電子科技計算機科學與工程

電子科技計算機科學與工程2023/6/2第一頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第三頁，共七十九頁，編輯于2023年，星期日消息重放消息重放攻擊是指攻擊者利用其消息再生能力生成誠實用戶所期望的消息格式，并重新發(fā)送，從而達到破壞協議安全性的目的。消息重放的實質是消息的新鮮性（Freshness）不能得到保證。消息重放攻擊是安全協議中最容易出現的問題之一。2023/6/2第四頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協議攻擊者如果獲知以前的一個工作密鑰，可以重放消息EB（K，A）協議目的：基于認證服務器（PPT）實現雙向認證及密鑰交換。消息重放（續(xù)）2023/6/2第五頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）考慮誠實主體：它接收到的消息：輪內消息重放輪外消息重放延遲的消息它發(fā)送的消息：被返還被發(fā)往第三方被延遲2023/6/2第六頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）消息重放攻擊分類根據消息的來源：協議輪內攻擊：一個協議輪內消息重放協議輪外攻擊：一個協議不同輪次消息重放根據消息的去向：偏轉攻擊：改變消息的去向直接攻擊：將消息發(fā)送給意定接收方其中偏轉攻擊分為：反射攻擊：將消息返回給發(fā)送者第三方攻擊：將消息發(fā)給協議合法通信雙方之外的任一方2023/6/2第七頁，共七十九頁，編輯于2023年，星期日消息重放（續(xù)）消息重放對策挑戰(zhàn)－應答機制時戳機制（Timestamp）序列號機制（SequenceNo）通信雙方通過消息中的序列號來判斷消息的新鮮性要求通信雙方必須事先協商一個初始序列號，并協商遞增方法對消息蓋上本地時戳，只有當消息上的時戳與當前本地時間的差值在意定范圍之內，才接受該消息。要求有一個全局同步時鐘，但是如果雙方時鐘偏差過大或者允許的范圍過大，則可以被攻擊者利用。通過發(fā)送挑戰(zhàn)值（Nonce）來確保消息的新鮮性。2023/6/2第八頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A,T))EB(K,A,T）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder協議的時戳機制改進Bob收到消息后，根據本地時間和消息中的時戳，決定是否接受該消息協議目的：基于認證服務器（PPT）實現雙向認證及密鑰交換。消息重放（續(xù)）2023/6/2第九頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第十頁，共七十九頁，編輯于2023年，星期日中間人攻擊攻擊者Malice將自己偽裝于用戶Alice和Bob之間進行通信。許銀川胡榮華Littlegirl我可以戰(zhàn)勝胡榮華?。∨诙轿迮诙轿羼R八進七馬八進七2023/6/2第十一頁，共七十九頁，編輯于2023年，星期日Diffie－Hellman密鑰協商協議Example2:Diffie－Hellman密鑰協商協議協議目的：Alice和Bob利用公鑰體制建立一個新的共享密鑰Kab協議組成：2條消息組成A：計算Kab=gxyB：計算Kab=gxyDiffie-Hellman密鑰協商協議的理論依據的離散對數困難性問題。2023/6/2第十二頁，共七十九頁，編輯于2023年，星期日Diffie－Hellman密鑰協商協議（續(xù)）許銀川（A）胡榮華(B)Littlegirl（M）攻擊結果：M擁有A和B的密鑰，而A和B并不知道。2023/6/2第十三頁，共七十九頁，編輯于2023年，星期日一次性口令協議Example3:一次性口令協議（S/Key）協議目的：用戶通過口令向服務器認證，但口令不會重復。（口令認證協議）熟悉口令認證協議嗎?2023/6/2第十四頁，共七十九頁，編輯于2023年，星期日口令認證協議－明文形式存放的口令表身份標識注冊口令ID1PW1ID2PW2ID3PW3........IDnPWn拒絕N明文形式存放的口令表IDOK？用戶輸入ID查找與該ID對應的PW相同？拒絕NY接受Y用戶輸入PWPW‘IDPW2023/6/2第十五頁，共七十九頁，編輯于2023年，星期日口令認證協議－基于單向hash函數的口令表拒絕身份標識注冊口令ID1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)Hash值形式存放的口令表IDOK？