安全协议_认证协议

1、第第2讲讲 认证协议认证协议网络安全协议 经典认证协议主要内容主要内容1 1针对经典认证协议的攻击2 2其他重要的认证协议3 3认证协议的设计原则4 4网络安全协议 认证协议是网络安全的一个重要组成部分，需要通过认证协议进行实体之间的认证、在实体之间安全地分配密钥或其他各种秘密、确认发送和接受的消息的非否认性等。近年来，认证协议越来越多地用于保护因特网上传送的各种交易，保护针对计算机系统的访问。但是经验表明，设计和分析一个正确的认证协议是一项十分困难任务。迄今所知的许多协议都存在这样或那样的安全缺陷，其原因是多方面的，例如，缺乏正确设计认证协议的指导原则；对认证协议进行非形式化的推理分析；缺乏

2、有力地分析认证协议的形式化工具；没有考虑到针对认证协议的多种攻击类型等。因此，目前的状况大体是：设计一个认证协议发现其安全缺陷改进该协议发现新的安全缺陷进一步改进该协议 基本概念 网络安全协议 1997年,Clark和Jacob对认证协议进行了概括和总结，并列举了一系列有研究意义和实用价值的认证协议。他们将认证协议如下进行分类：（1）无可信第三方的对称密钥协议。（2）应用密码校验函数的认证协议。 （3）具有可信第三方的对称密钥协议。（4）对称密钥重复认证协议。（5）无可信第三方的公开密钥协议。（6）具有可信第三方的公开密钥协议。 认证协议的分类 网络安全协议 1.经典认证协议经典认证协议 本节

3、介绍几个典型的经典认证协议，他们的共本节介绍几个典型的经典认证协议，他们的共同特点是：都是早期设计的认证协议，反映了同特点是：都是早期设计的认证协议，反映了当时的设计和分析水平。它们或多或少都存在当时的设计和分析水平。它们或多或少都存在一些安全缺陷，但是它们在认证协议的发展史一些安全缺陷，但是它们在认证协议的发展史中都起过重要的作用，为今天认证协议设计与中都起过重要的作用，为今天认证协议设计与分析技术的发展积累了宝贵的经验。其中，许分析技术的发展积累了宝贵的经验。其中，许多认证协议已经成为认证协议设计与分析的多认证协议已经成为认证协议设计与分析的“试验床试验床”，即每当出现一个新的形式化分析方

4、，即每当出现一个新的形式化分析方法，都要先分析这几个认证协议，验证新方法法，都要先分析这几个认证协议，验证新方法的有效性。同时，研究人员也经常以它们为例，的有效性。同时，研究人员也经常以它们为例，说明认证协议的设计原则和各种不同分析方法说明认证协议的设计原则和各种不同分析方法的特点。的特点。网络安全协议 Needham-Schroeder认证协议是认证协议是1978年提出的，在认证协议的发展史年提出的，在认证协议的发展史中具有历程培的意义。该协议就是一个中具有历程培的意义。该协议就是一个最常用的认证协议与分析的最常用的认证协议与分析的“试验床试验床”。它可以分为对称密码体制和非对称密码它可以分

5、为对称密码体制和非对称密码体制下的两种版本，分别简称体制下的两种版本，分别简称NSSK协协议和议和NSPK协议。协议。 NSSK 协议 网络安全协议 NSSK协议的目的是在通信双方之间分配会话密协议的目的是在通信双方之间分配会话密钥。其中，前钥。其中，前3条消息的作用是主体条消息的作用是主体A在认证服务在认证服务器器S的帮助下，进行会话密钥的分配。后的帮助下，进行会话密钥的分配。后2条消息条消息的目的是使的目的是使B相信相信A现在在线，但不能使现在在线，但不能使B相信会相信会话密钥是新鲜的。该协议如图话密钥是新鲜的。该协议如图2-1所示。所示。 NSSK 协议 ababbsasbsKbKbKa

6、bKKababaaNBANABAKBAAKKBNASNBASA1: 5: 4,: 3, ,: 2,: 1网络安全协议 BAS12345图图2-1 NSSK协议协议网络安全协议 （1） 针对针对NSSK协议的协议的“新鲜性新鲜性”型攻击型攻击1:)( 5: )( 4,:)( 3, ,: 2,: 1ababbsasbsKbKbKabKKababaaNBAPNAPBAKBAPAKKBNASNBASA网络安全协议 （2） 针对上述攻击的改进针对上述攻击的改进bsasbsKabKKababTKABATKATKBASBASA,: 3, ,: 2,: 1解决这一问题的另一个方法是，令解决这一问题的另一个方法

