资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,电子科技大学 计算机科学与工程学院,计算系统与网络安全,Computer System and Network Security,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,消息重放,消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式,并重新发送,从而达到破坏协议安全性的目的。,消息重放的实质是消息的,新鲜性,(,Freshness,)不能得到保证。,消息重放攻击是安全协议中最容易出现的问题之一。,2024/11/27,Alice (A),Bob (B),Trent (T),A, B, R,A,E,A,(R,A,B,K,E,B,(K,A),E,B,(K,A,),K,K,E,K,(R,B,),E,K,(R,B,1,),E,K,(M=I Love XXX),Example 1,:,Needham,Schroeder,协议,攻击者如果获知以前的一个工作密钥,可以重放消息,E,B,(,K,,,A,),协议目的:基于认证服务器(,PPT,)实现双向认证及密钥交换。,消息重放(续),2024/11/27,消息重放(续),考虑诚实主体:,它接收到的消息,:,轮内消息重放,轮外消息重放,延迟的消息,它发送的消息:,被返还,被发往第三方,被延迟,2024/11/27,消息重放(续),消息重放攻击分类,根据消息的来源:,协议轮内攻击:一个协议轮内消息重放,协议轮外攻击:一个协议不同轮次消息重放,根据消息的去向:,偏转攻击:改变消息的去向,直接攻击:将消息发送给意定接收方,其中偏转攻击分为:,反射攻击:将消息返回给发送者,第三方攻击:将消息发给协议合法通信双方之外的任一方,2024/11/27,消息重放(续),消息重放对策,挑战应答机制,时戳机制(,Timestamp,),序列号机制(,Sequence No,),通信双方通过消息中的序列号来判断消息的新鲜性,要求通信双方必须事先协商一个初始序列号,并协商递增方法,对消息盖上本地时戳,只有当消息上的时戳与当前本地时间的差值在意定范围之内,才接受该消息。,要求有一个全局同步时钟,但是如果双方时钟偏差过大或者允许的范围过大,则可以被攻击者利用。,通过发送挑战值(,Nonce,)来确保消息的新鲜性。,2024/11/27,Alice (A),Bob (B),Trent (T),A, B, R,A,E,A,(R,A,B,K,E,B,(K,A,T),E,B,(K,A,T,),K,K,E,K,(R,B,),E,K,(R,B,1,),E,K,(M=I Love XXX),Example 1,:,Needham,Schroeder,协议的,时戳机制改进,Bob,收到消息后,根据本地时间和消息中的时戳,决定是否接受该消息,协议目的:基于认证服务器(,PPT,)实现双向认证及密钥交换。,消息重放(续),2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,中间人攻击,攻击者,Malice,将自己伪装于用户,Alice,和,Bob,之间进行通信。,许银川,胡荣华,Little girl,我可以战胜胡荣华!,炮二平五,炮二平五,马八进七,马八进七,2024/11/27,Diffie,Hellman,密钥协商协议,Example 2,:,Diffie,Hellman,密钥协商协议,协议目的:,Alice,和,Bob,利用公钥体制建立一个新的共享密钥,K,ab,协议组成:,2,条消息组成,A,:计算,K,ab,=,g,xy,B,:计算,K,ab,=,g,xy,Diffie-Hellman,密钥协商协议的理论依据的离散对数困难性问题。,2024/11/27,Diffie,Hellman,密钥协商协议(续),许银川(,A,),胡荣华,(B),Little girl,(,M,),攻击结果:,M,拥有,A,和,B,的密钥,而,A,和,B,并不知道。,2024/11/27,一次性口令协议,Example 3,:,一次性口令协议(,S/Key,),协议目的:用户通过口令向服务器认证,但口令不会重复。