用戶輸入ID查找與該ID對應的H(PW)相同？接受拒絕NNYY用戶輸入PW用預定的Hash函數計算H(PW‘)H(PW)ID2023/6/2第十六頁，共七十九頁，編輯于2023年，星期日口令認證協議－基于單向hash函數和“鹽”的口令表身份標識注冊口令鹽ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn“加鹽”Hash值形式存放的口令表IDOK？用戶輸入ID拒絕查找與該ID對應的H(PW)相同？接受拒絕NNYY用戶輸入PW用預定的Hash函數計算H(PW‘+R)H(PW+R)IDR2023/6/2第十七頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)一次性口令機制確保在每次認證中所使用的口令不同，以對付重放攻擊。確定口令的方法：（1）兩端共同擁有一串隨機口令，在該串的某一位置保持同步；

（2）兩端共同使用一個隨機序列生成器，在該序列生成器的初態(tài)保持同步；

（3）使用時戳，兩端維持同步的時鐘。S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第十八頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)（續(xù)）其安全性依賴于一個單向函數。為建立這樣的系統(tǒng)A輸入一隨機數Pu，計算機計算f（Pu）,f（f（Pu）），f（f（f（Pu））），…,共計算n次，計算得到的數為x1,x2,x3,…xn，A打印出這樣的表，隨身攜帶，計算機將xn存在A的名字旁邊。第一次登錄，鍵入xn-1，計算機xn，并與存儲的xn比較，相同則認證通過；否則認真失敗。以后依次鍵入xi，計算機計算f(xi)，并將它與xi+1比較。S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第十九頁，共七十九頁，編輯于2023年，星期日一次性口令系統(tǒng)（續(xù)）客戶端S/KEY服務器口令計算器1.用戶登錄2.登錄請求3.S/KEY質詢4.輸入私鑰5.私鑰與質詢輸入計算器6.產生本次口令7.傳送口令S/Key（Simplekey):一次性口令系統(tǒng)2023/6/2第二十頁，共七十九頁，編輯于2023年，星期日一次性口令協議Example3:一次性口令協議（S/Key）身份標識fc(Pu)c值ID1····f(P1)R1ID2f(P2)R2ID3f(P3)R3...........IDnf(Pn)Rn協議目的：用戶通過口令向服務器認證，但口令不會重復,從而有效防御口令在線猜測攻擊。（口令認證協議）協議組成：口令存儲表＋3條消息組成口令存儲表2023/6/2第二十一頁，共七十九頁，編輯于2023年，星期日一次性口令協議（續(xù)）許銀川（A）Littlegirl（B）Example3:一次性口令協議（S/Key）討論：（1）盡管S/Key中口令明文傳送，但是可以抵抗口令的在線竊聽攻擊（2）S/Key協議是否安全？問題：口令明文傳送是否有問題？考慮：協議是雙向認證還是單向認證？單向認證中，Alice為什么要相信計數器值c是Bob發(fā)送的？2023/6/2第二十二頁，共七十九頁，編輯于2023年，星期日一次性口令協議的中間人攻擊許銀川（A）Littlegirl（M）Example3:一次性口令協議（S/Key）的中間人攻擊攻擊結果：攻擊者Malice獲得了fc-2,下一次他就可以用用戶的ID登錄了。胡榮華(B)2023/6/2第二十三頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認證協議Example4:Needham－Schroeder公鑰認證協議協議目的：Alice和Bob利用公鑰體制建立一個新的共享秘密Na，Nb，并實現認證協議組成：7條消息組成討論：消息1，2，4，5是獲得公鑰，3，6，7是A和B相互認證。如果假設公鑰已知，協議可以簡化：2023/6/2第二十四頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認證協議的中間人攻擊許銀川（A）胡榮華(B)Littlegirl（M）攻擊結果：B認為她和A建立了共享秘密，而實際上她和M建立了共享秘密。上述攻擊可以成功的原因之一：在消息（3）中，A無意之間為M解了B的Nonce（Nb）。主體無意地為攻擊這執(zhí)行了一個密碼運算時，該主體被認為用作了預言機。2023/6/2第二十五頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二十六頁，共七十九頁，編輯于2023年，星期日預言機攻擊

