认证协议2课件

认证协议吴汉炜1认证协议1使用共享密钥密码的认证与密钥建立协议2使用共享密钥密码的2使用对称密码的认证Alice,KABBob,KAB“I’mAlice”EKAB(R)

对Bob来说，这是验证Alice的一种安全方法Alice不能验证Bob

我们能否实现相互认证

?R3使用对称密码的认证Alice,KABBob,KAB“I’相互认证?AliceBob“I’mAlice”,REKAB(R)EKAB(R)有什么问题?“Alice”可以是Trudy(或其他任何人)!4相互认证?AliceBob“I’mAlice”,REK相互认证既然我们有一个安全的单向认证协议…最明显的事情是使用两次协议一次用于Bob认证Alice一次用于Alice认证Bob5相互认证既然我们有一个安全的单向认证协议…5相互认证AliceBob“I’mAlice”,RARB,EKAB(RA)EKAB(RB)提供了相互认证……还是没有呢？

6相互认证AliceBob“I’mAlice”,RARB,对相互认证的攻击Bob1.“I’mAlice”,RA2.RB,EKAB(RA)TrudyBob3.“I’mAlice”,RB4.RC,E

KAB

(RB)Trudy5.E

KAB

(RB)7对相互认证的攻击Bob1.“I’mAlice”,RA2对相互认证的攻击Bob1.“I’mAlice”,RA2.RB,EKAB(RA)TrudyAlice3.“I’mBob”,RB4.RC,E

KAB

(RB)Trudy5.E

KAB

(RB)8对相互认证的攻击Bob1.“I’mAlice”,RA2相互认证我们的单向认证协议是不安全的协议是微妙的在“显而易见”的事情可能是不安全的另外，如果假设或环境的变化，协议可能无法工作这是一个常见的安全故障例如，互联网协议9相互认证我们的单向认证协议是不安全的9使用对称密码的认证AliceBob“I’mAlice”,RARB,EKAB(“Bob”,

RA)EKAB(“Alice”,

RB)做这些“微不足道”的变化会有帮助吗？是的!10使用对称密码的认证AliceBob“I’mAlice”,引言讨论基于对称密码的双方密钥建立与认证协议分类准则预先有密钥可用:参与者之间共享,参与者与服务器共享(在线),离线服务器-证书(公钥)会话密钥生成的方法:密钥传输,协商,混合记号A,B:期望共享会话密钥的两个用户S:可信服务器{M}K:使用密钥K加密信息M,提供机密性与完整性11引言讨论基于对称密码的双方密钥建立与认证协议11实体认证协议1.AB:NA2.B

A:NB,u(KAB,NA,…)3.AB:v(KAB,NB,…)Bird等人的协议1.IAB:NI2.B

IA:NB,u(KAB,NI,…)1’.IBA:NB(I为了回答B,开始一个新会话,询问A)2’.A

IB:NA,u(KAB,NB,…)3.IA

B:u(KAB,NB,…)(I假冒A与B建立会话)u,v相同时,存在Oracle攻击12实体认证协议1.AB:NABird等人的协议1.IA1.AB:NA2.B

A:NB,[B,A,NA,NB]KAB3.AB:[A,NB]KABBellare-RogawayMAP1协议1.AIB

:NA(I假冒B,开始一个MAP1会话)1’.IBA:NA(I为了回答A,开始一个会话,询问A)2’.A

IB:N’A,[B,A,NA,N’A]KAB2.IBA:N’A,[B,A,NA,N’A]KAB(I假冒B完成MAP1会话)3.A

IB:[A,N’A]KAB选择协议攻击,

A被I用作Oracle攻击AA和B次序问题只保留B破坏结构131.AB:NABellare-RogawayMAP1AB:{TA,B}KABISO/IEC9798-2协议1路单向认证(时间戳)2路单向认证(一次性随机数)1.B

A:NB2.AB:{NB,B}KAB3路双向认证(一次性随机数)2路双向认证(时间戳)AB:{TA,B}KABBA:{TB,A}KAB1.B

A:NB2.AB:{NA,NB,B}KAB3.BA:{NB,NA}KAB14AB:{TA,B}KABISO/IEC9798-2协议1.AB:A2.

BA:NB3.AB:{NB}KAS4.BS:{A,{NB}KAS}KBS5.SB:{NB}KBSWoo-Lam认证协议BAS1.A2.

