安全協(xié)議-認(rèn)證協(xié)議

第2講認(rèn)證協(xié)議經(jīng)典認(rèn)證協(xié)議主要內(nèi)容1針對經(jīng)典認(rèn)證協(xié)議的攻擊2其他重要的認(rèn)證協(xié)議3認(rèn)證協(xié)議的設(shè)計原則4

認(rèn)證協(xié)議是網(wǎng)絡(luò)安全的一個重要組成部分，需要通過認(rèn)證協(xié)議進行實體之間的認(rèn)證、在實體之間安全地分配密鑰或其他各種秘密、確認(rèn)發(fā)送和接受的消息的非否認(rèn)性等。近年來，認(rèn)證協(xié)議越來越多地用于保護因特網(wǎng)上傳送的各種交易，保護針對計算機系統(tǒng)的訪問。但是經(jīng)驗表明，設(shè)計和分析一個正確的認(rèn)證協(xié)議是一項十分困難任務(wù)。迄今所知的許多協(xié)議都存在這樣或那樣的安全缺陷，其原因是多方面的，例如，缺乏正確設(shè)計認(rèn)證協(xié)議的指導(dǎo)原則；對認(rèn)證協(xié)議進行非形式化的推理分析；缺乏有力地分析認(rèn)證協(xié)議的形式化工具；沒有考慮到針對認(rèn)證協(xié)議的多種攻擊類型等。因此，目前的狀況大體是：設(shè)計一個認(rèn)證協(xié)議——發(fā)現(xiàn)其安全缺陷——改進該協(xié)議——發(fā)現(xiàn)新的安全缺陷——進一步改進該協(xié)議……1997年,Clark和Jacob對認(rèn)證協(xié)議進行了概括和總結(jié)，并列舉了一系列有研究意義和實用價值的認(rèn)證協(xié)議。他們將認(rèn)證協(xié)議如下進行分類：（1）無可信第三方的對稱密鑰協(xié)議。（2）應(yīng)用密碼校驗函數(shù)的認(rèn)證協(xié)議。（3）具有可信第三方的對稱密鑰協(xié)議。（4）對稱密鑰重復(fù)認(rèn)證協(xié)議。（5）無可信第三方的公開密鑰協(xié)議。（6）具有可信第三方的公開密鑰協(xié)議。1.經(jīng)典認(rèn)證協(xié)議

本節(jié)介紹幾個典型的經(jīng)典認(rèn)證協(xié)議，他們的共同特點是：都是早期設(shè)計的認(rèn)證協(xié)議，反映了當(dāng)時的設(shè)計和分析水平。它們或多或少都存在一些安全缺陷，但是它們在認(rèn)證協(xié)議的發(fā)展史中都起過重要的作用，為今天認(rèn)證協(xié)議設(shè)計與分析技術(shù)的發(fā)展積累了寶貴的經(jīng)驗。其中，許多認(rèn)證協(xié)議已經(jīng)成為認(rèn)證協(xié)議設(shè)計與分析的“試驗床”，即每當(dāng)出現(xiàn)一個新的形式化分析方法，都要先分析這幾個認(rèn)證協(xié)議，驗證新方法的有效性。同時，研究人員也經(jīng)常以它們?yōu)槔f明認(rèn)證協(xié)議的設(shè)計原則和各種不同分析方法的特點。Needham-Schroeder認(rèn)證協(xié)議是1978年提出的，在認(rèn)證協(xié)議的發(fā)展史中具有歷程培的意義。該協(xié)議就是一個最常用的認(rèn)證協(xié)議與分析的“試驗床”。它可以分為對稱密碼體制和非對稱密碼體制下的兩種版本，分別簡稱NSSK協(xié)議和NSPK協(xié)議。NSSK協(xié)議的目的是在通信雙方之間分配會話密鑰。