(,口令认证协议,),熟悉口令认证协议吗,?,2024/11/27,口令认证协议明文形式存放的口令表,身份标识 注册口令,ID1 PW1,ID2 PW2,ID3 PW3,. .,IDn,PWn,拒绝,N,明文形式存放的口令表,ID OK,?,用户输入,ID,查找与该,ID,对应的,PW,相同?,拒绝,N,Y,接受,Y,用户输入,PW,PW,ID,PW,2024/11/27,口令认证协议基于单向,hash,函数的口令表,拒绝,身份标识 注册口令,ID1 H(PW1),ID2 H(PW2),ID3 H(PW3),. .,IDn,H(PWn,),Hash,值形式存放的口令表,ID OK,?,用户输入,ID,查找与该,ID,对应的,H(PW),相同?,接受,拒绝,N,N,Y,Y,用户输入,PW,用预定的,Hash,函数计算,H(PW),H(PW),ID,2024/11/27,口令认证协议基于单向,hash,函数和“盐”的口令表,身份标识 注册口令 盐,ID1 H(PW1+R1) R1,ID2 H(PW2+R2) R2,ID3 H(PW3+R3) R3,. . .,IDn,H(PWn+Rn,),Rn,“加盐”,Hash,值形式存放的口令表,ID OK,?,用户输入,ID,拒绝,查找与该,ID,对应的,H(PW),相同?,接受,拒绝,N,N,Y,Y,用户输入,PW,用预定的,Hash,函数计算,H(PW+R),H(PW+R),ID,R,2024/11/27,一次性口令系统,一次性口令机制确保在每次认证中所使用的口令不同,以对付重放攻击。,确定口令的方法:,(,1,)两端共同拥有一串随机口令,在该串的某一位置保持同步;(,2,)两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步; (,3,)使用时戳,两端维持同步的时钟。,S/Key,(,Simple key):,一次性口令系统,2024/11/27,一次性口令系统(续),其,安全性依赖于一个单向函数。为建立这样的系统,A,输入一随机数,P,u,,计算机计算,f,(,P,u,),f,(,f,(,P,u,),,f,(,f,(,f,(,P,u,),),,共计算,n,次,计算得到的数为,x,1, x,2, x,3,x,n,,,A,打印出这样的表,随身携带,计算机将,x,n,存在,A,的名字旁边。,第一次登录,键入,x,n-1,,计算机,x,n,,并与存储的,x,n,比较,相同则认证通过;否则认真失败。,以后依次键入,x,i,,,计算机计算,f(x,i,),,,并将它与,x,i+1,比较。,S/Key,(,Simple key):,一次性口令系统,2024/11/27,一次性口令系统(续),客户端,S/KEY,服务器,口令计算器,1.,用户登录,2.,登录请求,3. S/KEY,质询,4.,输入私钥,5.,私钥与质询输入计算器,6.,产生本次口令,7.,传送口令,S/Key,(,Simple key):,一次性口令系统,2024/11/27,一次性口令协议,Example 3,:,一次性口令协议(,S/Key,),身份标识,f,c,(P,u,) c,值,ID1 f(P,1,) R1,ID2 f(P,2,) R2,ID3 f(P,3,) R3,. . .,IDn,f(P,n,),Rn,协议目的:用户通过口令向服务器认证,但口令不会重复,从而有效防御口令在线猜测攻击。(,口令认证协议,),协议组成:口令存储表,3,条消息组成,口令存储表,2024/11/27,一次性口令协议(续),许银川(,A,),Little girl,(,B,),Example 3,:,一次性口令协议(,S/Key,),讨论:,(,1,)尽管,S/Key,中口令,明文传送,,但是可以抵抗口令的在线窃听攻击,(,2,),S/Key,协议是否安全?,问题:口令明文传送是否有问题?,考虑:协议是双向认证还是单向认证?,单向认证中,,Alice,为什么要相信计数器值,c,是,Bob,发送的?,2024/11/27,一次性口令协议的中间人攻击,许银川(,A,),Little girl,(,M,),Example 3,:,一次性口令协议(,S/Key,)的,中间人攻击,攻击结果:,攻击者,Malice,获得了,f,c-2,下一次他就可以用用户的,ID,登录了。,胡荣华,(B),2024/11/27,Needham-Schroeder,公钥认证协议,Example 4,:Needham,Schroeder,公钥认证协议,协议目的:,Alice,和,Bob,利用公钥体制建立一个新的共享秘密,N,a,,,N,b,,并实现认证,协议组成:,7,条消息组成,讨论:消息,1,,,2,,,4,,,5,是获得公钥,,3,,,6,,,7,是,A,和,B,相互认证。如果假设公钥已知,协议可以简化:,2024/11/27,Needham-Schroeder,公钥认证协议的中间人攻击,许银川(,A,),胡荣华,(B),Little girl,(,M,),攻击结果:,B,认为她和,A,建立了共享秘密,而实际上她和,M,建立了共享秘密。,上述攻击可以成功的原因,之一,:在消息(,3,)中,,A,无意之间为,M,解了,B,的,Nonce,(,N,b,)。