安全協(xié)議-認(rèn)證協(xié)議

第2講認(rèn)證協(xié)議經(jīng)典認(rèn)證協(xié)議主要內(nèi)容1針對(duì)經(jīng)典認(rèn)證協(xié)議的攻擊2其他重要的認(rèn)證協(xié)議3認(rèn)證協(xié)議的設(shè)計(jì)原則4

認(rèn)證協(xié)議是網(wǎng)絡(luò)安全的一個(gè)重要組成部分，需要通過認(rèn)證協(xié)議進(jìn)行實(shí)體之間的認(rèn)證、在實(shí)體之間安全地分配密鑰或其他各種秘密、確認(rèn)發(fā)送和接受的消息的非否認(rèn)性等。近年來，認(rèn)證協(xié)議越來越多地用于保護(hù)因特網(wǎng)上傳送的各種交易，保護(hù)針對(duì)計(jì)算機(jī)系統(tǒng)的訪問。但是經(jīng)驗(yàn)表明，設(shè)計(jì)和分析一個(gè)正確的認(rèn)證協(xié)議是一項(xiàng)十分困難任務(wù)。迄今所知的許多協(xié)議都存在這樣或那樣的安全缺陷，其原因是多方面的，例如，缺乏正確設(shè)計(jì)認(rèn)證協(xié)議的指導(dǎo)原則；對(duì)認(rèn)證協(xié)議進(jìn)行非形式化的推理分析；缺乏有力地分析認(rèn)證協(xié)議的形式化工具；沒有考慮到針對(duì)認(rèn)證協(xié)議的多種攻擊類型等。因此，目前的狀況大體是：設(shè)計(jì)一個(gè)認(rèn)證協(xié)議——發(fā)現(xiàn)其安全缺陷——改進(jìn)該協(xié)議——發(fā)現(xiàn)新的安全缺陷——進(jìn)一步改進(jìn)該協(xié)議……1997年,Clark和Jacob對(duì)認(rèn)證協(xié)議進(jìn)行了概括和總結(jié)，并列舉了一系列有研究意義和實(shí)用價(jià)值的認(rèn)證協(xié)議。他們將認(rèn)證協(xié)議如下進(jìn)行分類：（1）無可信第三方的對(duì)稱密鑰協(xié)議。（2）應(yīng)用密碼校驗(yàn)函數(shù)的認(rèn)證協(xié)議。（3）具有可信第三方的對(duì)稱密鑰協(xié)議。（4）對(duì)稱密鑰重復(fù)認(rèn)證協(xié)議。（5）無可信第三方的公開密鑰協(xié)議。（6）具有可信第三方的公開密鑰協(xié)議。1.經(jīng)典認(rèn)證協(xié)議

本節(jié)介紹幾個(gè)典型的經(jīng)典認(rèn)證協(xié)議，他們的共同特點(diǎn)是：都是早期設(shè)計(jì)的認(rèn)證協(xié)議，反映了當(dāng)時(shí)的設(shè)計(jì)和分析水平。它們或多或少都存在一些安全缺陷，但是它們?cè)谡J(rèn)證協(xié)議的發(fā)展史中都起過重要的作用，為今天認(rèn)證協(xié)議設(shè)計(jì)與分析技術(shù)的發(fā)展積累了寶貴的經(jīng)驗(yàn)。其中，許多認(rèn)證協(xié)議已經(jīng)成為認(rèn)證協(xié)議設(shè)計(jì)與分析的“試驗(yàn)床”，即每當(dāng)出現(xiàn)一個(gè)新的形式化分析方法，都要先分析這幾個(gè)認(rèn)證協(xié)議，驗(yàn)證新方法的有效性。同時(shí)，研究人員也經(jīng)常以它們?yōu)槔?，說明認(rèn)證協(xié)議的設(shè)計(jì)原則和各種不同分析方法的特點(diǎn)。Needham-Schroeder認(rèn)證協(xié)議是1978年提出的，在認(rèn)證協(xié)議的發(fā)展史中具有歷程培的意義。該協(xié)議就是一個(gè)最常用的認(rèn)證協(xié)議與分析的“試驗(yàn)床”。