电子科技计算机科学与工程

电子科技计算机科学与工程2023/6/2第一页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第二页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第三页，共七十九页，编辑于2023年，星期日消息重放消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。消息重放的实质是消息的新鲜性（Freshness）不能得到保证。消息重放攻击是安全协议中最容易出现的问题之一。2023/6/2第四页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder协议攻击者如果获知以前的一个工作密钥，可以重放消息EB（K，A）协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。消息重放（续）2023/6/2第五页，共七十九页，编辑于2023年，星期日消息重放（续）考虑诚实主体：它接收到的消息：轮内消息重放轮外消息重放延迟的消息它发送的消息：被返还被发往第三方被延迟2023/6/2第六页，共七十九页，编辑于2023年，星期日消息重放（续）消息重放攻击分类根据消息的来源：协议轮内攻击：一个协议轮内消息重放协议轮外攻击：一个协议不同轮次消息重放根据消息的去向：偏转攻击：改变消息的去向直接攻击：将消息发送给意定接收方其中偏转攻击分为：反射攻击：将消息返回给发送者第三方攻击：将消息发给协议合法通信双方之外的任一方2023/6/2第七页，共七十九页，编辑于2023年，星期日消息重放（续）消息重放对策挑战－应答机制时戳机制（Timestamp）序列号机制（SequenceNo）通信双方通过消息中的序列号来判断消息的新鲜性要求通信双方必须事先协商一个初始序列号，并协商递增方法对消息盖上本地时戳，只有当消息上的时戳与当前本地时间的差值在意定范围之内，才接受该消息。要求有一个全局同步时钟，但是如果双方时钟偏差过大或者允许的范围过大，则可以被攻击者利用。通过发送挑战值（Nonce）来确保消息的新鲜性。2023/6/2第八页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A,T))EB(K,A,T）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Example1：Needham－Schroeder协议的时戳机制改进Bob收到消息后，根据本地时间和消息中的时戳，决定是否接受该消息协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。消息重放（续）2023/6/2第九页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第十页，共七十九页，编辑于2023年，星期日中间人攻击攻击者Malice将自己伪装于用户Alice和Bob之间进行通信。许银川胡荣华Littlegirl我可以战胜胡荣华！！炮二平五炮二平五马八进七马八进七2023/6/2第十一页，共七十九页，编辑于2023年，星期日Diffie－Hellman密钥协商协议Example2:Diffie－Hellman密钥协商协议协议目的：Alice和Bob利用公钥体制建立一个新的共享密钥Kab协议组成：2条消息组成A：计算Kab=gxyB：计算Kab=gxyDiffie-Hellman密钥协商协议的理论依据的离散对数困难性问题。2023/6/2第十二页，共七十九页，编辑于2023年，星期日Diffie－Hellman密钥协商协议（续）许银川（A）胡荣华(B)Littlegirl（M）攻击结果：M拥有A和B的密钥，而A和B并不知道。2023/6/2第十三页，共七十九页，编辑于2023年，星期日一次性口令协议Example3:一次性口令协议（S/Key）协议目的：用户通过口令向服务器认证，但口令不会重复。（口令认证协议）熟悉口令认证协议吗?2023/6/2第十四页，共七十九页，编辑于2023年，星期日口令认证协议－明文形式存放的口令表身份标识注册口令ID1PW1ID2PW2ID3PW3........IDnPWn拒绝N明文形式存放的口令表IDOK？用户输入ID查找与该ID对应的PW相同？拒绝NY接受Y用户输入PWPW‘IDPW2023/6/2第十五页，共七十九页，编辑于2023年，星期日口令认证协议－基于单向hash函数的口令表拒绝身份标识注册口令ID1H(PW1)ID2H(PW2)ID3H(PW3)........IDnH(PWn)Hash值形式存放的口令表IDOK？用户输入ID查找与该ID对应的H(PW)相同？接受拒绝NNYY用户输入PW用预定的Hash函数计算H(PW‘)H(PW)ID2023/6/2第十六页，共七十九页，编辑于2023年，星期日口令认证协议－基于单向hash函数和“盐”的口令表身份标识注册口令盐ID1····H(PW1+R1)R1ID2H(PW2+R2)R2ID3H(PW3+R3)R3...........IDnH(PWn+Rn)Rn“加盐”Hash值形式存放的口令表IDOK？用户输入ID拒绝查找与该ID对应的H(PW)相同？接受拒绝NNYY用户输入PW用预定的Hash函数计算H(PW‘+R)H(PW+R)IDR2023/6/2第十七页，共七十九页，编辑于2023年，星期日一次性口令系统一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。确定口令的方法：（1）两端共同拥有一串随机口令，在该串的某一位置保持同步；

