電子科技計算機科學(xué)與工程

電子科技計算機科學(xué)與工程2023/6/2第一頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第三頁，共七十九頁，編輯于2023年，星期日消息重放消息重放攻擊是指攻擊者利用其消息再生能力生成誠實用戶所期望的消息格式，并重新發(fā)送，從而達(dá)到破壞協(xié)議安全性的目的。消息重放的實質(zhì)是消息的新鮮性（Freshness）不能得到保證。消息重放攻擊是安全協(xié)議中最容易出現(xiàn)的問題之一。2023/6/2第四頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協(xié)議攻擊者如果獲知以前的一個工作密鑰，可以重放消息EB（K，A）協(xié)議目的：基于認(rèn)證服務(wù)器（PPT）實現(xiàn)雙向認(rèn)證及密鑰交換。消息重放（續(xù)）2023/6/2第五頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）考慮誠實主體：它接收到的消息：輪內(nèi)消息重放輪外消息重放延遲的消息它發(fā)送的消息：被返還被發(fā)往第三方被延遲2023/6/2第六頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）消息重放攻擊分類根據(jù)消息的來源：協(xié)議輪內(nèi)攻擊：一個協(xié)議輪內(nèi)消息重放協(xié)議輪外攻擊：一個協(xié)議不同輪次消息重放根據(jù)消息的去向：偏轉(zhuǎn)攻擊：改變消息的去向直接攻擊：將消息發(fā)送給意定接收方其中偏轉(zhuǎn)攻擊分為：反射攻擊：將消息返回給發(fā)送者第三方攻擊：將消息發(fā)給協(xié)議合法通信雙方之外的任一方2023/6/2第七頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）消息重放對策挑戰(zhàn)－應(yīng)答機制時戳機制（Timestamp）序列號機制（SequenceNo）通信雙方通過消息中的序列號來判斷消息的新鮮性要求通信雙方必須事先協(xié)商一個初始序列號，并協(xié)商遞增方法對消息蓋上本地時戳，只有當(dāng)消息上的時戳與當(dāng)前本地時間的差值在意定范圍之內(nèi)，才接受該消息。要求有一個全局同步時鐘，但是如果雙方時鐘偏差過大或者允許的范圍過大，則可以被攻擊者利用。通過發(fā)送挑戰(zhàn)值（Nonce）來確保消息的新鮮性。2023/6/2第八頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A,T))EB(K,A,T）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協(xié)議的時戳機制改進Bob收到消息后，根據(jù)本地時間和消息中的時戳，決定是否接受該消息協(xié)議目的：基于認(rèn)證服務(wù)器（PPT）實現(xiàn)雙向認(rèn)證及密鑰交換。消息重放（續(xù)）2023/6/2第九頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第十頁，共七十九頁，編輯于2023年，星期日中間人攻擊攻擊者Malice將自己偽裝于用戶Alice和Bob之間進行通信。許銀川胡榮華Littlegirl我可以戰(zhàn)勝胡榮華！！炮二平五炮二平五馬八進七馬八進七2023/6/2第十一頁，共七十九頁，編輯于2023年，星期日Diffie－Hellman密鑰協(xié)商協(xié)議Example2:Diffie－Hellman密鑰協(xié)商協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制建立一個新的共享密鑰Kab協(xié)議組成：2條消息組成A：計算Kab=gxyB：計算Kab=gxyDiffie-Hellman密鑰協(xié)商協(xié)議的理論依據(jù)的離散對數(shù)困難性問題。2023/6/2第十二頁，共七十九頁，編輯于2023年，星期日Diffie－Hellman密鑰協(xié)商協(xié)議（續(xù)）許銀川（A）胡榮華(B)Littlegirl（M）攻擊結(jié)果：M擁有A和B的密鑰，而A和B并不知道。2023/6/2第十三頁，共七十九頁，編輯于2023年，星期日一次性口令協(xié)議Example3:一次性口令協(xié)議（S/Key）協(xié)議目的：用戶通過口令向服務(wù)器認(rèn)證，但口令不會重復(fù)。（口令認(rèn)證協(xié)議）熟悉口令認(rèn)證協(xié)議嗎?2023/6/2第十四頁，共七十九頁，編輯于2023年，星期日口令認(rèn)證協(xié)議－明文形式存放的口令表身份標(biāo)識注冊口令I(lǐng)D1PW1ID2PW2ID3PW3........IDnPWn拒絕N明文形式存放的口令表IDOK？用戶輸入ID查找與該ID對應(yīng)的PW相同？拒絕NY接受Y用戶輸入PWPW‘IDPW2023/6/2第十五頁，共七十九頁，編輯于2023年，星期日口令認(rèn)證協(xié)議－基于單向hash函數(shù)的口令表拒絕身份標(biāo)識注冊口令I(lǐng)D1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)Hash值形式存放的口令表IDOK？