7、是，令B B也向也向S S发送一个临时值，然后发送一个临时值，然后S S将将B B的临时值放在发送给的临时值放在发送给B B的密钥证书中。的密钥证书中。网络安全协议 攻击攻击NSSK协议的一种新方法协议的一种新方法 即使攻击者即使攻击者P没有得到泄漏的会话密钥，没有得到泄漏的会话密钥，A也不能通过消息也不能通过消息3、4、5推断出推断出B知道会话密钥。攻击如下：知道会话密钥。攻击如下： 网络安全协议 改进：改进：ababbsasbsKbKabKsabaKKsabaabaaNBANNABTKANBATKANKBNASNBASA : . 5, , : . 4, , , , : . 3, , , ,

8、 , , , : . 2, , ,: . 1网络安全协议 NSPK 协议 BAS12236745basbsKbKbaKaKaKbNBANNABAKBSABSBANBABKASBASA: 7,: 6,:5,:4,: 3,:2,:111图2-2 NSPK协议 以其他大多数公开密钥认证协议不同，以其他大多数公开密钥认证协议不同，NSPKNSPK协议的目的是使通信协议的目的是使通信双方安全地交换两个彼此独立的秘密。双方安全地交换两个彼此独立的秘密。网络安全协议 针对针对NSPK协议的攻击协议的攻击 针对针对NSPK协议的最有名的攻击来自协议的最有名的攻击来自Lowe。 Lowe指出，指出， NSPK协

9、议的主要安全缺陷在于其协议的主要安全缺陷在于其中的消息中的消息6。由于消息中没有。由于消息中没有B的标识符，攻击者的标识符，攻击者可以假冒可以假冒B的身份发送消息的身份发送消息6。网络安全协议 网络安全协议 basbsKbKbaKaKaKbNBANNBABAKBSABSBANBABKASBASA: 7,: 6,:5,:4,: 3,:2,:111改进后的NSPK协议：网络安全协议 Otway-Rees协议是协议是1978年提出的一种早期的认证协议。年提出的一种早期的认证协议。 Otway-Rees 协协议议 SAB14223asbsasbsasasKabaKabbKabaKbKaKaKNMABK

10、NKNMBSBAMNBAMNBAMSBBAMNBAMBA, ,: 4, , ,: 3, , ,: 2, ,: 1图2-3 Otway-Rees协议 网络安全协议 注意注意：在：在Otway-Rees协议中，协议中，M是会话识别是会话识别号；而临时值号；而临时值 和和 不仅提供了时序信息，不仅提供了时序信息，还因为在消息还因为在消息1和消息和消息2中受到了加密保护，所以中受到了加密保护，所以在消息在消息4和消息和消息5中这两个临时值作为主体身份的中这两个临时值作为主体身份的替身出现。替身出现。S检查消息检查消息2中两个加密消息内的中两个加密消息内的M,A,B是否一致，如果匹配，才会为是否一致，如

11、果匹配，才会为A,B生成会生成会话密钥话密钥 ，并向，并向B发送消息发送消息3。aNbNabK网络安全协议 针对针对Otway-Rees协议的协议的“类型缺陷类型缺陷”型攻击型攻击 “类型攻击类型攻击”的特点是利用认证协议实现时的固的特点是利用认证协议实现时的固定格式对协议进行攻击。假定在定格式对协议进行攻击。假定在Otway-Rees协议中，协议中，M的长度是的长度是64比特，比特，A和和B的长度各为的长度各为32比特，会话密钥的长度为比特，会话密钥的长度为128比特。用户比特。用户A在在发起协议后，预期在协议的第发起协议后，预期在协议的第4步可以收回他在协步可以收回他在协议第议第1步建立的

12、临时值，以及认证服务器步建立的临时值，以及认证服务器S为他分为他分配的会话密钥。这时，攻击者配的会话密钥。这时，攻击者P可以冒充可以冒充B，重放，重放消息消息1中的加密分量，将它作为消息中的加密分量，将它作为消息4中的加密分中的加密分量发送给量发送给A，攻击过程如下：，攻击过程如下：asasKaKaBAMNMABPBAMNBAMBPA, ,:)( 4, ,: )( 1网络安全协议 攻击者还可以冒充认证服务器攻击者还可以冒充认证服务器S攻击攻击Otway-Rees协议。这时，协议。这时，P只需将消息只需将消息2中的加密分量中的加密分量重放给重放给B即可。攻击过程如下：即可。攻击过程如下：asbs