,主体无意地为攻击这执行了一个密码运算时,该主体被认为用作了,预言机,。,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,预言机攻击,主体无意地为攻击这执行了一个密码运算时,该主体被认为用作了,预言机,(或称该主体提供了预言服务)。,如果存在主体可以提供预言服务,该主体可能被诱导执行某个协议的一些步骤,从而帮助攻击者得到一些他原本无法得到地信息。,2024/11/27,Needham-Schroeder,公钥认证协议的预言机(,Oracle,)攻击,许银川(,A,),胡荣华,(M),Little girl,(,B,),成功的原因,之二,:,M,利用了该协议的多个运行实例,从而将不同协议的消息交织在一起(如(,1,)、(,2,)和消息(,2,)。,攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行,从而使得攻击这获得不应当获得的信息,这种攻击叫做,交错攻击,。,协议,1,协议,2,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,交错攻击定义,攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。,结果是:,(,1,)攻击者可以合成某条消息,并发送各某个运行中的主体,期望收到该主体的一个应答;,(,2,)而该应答可能对于另外某个运行中的另外一个主体是有用的;,(,3,)在接下来的运行中,从前面运行中得到的应答可能促使后面的主体对某个问题作出应答,而该应答又恰好能运用于第一个运行。,2024/11/27,Needham-Schroeder,公钥认证协议的交错攻击,许银川(,A,),胡荣华,(M),Little girl,(,B,),(,1,)攻击者构造消息,(,2,)该应答对于,M,是有用的,(,3,)应答使得,A,作出应答,2024/11/27,ISO,三次传输双向认证协议,Example5,: ISO,三次传输双向认证协议,协议目的:,Alice,和,Bob,利用公钥体制实现双向认证,协议组成:,3,条消息组成,Alice (A),Bob (B),2024/11/27,Example5,: ISO,三次传输双向认证协议的,Wiener,攻击(加拿大人攻击),攻击协议的关键:第三条消息,在上述消息中,,A,信任,B,的条件是:,A,能用,B,的公钥解密消息得到,N,a,,并与自己发送的,N,a,相比较。如果相同则信任;否则不信任。,对于,N,b,,只要求明文和解密结果中所得到的值相同即可。,攻击者,M,无法回答第三条消息(没有,B,的私钥),攻击者,M,向,B,发起一次通信(得到,B,用私钥签名的消息),ISO,三次传输双向认证协议的交错攻击,2024/11/27,Alice (A),Bob (B),Example5:,ISO,三次传输双向认证协议的,Wiener,攻击(加拿大人攻击),Mallory,通过与,B,通信,得到所期望的应答消息,攻击结果:,A,认为,B,发起了一次协议通信,并接受了该,B,的身份;而,B,实际上没有发起协议,而且在等待由,M,(,A,)发起的运行。,ISO,三次传输双向认证协议的,Wiener,攻击,2024/11/27,工作站工作站协议(,STS,),Example6,:,工作站工作站协议(,STS,),协议目的:,Alice,和,Bob,利用公钥体制实现密钥协商,(,即得到密钥,K,ab,(同时,该协议还实现了双向实体认证、双向密钥确认、完善前向保密性和不可否认性),协议组成:,3,条消息组成,Alice (A),Bob (B),2024/11/27,工作站,工作站协议(,STS,)存在一个小小的瑕疵,Example6,:,工作站工作站协议(,STS,)存在一个小小的,瑕疵,Alice (A),Malice (M),Bob (B),攻击结果:,Alice,被完全欺骗,她认为和,Bob,进行了一次会话,并共享了某个会话密钥,而,Bob,认为和,Malice,运行了一次不完全的协议。随后,,Alice,试图与,Bob,进行安全通信,但是不会得到任何回应。,攻击者,Malice,没有得到会话密钥,因此这种攻击只是很小的一个瑕疵。,2024/11/27,Example6,:,工作站工作站协议(,STS,)存在一个小小的,瑕疵,Alice (A),Malice (M),Bob (B),不安全 运行协议:如果协议实体的某一方(,A,)接受了对方的身份,但是对方运行协议的记录与,A,的记录不匹配。