安全协议-认证协议

第2讲认证协议经典认证协议主要内容1针对经典认证协议的攻击2其他重要的认证协议3认证协议的设计原则4

认证协议是网络安全的一个重要组成部分，需要通过认证协议进行实体之间的认证、在实体之间安全地分配密钥或其他各种秘密、确认发送和接受的消息的非否认性等。近年来，认证协议越来越多地用于保护因特网上传送的各种交易，保护针对计算机系统的访问。但是经验表明，设计和分析一个正确的认证协议是一项十分困难任务。迄今所知的许多协议都存在这样或那样的安全缺陷，其原因是多方面的，例如，缺乏正确设计认证协议的指导原则；对认证协议进行非形式化的推理分析；缺乏有力地分析认证协议的形式化工具；没有考虑到针对认证协议的多种攻击类型等。因此，目前的状况大体是：设计一个认证协议——发现其安全缺陷——改进该协议——发现新的安全缺陷——进一步改进该协议……1997年,Clark和Jacob对认证协议进行了概括和总结，并列举了一系列有研究意义和实用价值的认证协议。他们将认证协议如下进行分类：（1）无可信第三方的对称密钥协议。（2）应用密码校验函数的认证协议。（3）具有可信第三方的对称密钥协议。（4）对称密钥重复认证协议。（5）无可信第三方的公开密钥协议。（6）具有可信第三方的公开密钥协议。1.经典认证协议

本节介绍几个典型的经典认证协议，他们的共同特点是：都是早期设计的认证协议，反映了当时的设计和分析水平。它们或多或少都存在一些安全缺陷，但是它们在认证协议的发展史中都起过重要的作用，为今天认证协议设计与分析技术的发展积累了宝贵的经验。其中，许多认证协议已经成为认证协议设计与分析的“试验床”，即每当出现一个新的形式化分析方法，都要先分析这几个认证协议，验证新方法的有效性。同时，研究人员也经常以它们为例，说明认证协议的设计原则和各种不同分析方法的特点。Needham-Schroeder认证协议是1978年提出的，在认证协议的发展史中具有历程培的意义。该协议就是一个最常用的认证协议与分析的“试验床”。它可以分为对称密码体制和非对称密码体制下的两种版本，分别简称NSSK协议和NSPK协议。NSSK协议的目的是在通信双方之间分配会话密钥。其中，前3条消息的作用是主体A在认证服务器S的帮助下，进行会话密钥的分配。后2条消息的目的是使B相信A现在在线，但不能使B相信会话密钥是新鲜的。该协议如图2-1所示。BAS12345图2-1NSSK协议（1）针对NSSK协议的“新鲜性”型攻击（2）针对上述攻击的改进解决这一问题的另一个方法是，令B也向S发送一个临时值，然后S将B的临时值放在发送给B的密钥证书中。攻击NSSK协议的的一种种新方方法即使攻攻击者者P没有得得到泄泄漏的的会话话密钥钥，A也不能能通过过消息息3、4、5推断出出B知道会会话密密钥。。攻击击如下下：改进：：BAS12236745图2-2NSPK协议以其他他大多多数公公开密密钥认认证协协议不不同，，NSPK协议的的目的的是使使通信信双方方安全全地交交换两两个彼彼此独独立的的秘密密。针对NSPK协议的的攻击击针对NSPK协议的的最有有名的的攻击击来自自Lowe。Lowe指出，，NSPK协议的的主要要安全全缺陷陷在于于其中中的消消息6。由于于消息息中没没有B的标识识符，，攻击击者可可以假假冒B的身份份发送送消息息6。改进后后的NSPK协议：：Otway-Rees协议是是1978年提出出的一一种早早期的的认证证协议议。SAB14223图2-3Otway-Rees协议注意：在Otway-Rees协议中中，M是会话话识别别号；；而临临时值值和和不不仅仅提供供了时时序信信息，，还因因为在在消息息1和消息息2中受到到了加加密保保护，，所以以在消消息4和消息息5中这两两个临临时值值作为为主体体身份份的替替身出出现。。S检查消消息2中两个个加密密消息息内的的M,A,B是否一一致，，如果果匹配配，才才会为为A,B生成会会话密密钥，，并并向B发送消消息3。