主體無意地為攻擊這執(zhí)行了一個密碼運算時，該主體被認為用作了預言機（或稱該主體提供了預言服務）。如果存在主體可以提供預言服務，該主體可能被誘導執(zhí)行某個協議的一些步驟，從而幫助攻擊者得到一些他原本無法得到地信息。2023/6/2第二十七頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認證協議的預言機（Oracle）攻擊許銀川（A）胡榮華(M)Littlegirl（B）成功的原因之二：M利用了該協議的多個運行實例，從而將不同協議的消息交織在一起（如（1‘）、（2’）和消息（2））。攻擊者將某個協議的兩個或者多個運行實例安排為以交織的方法執(zhí)行，從而使得攻擊這獲得不應當獲得的信息，這種攻擊叫做交錯攻擊。協議1協議22023/6/2第二十八頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第二十九頁，共七十九頁，編輯于2023年，星期日交錯攻擊定義攻擊者將某個協議的兩個或者多個運行實例安排為以交織的方法執(zhí)行。結果是：（1）攻擊者可以合成某條消息，并發(fā)送各某個運行中的主體，期望收到該主體的一個應答；（2）而該應答可能對于另外某個運行中的另外一個主體是有用的；（3）在接下來的運行中，從前面運行中得到的應答可能促使后面的主體對某個問題作出應答，而該應答又恰好能運用于第一個運行。2023/6/2第三十頁，共七十九頁，編輯于2023年，星期日Needham-Schroeder公鑰認證協議的交錯攻擊許銀川（A）胡榮華(M)Littlegirl（B）（1）攻擊者構造消息（2）該應答對于M是有用的（3）應答使得A作出應答2023/6/2第三十一頁，共七十九頁，編輯于2023年，星期日ISO三次傳輸雙向認證協議Example5:ISO三次傳輸雙向認證協議協議目的：Alice和Bob利用公鑰體制實現雙向認證協議組成：3條消息組成Alice(A)Bob(B)2023/6/2第三十二頁，共七十九頁，編輯于2023年，星期日Example5:ISO三次傳輸雙向認證協議的Wiener攻擊（加拿大人攻擊）攻擊協議的關鍵：第三條消息在上述消息中，A信任B的條件是：A能用B的公鑰解密消息得到Na，并與自己發(fā)送的Na相比較。如果相同則信任；否則不信任。對于Nb，只要求明文和解密結果中所得到的值相同即可。攻擊者M無法回答第三條消息（沒有B的私鑰）攻擊者M向B發(fā)起一次通信（得到B用私鑰簽名的消息）ISO三次傳輸雙向認證協議的交錯攻擊2023/6/2第三十三頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Example5:ISO三次傳輸雙向認證協議的Wiener攻擊（加拿大人攻擊）Mallory通過與B通信，得到所期望的應答消息攻擊結果：A認為B發(fā)起了一次協議通信，并接受了該B的身份；而B實際上沒有發(fā)起協議，而且在等待由M（A）發(fā)起的運行。ISO三次傳輸雙向認證協議的Wiener攻擊2023/6/2第三十四頁，共七十九頁，編輯于2023年，星期日工作站－工作站協議（STS）Example6:工作站－工作站協議（STS）協議目的：Alice和Bob利用公鑰體制實現密鑰協商(即得到密鑰Kab（同時，該協議還實現了雙向實體認證、雙向密鑰確認、完善前向保密性和不可否認性）協議組成：3條消息組成Alice(A)Bob(B)2023/6/2第三十五頁，共七十九頁，編輯于2023年，星期日工作站—工作站協議（STS）存在一個小小的瑕疵Example6:工作站－工作站協議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)攻擊結果：Alice被完全欺騙，她認為和Bob進行了一次會話，并共享了某個會話密鑰，而Bob認為和Malice運行了一次不完全的協議。隨后，Alice試圖與Bob進行安全通信，但是不會得到任何回應。攻擊者Malice沒有得到會話密鑰，因此這種攻擊只是很小的一個瑕疵。2023/6/2第三十六頁，共七十九頁，編輯于2023年，星期日Example6:工作站－工作站協議（STS）存在一個小小的瑕疵Alice(A)Malice(M)Bob(B)不安全運行協議：如果協議實體的某一方（A）接受了對方的身份，但是對方運行協議的記錄與A的記錄不匹配。問題：該攻擊是否屬于協議攻擊？問題：什么是安全認證？上述攻擊屬于攻擊的理由：（1）是不安全運行協議；（2）協議執(zhí)行后Alice資源被浪費（拒絕服務攻擊）上述攻擊成立的原因：消息缺乏消息主體身份信息！