13、asbsasasKaKbKaKbKaKaBAMNMABBAMNBAMNMBSPBAMNBAMNBAMSPBBAMNBAMBA, ,: 4, , ,:)( 3, , ,: )( 2, ,: 1网络安全协议 Otway-Rees协议协议Abadi-Needham改进版本改进版本aNBABA,:baNNBASB,:baNNBASB,:bsasKabbKabaKBANKBANBS,:asKabbKBANAB,:1 2 3 4 网络安全协议 攻击攻击Otway-Rees协议的协议的2种新方法（卿种新方法（卿斯汉发现）斯汉发现）（1）攻击原始）攻击原始Otway-Rees协议的一种协议的一种新方法新方法网

14、络安全协议 网络安全协议 该攻击的成功需要对服务器该攻击的成功需要对服务器S进行下述假设：进行下述假设：（1）服务器）服务器S对对A,B之间时间相隔很短的之间时间相隔很短的两次密钥申请不进行限制；两次密钥申请不进行限制；（2）服务器）服务器S只对消息只对消息2中两个加密消息内中两个加密消息内的会话识别号的会话识别号M及主体身份进行匹配检查，及主体身份进行匹配检查，而对而对A,B之间密钥分配请求中的之间密钥分配请求中的M不做记录。不做记录。网络安全协议 （2）攻击）攻击Otway-Rees协议协议Abadi-Needham改进版本的一种新方法改进版本的一种新方法aNBABA,:1. . 1 .

15、2 baNNBASPB,: . 2 . 2 paNNBASBP,:.2 bpNNBASBP,:. 1 . 3 bsasKabpKabaKBANKBANBPS,:.3 bsasKabbKabpKBANKBANBPS,:. 2 . 3 bsasKabbKabaKBANKBANBSP,: . 4asKabaKBANAB,: 网络安全协议 注意：注意：这种攻击的成功，也需要关于服务器这种攻击的成功，也需要关于服务器S的如下假设成立：的如下假设成立：S对对A,B之间时间间隔之间时间间隔很短的两次密钥申请不进行限制。很短的两次密钥申请不进行限制。网络安全协议 1988年提出的年提出的Yahalom协议是另

16、外一个经典认证协议。该协协议是另外一个经典认证协议。该协议的特别之处在于，议的特别之处在于，A向向S间接发送临时值，并从间接发送临时值，并从S处直接取处直接取得会话密钥，得会话密钥，B直接发送临时值，并从直接发送临时值，并从S处间接得到会话密钥。处间接得到会话密钥。 Yahalom 协协议议 SAB3241abbsbsasbsKbKabKabKbaabKbaaNKABAKANNKBASNNABSBNABA ,: 4, ,: 3, ,: 2,: 1图2-4 Yahalom协议 网络安全协议 BAN逻辑的分析结果与逻辑的分析结果与Yahalom协议的改进建议协议的改进建议 应用应用BAN逻辑分析逻

17、辑分析Yahalom协议的结果表明，如果协议的结果表明，如果A在在第第4条消息中选择一个旧密钥重放给条消息中选择一个旧密钥重放给B，则，则B不可能发现这不可能发现这个问题。为此，对个问题。为此，对Yahalom协议作了如下修改，修改后协议作了如下修改，修改后的协议成为的协议成为BAN- Yahalom协议。协议。abbsbsasbsKbKbabKbabKaabbKabaNNKABANKANKBNASNANBSBNABA ,: 4, ,: 3,: 2,: 1，网络安全协议 针对针对BAN-Yahalom协议的攻击协议的攻击网络安全协议 Andrew 安安全全 RPC 协协议议 BA22134ab

18、abababKbabKbKbaKaNKABNBANNABNABA,: 41: 3, 1: 2 ,: 1图2-5 Andrew安全RPC协议 网络安全协议 针对针对Andrew安全安全RPC协议的攻击协议的攻击 （1） 针对针对Andrew安全安全RPC协议的协议的“类型缺陷类型缺陷”型攻击型攻击 假设临时值、序列号与密钥的长度都相同，例如均为假设临时值、序列号与密钥的长度都相同，例如均为128比比特，则攻击者特，则攻击者P可以记录监听到的消息可以记录监听到的消息2，截获，截获A发送给发送给B的的消息消息3，并在第，并在第4步重放消息步重放消息2给给A。攻击过程如下：。攻击过程如下：ababab