NB3.{NB}KAS4.{A,{NB}KAS}KBS5.{NB}KBS单向认证A151.AB:AWoo-Lam认证协议BAS1.A2.1.IAB:A1’.IB:I2.

BIA:NB2’.

BI:N’B3.IAB:R(随便的数)3’.IB:{NB}KIS

4.BS:{A,R}KBS4’.BS:{I,{NB}KIS

}KBS5.SB:{NB}KBSAbadi的攻击BI(IA)S1.1’2.

2’3.3’4.4’5.{NB}KBSI开启2个会话,其中一个假冒A,最后IA-B会话成功,I-B会话成功。注意：这里的5实际上是5‘的数据。对3和4里面的R，S会有一个响应，不过5被I在网络上中断了！用5’冒充5161.IAB:AAbadi的攻击BI(IA)S1.1’无服务器的密钥建立额外的记号KAB:A与B初始时共享的长期密钥,反复使用K’AB:

利用长期密钥建立的新的会话密钥,当前会话中使用17无服务器的密钥建立额外的记号171.AB:A,NA2.B

A:AUTH,MASK3.AB:[NA,K’AB,A]KABJanson-Tsudik2PKDP协议2.B生成新会话密钥K’AB,然后计算:AUTH=[NA,K’AB,B]KAB(加密)MASK=[[AUTH]]K’AB(单向函数)3.A利用AUTH计算K’AB,再利用K’AB验证AUTH的正确性181.AB:A,NAJanson-Tsudik2PK1.AB:NA2.B

A:NBK’AB=f(NA,NB,KAB)Boyd两路协议191.AB:NABoyd两路协议19AB:{TA,B}KABK’AB=f(KAB,TA)ISO/IEC11770-2无服务器的密钥建立协议机制2AB:{K’AB}KAB机制3AB:{TA,B,K’AB}KAB1.B

A:NB2.AB:{NB,B,K’AB}KAB机制41.AB:{TA,B,FAB}KAB2.B

A:{TB,A,FBA}KABK’AB=f(FAB,FBA)密钥材料F机制51.B

A:NB2.AB:{NA,NB,B,FAB}KAB2.B

A:{NB,NA,FBA}KABK’AB=f(FAB,FBA)机制6{}KAB提供机密性与完整性机制120AB:{TA,B}KABISO/IEC11770-2无基于服务器的密钥建立额外的记号A,B：期望建立会话密钥的两个用户S

： 可信服务器KAS,KBS

：A与S,B与S初始时共享的长期密钥KAB

：会话密钥21基于服务器的密钥建立额外的记号211.AS:A,B,NA2.SA:{NA,B,KAB,{KAB,A}KBS}KAS3.AB:{KAB,A}KBS4.BA:{NB}KAB5.AB:{NB-1}KABNeedham-Schroeder协议ABS12345221.AS:A,B,NANeedham-Sch1.AS:A,B2.SA:{B,KAB,TS,{A,

KAB,TS}KBS}KAS3.AB:{A,

KAB,TS}KBSDenning-Sacco协议Denning-Sacco攻击:在Needham-Schroeder协议消息3中使用破解的会话密钥,假冒A.ABS123保证会话密钥的新鲜性,会话密钥与时间戳绑定231.AS:A,BDenning-Sacco协议1.AB:A,NA2.BS:A,NA,B,NB3.SB:{KAB,A,

NB}KBS,{KAB,B,

NA}KAS4.BA:{KAB,B,

NA}KASBauer-Berson-Feiertag协议Bauer攻击:在Needham-Schroeder协议中,如果A与S使用长期密钥泄漏了,即使再更换,也可假冒A(同Denning-Sacco攻击).ABS保证会话密钥的新鲜性,会话密钥与nonce绑定241.AB:A,NABauer-Berson-F使用多服务器的密钥建立好处当一个或多个服务器不可用时,用户仍可以建立会话密钥当一个或多个服务器不可信时,用户仍可以建立好的会话密钥25使用多服务器的密钥建立好处25KA,i,KB,i:A,B与服务器Si共享的长期密钥秘密共享:A持有x,x可以从x1,x2,…,xn中的t个恢复;B持有y,y可以从y1,y2,…,yn中的t个恢复