针对Otway-Rees协议的的“类型缺缺陷”型攻击击“类型攻攻击”的特点点是利利用认认证协协议实实现时时的固固定格格式对对协议议进行行攻击击。假假定在在Otway-Rees协议中中，M的长度度是64比特，，A和B的长度度各为为32比特，，会话话密钥钥的长长度为为128比特。。用户户A在发起起协议议后，，预期期在协协议的的第4步可以以收回回他在在协议议第1步建立立的临临时值值，以以及认认证服服务器器S为他分分配的的会话话密钥钥。这这时，，攻击击者P可以冒冒充B，重放放消息息1中的加加密分分量，，将它它作为为消息息4中的加加密分分量发发送给给A，攻击击过程程如下下：攻击者者还可可以冒冒充认认证服服务器器S攻击Otway-Rees协议。。这时时，P只需将将消息息2中的加加密分分量重重放给给B即可。。攻击击过程程如下下：Otway-Rees协议Abadi-Needham改进版版本1．2．3．4．攻击Otway-Rees协议的的2种新方方法（（卿斯斯汉发发现））（1）攻击击原始始Otway-Rees协议的的一种种新方方法该攻击击的成成功需需要对对服务务器S进行下下述假假设：：（1）服务务器S对A,B之间时时间相相隔很很短的的两次次密钥钥申请请不进进行限限制；；（2）服务务器S只对消消息2中两个个加密密消息息内的的会话话识别别号M及主体体身份份进行行匹配配检查查，而而对A,B之间密密钥分分配请请求中中的M不做记记录。。（2）攻击击Otway-Rees协议Abadi-Needham改进版版本的的一种种新方方法1.注意：：这种攻攻击的的成功功，也也需要要关于于服务务器S的如下下假设设成立立：S对A,B之间时时间间间隔很很短的的两次次密钥钥申请请不进进行限限制。。1988年提出出的Yahalom协议是是另外外一个个经典典认证证协议议。该该协议议的特特别之之处在在于，，A向S间接发发送临临时值值，并并从S处直接接取得得会话话密钥钥，B直接发发送临临时值值，并并从S处间接接得到到会话话密钥钥。SAB3241图2-4Yahalom协议BAN逻辑的的分析析结果果与Yahalom协议的的改进进建议议应用BAN逻辑分分析Yahalom协议的的结果果表明明，如如果A在第4条消息息中选选择一一个旧旧密钥钥重放放给B，则B不可能能发现现这个个问题题。为为此，，对Yahalom协议作作了如如下修修改，，修改改后的的协议议成为为BAN-Yahalom协议。。针对BAN-Yahalom协议的的攻击击BA22134图2-5Andrew安全RPC协议针对Andrew安全RPC协议的的攻击击（1）针针对对Andrew安全RPC协议的的“类型缺缺陷”型攻击击假设临临时值值、序序列号号与密密钥的的长度度都相相同，，例如如均为为128比特，，则攻攻击者者P可以记记录监监听到到的消消息2，截获获A发送给给B的消息息3，并在在第4步重放放消息息2给A。攻击击过程程如下下：如此协协议执执行后后，A相信临临时值值是是服务务器B新分配配给她她的会会话密密钥，，因此此攻击击是有有效的的。虽虽然，，这时时攻击击者并并不一一定知知道新新的会会话密密钥。。但是是，临临时值值的作作用与与密钥钥不同同，绝绝对不不能当当作会会话密密钥使使用。。猜测测密钥钥要比比猜测测临时时值困困难得得多。。因为为，在在协议议的各各个回回合中中，临临时值值均不不相同同就足足够了了，并并不要要求临临时值值一定定是随随机的的。因因此，，临时时值往往往容容易猜猜测。。（2）针针对对Andrew安全RPC协议的的“新鲜性性”型攻击击攻击者者P可以记记录在在协议议前一一个回回合中中监听听到的的消息息4，并在在第4步重放放该消消息给给A。“大嘴青青蛙”协议是是由Burrows提出的的，这这是一一种最最简单单的、、应用用对称称密码码的三三方认认证协协议。。SAB12图2-6““大嘴青青蛙””协议议针对“大嘴青青蛙”协议的的攻击击这个简简单的的协议议有多多种安安全缺缺陷，，攻击击它也也有多多种方方法。。