（2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步；

（3）使用时戳，两端维持同步的时钟。S/Key（Simplekey):一次性口令系统2023/6/2第十八页，共七十九页，编辑于2023年，星期日一次性口令系统（续）其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数Pu，计算机计算f（Pu）,f（f（Pu）），f（f（f（Pu））），…,共计算n次，计算得到的数为x1,x2,x3,…xn，A打印出这样的表，随身携带，计算机将xn存在A的名字旁边。第一次登录，键入xn-1，计算机xn，并与存储的xn比较，相同则认证通过；否则认真失败。以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。S/Key（Simplekey):一次性口令系统2023/6/2第十九页，共七十九页，编辑于2023年，星期日一次性口令系统（续）客户端S/KEY服务器口令计算器1.用户登录2.登录请求3.S/KEY质询4.输入私钥5.私钥与质询输入计算器6.产生本次口令7.传送口令S/Key（Simplekey):一次性口令系统2023/6/2第二十页，共七十九页，编辑于2023年，星期日一次性口令协议Example3:一次性口令协议（S/Key）身份标识fc(Pu)c值ID1····f(P1)R1ID2f(P2)R2ID3f(P3)R3...........IDnf(Pn)Rn协议目的：用户通过口令向服务器认证，但口令不会重复,从而有效防御口令在线猜测攻击。（口令认证协议）协议组成：口令存储表＋3条消息组成口令存储表2023/6/2第二十一页，共七十九页，编辑于2023年，星期日一次性口令协议（续）许银川（A）Littlegirl（B）Example3:一次性口令协议（S/Key）讨论：（1）尽管S/Key中口令明文传送，但是可以抵抗口令的在线窃听攻击（2）S/Key协议是否安全？问题：口令明文传送是否有问题？考虑：协议是双向认证还是单向认证？单向认证中，Alice为什么要相信计数器值c是Bob发送的？2023/6/2第二十二页，共七十九页，编辑于2023年，星期日一次性口令协议的中间人攻击许银川（A）Littlegirl（M）Example3:一次性口令协议（S/Key）的中间人攻击攻击结果：攻击者Malice获得了fc-2,下一次他就可以用用户的ID登录了。胡荣华(B)2023/6/2第二十三页，共七十九页，编辑于2023年，星期日Needham-Schroeder公钥认证协议Example4:Needham－Schroeder公钥认证协议协议目的：Alice和Bob利用公钥体制建立一个新的共享秘密Na，Nb，并实现认证协议组成：7条消息组成讨论：消息1，2，4，5是获得公钥，3，6，7是A和B相互认证。如果假设公钥已知，协议可以简化：2023/6/2第二十四页，共七十九页，编辑于2023年，星期日Needham-Schroeder公钥认证协议的中间人攻击许银川（A）胡荣华(B)Littlegirl（M）攻击结果：B认为她和A建立了共享秘密，而实际上她和M建立了共享秘密。上述攻击可以成功的原因之一：在消息（3）中，A无意之间为M解了B的Nonce（Nb）。主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机。2023/6/2第二十五页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第二十六页，共七十九页，编辑于2023年，星期日预言机攻击