,问题:该攻击是否属于协议攻击?,问题:什么是安全认证?,上述攻击属于攻击的理由:(,1,)是不安全运行协议;(,2,)协议执行后,Alice,资源被浪费(拒绝服务攻击),上述攻击成立的原因:消息缺乏消息主体身份信息!,工作站,工作站协议(,STS,)存在一个小小的瑕疵(续),2024/11/27,简化的工作站工作站协议,Example7,:,简化的工作站工作站协议,协议目的:实现站间协议中的双向认证功能,(,唯认证协议,),。,协议组成:,3,条消息组成,Alice (A),Bob (B),简化的工作站工作站协议与,ISO,三次传输双向协议的区别:,前者没有包括通信实体的身份。,2024/11/27,唯认证协议的“替换证书签名攻击”,Alice (A),Malice (M),Bob (B),攻击结果:,Bob,认为他和,Alice,进行了一次对话(实际上和与,Malice,进行了一次对话);而,Alice,认为她只是与,Malice,进行了一次对话;,B,被,Malice,欺骗。,Example7,:,唯认证协议的“替换证书签名攻击”,该攻击对未简化的站间协议并不适用,因为加密使得证书替换不可能。,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,平行会话攻击,定义:,在攻击者,Malice,的安排下,一个协议的两个或者多个的运行并发执行。,目的:,平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。,2024/11/27,Woo,Lam,单向认证协议,Example8,: Woo,Lam,单向认证协议,协议目的:在存在可信第三方的条件下,即使,Alice,和,Bob,开始互相不相识,但是,Alice,仍然能够向,Bob,证明自己,(,单向认证,)。,协议组成:,5,条消息,如果,Bob,解密所得到的正确的,nonce,,则信任,Alice,T.Y.C. Woo and S.S. Lam. A lesson on authentication protocol design.,Operating Systems Review, 1994.,2024/11/27,Woo,Lam,单向认证协议(续),Example8,: Woo,Lam,单向认证协议,Alice (A),Trent (T),Bob (B),该协议在许多方面存在,致命缺陷,。,随后的许多修改版本也存在不同程度的缺陷。,分析该协议可以从中学到很多协议设计的,经验和教训,。,2024/11/27,Woo,Lam,单向认证协议的平行会话攻击,Example8,: Woo,Lam,协议的,平行会话攻击,Alice (A),Trent (T),Bob (B),Malice (M),结果:,Bob,拒绝和,Malice,的通信,而接受和,Alice,(实际上也是,Malice,)的通信。,拒绝,认可,2024/11/27,Woo,Lam,单向认证协议的平行会话攻击(续),Woo,Lam,单向认证协议的,平行会话攻击,Alice (A),Trent (T),Bob (B),Malice (M),平行会话攻击成功原因:消息参与者身份不明确。,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,反射攻击,定义:,当一个诚实的主体给某个意定的通信方发送消息时,攻击者,Malice,截获该消息,并将该消息返回给消息的发送者。,注:,攻击者返回消息时,不一定时“原封不动”返回,他可能会对消息修改(比如通过修改底层通信协议中的地址和身份信息),使得消息发送者意识不到该消息是反射回来的。,反射消息的目的是,使得该消息是对发送者的应答或者询问,从而欺骗消息发送者提供“,预言服务,”,2024/11/27,反射攻击(续),反射攻击实现方式实例,IP,头其他域,IP,源地址,IP,目的地址,其他域,IP,头其他域,202.115.2.1,211.2.1.1,其他域,IP,头其他域,211.2.1.1,202.115.2.1,其他域,2024/11/27,Example9,: Woo,Lam,单向认证协议的一个修正,协议目的:在存在可信第三方的条件下,即使,Alice,和,Bob,开始互相不相识,但是,Alice,仍然能够向,Bob,证明自己。,协议组成:,5,条消息,在消息中加入了,Alice,的身份标识。,Woo,Lam,单向认证协议的一个修正,2024/11/27,Woo,Lam,单向认证协议的一个修正(续),Alice (A),Trent (T),Bob (B),Example9,: Woo,Lam,单向认证协议的一个修正,修正协议可以防范平行会话攻击。