它可以分為對(duì)稱密碼體制和非對(duì)稱密碼體制下的兩種版本，分別簡(jiǎn)稱NSSK協(xié)議和NSPK協(xié)議。NSSK協(xié)議的目的是在通信雙方之間分配會(huì)話密鑰。其中，前3條消息的作用是主體A在認(rèn)證服務(wù)器S的幫助下，進(jìn)行會(huì)話密鑰的分配。后2條消息的目的是使B相信A現(xiàn)在在線，但不能使B相信會(huì)話密鑰是新鮮的。該協(xié)議如圖2-1所示。BAS12345圖2-1NSSK協(xié)議（1）針對(duì)NSSK協(xié)議的“新鮮性”型攻擊（2）針對(duì)上述攻擊的改進(jìn)解決這一問題的另一個(gè)方法是，令B也向S發(fā)送一個(gè)臨時(shí)值，然后S將B的臨時(shí)值放在發(fā)送給B的密鑰證書中。攻擊NSSK協(xié)議的的一種種新方方法即使攻攻擊者者P沒有得得到泄泄漏的的會(huì)話話密鑰鑰，A也不能能通過過消息息3、4、5推斷出出B知道會(huì)會(huì)話密密鑰。。攻擊擊如下下：改進(jìn)：：BAS12236745圖2-2NSPK協(xié)議以其他他大多多數(shù)公公開密密鑰認(rèn)認(rèn)證協(xié)協(xié)議不不同，，NSPK協(xié)議的的目的的是使使通信信雙方方安全全地交交換兩兩個(gè)彼彼此獨(dú)獨(dú)立的的秘密密。針對(duì)NSPK協(xié)議的的攻擊擊針對(duì)NSPK協(xié)議的的最有有名的的攻擊擊來自自Lowe。Lowe指出，，NSPK協(xié)議的的主要要安全全缺陷陷在于于其中中的消消息6。由于于消息息中沒沒有B的標(biāo)識(shí)識(shí)符，，攻擊擊者可可以假假冒B的身份份發(fā)送送消息息6。改進(jìn)后后的NSPK協(xié)議：：Otway-Rees協(xié)議是是1978年提出出的一一種早早期的的認(rèn)證證協(xié)議議。SAB14223圖2-3Otway-Rees協(xié)議注意：在Otway-Rees協(xié)議中中，M是會(huì)話話識(shí)別別號(hào)；；而臨臨時(shí)值值和和不不僅僅提供供了時(shí)時(shí)序信信息，，還因因?yàn)樵谠谙⑾?和消息息2中受到到了加加密保保護(hù)，，所以以在消消息4和消息息5中這兩兩個(gè)臨臨時(shí)值值作為為主體體身份份的替替身出出現(xiàn)。。S檢查消消息2中兩個(gè)個(gè)加密密消息息內(nèi)的的M,A,B是否一一致，，如果果匹配配，才才會(huì)為為A,B生成會(huì)會(huì)話密密鑰，，并并向B發(fā)送消消息3。針對(duì)Otway-Rees協(xié)議的的“類型缺缺陷”型攻擊擊“類型攻攻擊”的特點(diǎn)點(diǎn)是利利用認(rèn)認(rèn)證協(xié)協(xié)議實(shí)實(shí)現(xiàn)時(shí)時(shí)的固固定格格式對(duì)對(duì)協(xié)議議進(jìn)行行攻擊擊。假假定在在Otway-Rees協(xié)議中中，M的長(zhǎng)度度是64比特，，A和B的長(zhǎng)度度各為為32比特，，會(huì)話話密鑰鑰的長(zhǎng)長(zhǎng)度為為128比特。。用戶戶A在發(fā)起起協(xié)議議后，，預(yù)期期在協(xié)協(xié)議的的第4步可以以收回回他在在協(xié)議議第1步建立立的臨臨時(shí)值值，以以及認(rèn)認(rèn)證服服務(wù)器器S為他分分配的的會(huì)話話密鑰鑰。這這時(shí)，，攻擊擊者P可以冒冒充B，重放放消息息1中的加加密分分量，，將它它作為為消息息4中的加加密分分量發(fā)發(fā)送給給A，攻擊擊過程程如下下：攻擊者者還可可以冒冒充認(rèn)認(rèn)證服服務(wù)器器S攻擊Otway-Rees協(xié)議。。這時(shí)時(shí)，P只需將將消息息2中的加加密分分量重重放給給B即可。。