主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机（或称该主体提供了预言服务）。如果存在主体可以提供预言服务，该主体可能被诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无法得到地信息。2023/6/2第二十七页，共七十九页，编辑于2023年，星期日Needham-Schroeder公钥认证协议的预言机（Oracle）攻击许银川（A）胡荣华(M)Littlegirl（B）成功的原因之二：M利用了该协议的多个运行实例，从而将不同协议的消息交织在一起（如（1‘）、（2’）和消息（2））。攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行，从而使得攻击这获得不应当获得的信息，这种攻击叫做交错攻击。协议1协议22023/6/2第二十八页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第二十九页，共七十九页，编辑于2023年，星期日交错攻击定义攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。结果是：（1）攻击者可以合成某条消息，并发送各某个运行中的主体，期望收到该主体的一个应答；（2）而该应答可能对于另外某个运行中的另外一个主体是有用的；（3）在接下来的运行中，从前面运行中得到的应答可能促使后面的主体对某个问题作出应答，而该应答又恰好能运用于第一个运行。2023/6/2第三十页，共七十九页，编辑于2023年，星期日Needham-Schroeder公钥认证协议的交错攻击许银川（A）胡荣华(M)Littlegirl（B）（1）攻击者构造消息（2）该应答对于M是有用的（3）应答使得A作出应答2023/6/2第三十一页，共七十九页，编辑于2023年，星期日ISO三次传输双向认证协议Example5:ISO三次传输双向认证协议协议目的：Alice和Bob利用公钥体制实现双向认证协议组成：3条消息组成Alice(A)Bob(B)2023/6/2第三十二页，共七十九页，编辑于2023年，星期日Example5:ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击）攻击协议的关键：第三条消息在上述消息中，A信任B的条件是：A能用B的公钥解密消息得到Na，并与自己发送的Na相比较。如果相同则信任；否则不信任。对于Nb，只要求明文和解密结果中所得到的值相同即可。攻击者M无法回答第三条消息（没有B的私钥）攻击者M向B发起一次通信（得到B用私钥签名的消息）ISO三次传输双向认证协议的交错攻击2023/6/2第三十三页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Example5:ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击）Mallory通过与B通信，得到所期望的应答消息攻击结果：A认为B发起了一次协议通信，并接受了该B的身份；而B实际上没有发起协议，而且在等待由M（A）发起的运行。ISO三次传输双向认证协议的Wiener攻击2023/6/2第三十四页，共七十九页，编辑于2023年，星期日工作站－工作站协议（STS）Example6:工作站－工作站协议（STS）协议目的：Alice和Bob利用公钥体制实现密钥协商(即得到密钥Kab（同时，该协议还实现了双向实体认证、双向密钥确认、完善前向保密性和不可否认性）协议组成：3条消息组成Alice(A)Bob(B)2023/6/2第三十五页，共七十九页，编辑于2023年，星期日工作站—工作站协议（STS）存在一个小小的瑕疵Example6:工作站－工作站协议（STS）存在一个小小的瑕疵Alice(A)Malice(M)Bob(B)攻击结果：Alice被完全欺骗，她认为和Bob进行了一次会话，并共享了某个会话密钥，而Bob认为和Malice运行了一次不完全的协议。随后，Alice试图与Bob进行安全通信，但是不会得到任何回应。攻击者Malice没有得到会话密钥，因此这种攻击只是很小的一个瑕疵。2023/6/2第三十六页，共七十九页，编辑于2023年，星期日Example6:工作站－工作站协议（STS）存在一个小小的瑕疵Alice(A)Malice(M)Bob(B)不安全运行协议：如果协议实体的某一方（A）接受了对方的身份，但是对方运行协议的记录与A的记录不匹配。问题：该攻击是否属于协议攻击？问题：什么是安全认证？上述攻击属于攻击的理由：（1）是不安全运行协议；（2）协议执行后Alice资源被浪费（拒绝服务攻击）上述攻击成立的原因：消息缺乏消息主体身份信息！工作站—工作站协议（STS）存在一个小小的瑕疵（续）2023/6/2第三十七页，共七十九页，编辑于2023年，星期日简化的工作站－工作站协议Example7:简化的工作站－工作站协议协议目的：实现站间协议中的双向认证功能（唯认证协议）。协议组成：3条消息组成Alice(A)Bob(B)简化的工作站－工作站协议与ISO三次传输双向协议的区别：前者没有包括通信实体的身份。2023/6/2第三十八页，共七十九页，编辑于2023年，星期日唯认证协议的“替换证书签名攻击”Alice(A)Malice(M)Bob(B)攻击结果：Bob认为他和Alice进行了一次对话（实际上和与Malice进行了一次对话）；而Alice认为她只是与Malice进行了一次对话；B被Malice欺骗。Example7:唯认证协议的“替换证书签名攻击”该攻击对未简化的站间协议并不适用，因为加密使得证书替换不可能。2023/6/2第三十九页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第四十页，共七十九页，编辑于2023年，星期日平行会话攻击定义：在攻击者Malice的安排下，一个协议的两个或者多个的运行并发执行。目的：平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。2023/6/2第四十一页，共七十九页，编辑于2023年，星期日Woo－Lam单向认证协议Example8:Woo－Lam单向认证协议协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己(单向认证）。协议组成：5条消息如果Bob解密所得到的正确的nonce，则信任AliceT.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.2023/6/2第四十二页，共七十九页，编辑于2023年，星期日Woo－Lam单向认证协议（续）Example8:Woo－Lam单向认证协议Alice(A)Trent(T)Bob(B)该协议在许多方面存在致命缺陷。随后的许多修改版本也存在不同程度的缺陷。分析该协议可以从中学到很多协议设计的经验和教训。2023/6/2第四十三页，共七十九页，编辑于2023年，星期日Woo－Lam单向认证协议的平行会话攻击Example8:Woo－Lam协议的平行会话攻击Alice(A)Trent(T)Bob(B)Malice(M)结果：Bob拒绝和Malice的通信，而接受和Alice（实际上也是Malice）的通信。拒绝认可2023/6/2第四十四页，共七十九页，编辑于2023年，星期日Woo－Lam单向认证协议的平行会话攻击（续）Woo－Lam单向认证协议的平行会话攻击Alice(A)Trent(T)Bob(B)Malice(M)平行会话攻击成功原因：消息参与者身份不明确。2023/6/2第四十五页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第四十六页，共七十九页，编辑于2023年，星期日反射攻击定义：当一个诚实的主体给某个意定的通信方发送消息时，攻击者Malice截获该消息，并将该消息返回给消息的发送者。注：攻击者返回消息时，不一定时“原封不动”返回，他可能会对消息修改（比如通过修改底层通信协议中的地址和身份信息），使得消息发送者意识不到该消息是反射回来的。反射消息的目的是，使得该消息是对发送者的应答或者询问，从而欺骗消息发送者提供“预言服务”2023/6/2第四十七页，共七十九页，编辑于2023年，星期日反射攻击（续）反射攻击实现方式实例IP头其他域IP源地址IP目的地址其他域IP头其他域202.115.2.1211.2.1.1其他域IP头其他域211.2.1.1202.115.2.1其他域2023/6/2第四十八页，共七十九页，编辑于2023年，星期日Example9:Woo－Lam单向认证协议的一个修正协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己。协议组成：5条消息在消息中加入了Alice的身份标识。Woo－Lam单向认证协议的一个修正2023/6/2第四十九页，共七十九页，编辑于2023年，星期日Woo－Lam单向认证协议的一个修正（续）Alice(A)Trent(T)Bob(B)Example9:Woo－Lam单向认证协议的一个修正修正协议可以防范平行会话攻击。因为Malice发送的第五条消息是：而Bob期望的消息是：但是，该修正版本存在反射攻击2023/6/2第五十页，共七十九页，编辑于2023年，星期日Woo－Lam协议的一个修正版本的反射攻击Alice(A)Trent(T)Bob(B)Malice(M)Bob收到消息5后，解密后的Nb确实是他在消息2中所发送的，因此只能相信是来自于Alice的会话。Example9:Woo－Lam协议的一个修正版本的反射攻击消息3是消息2的反射。Bob收到后只能视作密文而不能作其他操作。消息5是消息4的反射。2023/6/2第五十一页，共七十九页，编辑于2023年，星期日Woo－Lam协议有关Woo－Lam协议、修正及攻击的有关信息参见文献T.