用戶輸入ID查找與該ID對應(yīng)的H(PW)相同？接受拒絕NNYY用戶輸入PW用預(yù)定的Hash函數(shù)計算H(PW‘)H(PW)ID2023/6/2第十六頁，共七十九頁，編輯于2023年，星期日口令認(rèn)證協(xié)議－基于單向hash函數(shù)和“鹽”的口令表身份標(biāo)識注冊口令鹽ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn“加鹽”Hash值形式存放的口令表IDOK？用戶輸入ID拒絕查找與該ID對應(yīng)的H(PW)相同？接受拒絕NNYY用戶輸入PW用預(yù)定的Hash函數(shù)計算H(PW‘+R)H(PW+R)IDR2023/6/2第十七頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)一次性口令機制確保在每次認(rèn)證中所使用的口令不同，以對付重放攻擊。確定口令的方法：（1）兩端共同擁有一串隨機口令，在該串的某一位置保持同步；

（2）兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；

（3）使用時戳，兩端維持同步的時鐘。S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第十八頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)（續(xù)）其安全性依賴于一個單向函數(shù)。為建立這樣的系統(tǒng)A輸入一隨機數(shù)Pu，計算機計算f（Pu）,f（f（Pu）），f（f（f（Pu））），…,共計算n次，計算得到的數(shù)為x1,x2,x3,…xn，A打印出這樣的表，隨身攜帶，計算機將xn存在A的名字旁邊。第一次登錄，鍵入xn-1，計算機xn，并與存儲的xn比較，相同則認(rèn)證通過；否則認(rèn)真失敗。以后依次鍵入xi，計算機計算f(xi)，并將它與xi+1比較。S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第十九頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)（續(xù)）客戶端S/KEY服務(wù)器口令計算器1.用戶登錄2.登錄請求3.S/KEY質(zhì)詢4.輸入私鑰5.私鑰與質(zhì)詢輸入計算器6.產(chǎn)生本次口令7.傳送口令S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第二十頁，共七十九頁，編輯于2023年，星期日一次性口令協(xié)議Example3:一次性口令協(xié)議（S/Key）身份標(biāo)識fc(Pu)c值ID1····f(P1)R1ID2f(P2)R2ID3f(P3)R3...........IDnf(Pn)Rn協(xié)議目的：用戶通過口令向服務(wù)器認(rèn)證，但口令不會重復(fù),從而有效防御口令在線猜測攻擊。（口令認(rèn)證協(xié)議）協(xié)議組成：口令存儲表＋3條消息組成口令存儲表2023/6/2第二十一頁，共七十九頁，編輯于2023年，星期日一次性口令協(xié)議（續(xù)）許銀川（A）Littlegirl（B）Example3:一次性口令協(xié)議（S/Key）討論：（1）盡管S/Key中口令明文傳送，但是可以抵抗口令的在線竊聽攻擊（2）S/Key協(xié)議是否安全？問題：口令明文傳送是否有問題？考慮：協(xié)議是雙向認(rèn)證還是單向認(rèn)證？單向認(rèn)證中，Alice為什么要相信計數(shù)器值c是Bob發(fā)送的？2023/6/2第二十二頁，共七十九頁，編輯于2023年，星期日一次性口令協(xié)議的中間人攻擊許銀川（A）Littlegirl（M）Example3:一次性口令協(xié)議（S/Key）的中間人攻擊攻擊結(jié)果：攻擊者Malice獲得了fc-2,下一次他就可以用用戶的ID登錄了。胡榮華(B)2023/6/2第二十三頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認(rèn)證協(xié)議Example4:Needham－Schroeder公鑰認(rèn)證協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制建立一個新的共享秘密Na，Nb，并實現(xiàn)認(rèn)證協(xié)議組成：7條消息組成討論：消息1，2，4，5是獲得公鑰，3，6，7是A和B相互認(rèn)證。如果假設(shè)公鑰已知，協(xié)議可以簡化：2023/6/2第二十四頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認(rèn)證協(xié)議的中間人攻擊許銀川（A）胡榮華(B)Littlegirl（M）攻擊結(jié)果：B認(rèn)為她和A建立了共享秘密，而實際上她和M建立了共享秘密。上述攻擊可以成功的原因之一：在消息（3）中，A無意之間為M解了B的Nonce（Nb）。主體無意地為攻擊這執(zhí)行了一個密碼運算時，該主體被認(rèn)為用作了預(yù)言機。2023/6/2第二十五頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二十六頁，共七十九頁，編輯于2023年，星期日預(yù)言機攻擊