其中，前3條消息的作用是主體A在認(rèn)證服務(wù)器S的幫助下，進行會話密鑰的分配。后2條消息的目的是使B相信A現(xiàn)在在線，但不能使B相信會話密鑰是新鮮的。該協(xié)議如圖2-1所示。BAS12345圖2-1NSSK協(xié)議（1）針對NSSK協(xié)議的“新鮮性”型攻擊（2）針對上述攻擊的改進解決這一問題的另一個方法是，令B也向S發(fā)送一個臨時值，然后S將B的臨時值放在發(fā)送給B的密鑰證書中。攻擊NSSK協(xié)議的的一種種新方方法即使攻攻擊者者P沒有得得到泄泄漏的的會話話密鑰鑰，A也不能能通過過消息息3、4、5推斷出出B知道會會話密密鑰。。攻擊擊如下下：改進：：BAS12236745圖2-2NSPK協(xié)議以其他他大多多數(shù)公公開密密鑰認(rèn)認(rèn)證協(xié)協(xié)議不不同，，NSPK協(xié)議的的目的的是使使通信信雙方方安全全地交交換兩兩個彼彼此獨獨立的的秘密密。針對NSPK協(xié)議的的攻擊擊針對NSPK協(xié)議的的最有有名的的攻擊擊來自自Lowe。Lowe指出，，NSPK協(xié)議的的主要要安全全缺陷陷在于于其中中的消消息6。由于于消息息中沒沒有B的標(biāo)識識符，，攻擊擊者可可以假假冒B的身份份發(fā)送送消息息6。改進后后的NSPK協(xié)議：：Otway-Rees協(xié)議是是1978年提出出的一一種早早期的的認(rèn)證證協(xié)議議。SAB14223圖2-3Otway-Rees協(xié)議注意：在Otway-Rees協(xié)議中中，M是會話話識別別號；；而臨臨時值值和和不不僅僅提供供了時時序信信息，，還因因為在在消息息1和消息息2中受到到了加加密保保護，，所以以在消消息4和消息息5中這兩兩個臨臨時值值作為為主體體身份份的替替身出出現(xiàn)。。S檢查消消息2中兩個個加密密消息息內(nèi)的的M,A,B是否一一致，，如果果匹配配，才才會為為A,B生成會會話密密鑰，，并并向B發(fā)送消消息3。針對Otway-Rees協(xié)議的的“類型缺缺陷”型攻擊擊“類型攻攻擊”的特點點是利利用認(rèn)認(rèn)證協(xié)協(xié)議實實現(xiàn)時時的固固定格格式對對協(xié)議議進行行攻擊擊。假假定在在Otway-Rees協(xié)議中中，M的長度度是64比特，，A和B的長度度各為為32比特，，會話話密鑰鑰的長長度為為128比特。。用戶戶A在發(fā)起起協(xié)議議后，，預(yù)期期在協(xié)協(xié)議的的第4步可以以收回回他在在協(xié)議議第1步建立立的臨臨時值值，以以及認(rèn)認(rèn)證服服務(wù)器器S為他分分配的的會話話密鑰鑰。這這時，，攻擊擊者P可以冒冒充B，重放放消息息1中的加加密分分量，，將它它作為為消息息4中的加加密分分量發(fā)發(fā)送給給A，攻擊擊過程程如下下：攻擊者者還可可以冒冒充認(rèn)認(rèn)證服服務(wù)器器S攻擊Otway-Rees協(xié)議。。這時時，P只需將將消息息2中的加加密分分量重重放給給B即可。。攻擊擊過程程如下下：Otway-Rees協(xié)議Abadi-Needham改進版版本1．2．3．4．攻擊Otway-Rees協(xié)議的的2種新方方法（（卿斯斯?jié)h發(fā)發(fā)現(xiàn)））（1）攻擊擊原始始Otway-Rees協(xié)議的的一種種新方方法該攻擊擊的成成功需需要對對服務(wù)務(wù)器S進行下下述假假設(shè)：：（1）服務(wù)務(wù)器S對A,B之間時時間相相隔很很短的的兩次次密鑰鑰申請請不進進行限限制；；（2）服務(wù)務(wù)器S只對消消息2中兩個個加密密消息息內(nèi)的的會話話識別別號M及主體體身份份進行行匹配配檢查查，而而對A,B之間密密鑰分分配請請求中中的M不做記記錄。。