安全协议_认证协议
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全协议
Yahalom 协议
1988年提出的Yahalom协议是另外一个经典认证协议。该协 议的特别之处在于,A向S间接发送临时值,并从S处直接取 得会话密钥,B直接发送临时值,并从S处间接得到会话密钥。
S
3
1 A
4
1 A B : A, Na
2
2 B S : B,{A, Na , N }b Kbs
4. B A : Nb , A, B, K ab Kas
网络安全协议
• 攻击Otway-Rees协议的2种新方法(卿
斯汉发现)
• (1)攻击原始Otway-Rees协议的一种
新方法
网络安全协议
网络安全协议
• 该攻击的成功需要对服务器S进行下述假设: • (1)服务器S对A,B之间时间相隔很短的
网络安全协议
• 如此协议执行后,A相信临时值 Na 1 是服务器
B新分配给她的会话密钥,因此攻击是有效的。虽 然,这时攻击者并不一定知道新的会话密钥 Na 1。 但是,临时值的作用与密钥不同,绝对不能当作 会话密钥使用。猜测密钥要比猜测临时值困难得 多。因为,在协议的各个回合中,临时值均不相 同就足够了,并不要求临时值一定是随机的。因 此,临时值往往容易猜测。
网络安全协议
NSPK 协议
1 A
S
2 2
3 6 7
5 4
图2-2 NSPK协议
1 A S : A, B
2
S
A :{Kb ,
B}K
1 s
3 A B :{Na , A}Kb
4 B S : B, A
B
5
S
ຫໍສະໝຸດ Baidu
B
:{Ka ,
A}K
1 s
6 B A :{Na , Nb}Ka
7 A B :{Nb}Kb
以其他大多数公开密钥认证协议不同,NSPK协议的目的是使通信 双方安全地交换两个彼此独立的秘密。
第4条消息中选择一个旧密钥重放给B,则B不可能发现这 个问题。为此,对Yahalom协议作了如下修改,修改后 的协议成为BAN- Yahalom协议。
1 A B : A, Na 2 B S : B, Nb,{A, Na}Kbs 3 S A : Nb,{B, Kab , N }a Kas ,{A, Kab , N }b Kbs 4 A B :{A, Kab , N }b Kbs ,{Nb}Kab
1.经典认证协议
网络安全协议
本节介绍几个典型的经典认证协议,他们的共
同特点是:都是早期设计的认证协议,反映了 当时的设计和分析水平。它们或多或少都存在 一些安全缺陷,但是它们在认证协议的发展史 中都起过重要的作用,为今天认证协议设计与 分析技术的发展积累了宝贵的经验。其中,许 多认证协议已经成为认证协议设计与分析的 “试验床”,即每当出现一个新的形式化分析方 法,都要先分析这几个认证协议,验证新方法 的有效性。同时,研究人员也经常以它们为例, 说明认证协议的设计原则和各种不同分析方法 的特点。
1' A P(B) : M , A, B,{Na , M , A, B}Kas 4' P(B) A : M ,{Na , M , A, B}Kas
网络安全协议
• 攻击者还可以冒充认证服务器S攻击Otway-
Rees协议。这时,P只需将消息2中的加密分量 重放给B即可。攻击过程如下:
1 A B : M , A, B,{Na , M , A, B}Kas 2' B P(S ) : M , A, B,{Na , M , A, B}Kas ,{Nb , M , A, B}Kbs 3' P(S ) B : M ,{Na , M , A, B}Kas ,{Nb , M , A, B}Kbs 4 B A : M ,{Na , M , A, B}Kas
B
网络安全协议
• 针对Andrew安全RPC协议的攻击 • (1) 针对Andrew安全RPC协议的“类型缺
陷”型攻击
• 假设临时值、序列号与密钥的长度都相同,例如均为128比