工作站—工作站協議（STS）存在一個小小的瑕疵（續(xù)）2023/6/2第三十七頁，共七十九頁，編輯于2023年，星期日簡化的工作站－工作站協議Example7:簡化的工作站－工作站協議協議目的：實現站間協議中的雙向認證功能（唯認證協議）。協議組成：3條消息組成Alice(A)Bob(B)簡化的工作站－工作站協議與ISO三次傳輸雙向協議的區(qū)別：前者沒有包括通信實體的身份。2023/6/2第三十八頁，共七十九頁，編輯于2023年，星期日唯認證協議的“替換證書簽名攻擊”Alice(A)Malice(M)Bob(B)攻擊結果：Bob認為他和Alice進行了一次對話（實際上和與Malice進行了一次對話）；而Alice認為她只是與Malice進行了一次對話；B被Malice欺騙。Example7:唯認證協議的“替換證書簽名攻擊”該攻擊對未簡化的站間協議并不適用，因為加密使得證書替換不可能。2023/6/2第三十九頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第四十頁，共七十九頁，編輯于2023年，星期日平行會話攻擊定義：在攻擊者Malice的安排下，一個協議的兩個或者多個的運行并發(fā)執(zhí)行。目的：平行會話使得從一個運行可以得到另外一個運行中困難性問題的答案。2023/6/2第四十一頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認證協議Example8:Woo－Lam單向認證協議協議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己(單向認證）。協議組成：5條消息如果Bob解密所得到的正確的nonce，則信任AliceT.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.2023/6/2第四十二頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認證協議（續(xù)）Example8:Woo－Lam單向認證協議Alice(A)Trent(T)Bob(B)該協議在許多方面存在致命缺陷。隨后的許多修改版本也存在不同程度的缺陷。分析該協議可以從中學到很多協議設計的經驗和教訓。2023/6/2第四十三頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認證協議的平行會話攻擊Example8:Woo－Lam協議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)結果：Bob拒絕和Malice的通信，而接受和Alice（實際上也是Malice）的通信。拒絕認可2023/6/2第四十四頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認證協議的平行會話攻擊（續(xù)）Woo－Lam單向認證協議的平行會話攻擊Alice(A)Trent(T)Bob(B)Malice(M)平行會話攻擊成功原因：消息參與者身份不明確。2023/6/2第四十五頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第四十六頁，共七十九頁，編輯于2023年，星期日反射攻擊定義：當一個誠實的主體給某個意定的通信方發(fā)送消息時，攻擊者Malice截獲該消息，并將該消息返回給消息的發(fā)送者。注：攻擊者返回消息時，不一定時“原封不動”返回，他可能會對消息修改（比如通過修改底層通信協議中的地址和身份信息），使得消息發(fā)送者意識不到該消息是反射回來的。反射消息的目的是，使得該消息是對發(fā)送者的應答或者詢問，從而欺騙消息發(fā)送者提供“預言服務”2023/6/2第四十七頁，共七十九頁，編輯于2023年，星期日反射攻擊（續(xù)）反射攻擊實現方式實例IP頭其他域IP源地址IP目的地址其他域IP頭其他域202.115.2.1211.2.1.1其他域IP頭其他域211.2.1.1202.115.2.1其他域2023/6/2第四十八頁，共七十九頁，編輯于2023年，星期日Example9:Woo－Lam單向認證協議的一個修正協議目的：在存在可信第三方的條件下，即使Alice和Bob開始互相不相識，但是Alice仍然能夠向Bob證明自己。協議組成：5條消息在消息中加入了Alice的身份標識。Woo－Lam單向認證協議的一個修正2023/6/2第四十九頁，共七十九頁，編輯于2023年，星期日Woo－Lam單向認證協議的一個修正（續(xù)）Alice(A)Trent(T)Bob(B)Example9:Woo－Lam單向認證協議的一個修正修正協議可以防范平行會話攻擊。