19、abKbaKbKbaKaNNABPNBPANNABNABA, 1:)( 41: )( 3, 1: 2 ,: 1网络安全协议 如此协议执行后，如此协议执行后，A相信临时值相信临时值 是服务器是服务器B新分配给她的会话密钥，因此攻击是有效的。虽新分配给她的会话密钥，因此攻击是有效的。虽然，这时攻击者并不一定知道新的会话密钥然，这时攻击者并不一定知道新的会话密钥 。但是，临时值的作用与密钥不同，绝对不能当作但是，临时值的作用与密钥不同，绝对不能当作会话密钥使用。猜测密钥要比猜测临时值困难得会话密钥使用。猜测密钥要比猜测临时值困难得多。因为，在协议的各个回合中，临时值均不相多。因为，在协议的各个回合中

20、，临时值均不相同就足够了，并不要求临时值一定是随机的。因同就足够了，并不要求临时值一定是随机的。因此，临时值往往容易猜测。此，临时值往往容易猜测。1aN1aN网络安全协议 （2） 针对针对Andrew 安全安全RPC协议的协议的“新鲜性新鲜性”型攻击型攻击 攻击者攻击者P可以记录在协议前一个回合中监听可以记录在协议前一个回合中监听到的消息到的消息4，并在第，并在第4步重放该消息给步重放该消息给A。网络安全协议 “大嘴青蛙大嘴青蛙”协议是由协议是由Burrows提出的，这是一种提出的，这是一种最简单的、应用对称密码的三方认证协议。最简单的、应用对称密码的三方认证协议。 “大大嘴嘴青青蛙蛙”协协议

21、议 SAB12bsasKabsKabaKATBSKBTASA,: 2, ,: 1图2-6 “大嘴青蛙”协议 网络安全协议 针对针对“大嘴青蛙大嘴青蛙”协议的攻击协议的攻击这个简单的协议有多种安全缺陷，攻击它也有多种这个简单的协议有多种安全缺陷，攻击它也有多种方法。一种方法是在有效的时间范围内重放第方法。一种方法是在有效的时间范围内重放第1个个消息，其后果实将进行重新认证。第二种攻击方法消息，其后果实将进行重新认证。第二种攻击方法需要应用需要应用3个协议回合，攻击过程如下：个协议回合，攻击过程如下： bsasasbsbsasKabsKabsKabsKabsKabsKabaKATBPSKBTASA

22、PKBTAPSKATBSBPKATBSKBTASA,: )( 2, ,:)( 1,: )( 2, ,:)( 1,: 2, ,: 1网络安全协议 在回合在回合1中，攻击者中，攻击者P记录记录A与与B之间的一次之间的一次会话。然后，在第会话。然后，在第2与第与第3回合，攻击者假回合，攻击者假冒冒A与与B从从S处获得对他有用的消息处获得对他有用的消息 和和 这时，攻击者这时，攻击者P可以假冒可以假冒S向向A与与B重放上述重放上述消息，引起消息，引起A与与B之间的重新认证。之间的重新认证。bsasKabsKabsKATBSPKBTASP,:)( 2,:)( 1 2 2网络安全协议 2.其他重要的认证协

23、议其他重要的认证协议 （1） Helsinki协议的描述协议的描述Helsinki协议是国际标准协议是国际标准ISO/IEC DIS 11770-3中提出的中提出的认证协议草案。认证协议草案。 Helsinki 协协议议 BA2213图2-8 Helsinki协议 网络安全协议 Helsinki协议的目标是为主体协议的目标是为主体A和和B安全地分配安全地分配一个共享会话密钥一个共享会话密钥 ，他最终由，他最终由 和和 和单向函数和单向函数 确定，即确定，即bKbarKaiNBANNKABNKABAab: . 3,: . 2,: . 1rKabKiKf),(riabKKfK网络安全协议 （2）

24、针对针对Helsinki协议的协议的Horng-Hsu攻击攻击Horng和和Hsu指出，指出，Helsinki协议存在安协议存在安全缺陷，不能达到它的安全目标。全缺陷，不能达到它的安全目标。Horng-Hsu攻击攻击是一种内部攻击，即攻击者必须是是一种内部攻击，即攻击者必须是合法的协议主体，而且其他合法主体希望与合法的协议主体，而且其他合法主体希望与他通过协议分配共享通信密钥。他通过协议分配共享通信密钥。Horng-Hsu攻击的过程如下：攻击的过程如下：网络安全协议 bbKbarKbarKapKaiNBAPNPANNKAPNNKAPBNKABAPNKAPAaabp:)(.3: . 3,:. 2