攻擊擊過程程如下下：Otway-Rees協(xié)議Abadi-Needham改進(jìn)版版本1．2．3．4．攻擊Otway-Rees協(xié)議的的2種新方方法（（卿斯斯?jié)h發(fā)發(fā)現(xiàn)））（1）攻擊擊原始始Otway-Rees協(xié)議的的一種種新方方法該攻擊擊的成成功需需要對(duì)對(duì)服務(wù)務(wù)器S進(jìn)行下下述假假設(shè)：：（1）服務(wù)務(wù)器S對(duì)A,B之間時(shí)時(shí)間相相隔很很短的的兩次次密鑰鑰申請(qǐng)請(qǐng)不進(jìn)進(jìn)行限限制；；（2）服務(wù)務(wù)器S只對(duì)消消息2中兩個(gè)個(gè)加密密消息息內(nèi)的的會(huì)話話識(shí)別別號(hào)M及主體體身份份進(jìn)行行匹配配檢查查，而而對(duì)A,B之間密密鑰分分配請(qǐng)請(qǐng)求中中的M不做記記錄。。（2）攻擊擊Otway-Rees協(xié)議Abadi-Needham改進(jìn)版版本的的一種種新方方法1.注意：：這種攻攻擊的的成功功，也也需要要關(guān)于于服務(wù)務(wù)器S的如下下假設(shè)設(shè)成立立：S對(duì)A,B之間時(shí)時(shí)間間間隔很很短的的兩次次密鑰鑰申請(qǐng)請(qǐng)不進(jìn)進(jìn)行限限制。。1988年提出出的Yahalom協(xié)議是是另外外一個(gè)個(gè)經(jīng)典典認(rèn)證證協(xié)議議。該該協(xié)議議的特特別之之處在在于，，A向S間接發(fā)發(fā)送臨臨時(shí)值值，并并從S處直接接取得得會(huì)話話密鑰鑰，B直接發(fā)發(fā)送臨臨時(shí)值值，并并從S處間接接得到到會(huì)話話密鑰鑰。SAB3241圖2-4Yahalom協(xié)議BAN邏輯的的分析析結(jié)果果與Yahalom協(xié)議的的改進(jìn)進(jìn)建議議應(yīng)用BAN邏輯分分析Yahalom協(xié)議的的結(jié)果果表明明，如如果A在第4條消息息中選選擇一一個(gè)舊舊密鑰鑰重放放給B，則B不可能能發(fā)現(xiàn)現(xiàn)這個(gè)個(gè)問題題。為為此，，對(duì)Yahalom協(xié)議作作了如如下修修改，，修改改后的的協(xié)議議成為為BAN-Yahalom協(xié)議。。針對(duì)BAN-Yahalom協(xié)議的的攻擊擊BA22134圖2-5Andrew安全RPC協(xié)議針對(duì)Andrew安全RPC協(xié)議的的攻擊擊（1）針針對(duì)對(duì)Andrew安全RPC協(xié)議的的“類型缺缺陷”型攻擊擊假設(shè)臨臨時(shí)值值、序序列號(hào)號(hào)與密密鑰的的長(zhǎng)度度都相相同，，例如如均為為128比特，，則攻攻擊者者P可以記記錄監(jiān)監(jiān)聽到到的消消息2，截獲獲A發(fā)送給給B的消息息3，并在在第4步重放放消息息2給A。攻擊擊過程程如下下：如此協(xié)協(xié)議執(zhí)執(zhí)行后后，A相信臨臨時(shí)值值是是服務(wù)務(wù)器B新分配配給她她的會(huì)會(huì)話密密鑰，，因此此攻擊擊是有有效的的。雖雖然，，這時(shí)時(shí)攻擊擊者并并不一一定知知道新新的會(huì)會(huì)話密密鑰。。但是是，臨臨時(shí)值值的作作用與與密鑰鑰不同同，絕絕對(duì)不不能當(dāng)當(dāng)作會(huì)會(huì)話密密鑰使使用。。猜測(cè)測(cè)密鑰鑰要比比猜測(cè)測(cè)臨時(shí)時(shí)值困困難得得多。。因?yàn)闉?，在在協(xié)議議的各各個(gè)回回合中中，臨臨時(shí)值值均不不相同同就足足夠了了，并并不要要求臨臨時(shí)值值一定定是隨隨機(jī)的的。