特,则攻击者P可以记录监听到的消息2,截获A发送给B的 消息3,并在第4步重放消息2给A。攻击过程如下:
1 A B : A,{Na}Kab 2 B A :{Na 1, N }b Kab 3 A P(B) :{Nb 1}Kab 4 P(B) A :{Na 1, N }b Kab
K ab
网络安全协议
• 针对Otway-Rees协议的“类型缺陷”型攻击
• “类型攻击”的特点是利用认证协议实现时的固
定格式对协议进行攻击。假定在Otway-Rees 协议中,M的长度是64比特,A和B的长度各为 32比特,会话密钥的长度为128比特。用户A在 发起协议后,预期在协议的第4步可以收回他在 协议第1步建立的临时值,以及认证服务器S为他 分配的会话密钥。这时,攻击者P可以冒充B,重 放消息1中的加密分量,将它作为消息4中的加密 分量发送给A,攻击过程如下:
B}K
1 s
3 A B :{Na , A}Kb
4 B S : B, A
5
S
B
:{Ka ,
A}K
1 s
6 B A :{B, Na , Nb}Ka
7 A B :{Nb}Kb
网络安全协议
Otway-Rees 协议
Otway-Rees协议是1978年提出的一种早期的认证协议。
S
1 A B : M , A, B,{Na, M , A, B}Kas
2 2
3 1
2 B S : M , A, B,{Na , M , A, B}Kas ,{Nb, M , A, B}Kbs 3 S B : M ,{Na , K }ab Kas ,{Nb , K }ab Kbs 4 B A : M ,{Na , K }ab Kas
A
B
4
图2-3 Otway-Rees协议
3 S A :{B, Kab , Na , N }b Kas ,{A, K } ab Kbs
B 4 A B :{A, K } ab Kbs ,{Nb}Kab
图2-4 Yahalom协议
网络安全协议
• BAN逻辑的分析结果与Yahalom协议的改进建议 • 应用BAN逻辑分析Yahalom协议的结果表明,如果A在
网络安全协议
NSSK 协议
Needham-Schroeder认证协议是 1978年提出的,在认证协议的发展史 中具有历程培的意义。该协议就是一个 最常用的认证协议与分析的“试验床”。 它可以分为对称密码体制和非对称密码 体制下的两种版本,分别简称NSSK协 议和NSPK协议。
网络安全协议
NSSK 协议
B S : A, B, Na , Nb
网络安全协议
• Otway-Rees协议Abadi-Needham
改进版本
1. A B : A, B, N a
2. B S : A, B, N a , Nb 3. S B : N a , A, B, K ab , Kas Nb , A, B, K ab Kbs
网络安全协议
S
1 2
3
A
4
B
5
图2-1 NSSK协议
网络安全协议
• (1) 针对NSSK协议的“新鲜性”型攻击
1 A S : A, B, Na
2 S A :{Na , B, Kab ,{Kab , A} } Kbs Kas
3'
P(
A)
B
:
{K
' ab
,
A}Kbs
4'
B
P(
A)
:
{N
b
} K
' ab
Nb , A, B, K 'ab
Kbs
3.2. PS B : Na , A, B, Kab , Kas Nb , A, B, K 'ab Kbs
4. B A : Na , A, B, Kab Kas
网络安全协议
• 注意:这种攻击的成功,也需要关于服务器
S的如下假设成立:S对A,B之间时间间隔 很短的两次密钥申请不进行限制。
两次密钥申请不进行限制;
• (2)服务器S只对消息2中两个加密消息内
的会话识别号M及主体身份进行匹配检查, 而对A,B之间密钥分配请求中的M不做记录。
网络安全协议
• (2)攻击Otway-Rees协议Abadi-
Needham改进版本的一种新方法
1.