因為Malice發(fā)送的第五條消息是：而Bob期望的消息是：但是，該修正版本存在反射攻擊2023/6/2第五十頁，共七十九頁，編輯于2023年，星期日Woo－Lam協議的一個修正版本的反射攻擊Alice(A)Trent(T)Bob(B)Malice(M)Bob收到消息5后，解密后的Nb確實是他在消息2中所發(fā)送的，因此只能相信是來自于Alice的會話。Example9:Woo－Lam協議的一個修正版本的反射攻擊消息3是消息2的反射。Bob收到后只能視作密文而不能作其他操作。消息5是消息4的反射。2023/6/2第五十一頁，共七十九頁，編輯于2023年，星期日Woo－Lam協議有關Woo－Lam協議、修正及攻擊的有關信息參見文獻T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.1997

2023/6/2第五十二頁，共七十九頁，編輯于2023年，星期日交錯攻擊預言機（Oracle）中間人攻擊第7章協議安全技術（協議安全基礎B）消息重放平行會話攻擊反射攻擊其它2023/6/2第五十三頁，共七十九頁，編輯于2023年，星期日歸因于類型缺陷的攻擊定義：攻擊者欺騙某個主體，使得他把一次性隨機數、時戳或者身份等信息嵌入到某個密鑰中去，從而導致協議安全性被破壞原因：協議中的消息部分的類型信息不明確。2023/6/2第五十四頁，共七十九頁，編輯于2023年，星期日Example10:Neuman－Stubblebine協議協議目的：Alice和Bob在可信第三方的條件下實現認證及密鑰交換協議組成：7或以上條消息組成Neuman,BCandStubblebine,SG,ANoteontheUseofTimestampsandNonces,OSReview27,2,Apr.1993.Na，Nb，Ma，Mb都是Nonce密鑰交換相互認證作用是什么？Neuman－Stubblebine協議2023/6/2第五十五頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine協議Neuman－Stubblebine協議（續(xù)）2023/6/2第五十六頁，共七十九頁，編輯于2023年，星期日Example10:Neuman－Stubblebine協議密鑰交換相互認證消息5－7實現雙向認證，該過程可以重復進行；該過程稱之為重復認證。{A,Kab,Tb}Kbs稱之為票據直到票據{A,Kab,Tb}Kbs

過期。

Neuman－Stubblebine協議（續(xù)）2023/6/2第五十七頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine協議問題：協議安全問題在哪里？差異是什么？Kab&Na?Neuman－Stubblebine協議（續(xù)）2023/6/2第五十八頁，共七十九頁，編輯于2023年，星期日Alice(A)Trent(T)Bob(B)NaNaExample10:Neuman－Stubblebine協議的歸因于類型缺陷攻擊Malice(M)忽略消息3攻擊中，攻擊者Malice利用一次性Nonce替代Kab，如果Bob不能區(qū)別其類型，就會上當受騙。原因：協議中的變量（如Kab）的類型沒有明確定義。Neuman－Stubblebine協議的類型缺陷攻擊2023/6/2第五十九頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議Example11Otway-ReeskeyexchangingprotocolProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesM,Na,Nbarenonces2023/6/2第六十頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議（續(xù)）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。問題：該協議哪里不安全？2023/6/2第六十一頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議（續(xù)）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。問題：該協議哪里不安全？