25、,: )( . 2,:)(.1,: . 1网络安全协议 经过上述两回合协议运行之后，主体经过上述两回合协议运行之后，主体A相信，相信，他成功地完成了一次与主体他成功地完成了一次与主体P的会话，并获得共的会话，并获得共享会话密钥享会话密钥 但是主体但是主体P并不知并不知道会话密钥道会话密钥 的组成部分的组成部分 。同时，主体。同时，主体B相信，他与主体相信，他与主体A成功地进行了一次会话，并成功地进行了一次会话，并获得会话密钥获得会话密钥 。但是主体。但是主体A并并不知道会话密钥不知道会话密钥 的组成部分的组成部分 。因此，攻。因此，攻击者击者P的攻击是有效的。的攻击是有效的。),(riapKK

26、fKpbK),(rppbKKfKapKpKrK网络安全协议 （3） Mitchell-Yeun的改进协议的改进协议Mitchell和和Yeun对对Helsinki协议进行了改进。协议进行了改进。他们认为他们认为Horng-Hsu攻击成功的原因是攻击成功的原因是A相信相信B发送的第发送的第2条消息条消息 来源于来源于P。这。这是因为消息是因为消息2没有明确指出消息来源，从而造成没有明确指出消息来源，从而造成了消息的重放。因此，攻击者了消息的重放。因此，攻击者P虽然并不知道消虽然并不知道消息息2的真实内容，但的真实内容，但P可以将消息可以将消息2转发给转发给A，使，使A相信消息相信消息2来源于来源

27、于P。基于上述理由，基于上述理由， Mitchell-Yeun的改进协议如的改进协议如下：下：aKbarNNK,网络安全协议 bKbarKaiNBANNKBABNKABAab: . 3,: . 2,: . 1网络安全协议 Woo-Lam单向认证协议是单向认证协议是Woo和和Lam于于1992年提出的。年提出的。 Woo-Lam 单单向向认认证证协协议议 SAB421523bsbsasasKbKKbKbbNBSNASBNBANABABA: 5 ,: 4: 3: 2: 1图2-9 Woo-Lam协议 网络安全协议 针对针对Woo-Lam协议的攻击方法协议的攻击方法bsbsbspsbspspsbsK

28、bKbKKbKKbKbKbNBSPNBPSNPSBPNPCPBNPBCPBCPBXASPBXBAPNAPBABAP:)( 5: )( 5 ,:)( 4 ,: )( 3 ,:)( 2: )( 1,: )( 4:)( 3: )( 2:)( 1攻击1：网络安全协议 bsbspsbspsKbKKbKKbbbNBSNPSBXASBNBPXBAPNPBNAPBPBPABAP: 5 5 ,: 4,: 4: 3:)( 3: 2: )( 2: 1:)( 1攻击2：网络安全协议 bsbspspsKbKKbKbbNBSPNPBNBPNAPBABAPBPB:)( 5: 3: 2: )( 2:)( 1: 1攻击3：如果

29、Woo-Lam协议所应用的对称密码算法满足协议所应用的对称密码算法满足交换律，则这种攻击方法可以奏效。交换律，则这种攻击方法可以奏效。网络安全协议 临时值与时间戳临时值与时间戳 临时值的作用是保证消息的新鲜性，防止消息重临时值的作用是保证消息的新鲜性，防止消息重放。时间戳和临时值都是用于保证消息的新鲜性的，放。时间戳和临时值都是用于保证消息的新鲜性的，但它们之间有很重要的区别。使用时间戳时，一般要但它们之间有很重要的区别。使用时间戳时，一般要求各主体的时钟同步，但时间戳并不和某个主体之间求各主体的时钟同步，但时间戳并不和某个主体之间关联，任何一个主体产生的时间戳都能被其他主体用关联，任何一个主体产生的时间戳都能被其他主体用来检验消息的新鲜性。临时值则是某个主体产生的随来检验消息的新鲜性。临时值则是某个主体产生的随机数值，一个主体只能根据他自己所产生的临时值来机数值，一个主体只能根据他自己所产生的临时值来检验消息的新鲜性。此外，时间戳不具有唯一性，它检验消息的新鲜性。此外，时间戳不具有唯一性，它通常有一个有效范围，只要它位于这个有效范围内，通常有一个有效范围，只要它位于这个有效范围内，主体都接受它的新鲜性。因此，