因为,Malice,发送的第五条消息是:,而,Bob,期望的消息是:,但是,该修正版本存在反射攻击,2024/11/27,Woo,Lam,协议的一个修正版本的反射攻击,Alice (A),Trent (T),Bob (B),Malice (M),Bob,收到消息,5,后,解密后的,N,b,确实是他在消息,2,中所发送的,因此只能相信是来自于,Alice,的会话。,Example9,: Woo,Lam,协议的一个修正版本的,反射攻击,消息,3,是消息,2,的反射。,Bob,收到后只能视作密文而不能作其他操作。,消息,5,是消息,4,的反射。,2024/11/27,Woo,Lam,协议,有关,Woo,Lam,协议、修正及攻击的有关信息参见文献,T.Y.C. Woo and S.S. Lam. A lesson on authentication protocol design.,Operating Systems Review, 1994.,Clark J, Jacob J. A survey of authentication protocol literature: Version 1.0. 1997,2024/11/27,交错攻击,预言机(,Oracle,),中间人攻击,第,7,章,协议安全技术(协议安全基础,B,),消息重放,平行会话攻击,反射攻击,其它,2024/11/27,归因于类型缺陷的攻击,定义:,攻击者欺骗某个主体,使得他把一次性随机数、时戳或者身份等信息嵌入到某个密钥中去,从而导致协议安全性被破坏,原因:,协议中的消息部分的类型信息不明确。,2024/11/27,Example10,:,Neuman,Stubblebine,协议,协议目的:,Alice,和,Bob,在可信第三方的条件下实现认证及密钥交换,协议组成:,7,或以上条消息组成,Neuman, BC and,Stubblebine, SG, A Note on the Use of Timestamps and,Nonces, OS Review 27, 2, Apr. 1993.,N,a,,,N,b,,,M,a,,,M,b,都是,Nonce,密钥交换,相互认证,作用是什么?,Neuman,Stubblebine,协议,2024/11/27,Alice (A),Trent (T),Bob (B),K,ab,K,ab,Example10,:,Neuman,Stubblebine,协议,Neuman,Stubblebine,协议(续),2024/11/27,Example10,:,Neuman,Stubblebine,协议,密钥交换,相互认证,消息,5,7,实现双向认证,该过程可以重复进行;该过程称之为,重复认证,。,A,K,ab,T,b,Kbs,称之为,票据,直到票据,A,K,ab,T,b,Kbs,过期,。,Neuman,Stubblebine,协议(续),2024/11/27,Alice (A),Trent (T),Bob (B),K,ab,K,ab,Example10,:,Neuman,Stubblebine,协议,问题:协议安全问题在哪里?,差异是什么?,K,ab,& N,a,?,Neuman,Stubblebine,协议(续),2024/11/27,Alice (A),Trent (T),Bob (B),N,a,N,a,Example10,:,Neuman,Stubblebine,协议的,归因于类型缺陷攻击,Malice (M),忽略消息,3,攻击中,攻击者,Malice,利用一次性,Nonce,替代,K,ab,,如果,Bob,不能区别其类型,就会上当受骗。,原因:协议中的变量(如,K,ab,)的类型没有明确定义。,Neuman,Stubblebine,协议的类型缺陷攻击,2024/11/27,Otway,-Rees,密钥交换协议,Example 11,Otway,-Rees key exchanging protocol,Protocol Purpose: A and B exchange a session key,K,ab, with the help of a trusted third party,Protocol: the protocol contains 4 messages,M, N,a,N,b,are,nonces,2024/11/27,Otway,-Rees,密钥交换协议(续),Example 11,Otway,-Rees key exchanging protocol,Alice (A),Bob (B),Trent (T),Trent,解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。