1其他域其他域2023-1-10Example9:WooLam单向认证协议的一个单向认证协议的一个修正修正协议目的：在存在可信第

41、三方的条件下，协议目的：在存在可信第三方的条件下，即使即使Alice和和Bob开始互相不相识，但是开始互相不相识，但是Alice仍然能够向仍然能够向Bob证明自己。证明自己。协议组成：协议组成：5条消息条消息1:2:3:4:,5:,atatbtbtbbKbKKbKMessageABAMessageBA NMessageABNMessageBTANMessageTBA N在消息中加入了在消息中加入了Alice的身份标识。的身份标识。WooLam单向认证协议的一个修正单向认证协议的一个修正2023-1-10WooLam单向认证协议的一个修正（续）单向认证协议的一个修正（续）Alice(A)Tren

42、t(T)Bob(B)(1)A(2)bN(3)atbKN(4),atbtbKKAN(5),btbKA NExample9:WooLam单向认证协议的一个单向认证协议的一个修正修正修正协议可以防范平修正协议可以防范平行会话攻击。因为行会话攻击。因为Malice发送的第五条发送的第五条消息是：消息是：(5),btbKM N而而Bob期望的消息是：期望的消息是：(5),btbKA N但是，该修正版本但是，该修正版本存在反射攻击存在反射攻击2023-1-10WooLam协议的一个修正版本的反射攻击协议的一个修正版本的反射攻击(4),btbKA NAlice(A)Trent(T)Bob(B)Malice(

43、M)(1)A(2)bNBob收到消息收到消息5后，后，解密后的解密后的Nb确实确实是他在消息是他在消息2中所中所发送的，因此只发送的，因此只能相信是来自于能相信是来自于Alice的会话。的会话。Example9:WooLam协议的一个修正版本协议的一个修正版本的的反射攻击反射攻击(3)bN消息消息3是消息是消息2的反射。的反射。Bob收到后只能视作收到后只能视作密文而不能作其他操密文而不能作其他操作。作。(5),btbKA N消息消息5是消息是消息4的反射。的反射。(5),btKA XatbKN2023-1-10WooLam协议协议l有关有关WooLam协议、修正及攻击的有关信息协议、修正及攻

44、击的有关信息参见文献参见文献lT.Y.C.Woo and S.S.Lam.A lesson on authentication protocol design.Operating Systems Review,1994.lClark J,Jacob J.A survey of authentication protocol literature:Version 1.0.1997 2023-1-10第第7章章 协议安全技术（协议安全基础协议安全技术（协议安全基础B）2023-1-10归因于类型缺陷的攻击归因于类型缺陷的攻击l定义：定义：l攻击者欺骗某个主体，使得他把一次性随机数、时戳或攻击者欺骗

45、某个主体，使得他把一次性随机数、时戳或者身份等信息嵌入到某个密钥中去，从而导致协议安全者身份等信息嵌入到某个密钥中去，从而导致协议安全性被破坏性被破坏l原因：原因：l协议中的消息部分的类型信息不明确。协议中的消息部分的类型信息不明确。2023-1-10Example10:NeumanStubblebine协议协议协议目的：协议目的：Alice和和Bob在可信第三方的条在可信第三方的条件下实现认证及密钥交换件下实现认证及密钥交换协议组成：协议组成：7或以上条消息组成或以上条消息组成btatbtbtabaabKbaabbKabbKbabbKbKamessage1 A B:A,N message2

46、B S:B,A,N,T,N message3 S A:B,N,K,T,A,K,T,N message4 A B:A,K,T,N message5 A B:M,btabababbK baK bKA,K,T message6 B A:M,M message7 A-B:M Neuman,BC and Stubblebine,SG,A Note on the Use of Timestamps and Nonces,OS Review 27,2,Apr.1993.Na，Nb，Ma，Mb都是都是Nonce密钥交换密钥交换相互认证相互认证作用是什么？作用是什么？NeumanStubblebine协议协议2

47、023-1-10Alice(A)Trent(T)Bob(B)a(1)A,N btababbKbK(4)A,K,T,N btaabbK(5)M,A,K,T btabKb(2)B,A,N,T,N atbtaabbKabbKb(3)B,N,K,T,A,K,T,N abbaK(6)M,M abbK(7)M KabKabExample10:NeumanStubblebine协议协议NeumanStubblebine协议（续）协议（续）2023-1-10Example10:NeumanStubblebine协议协议btatbtbtabaabKbaabbKabbKbabbKbKamessage1 A B:A

48、,N message2 B S:B,A,N,T,N message3 S A:B,N,K,T,A,K,T,N message4 A B:A,K,T,N message5 A B:M,btabababbK baK bKA,K,T message6 B A:M,M message7 A-B:M 密钥交换密钥交换相互认证相互认证消息消息57实现双向认证，该过程可以重复进行；该过程称之为实现双向认证，该过程可以重复进行；该过程称之为重复认证重复认证。A,Kab,TbKbs称之为称之为票据票据直到票据直到票据 A,Kab,TbKbs 过期过期。NeumanStubblebine协议（续）协议（续）202

49、3-1-10Alice(A)Trent(T)Bob(B)a(1)A,N btababbKbK(4)A,K,T,N btaabbK(5)M,A,K,T btabKb(2)B,A,N,T,N atbtaabbKabbKb(3)B,N,K,T,A,K,T,N abbaK(6)M,M abbK(7)M KabKabExample10:NeumanStubblebine协议协议问题：协议安全问问题：协议安全问题在哪里？题在哪里？差异是什么？差异是什么？Kab&Na?NeumanStubblebine协议（续）协议（续）2023-1-10Alice(A)Trent(T)Bob(B)a(1)A,N btaa

50、bKbN(4)A,N,T,N btabKb(2)B,A,N,T,N atbtaabbKabbKb(3)B,N,K,T,A,K,T,N NaNaExample10:NeumanStubblebine协议的协议的归归因于类型缺陷攻击因于类型缺陷攻击Malice(M)忽略消息忽略消息3btaabK(5)M,A,N,T abaN (6)M,M abN(7)M 攻击中，攻击攻击中，攻击者者Malice利用利用一次性一次性Nonce替代替代Kab，如果，如果Bob不能区别不能区别其类型，就会其类型，就会上当受骗。上当受骗。原因：协议原因：协议中的变量中的变量（如（如Kab）的）的类型没有明类型没有明确定义