主體無意地為攻擊這執(zhí)行了一個密碼運算時，該主體被認(rèn)為用作了預(yù)言機（或稱該主體提供了預(yù)言服務(wù)）。如果存在主體可以提供預(yù)言服務(wù)，該主體可能被誘導(dǎo)執(zhí)行某個協(xié)議的一些步驟，從而幫助攻擊者得到一些他原本無法得到地信息。2023/6/2第二十七頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認(rèn)證協(xié)議的預(yù)言機（Oracle）攻擊許銀川（A）胡榮華(M)Littlegirl（B）成功的原因之二：M利用了該協(xié)議的多個運行實例，從而將不同協(xié)議的消息交織在一起（如（1‘）、（2’）和消息（2））。攻擊者將某個協(xié)議的兩個或者多個運行實例安排為以交織的方法執(zhí)行，從而使得攻擊這獲得不應(yīng)當(dāng)獲得的信息，這種攻擊叫做交錯攻擊。協(xié)議1協(xié)議22023/6/2第二十八頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二十九頁，共七十九頁，編輯于2023年，星期日交錯攻擊定義攻擊者將某個協(xié)議的兩個或者多個運行實例安排為以交織的方法執(zhí)行。結(jié)果是：（1）攻擊者可以合成某條消息，并發(fā)送各某個運行中的主體，期望收到該主體的一個應(yīng)答；（2）而該應(yīng)答可能對于另外某個運行中的另外一個主體是有用的；（3）在接下來的運行中，從前面運行中得到的應(yīng)答可能促使后面的主體對某個問題作出應(yīng)答，而該應(yīng)答又恰好能運用于第一個運行。2023/6/2第三十頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認(rèn)證協(xié)議的交錯攻擊許銀川（A）胡榮華(M)Littlegirl（B）（1）攻擊者構(gòu)造消息（2）該應(yīng)答對于M是有用的（3）應(yīng)答使得A作出應(yīng)答2023/6/2第三十一頁，共七十九頁，編輯于2023年，星期日ISO三次傳輸雙向認(rèn)證協(xié)議Example5:ISO三次傳輸雙向認(rèn)證協(xié)議協(xié)議目的：Alice和Bob利用公鑰體制實現(xiàn)雙向認(rèn)證協(xié)議組成：3條消息組成Alice(A)Bob(B)2023/6/2第三十二頁，共七十九頁，編輯于2023年，星期日Example5:ISO三次傳輸雙向認(rèn)證協(xié)議的Wiener攻擊（加拿大人攻擊）攻擊協(xié)議的關(guān)鍵：第三條消息在上述消息中，A信任B的條件是：A能用B的公鑰解密消息得到Na，并與自己發(fā)送的Na相比較。如果相同則信任；否則不信任。對于Nb，只要求明文和解密結(jié)果中所得到的值相同即可。攻擊者M無法回答第三條消息（沒有B的私鑰）攻擊者M向B發(fā)起一次通信（得到B用私鑰簽名的消息）ISO三次傳輸雙向認(rèn)證協(xié)議的交錯攻擊2023/6/2第三十三頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Example5:ISO三次傳輸雙向認(rèn)證協(xié)議的Wiener攻擊（加拿大人攻擊）Mallory通過與B通信，得到所期望的應(yīng)答消息攻擊結(jié)果：A認(rèn)為B發(fā)起了一次協(xié)議通信，并接受了該B的身份；而B實際上沒有發(fā)起協(xié)議，而且在等待由M（A）發(fā)起的運行。ISO三次傳輸雙向認(rèn)證協(xié)議的Wiener攻擊2023/6/2第三十四頁，共七十九頁，編輯于2023年，星期日工作站－工作站協(xié)議（STS）Example6:工作站－工作站協(xié)議（STS）協(xié)議目的：Alice和Bob利用公鑰體制實現(xiàn)密鑰協(xié)商(即得到密鑰Kab（同時，該協(xié)議還實現(xiàn)了雙向?qū)嶓w認(rèn)證、雙向密鑰確認(rèn)、完善前向保密性和不可否認(rèn)性）協(xié)議組成：3條消息組成Alice(A)Bob(B)2023/6/2第三十五頁，共七十九頁，編輯于2023年，星期日工作站—工作站協(xié)議（STS）存在一個小小的瑕疵Example6:工作站－工作站協(xié)議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)攻擊結(jié)果：Alice被完全欺騙，她認(rèn)為和Bob進行了一次會話，并共享了某個會話密鑰，而Bob認(rèn)為和Malice運行了一次不完全的協(xié)議。隨后，Alice試圖與Bob進行安全通信，但是不會得到任何回應(yīng)。攻擊者Malice沒有得到會話密鑰，因此這種攻擊只是很小的一個瑕疵。