A B : A, B, Na
2.1. B PS : A, B, Na , Nb
网络安全协议
• 针对BAN-Yahalom协议的攻击
Andrew 安全 RPC 协议
1
A
22
3
4
图2-5 Andrew安全RPC协议
1 A B : A,{Na}Kab
2 B A :{Na 1, N }b Kab
3 A B :{Nb 1}Kab
4
B
A
:
{K
' ab
,
N }' b Kab
网络安全协议
网络安全协议
• 针对NSPK协议的攻击 • 针对NSPK协议的最有名的攻击来自Lowe。
Lowe指出, NSPK协议的主要安全缺陷在于其 中的消息6。由于消息中没有B的标识符,攻击者 可以假冒B的身份发送消息6。
网络安全协议
网络安全协议
改进后的NSPK协议:
1 A S : A, B
2
S
A :{Kb ,
2.2. PB S : A, B, Na , N p
2'. PB S : A, B, N 'p , Nb
3.1. S P B : Na , A, B, Kab , Kas N p , A, B, Kab Kbs
3'.
S PB:
N 'p , A, B, K 'ab
,
K as
网络安全协议
认证协议的分类
1997年,Clark和Jacob对认证协议进行了概括和 总结,并列举了一系列有研究意义和实用 价值的认证协议。他们将认证协议如下进 行分类:
(1)无可信第三方的对称密钥协议。 (2)应用密码校验函数的认证协议。 (3)具有可信第三方的对称密钥协议。 (4)对称密钥重复认证协议。 (5)无可信第三方的公开密钥协议。 (6)具有可信第三方的公开密钥协议。
网络安全协议
• 攻击NSSK协议的一种新方法 • 即使攻击者P没有得到泄漏的会话密钥,A也不能通过消息3、
4、5推断出B知道会话密钥。攻击如下:
网络安全协议
• 改进:
1. A S : A, B, Na , 2. S A :{Na , B, Kab , {Na , A, Kab , Ts}Kbs }Kas , 3 . A B :{Na , A, Kab , T }s Kbs , 4. B A :{Nb , Na}Kab , 5. A B :{Nb}Kab
1 A S : A, B, Na 2 S A :{Na , B, Kab ,{Kab , A} } Kbs Kas 3 A B :{Kab , A}Kbs 4 B A :{Nb}Kab 5 A B :{Nb 1}Kab
• NSSK协议的目的是在通信双方之间分配会话密
钥。其中,前3条消息的作用是主体A在认证服务 器S的帮助下,进行会话密钥的分配。后2条消息 的目的是使B相信A现在在线,但不能使B相信会 话密钥是新鲜的。该协议如图2-1所示。
第2讲 认证协议
主要内容
1 经典认证协议 2 针对经典认证协议的攻击 3 其他重要的认证协议 4 认证协议的设计原则
网络安全协议
网络安全协议
基本概念
认证协议是网络安全的一个重要组成部分,需要 通过认证协议进行实体之间的认证、在实体之间 安全地分配密钥或其他各种秘密、确认发送和接 受的消息的非否认性等。近年来,认证协议越来 越多地用于保护因特网上传送的各种交易,保护 针对计算机系统的访问。但是经验表明,设计和 分析一个正确的认证协议是一项十分困难任务。 迄今所知的许多协议都存在这样或那样的安全缺 陷,其原因是多方面的,例如,缺乏正确设计认 证协议的指导原则;对认证协议进行非形式化的 推理分析;缺乏有力地分析认证协议的形式化工 具;没有考虑到针对认证协议的多种攻击类型等。 因此,目前的状况大体是:设计一个认证协议— —发现其安全缺陷——改进该协议——发现新的 安全缺陷——进一步改进该协议……
5'
P( A)
B
:{Nb
1} K
' ab
网络安全协议
• (2) 针对上述攻击的改进
1 A S : A, B 2 S A :{B, Kab ,T ,{A, Kab ,T}Kbs }Kas 3 A B :{A, Kab ,T}Kbs
解决这一问题的另一个方法是,令B也向S发送一个临时值,然后 S将B的临时值放在发送给B的密钥证书中。
网络安全协议
• 注意:在Otway-Rees协议中,M是会话识别
号还;因而为临在时 消值息1N和a 消和息N2中b不受仅到提了供加了密时保序护信,息所,以
在消息4和消息5中这两个临时值作为主体身份的 替身出现。S检查消息2中两个加密消息内的 M,A,B是否一致,如果匹配,才会为A,B生成会 话密钥 ,并向B发送消息3。