,问题:该协议哪里不安全?,2024/11/27,Otway,-Rees,密钥交换协议(续),Example 11,Otway,-Rees key exchanging protocol,Alice (A),Bob (B),Trent (T),Trent,解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。,问题:该协议哪里不安全?,2024/11/27,Otway,-Rees,密钥交换协议的归因于类型缺陷攻击,Example 11,Otway,-Rees key exchanging protocol,的,归因于类型缺陷攻击,Alice (A),Bob (B),Trent (T),Trent,解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。,Carol (C),攻击结果:,Alice,将,M|A|B,视为密钥,N,a,外的数据(,M|A|B),当作会话密钥,Carol,冒充,Bob,2024/11/27,归因于姓名遗漏攻击,定义:,如果与消息相关的主体的名字不能从消息中推断出来,则攻击者利用此缺陷所发动的攻击称之为“归因与姓名遗漏攻击”,原因:,在协议中,与消息相关的名字必须明确,2024/11/27,Denning -,Sacco,密钥交换协议,Example12,:,Denning -,Sacco,Key Exchange Protocol,协议目的:,:,利用公钥体制实现,Alice,和,Bob,之间会话密钥的交换,协议组成,:3,条消息,CA and CB are,certificates,of A and B respectively.,2024/11/27,Alice (A),Bob (B),Trent (T),K,ab,K,ab,(1) A,,,B,(2) CA,,,CB,(3) CA,,,CB,,,E,b,(S,a,(K,ab, T,a,),Example12,:,Denning -,Sacco,Key Exchange Protocol,Denning -,Sacco,密钥交换协议(续),2024/11/27,Alice (A),Bob (B),Trent (T),K,ab,K,ab,(1) A,,,B,(2) CA,,,CB,(3) CA,,,CB,,,E,b,(S,a,(K,ab, T,a,),Carol (C),(3) CA,,,CC,,,E,c,(S,a,(K,ab, T,a,),(1) A,,,B,(2) CA,,,CB,Bob,将消息,3,发送给另外一个主体,Carol,,使得,Carol,相信给,Alice“,独享”的密钥,K,ab,(实际上,Bob,知道该密钥),How to attack the protocol,?,Example12,:,Denning -,Sacco,Key Exchange Protocol,原因:消息,3,本来的意思是:在时刻,Ta,,,Alice,说,Kab,是用于,Alice,和,Bob,通信的安全密钥。但是参与者,Alice,的身份不能推导出来。,Denning -,Sacco,密钥交换协议(续),2024/11/27,Alice (A),Bob (B),Trent (T),K,ab,K,ab,(1) A,,,B,(2) CA,,,CB,(3) CA,,,CB,,,E,b,(S,a,(A, B,K,ab, T,a,),The identifications of A and B are included in the third message to denote that A and B communicated each other.,Although the name of A can be deduced from k,a,-1, it is not enough to ensure that the message comes from A.,How to remove the flaws recovered in above protocol?,Example12,:,Denning -,Sacco,Key Exchange Protocol,Denning -,Sacco,密钥交换协议(续),2024/11/27,密码服务滥用攻击,定义:,协议中的密码算法没有提供正确的保护,从而在协议中缺少所需要的密码保护。