因因此，，臨時(shí)時(shí)值往往往容容易猜猜測(cè)。。（2）針針對(duì)對(duì)Andrew安全RPC協(xié)議的的“新鮮性性”型攻擊擊攻擊者者P可以記記錄在在協(xié)議議前一一個(gè)回回合中中監(jiān)聽聽到的的消息息4，并在在第4步重放放該消消息給給A?！按笞烨嗲嗤堋眳f(xié)議是是由Burrows提出的的，這這是一一種最最簡(jiǎn)單單的、、應(yīng)用用對(duì)稱稱密碼碼的三三方認(rèn)認(rèn)證協(xié)協(xié)議。。SAB12圖2-6““大嘴青青蛙””協(xié)議議針對(duì)“大嘴青青蛙”協(xié)議的的攻擊擊這個(gè)簡(jiǎn)簡(jiǎn)單的的協(xié)議議有多多種安安全缺缺陷，，攻擊擊它也也有多多種方方法。。一種種方法法是在在有效效的時(shí)時(shí)間范范圍內(nèi)內(nèi)重放放第1個(gè)消息息，其其后果果實(shí)將將進(jìn)行行重新新認(rèn)證證。第第二種種攻擊擊方法法需要要應(yīng)用用3個(gè)協(xié)議議回合合，攻攻擊過過程如如下：：在回合合1中，攻攻擊者者P記錄A與B之間的的一次次會(huì)話話。然然后，，在第第2與第3回合，，攻擊擊者假假冒A與B從S處獲得得對(duì)他他有用用的消消息和和這時(shí)，，攻擊擊者P可以假假冒S向A與B重放上上述消消息，，引起起A與B之間的的重新新認(rèn)證證。2.其他重重要的的認(rèn)證證協(xié)議議（1）Helsinki協(xié)議的的描述述Helsinki協(xié)議是是國(guó)際際標(biāo)準(zhǔn)準(zhǔn)ISO/IECDIS11770-3中提出出的認(rèn)認(rèn)證協(xié)協(xié)議草草案。。BA2213圖2-8Helsinki協(xié)議Helsinki協(xié)議的的目標(biāo)標(biāo)是為為主體體A和B安全地地分配配一個(gè)個(gè)共享享會(huì)話話密鑰鑰，，他他最終終由和和和和單向向函數(shù)數(shù)確確定，，即（2）針針對(duì)Helsinki協(xié)議的的Horng-Hsu攻擊Horng和Hsu指出，，Helsinki協(xié)議存存在安安全缺缺陷，，不能能達(dá)到到它的的安全全目標(biāo)標(biāo)。Horng-Hsu攻擊擊是一種種內(nèi)部部攻擊擊，即即攻擊擊者必必須是是合法法的協(xié)協(xié)議主主體，，而且且其他他合法法主體體希望望與他他通過過協(xié)議議分配配共享享通信信密鑰鑰。Horng-Hsu攻擊的的過程程如下下：經(jīng)過上上述兩兩回合合協(xié)議議運(yùn)行行之后后，主主體A相信，，他成成功地地完成成了一一次與與主體體P的會(huì)話話，并并獲得得共享享會(huì)話話密鑰鑰但但是主主體P并不知知道會(huì)會(huì)話密密鑰的的組成成部分分。。同同時(shí)，，主體體B相信，，他與與主體體A成功地地進(jìn)行行了一一次會(huì)會(huì)話，，并獲獲得會(huì)會(huì)話密密鑰。。但但是主主體A并不知知道會(huì)會(huì)話密密鑰的的組組成部部分。。因因此，，攻擊擊者P的攻擊擊是有有效的的。（3）Mitchell-Yeun的改進(jìn)進(jìn)協(xié)議議Mitchell和Yeun對(duì)Helsinki協(xié)議進(jìn)進(jìn)行了了改進(jìn)進(jìn)。他他們認(rèn)認(rèn)為Horng-Hsu攻擊成成功的的原因因是A相信B發(fā)送的的第2條消息息來來源源于P。這是是因?yàn)闉橄⑾?沒有明明確指指出消消息來來源，，從而而造成成了消消息的的重放放。因因此，，攻擊擊者P雖然并并不知知道消消息2的真實(shí)實(shí)內(nèi)容容，但但P可以將將消息息2轉(zhuǎn)發(fā)給給A，使A相信消消息2來源于于P?；谏仙鲜隼砝碛?