2023/6/2第六十二頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議的歸因于類型缺陷攻擊Example11Otway-Reeskeyexchangingprotocol的歸因于類型缺陷攻擊Alice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Carol(C)攻擊結果：Alice將M||A||B視為密鑰Na外的數據（M||A||B)當作會話密鑰Carol冒充Bob2023/6/2第六十三頁，共七十九頁，編輯于2023年，星期日歸因于姓名遺漏攻擊定義：如果與消息相關的主體的名字不能從消息中推斷出來，則攻擊者利用此缺陷所發(fā)動的攻擊稱之為“歸因與姓名遺漏攻擊”原因：在協議中，與消息相關的名字必須明確2023/6/2第六十四頁，共七十九頁，編輯于2023年，星期日Denning-Sacco密鑰交換協議Example12：Denning-SaccoKeyExchangeProtocol協議目的：:利用公鑰體制實現Alice和Bob之間會話密鑰的交換協議組成:3條消息CAandCBarecertificatesofAandBrespectively.2023/6/2第六十五頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密鑰交換協議（續(xù)）2023/6/2第六十六頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Carol(C)(3’)CA，CC，Ec(Sa(Kab,Ta))(1’)A，B(2’)CA，CBBob將消息3發(fā)送給另外一個主體Carol，使得Carol相信給Alice“獨享”的密鑰Kab

（實際上Bob知道該密鑰）Howtoattacktheprotocol？Example12：Denning-SaccoKeyExchangeProtocol原因：消息3本來的意思是：在時刻Ta，Alice說Kab是用于Alice和Bob通信的安全密鑰。但是參與者Alice的身份不能推導出來。Denning-Sacco密鑰交換協議（續(xù)）2023/6/2第六十七頁，共七十九頁，編輯于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(A,B,Kab,Ta))TheidentificationsofAandBareincludedinthethirdmessagetodenotethatAandBcommunicatedeachother.AlthoughthenameofAcanbededucedfromka-1,itisnotenoughtoensurethatthemessagecomesfromA.Howtoremovetheflawsrecoveredinaboveprotocol?Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密鑰交換協議（續(xù)）2023/6/2第六十八頁，共七十九頁，編輯于2023年，星期日密碼服務濫用攻擊定義：協議中的密碼算法沒有提供正確的保護，從而在協議中缺少所需要的密碼保護。常見的密碼服務濫用攻擊包括：歸因于缺失數據完整性保護的攻擊歸因于缺失語義安全保護的攻擊攻擊者可以從密文中獲得部分信息對應的可證安全性2023/6/2第六十九頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議的一種變形Example13Otway-Reeskeyexchangingprotocol的一種變形ProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesNa,NbarenoncesM是協議標識變形：Nb與其他消息分開加密分開加密目的：使用加密來提供消息的新鮮性2023/6/2第七十頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議的一種變形（續(xù)）Alice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Example13Otway-Reeskeyexchangingprotocol的一種變形該變形同樣存在前面所描述的類型錯誤攻擊。除此之外，引來了其他攻擊2023/6/2第七十一頁，共七十九頁，編輯于2023年，星期日Otway-Rees密鑰交換協議的變形的密碼服務濫用攻擊Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Carol(C)攻擊結果：Bob認為與