,常见的密码服务滥用攻击包括:,归因于缺失数据完整性保护的攻击,归因于缺失语义安全保护的攻击,攻击者可以从密文中获得部分信息,对应的,可证安全性,2024/11/27,Otway,-Rees,密钥交换协议的一种变形,Example 13,Otway,-Rees key exchanging protocol,的,一种变形,Protocol Purpose: A and B exchange a session key,K,ab, with the help of a trusted third party,Protocol: the protocol contains 4 messages,N,a,N,b,are,nonces,M,是协议标识,变形:,N,b,与其他消息分开加密,分开加密目的:使用加密来提供消息的新鲜性,2024/11/27,Otway,-Rees,密钥交换协议的一种变形(续),Alice (A),Bob (B),Trent (T),Trent,解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。,Example 13,Otway,-Rees key exchanging protocol,的,一种变形,该变形同样存在前面所描述的类型错误攻击。除此之外,引来了其他攻击,2024/11/27,Otway,-Rees,密钥交换协议的变形的密码服务滥用攻击,Bob (B),Trent (T),Trent,解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。,Carol (C),攻击结果:,Bob,认为与,Alice,共享了会话密钥,而实际上是与,Carol,共享了密钥,Example 13,Otway,-Rees key exchanging protocol,的,一种变形的密码服务滥用攻击:缺失完整性保护,Alice (A),Carol,冒充,Alice,Bob (B),Carol,冒充,Alice,结论:新鲜性应该由完整性而非机密性来保证:缺失完整性,2024/11/27,前向保密失败,定义:,泄漏不应该被传播:过去泄漏的信息不应该影响到后来的消息。,协议设计时的应用:,如果密钥传输协议使用了密钥加密的形式,则使用已经被泄漏的密钥加密的,另外一个密钥,,也必须被视为已经泄漏的密钥。,2024/11/27,Alice (A),Bob (B),Trent (T),A, B, R,A,E,A,(R,A,B,K,E,B,(K,A),E,B,(K,A,),K,K,E,K,(R,B,),E,K,(R,B,1,),E,K,(M=I Love XXX),Example 1,:,Needham,Schroeder,协议,前向保密失败,攻击者如果破解了以前的一个会话密钥,可以重放消息,E,B,(,K,,,A,),协议目的:基于认证服务器(,PPT,)实现双向认证及密钥交换。,回顾:,Needham-Schroeder,协议,2024/11/27,课外阅读资料,Bruce,Schneier,(吴世忠登译),应用密码学协议、算法与,C,源程序,机械工业出版社,,2000,第二章,第三章,2024/11/27,课外阅读资料,范红,,,冯登国,,安全协议理论与方法,,科学出版社,,,2003,第一章,第二章,2024/11/27,课外阅读资料,Mao,Wenbo,,,Modern Cryptography: Theory and Practice,, 电子工业出版社,,2004,第一章,第二章,第十一章,,2024/11/27,教材与参考书,教材:,李毅超 曹跃,网络与系统攻击技术 电子科大出版社,2007,周世杰 陈伟 钟婷,网络与系统防御技术 电子科大出版社,2007,参考书,阙喜戎 等 编著,信息安全原理及应用,清华大学出版社,Christopher,M.King,Curitis,E.Dalton, T.,Ertem,Osmanoglu,(常晓波等译),.,安全体系结构的设计、部署与操作,清华大学出版社,,2003(Christopher,M.King, et al, Security Architecture, design, deployment & Operations ),William Stallings,,密码编码学与网络安全原理与实践(第三版),电子工业出版社,,2004,Stephen Northcutt,, 深入剖析网络边界安全,机械工业出版社,,2003,冯登国,计算机通信网络安全,,2001,Bruce,Schneier, Applied Cryptography, Protocols, algorithms, and source code in C (2,nd,Edition)(,应用密码学 协议、算法与,C,源程序, 吴世忠、祝世雄、张文政等译,),蔡皖东,网络与信息安全,西北工业大学出版社,,2004,2024/11/27,Any Question?,Q&A,2024/11/27,
展开阅读全文