安全协议_认证协议

K ab
网络安全协议
• 针对Otway-Rees协议的“类型缺陷”型攻击
• “类型攻击”的特点是利用认证协议实现时的固
定格式对协议进行攻击。假定在Otway-Rees 协议中，M的长度是64比特，A和B的长度各为 32比特，会话密钥的长度为128比特。用户A在 发起协议后，预期在协议的第4步可以收回他在 协议第1步建立的临时值，以及认证服务器S为他 分配的会话密钥。这时，攻击者P可以冒充B，重 放消息1中的加密分量，将它作为消息4中的加密 分量发送给A，攻击过程如下：
1 2' 3' 4
A B : M , A, B,{N a , M , A, B}K as B P( S ) : M , A, B,{N a , M , A, B}K as ,{N b , M , A, B}Kbs P( S ) B : M ,{N a , M , A, B}K as ,{N b , M , A, B}Kbs B A : M ,{N a , M , A, B}K as
网络安全协议
认证协议的分类
1997年,Clark和Jacob对认证协议进行了概括和 总结，并列举了一系列有研究意义和实用 价值的认证协议。他们将认证协议如下进 行分类： （1）无可信第三方的对称密钥协议。 （2）应用密码校验函数的认证协议。 （3）具有可信第三方的对称密钥协议。 （4）对称密钥重复认证协议。 （5）无可信第三方的公开密钥协议。 （6）具有可信第三方的公开密钥协议。
网络安全协议
网络安全协议
改进后的NSPK协议：
1 2 3 4 5 6 7
A S : A, B S A : {K b , B}K 1
s
A B : {N a , A}K b B S : B, A S B : {K a , A}K 1
s
B A : {B, N a , N b }K a A B : {N b }K b
A S : A, B, N a S A : {N a , B, K ab ,{K ab , A}Kbs }K as
' P( A) B : {K ab , A}K bs
B P( A) : {N b }K '
ab
P( A) B : {N b 1}K '
ab
网络安全协议
• （2） 针对上述攻击的改进
• 攻击NSSK协议的一种新方法 • 即使攻击者P没有得到泄漏的会话密钥，A也不能通过消息3、
4、5推断出B知道会话密钥。攻击如下：
网络安全协议
• 改进：
1 . A S : A, B, N a , 2. S A :{N a , B, K ab , {N a , A, K ab , Ts }Kbs }Kas , 3 . A B : {N a , A, K ab , Ts }Kbs , 4. B A : {N b , N a }Kab , 5. A B :{N b }Kab
网络安全协议
Otway-Rees 协议
Otway-Rees协议是1978年提出的一种早期的认证协议。
S
1 2
2 2 3
A B : M , A, B,{N a , M , A, B}K as B S : M , A, B,{N a , M , A, B}K as ,{N b , M , A, B}Kbs S B : M ,{N a , K ab }K as ,{N b , K ab }Kbs B A : M ,{N a , K ab }K as
1 2 3
A S : A, B S A : {B, K ab , T , { A, K ab , T }K bs }K as A B : { A, K ab , T }K bs
解决这一问题的另一个方法是，令B也向S发送一个临时值，然后 S将B的临时值放在发送给B的密钥证书中。
网络安全协议
第2讲
认证协议