2023/6/2第三十六頁，共七十九頁，編輯于2023年，星期日Example6:工作站－工作站協(xié)議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)不安全運行協(xié)議：如果協(xié)議實體的某一方（A）接受了對方的身份，但是對方運行協(xié)議的記錄與A的記錄不匹配。問題：該攻擊是否屬于協(xié)議攻擊？問題：什么是安全認(rèn)證？上述攻擊屬于攻擊的理由：（1）是不安全運行協(xié)議；（2）協(xié)議執(zhí)行后Alice資源被浪費（拒絕服務(wù)攻擊）上述攻擊成立的原因：消息缺乏消息主體身份信息！工作站—工作站協(xié)議（STS）存在一個小小的瑕疵（續(xù)）2023/6/2第三十七頁，共七十九頁，編輯于2023年，星期日簡化的工作站－工作站協(xié)議Example7:簡化的工作站－工作站協(xié)議協(xié)議目的：實現(xiàn)站間協(xié)議中的雙向認(rèn)證功能（唯認(rèn)證協(xié)議）。協(xié)議組成：3條消息組成Alice(A)Bob(B)簡化的工作站－工作站協(xié)議與ISO三次傳輸雙向協(xié)議的區(qū)別：前者沒有包括通信實體的身份。2023/6/2第三十八頁，共七十九頁，編輯于2023年，星期日唯認(rèn)證協(xié)議的“替換證書簽名攻擊”Alice(A)Malice(M)Bob(B)攻擊結(jié)果：Bob認(rèn)為他和Alice進行了一次對話（實際上和與Malice進行了一次對話）；而Alice認(rèn)為她只是與Malice進行了一次對話；B被Malice欺騙。Example7:唯認(rèn)證協(xié)議的“替換證書簽名攻擊”該攻擊對未簡化的站間協(xié)議并不適用，因為加密使得證書替換不可能。2023/6/2第三十九頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第四十頁，共七十九頁，編輯于2023年，星期日平行會話攻擊定義：在攻擊者Malice的安排下，一個協(xié)議的兩個或者多個的運行并發(fā)執(zhí)行。目的：平行會話使得從一個運行可以得到另外一個運行中困難性問題的答案。2023/6/2第四十一頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認(rèn)證協(xié)議Example8:Woo－Lam單向認(rèn)證協(xié)議協(xié)議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己(單向認(rèn)證）。協(xié)議組成：5條消息如果Bob解密所得到的正確的nonce，則信任AliceT.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.2023/6/2第四十二頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認(rèn)證協(xié)議（續(xù)）Example8:Woo－Lam單向認(rèn)證協(xié)議Alice(A)Trent(T)Bob(B)該協(xié)議在許多方面存在致命缺陷。隨后的許多修改版本也存在不同程度的缺陷。分析該協(xié)議可以從中學(xué)到很多協(xié)議設(shè)計的經(jīng)驗和教訓(xùn)。2023/6/2第四十三頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認(rèn)證協(xié)議的平行會話攻擊Example8:Woo－Lam協(xié)議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)結(jié)果：Bob拒絕和Malice的通信，而接受和Alice（實際上也是Malice）的通信。拒絕認(rèn)可2023/6/2第四十四頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認(rèn)證協(xié)議的平行會話攻擊（續(xù)）Woo－Lam單向認(rèn)證協(xié)議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)平行會話攻擊成功原因：消息參與者身份不明確。2023/6/2第四十五頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第四十六頁，共七十九頁，編輯于2023年，星期日反射攻擊定義：當(dāng)一個誠實的主體給某個意定的通信方發(fā)送消息時，攻擊者Malice截獲該消息，并將該消息返回給消息的發(fā)送者。注：攻擊者返回消息時，不一定時“原封不動”返回，他可能會對消息修改（比如通過修改底層通信協(xié)議中的地址和身份信息），使得消息發(fā)送者意識不到該消息是反射回來的。反射消息的目的是，使得該消息是對發(fā)送者的應(yīng)答或者詢問，從而欺騙消息發(fā)送者提供“預(yù)言服務(wù)”2023/6/2第四十七頁，共七十九頁，編輯于2023年，星期日反射攻擊（續(xù)）反射攻擊實現(xiàn)方式實例IP頭其他域IP源地址IP目的地址其他域IP頭其他域202.115.2.1211.2.1.1其他域IP頭其他域211.2.1.1202.115.2.1其他域2023/6/2第四十八頁，共七十九頁，編輯于2023年，星期日Example9:Woo－Lam單向認(rèn)證協(xié)議的一個修正協(xié)議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己。