Y.

C.WooandS.

S.Lam.Alessononauthenticationprotocoldesign.OperatingSystemsReview,1994.ClarkJ,JacobJ.Asurveyofauthenticationprotocolliterature:Version1.0.1997

2023/6/2第五十二页，共七十九页，编辑于2023年，星期日交错攻击预言机（Oracle）中间人攻击第7章协议安全技术（协议安全基础B）消息重放平行会话攻击反射攻击其它2023/6/2第五十三页，共七十九页，编辑于2023年，星期日归因于类型缺陷的攻击定义：攻击者欺骗某个主体，使得他把一次性随机数、时戳或者身份等信息嵌入到某个密钥中去，从而导致协议安全性被破坏原因：协议中的消息部分的类型信息不明确。2023/6/2第五十四页，共七十九页，编辑于2023年，星期日Example10:Neuman－Stubblebine协议协议目的：Alice和Bob在可信第三方的条件下实现认证及密钥交换协议组成：7或以上条消息组成Neuman,BCandStubblebine,SG,ANoteontheUseofTimestampsandNonces,OSReview27,2,Apr.1993.Na，Nb，Ma，Mb都是Nonce密钥交换相互认证作用是什么？Neuman－Stubblebine协议2023/6/2第五十五页，共七十九页，编辑于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine协议Neuman－Stubblebine协议（续）2023/6/2第五十六页，共七十九页，编辑于2023年，星期日Example10:Neuman－Stubblebine协议密钥交换相互认证消息5－7实现双向认证，该过程可以重复进行；该过程称之为重复认证。{A,Kab,Tb}Kbs称之为票据直到票据{A,Kab,Tb}Kbs