，，Mitchell-Yeun的改進(jìn)進(jìn)協(xié)議議如下下：Woo-Lam單向認(rèn)認(rèn)證協(xié)協(xié)議是是Woo和Lam于1992年提出出的。。SAB421523圖2-9Woo-Lam協(xié)議針對(duì)Woo-Lam協(xié)議的的攻擊擊方法法攻擊1：攻擊2：攻擊3：如果Woo-Lam協(xié)議所所應(yīng)用用的對(duì)對(duì)稱密密碼算算法滿滿足交交換律律，則則這種種攻擊擊方法法可以以奏效效。臨時(shí)值值與時(shí)時(shí)間戳戳臨時(shí)值值的作作用是是保證證消息息的新新鮮性性，防防止消消息重重放。。時(shí)間間戳和和臨時(shí)時(shí)值都都是用用于保保證消消息的的新鮮鮮性的的，但但它們們之間間有很很重要要的區(qū)區(qū)別。。使用用時(shí)間間戳?xí)r時(shí)，一一般要要求各各主體體的時(shí)時(shí)鐘同同步，，但時(shí)時(shí)間戳戳并不不和某某個(gè)主主體之之間關(guān)關(guān)聯(lián)，，任何何一個(gè)個(gè)主體體產(chǎn)生生的時(shí)時(shí)間戳戳都能能被其其他主主體用用來檢檢驗(yàn)消消息的的新鮮鮮性。。臨時(shí)時(shí)值則則是某某個(gè)主主體產(chǎn)產(chǎn)生的的隨機(jī)機(jī)數(shù)值值，一一個(gè)主主體只只能根根據(jù)他他自己己所產(chǎn)產(chǎn)生的的臨時(shí)時(shí)值來來檢驗(yàn)驗(yàn)消息息的新新鮮性性。此此外，，時(shí)間間戳不不具有有唯一一性，，它通通常有有一個(gè)個(gè)有效效范圍圍，只只要它它位于于這個(gè)個(gè)有效效范圍圍內(nèi)，，主體體都接接受它它的新新鮮性性。因因此，，在一一次會(huì)會(huì)話中中使用用的時(shí)時(shí)間戳戳可能能在另另一次次時(shí)間間上接接近的的會(huì)話話中被被主體體接收收為新新鮮的的。臨臨時(shí)值值則具具有唯唯一性性，任任何一一個(gè)主主體在在兩次次會(huì)話話中產(chǎn)產(chǎn)生的的臨時(shí)時(shí)值在在很長(zhǎng)長(zhǎng)一段段時(shí)間間內(nèi)不不可能能相同同。所所以在在一次次會(huì)話話中使使用的的臨時(shí)時(shí)值不不可能能在另另一次次會(huì)話話中被被主體體接收收為新新鮮的的臨時(shí)時(shí)值。。認(rèn)證協(xié)協(xié)議的的設(shè)計(jì)計(jì)原則則設(shè)計(jì)目目標(biāo)明明確，，無二二義性性；最好應(yīng)應(yīng)用描描述協(xié)協(xié)議的的形式式語(yǔ)言言，對(duì)對(duì)認(rèn)證證協(xié)議議本身身進(jìn)行行形式式化描描述；；通過形形式化化分析析方法法證明明認(rèn)證證協(xié)議議實(shí)現(xiàn)現(xiàn)了設(shè)設(shè)計(jì)目目標(biāo)；；安全性性與具具體采采用的的密碼碼算法法無關(guān)關(guān)；保證臨臨時(shí)值值和會(huì)會(huì)話密密鑰等等重要要消息息的新新鮮性性，防防止重重放攻攻擊；；盡量采采用異異步認(rèn)認(rèn)證方方式，，特別別是防防止重重放攻攻擊的的能力力；具有抵抵抗常常見攻攻擊，，特別別是防防止重重放攻攻擊的的能力力；進(jìn)行運(yùn)運(yùn)行環(huán)環(huán)境的的風(fēng)險(xiǎn)險(xiǎn)分析析，做做盡可可能少少的初初始安安全假假設(shè)實(shí)用性性強(qiáng)，，可用用于各各種網(wǎng)網(wǎng)絡(luò)的的不同同協(xié)議議層；；盡可能能減少少密碼碼運(yùn)算算，降降低成成本，，擴(kuò)大大應(yīng)用用范圍圍。