協(xié)議組成：5條消息在消息中加入了Alice的身份標(biāo)識。Woo－Lam單向認(rèn)證協(xié)議的一個修正2023/6/2第四十九頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認(rèn)證協(xié)議的一個修正（續(xù)）Alice(A)Trent(T)Bob(B)Example9:Woo－Lam單向認(rèn)證協(xié)議的一個修正修正協(xié)議可以防范平行會話攻擊。因為Malice發(fā)送的第五條消息是：而Bob期望的消息是：但是，該修正版本存在反射攻擊2023/6/2第五十頁，共七十九頁，編輯于2023年，星期日Woo－Lam協(xié)議的一個修正版本的反射攻擊Alice(A)Trent(T)Bob(B)Malice(M)Bob收到消息5后，解密后的Nb確實是他在消息2中所發(fā)送的，因此只能相信是來自于Alice的會話。Example9:Woo－Lam協(xié)議的一個修正版本的反射攻擊消息3是消息2的反射。Bob收到后只能視作密文而不能作其他操作。消息5是消息4的反射。2023/6/2第五十一頁，共七十九頁，編輯于2023年，星期日Woo－Lam協(xié)議有關(guān)Woo－Lam協(xié)議、修正及攻擊的有關(guān)信息參見文獻(xiàn)T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.1997

2023/6/2第五十二頁，共七十九頁，編輯于2023年，星期日交錯攻擊預(yù)言機（Oracle）中間人攻擊第7章協(xié)議安全技術(shù)（協(xié)議安全基礎(chǔ)B）消息重放平行會話攻擊反射攻擊其它2023/6/2第五十三頁，共七十九頁，編輯于2023年，星期日歸因于類型缺陷的攻擊定義：攻擊者欺騙某個主體，使得他把一次性隨機數(shù)、時戳或者身份等信息嵌入到某個密鑰中去，從而導(dǎo)致協(xié)議安全性被破壞原因：協(xié)議中的消息部分的類型信息不明確。2023/6/2第五十四頁，共七十九頁，編輯于2023年，星期日Example10:Neuman－Stubblebine協(xié)議協(xié)議目的：Alice和Bob在可信第三方的條件下實現(xiàn)認(rèn)證及密鑰交換協(xié)議組成：7或以上條消息組成Neuman,BCandStubblebine,SG,ANoteontheUseofTimestampsandNonces,OSReview27,2,Apr.1993.Na，Nb，Ma，Mb都是Nonce密鑰交換相互認(rèn)證作用是什么？Neuman－Stubblebine協(xié)議2023/6/2第五十五頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine協(xié)議Neuman－Stubblebine協(xié)議（續(xù)）2023/6/2第五十六頁，共七十九頁，編輯于2023年，星期日Example10:Neuman－Stubblebine協(xié)議密鑰交換相互認(rèn)證消息5－7實現(xiàn)雙向認(rèn)證，該過程可以重復(fù)進行；該過程稱之為重復(fù)認(rèn)證。{A,Kab,Tb}Kbs稱之為票據(jù)直到票據(jù){A,Kab,Tb}Kbs

過期。

Neuman－Stubblebine協(xié)議（續(xù)）2023/6/2第五十七頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine協(xié)議問題：協(xié)議安全問題在哪里？差異是什么？Kab&Na?Neuman－Stubblebine協(xié)議（續(xù)）2023/6/2第五十八頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)NaNaExample10:Neuman－Stubblebine協(xié)議的歸因于類型缺陷攻擊Malice(M)忽略消息3攻擊中，攻擊者Malice利用一次性Nonce替代Kab，如果Bob不能區(qū)別其類型，就會上當(dāng)受騙。原因：協(xié)議中的變量（如Kab）的類型沒有明確定義。Neuman－Stubblebine協(xié)議的類型缺陷攻擊2023/6/2第五十九頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議Example11Otway-ReeskeyexchangingprotocolProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesM,Na,Nbarenonces2023/6/2第六十頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議（續(xù)）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。問題：該協(xié)議哪里不安全？