一种种方法法是在在有效效的时时间范范围内内重放放第1个消息息，其其后果果实将将进行行重新新认证证。第第二种种攻击击方法法需要要应用用3个协议议回合合，攻攻击过过程如如下：：在回合合1中，攻攻击者者P记录A与B之间的的一次次会话话。然然后，，在第第2与第3回合，，攻击击者假假冒A与B从S处获得得对他他有用用的消消息和和这时，，攻击击者P可以假假冒S向A与B重放上上述消消息，，引起起A与B之间的的重新新认证证。2.其他重重要的的认证证协议议（1）Helsinki协议的的描述述Helsinki协议是是国际际标准准ISO/IECDIS11770-3中提出出的认认证协协议草草案。。BA2213图2-8Helsinki协议Helsinki协议的的目标标是为为主体体A和B安全地地分配配一个个共享享会话话密钥钥，，他他最终终由和和和和单向向函数数确确定，，即（2）针针对Helsinki协议的的Horng-Hsu攻击Horng和Hsu指出，，Helsinki协议存存在安安全缺缺陷，，不能能达到到它的的安全全目标标。Horng-Hsu攻击击是一种种内部部攻击击，即即攻击击者必必须是是合法法的协协议主主体，，而且且其他他合法法主体体希望望与他他通过过协议议分配配共享享通信信密钥钥。Horng-Hsu攻击的的过程程如下下：经过上上述两两回合合协议议运行行之后后，主主体A相信，，他成成功地地完成成了一一次与与主体体P的会话话，并并获得得共享享会话话密钥钥但但是主主体P并不知知道会会话密密钥的的组成成部分分。。同同时，，主体体B相信，，他与与主体体A成功地地进行行了一一次会会话，，并获获得会会话密密钥。。但但是主主体A并不知知道会会话密密钥的的组组成部部分。。因因此，，攻击击者P的攻击击是有有效的的。（3）Mitchell-Yeun的改进进协议议Mitchell和Yeun对Helsinki协议进进行了了改进进。他他们认认为Horng-Hsu攻击成成功的的原因因是A相信B发送的的第2条消息息来来源源于P。这是是因为为消息息2没有明明确指指出消消息来来源，，从而而造成成了消消息的的重放放。因因此，，攻击击者P虽然并并不知知道消消息2的真实实内容容，但但P可以将将消息息2转发给给A，使A相信消消息2来源于于P。基于上上述理理由，，Mitchell-Yeun的改进进协议议如下下：Woo-Lam单向认认证协协议是是Woo和Lam于1992年提出出的。。SAB421523图2-9Woo-Lam协议针对Woo-Lam协议的的攻击击方法法攻击1：攻击2：攻击3：如果Woo-Lam协议所所应用用的对对称密密码算算法满满足交交换律律，则则这种种攻击击方法法可以以奏效效。临时值值与时时间戳戳临时值值的作作用是是保证证消息息的新新鲜性性，防防止消消息重重放。。时间间戳和和临时时值都都是用用于保保证消消息的的新鲜鲜性的的，但但它们们之间间有很很重要要的区区别。。使用用时间间戳时时，一一般要要求各各主体体的时时钟同同步，，但时时间戳戳并不不和某某个主主体之之间关关联，，任何何一个个主体体产生生的时时间戳戳都能能被其其他主主体用用来检检验消消息的的新鲜鲜性。。临时时值则则是某某个主主体产产生的的随机机数值值，一一个主主体只只能根根据他他自己己所产产生的的临时时值来来检验验消息息的新新鲜性性。此此外，，时间间戳不不具有有唯一一性，，它通通常有有一个个有效效范围围，只只要它它位于于这个个有效效范围围内，，主体体都接接受它它的新新鲜性性。因因此，，在一一次会会话中中使用用的时时间戳戳可能能在另另一次次时间间上接接近的的会话话中被被主体体接收收为新新鲜的的。临临时值值则具具有唯唯一性性，任任何一一个主主体在在两次次会话话中产产生的的临时时值在在很长长一段段时间间内不不可能能相同同。所所以在在一次次会话话中使使用的的临时时值不不可能能在另另一次次会话话中被被主体体接收收为新新鲜的的临时时值。。