思考題題試述Dolev-Yao攻擊者者模型型的主主要內(nèi)內(nèi)容及及其在在安全全協(xié)議議研究究中的的意義義。臨時(shí)值值與時(shí)時(shí)間戳戳在保保證消消息新新鮮性性方面面有哪哪些貢貢獻(xiàn)?臨時(shí)值值與時(shí)時(shí)間戳戳之間間有哪哪些區(qū)區(qū)別?“類型缺缺陷”型攻擊擊的特特點(diǎn)是是什么么?在認(rèn)證證協(xié)議議的設(shè)設(shè)計(jì)中中，應(yīng)應(yīng)該如如何注注意防防止類類型缺缺陷型型的攻攻擊?Thankyou!9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Wednesday,December28,202210、雨中黃葉葉樹，燈下下白頭人。。。20:49:3120:49:3120:4912/28/20228:49:31PM11、以我獨(dú)獨(dú)沈久，，愧君相相見頻。。。12月-2220:49:3120:49Dec-2228-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:49:3220:49:3220:49Wednesday,December28,202213、乍見翻疑夢(mèng)夢(mèng)，相悲各問問年。。12月-2212月-2220:49:3220:49:32December28,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國(guó)國(guó)見見青青山山。。。。28十十二二月月20228:49:32下下午午20:49:3212月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December28,202216、行動(dòng)動(dòng)出成成果，，工作作出財(cái)財(cái)富。。。2022/12/2820:49:3220:49:3228December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時(shí)時(shí)，你你只能能或者者最好好沿著著以腳腳為起起點(diǎn)的的射線線向前前。。。8:49:32下下午8:49下下午午20:49:3212月月-229、沒有失失敗，只只有暫時(shí)時(shí)停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒沒有。。20:49:3220:49:3220:4912/28/20228:49:32PM11、成功就是是日復(fù)一日日那一點(diǎn)點(diǎn)點(diǎn)小小努力力的積累。。。12月-2220:49:3220:49Dec-2228-Dec-2212、世世間間成成事事，，不不求求其其絕絕對(duì)對(duì)圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。20:49:3220:49:3220:49Wednesday,December28,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2220:49:3220:49:32December28,202214、意志堅(jiān)強(qiáng)強(qiáng)的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。28十二二月20228:49:32下下午20:49:3212月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月228:49下午午12月-2220:49December28,202216、少年十十五二十十時(shí)，步步行奪得得胡馬騎騎。。2022/12/2820:49:3220:49:3228December20