2023/6/2第六十一頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議（續(xù)）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。問題：該協(xié)議哪里不安全？2023/6/2第六十二頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議的歸因于類型缺陷攻擊Example11Otway-Reeskeyexchangingprotocol的歸因于類型缺陷攻擊Alice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Carol(C)攻擊結(jié)果：Alice將M||A||B視為密鑰Na外的數(shù)據(jù)（M||A||B)當(dāng)作會話密鑰Carol冒充Bob2023/6/2第六十三頁，共七十九頁，編輯于2023年，星期日歸因于姓名遺漏攻擊定義：如果與消息相關(guān)的主體的名字不能從消息中推斷出來，則攻擊者利用此缺陷所發(fā)動的攻擊稱之為“歸因與姓名遺漏攻擊”原因：在協(xié)議中，與消息相關(guān)的名字必須明確2023/6/2第六十四頁，共七十九頁，編輯于2023年，星期日Denning-Sacco密鑰交換協(xié)議Example12：Denning-SaccoKeyExchangeProtocol協(xié)議目的：:利用公鑰體制實現(xiàn)Alice和Bob之間會話密鑰的交換協(xié)議組成:3條消息CAandCBarecertificatesofAandBrespectively.2023/6/2第六十五頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密鑰交換協(xié)議（續(xù)）2023/6/2第六十六頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Carol(C)(3’)CA，CC，Ec(Sa(Kab,Ta))(1’)A，B(2’)CA，CBBob將消息3發(fā)送給另外一個主體Carol，使得Carol相信給Alice“獨享”的密鑰Kab

（實際上Bob知道該密鑰）Howtoattacktheprotocol？Example12：Denning-SaccoKeyExchangeProtocol原因：消息3本來的意思是：在時刻Ta，Alice說Kab是用于Alice和Bob通信的安全密鑰。但是參與者Alice的身份不能推導(dǎo)出來。Denning-Sacco密鑰交換協(xié)議（續(xù)）2023/6/2第六十七頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(A,B,Kab,Ta))TheidentificationsofAandBareincludedinthethirdmessagetodenotethatAandBcommunicatedeachother.AlthoughthenameofAcanbededucedfromka-1,itisnotenoughtoensurethatthemessagecomesfromA.Howtoremovetheflawsrecoveredinaboveprotocol?Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密鑰交換協(xié)議（續(xù)）2023/6/2第六十八頁，共七十九頁，編輯于2023年，星期日密碼服務(wù)濫用攻擊定義：協(xié)議中的密碼算法沒有提供正確的保護，從而在協(xié)議中缺少所需要的密碼保護。常見的密碼服務(wù)濫用攻擊包括：歸因于缺失數(shù)據(jù)完整性保護的攻擊歸因于缺失語義安全保護的攻擊攻擊者可以從密文中獲得部分信息對應(yīng)的可證安全性2023/6/2第六十九頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議的一種變形Example13Otway-Reeskeyexchangingprotocol的一種變形ProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesNa,NbarenoncesM是協(xié)議標(biāo)識變形：Nb與其他消息分開加密分開加密目的：使用加密來提供消息的新鮮性2023/6/2第七十頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議的一種變形（續(xù)）Alice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Example13Otway-Reeskeyexchangingprotocol的一種變形該變形同樣存在前面所描述的類型錯誤攻擊。除此之外，引來了其他攻擊2023/6/2第七十一頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協(xié)議的變形的密碼服務(wù)濫用攻擊Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Carol(C)攻擊結(jié)果：Bob認(rèn)為與