网络安全协议
主要内容
1 经典认证协议 2 针对经典认证协议的攻击 3 其他重要的认证协议 4 认证协议的设计原则
网络安全协议
基本概念
认证协议是网络安全的一个重要组成部分，需要 通过认证协议进行实体之间的认证、在实体之间 安全地分配密钥或其他各种秘密、确认发送和接 受的消息的非否认性等。近年来，认证协议越来 越多地用于保护因特网上传送的各种交易，保护 针对计算机系统的访问。但是经验表明，设计和 分析一个正确的认证协议是一项十分困难任务。 迄今所知的许多协议都存在这样或那样的安全缺 陷，其原因是多方面的，例如，缺乏正确设计认 证协议的指导原则；对认证协议进行非形式化的 推理分析；缺乏有力地分析认证协议的形式化工 具；没有考虑到针对认证协议的多种攻击类型等。 因此，目前的状况大体是：设计一个认证协议— —发现其安全缺陷——改进该协议——发现新的 安全缺陷——进一步改进该协议……
S的如下假设成立：S对A,B之间时间间隔 很短的两次密钥申请不进行限制。
网络安全协议
Yahalom 协议
1988年提出的Yahalom协议是另外一个经典认证协议。该协 议的特别之处在于，A向S间接发送临时值，并从S处直接取 得会话密钥，B直接发送临时值，并从S处间接得到会话密钥。
S
1
3 2
A B : A, N a B S : B,{ A, N a , N b }Kbs S A : {B, K ab , N a , N b }K as ,{ A, K ab }Kbs A B : { A, K ab }Kbs ,{N b }K ab
1 2 3 4
A B : A, N a B S : B, N b， { A, N a }Kbs S A : N b， {B, K ab , N a }K as ,{ A, K ab , N b }Kbs A B : { A, K ab , N b }Kbs ,{N b }K ab
网络安全协议
钥。其中，前3条消息的作用是主体A在认证服务 器S的帮助下，进行会话密钥的分配。后2条消息 的目的是使B相信A现在在线，但不能使B相信会 话密钥是新鲜的。该协议如图2-1所示。
网络安全协议
S
1 2
3 A 4 B
5
图2-1 NSSK协议
网络安全协议
• （1） 针对NSSK协议的“新鲜性”型攻击
1 2 3' 4' 5'
1 2 3 4 5
A S : A, B, N a S A : {N a , B, K ab ,{K ab , A}Kbs }K as A B : {K ab , A}Kbs B A : {N b }K ab A B : {N b 1}K ab
• NSSK协议的目的是在通信双方之间分配会话密
3 4
B
1 A
4
图2-3 Otway-Rees协议
网络安全协议
• 注意：在Otway-Rees协议中，M是会话识别
号；而临时值 N a 和 N b不仅提供了时序信息， 还因为在消息1和消息2中受到了加密保护，所以 在消息4和消息5中这两个临时值作为主体身份的 替身出现。S检查消息2中两个加密消息内的 M,A,B是否一致，如果匹配，才会为A,B生成会 话密钥 ，并向B发送消息3。
as
3.2.
PS B :
Na , A, B, Kab K , Nb , A, B, K 'ab K
p
, A, B, K 'ab K , Nb , A, B, K 'ab Kb s
as
bs
4.
B A:
Na , A, B, Kab K
as
bs
as
网络安全协议
• 注意：这种攻击的成功，也需要关于服务器
图2-2 NSPK协议
以其他大多数公开密钥认证协议不同，NSPK协议的目的是使通信 双方安全地交换两个彼此独立的秘密。
网络安全协议
• 针对NSPK协议的攻击
• 针对NSPK协议的最有名的攻击来自Lowe。
Lowe指出， NSPK协议的主要安全缺陷在于其 中的消息6。由于消息中没有B的标识符，攻击者 可以假冒B的身份发送消息6。
2 3 4
1 A 4 B
图2-4 Yahalom协议
网络安全协议
• BAN逻辑的分析结果与Yahalom协议的改进建议 • 应用BAN逻辑分析Yahalom协议的结果表明，如果A在
第4条消息中选择一个旧密钥重放给B，则B不可能发现这 个问题。为此，对Yahalom协议作了如下修改，修改后 的协议成为BAN- Yahalom协议。
abbsbs针对banyahalom协议的攻击网络安全协议andrew安全rpc协议abababab图25andrew安全rpc协议网络安全协议针对andrew安全rpc协议的类型缺陷型攻击假设临时值序列号与密钥的长度都相同例如均为128比特则攻击者p可以记录监听到的消息2截获a发送给b的消息3并在第4步重放消息2给a
网络安全协议
• 针对Andrew安全RPC协议的攻击 • （1） 针对Andrew安全RPC协议的“类型缺
1' 4'
A P( B) : M , A, B,{N a , M , A, B}K as P( B) A : M ,{N a , M , A, B}K as
网络安全协议
• 攻击者还可以冒充认证服务器S攻击Otway-
Rees协议。这时，P只需将消息2中的加密分量 重放给B即可。攻击过程如下：
B S : A, B, N a , Nb
网络安全协议
• Otway-Rees协议Abadi-Needham
改进版本
1．
2．
3．
4．
A B : A, B, N a B S : A, B, N a , Nb S B : Na , A, B, Kab K ,Nb , A, B, Kab K
网络安全协议
NSSK 协议
Needham-Schroeder认证协议是 1978年提出的，在认证协议的发展史 中具有历程培的意义。该协议就是一个 最常用的认证协议与分析的“试验床”。 它可以分为对称密码体制和非对称密码 体制下的两种版本，分别简称NSSK协 议和NSPK协议。
网络安全协议
NSSK 协议
网络安全协议
1.经典认证协议
本节介绍几个典型的经典认证协议，他们的共 同特点是：都是早期设计的认证协议，反映了 当时的设计和分析水平。它们或多或少都存在 一些安全缺陷，但是它们在认证协议的发展史 中都起过重要的作用，为今天认证协议设计与 分析技术的发展积累了宝贵的经验。其中，许 多认证协议已经成为认证协议设计与分析的 “试验床”，即每当出现一个新的形式化分析 方法，都要先分析这几个认证协议，验证新方 法的有效性。同时，研究人员也经常以它们为 例，说明认证协议的设计原则和各种不同分析 方法的特点。
两次密钥申请不进行限制； • （2）服务器S只对消息2中两个加密消息内 的会话识别号M及主体身份进行匹配检查， 而对A,B之间密钥分配请求中的M不做记录。
网络安全协议
• （2）攻击Otway-Rees协议AbadiNeedham改进版本的一种新方法
1.
2.1. 2.2.
2'.
3.1.
S PB :
S PB :
PB S : A, B, N ' p , Nb
A B : A, B, Na B PS : A, B, Na , Nb PB S : A, B, Na , N p
3'.
N '
Na , A, B, Kab K , N p , A, B, Kab K

网络安全协议
NSPK 协议
1
S 5 1 2 2 3 A B 4
A S : A, B S A : {K b , B}K 1
s
2 3 4 5 6 7
A B : {N a , A}K b B S : B, A S B : {K a , A}K 1
s
6
7
B A : {N a , N b }K a A B : {N b }K b
B A : Nb , A, B, Kab Ka s
as
bs
网络安全协议
• 攻击Otway-Rees协议的2种新方法（卿
斯汉发现）
• （1）攻击原始Otway-Rees协议的一种
新方法
网络安全协议
网络安全协议
• 该攻击的成功需要对服务器S进行下述假设： • （1）服务器S对A,B之间时间相隔很短的
• 针对BAN-Yahalom协议的攻击
网络安全协议
Andrew 安全 RPC 协议
1
A
22
3
B
4
图2-5 Andrew安全RPC协议
1 2 3 4
A B : A,{N a }K ab B A : {N a 1, N b }K ab A B : {N b 1}K ab
' ' B A : {K ab , Nb }K ab