认证协协议的的设计计原则则设计目目标明明确，，无二二义性性；最好应应用描描述协协议的的形式式语言言，对对认证证协议议本身身进行行形式式化描描述；；通过形形式化化分析析方法法证明明认证证协议议实现现了设设计目目标；；安全性性与具具体采采用的的密码码算法法无关关；保证临临时值值和会会话密密钥等等重要要消息息的新新鲜性性，防防止重重放攻攻击；；尽量采采用异异步认认证方方式，，特别别是防防止重重放攻攻击的的能力力；具有抵抵抗常常见攻攻击，，特别别是防防止重重放攻攻击的的能力力；进行运运行环环境的的风险险分析析，做做尽可可能少少的初初始安安全假假设实用性性强，，可用用于各各种网网络的的不同同协议议层；；尽可能能减少少密码码运算算，降降低成成本，，扩大大应用用范围围。思考题题试述Dolev-Yao攻击者者模型型的主主要内内容及及其在在安全全协议议研究究中的的意义义。临时值值与时时间戳戳在保保证消消息新新鲜性性方面面有哪哪些贡贡献?临时值值与时时间戳戳之间间有哪哪些区区别?“类型缺缺陷”型攻击击的特特点是是什么么?在认证证协议议的设设计中中，应应该如如何注注意防防止类类型缺缺陷型型的攻攻击?Thankyou!9、静夜夜四无无邻，，荒居居旧业业贫。。。12月月-2212月月-22Wednesday,December28,202210、雨中黄叶叶树，灯下下白头人。。。20:49:3120:49:3120:4912/28/20228:49:31PM11、以我独独沈久，，愧君相相见频。。。12月-2220:49:3120:49Dec-2228-Dec-2212、故人江江海别，，几度隔隔山川。。。20:49:3220:49:3220:49Wednesday,December28,202213、乍见翻疑梦梦，相悲各问问年。。12月-2212月-2220:49:3220:49:32December28,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。28十十二二月月20228:49:32下下午午20:49:3212月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December28,202216、行动动出成成果，，工作作出财财富。。。2022/12/2820:49:3220:49:3228December202217、做前前，能能够环环视四四周；；做时时，你你只能能或者者最好好沿着着以脚脚为起起点的的射线线向前前。。。8:49:32下下午8:49下下午午20:49:3212月月-229、没有失失败，只只有暂时时停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有结果，但是是不努力却什什么改变也没没有。。20:49:3220:49:3220:4912/28/20228:49:32PM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2220:49:3220:49Dec-2228-Dec-2212、世世间间成成事事，，不不求求其其绝绝对对圆圆满满，，留留一一份份不不足足，，可可得得无无限限完完美美。。。。20:49:3220:49:3220:49Wednesday,December28,202213、不知知香积积寺，，数里里入云云峰。。。12月月-2212月月-2220:49:3220:49:32December28,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。28十二二月20228:49:32下下午20:49:3212月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月228:49下午午12月-2220:49December28,202216、少年十十五二十十时，步步行夺得得胡马骑骑。。2022/12/2820:49:3220:49:3228December20