过期。

Neuman－Stubblebine协议（续）2023/6/2第五十七页，共七十九页，编辑于2023年，星期日Alice(A)Trent(T)Bob(B)KabKabExample10:Neuman－Stubblebine协议问题：协议安全问题在哪里？差异是什么？Kab&Na?Neuman－Stubblebine协议（续）2023/6/2第五十八页，共七十九页，编辑于2023年，星期日Alice(A)Trent(T)Bob(B)NaNaExample10:Neuman－Stubblebine协议的归因于类型缺陷攻击Malice(M)忽略消息3攻击中，攻击者Malice利用一次性Nonce替代Kab，如果Bob不能区别其类型，就会上当受骗。原因：协议中的变量（如Kab）的类型没有明确定义。Neuman－Stubblebine协议的类型缺陷攻击2023/6/2第五十九页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议Example11Otway-ReeskeyexchangingprotocolProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesM,Na,Nbarenonces2023/6/2第六十页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议（续）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。问题：该协议哪里不安全？2023/6/2第六十一页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议（续）Example11Otway-ReeskeyexchangingprotocolAlice(A)Bob(B)Trent(T)Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。问题：该协议哪里不安全？2023/6/2第六十二页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议的归因于类型缺陷攻击Example11Otway-Reeskeyexchangingprotocol的归因于类型缺陷攻击Alice(A)Bob(B)Trent(T)Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。Carol(C)攻击结果：Alice将M||A||B视为密钥Na外的数据（M||A||B)当作会话密钥Carol冒充Bob2023/6/2第六十三页，共七十九页，编辑于2023年，星期日归因于姓名遗漏攻击定义：如果与消息相关的主体的名字不能从消息中推断出来，则攻击者利用此缺陷所发动的攻击称之为“归因与姓名遗漏攻击”原因：在协议中，与消息相关的名字必须明确2023/6/2第六十四页，共七十九页，编辑于2023年，星期日Denning-Sacco密钥交换协议Example12：Denning-SaccoKeyExchangeProtocol协议目的：:利用公钥体制实现Alice和Bob之间会话密钥的交换协议组成:3条消息CAandCBarecertificatesofAandBrespectively.2023/6/2第六十五页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密钥交换协议（续）2023/6/2第六十六页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(Kab,Ta))Carol(C)(3’)CA，CC，Ec(Sa(Kab,Ta))(1’)A，B(2’)CA，CBBob将消息3发送给另外一个主体Carol，使得Carol相信给Alice“独享”的密钥Kab

（实际上Bob知道该密钥）Howtoattacktheprotocol？Example12：Denning-SaccoKeyExchangeProtocol原因：消息3本来的意思是：在时刻Ta，Alice说Kab是用于Alice和Bob通信的安全密钥。但是参与者Alice的身份不能推导出来。Denning-Sacco密钥交换协议（续）2023/6/2第六十七页，共七十九页，编辑于2023年，星期日Alice(A)Bob(B)Trent(T)KabKab(1)A，B(2)CA，CB(3)CA，CB，Eb(Sa(A,B,Kab,Ta))TheidentificationsofAandBareincludedinthethirdmessagetodenotethatAandBcommunicatedeachother.AlthoughthenameofAcanbededucedfromka-1,itisnotenoughtoensurethatthemessagecomesfromA.Howtoremovetheflawsrecoveredinaboveprotocol?Example12：Denning-SaccoKeyExchangeProtocolDenning-Sacco密钥交换协议（续）2023/6/2第六十八页，共七十九页，编辑于2023年，星期日密码服务滥用攻击定义：协议中的密码算法没有提供正确的保护，从而在协议中缺少所需要的密码保护。常见的密码服务滥用攻击包括：归因于缺失数据完整性保护的攻击归因于缺失语义安全保护的攻击攻击者可以从密文中获得部分信息对应的可证安全性2023/6/2第六十九页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议的一种变形Example13Otway-Reeskeyexchangingprotocol的一种变形ProtocolPurpose:AandBexchangeasessionkey,Kab,withthehelpofatrustedthirdpartyProtocol:theprotocolcontains4messagesNa,NbarenoncesM是协议标识变形：Nb与其他消息分开加密分开加密目的：使用加密来提供消息的新鲜性2023/6/2第七十页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议的一种变形（续）Alice(A)Bob(B)Trent(T)Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。Example13Otway-Reeskeyexchangingprotocol的一种变形该变形同样存在前面所描述的类型错误攻击。除此之外，引来了其他攻击2023/6/2第七十一页，共七十九页，编辑于2023年，星期日Otway-Rees密钥交换协议的变形的密码服务滥用攻击Bob(B)Trent(T)Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。Carol(C)攻击结果：Bob认为与