（2）攻擊擊Otway-Rees協(xié)議Abadi-Needham改進版版本的的一種種新方方法1.注意：：這種攻攻擊的的成功功，也也需要要關(guān)于于服務(wù)務(wù)器S的如下下假設(shè)設(shè)成立立：S對A,B之間時時間間間隔很很短的的兩次次密鑰鑰申請請不進進行限限制。。1988年提出出的Yahalom協(xié)議是是另外外一個個經(jīng)典典認(rèn)證證協(xié)議議。該該協(xié)議議的特特別之之處在在于，，A向S間接發(fā)發(fā)送臨臨時值值，并并從S處直接接取得得會話話密鑰鑰，B直接發(fā)發(fā)送臨臨時值值，并并從S處間接接得到到會話話密鑰鑰。SAB3241圖2-4Yahalom協(xié)議BAN邏輯的的分析析結(jié)果果與Yahalom協(xié)議的的改進進建議議應(yīng)用BAN邏輯分分析Yahalom協(xié)議的的結(jié)果果表明明，如如果A在第4條消息息中選選擇一一個舊舊密鑰鑰重放放給B，則B不可能能發(fā)現(xiàn)現(xiàn)這個個問題題。為為此，，對Yahalom協(xié)議作作了如如下修修改，，修改改后的的協(xié)議議成為為BAN-Yahalom協(xié)議。。針對BAN-Yahalom協(xié)議的的攻擊擊BA22134圖2-5Andrew安全RPC協(xié)議針對Andrew安全RPC協(xié)議的的攻擊擊（1）針針對對Andrew安全RPC協(xié)議的的“類型缺缺陷”型攻擊擊假設(shè)臨臨時值值、序序列號號與密密鑰的的長度度都相相同，，例如如均為為128比特，，則攻攻擊者者P可以記記錄監(jiān)監(jiān)聽到到的消消息2，截獲獲A發(fā)送給給B的消息息3，并在在第4步重放放消息息2給A。攻擊擊過程程如下下：如此協(xié)協(xié)議執(zhí)執(zhí)行后后，A相信臨臨時值值是是服務(wù)務(wù)器B新分配配給她她的會會話密密鑰，，因此此攻擊擊是有有效的的。雖雖然，，這時時攻擊擊者并并不一一定知知道新新的會會話密密鑰。。但是是，臨臨時值值的作作用與與密鑰鑰不同同，絕絕對不不能當(dāng)當(dāng)作會會話密密鑰使使用。。猜測測密鑰鑰要比比猜測測臨時時值困困難得得多。。因為為，在在協(xié)議議的各各個回回合中中，臨臨時值值均不不相同同就足足夠了了，并并不要要求臨臨時值值一定定是隨隨機的的。因因此，，臨時時值往往往容容易猜猜測。。（2）針針對對Andrew安全RPC協(xié)議的的“新鮮性性”型攻擊擊攻擊者者P可以記記錄在在協(xié)議議前一一個回回合中中監(jiān)聽聽到的的消息息4，并在在第4步重放放該消消息給給A。“大嘴青青蛙”協(xié)議是是由Burrows提出的的，這這是一一種最最簡單單的、、應(yīng)用用對稱稱密碼碼的三三方認(rèn)認(rèn)證協(xié)協(xié)議。。SAB12圖2-6““大嘴青青蛙””協(xié)議議針對“大嘴青青蛙”協(xié)議的的攻擊擊這個簡簡單的的協(xié)議議有多多種安安全缺缺陷，，攻擊擊它也也有多多種方方法。。一種種方法法是在在有效效的時時間范范圍內(nèi)內(nèi)重放放第1個消息息，其其后果果實將將進行行重新新認(rèn)證證。第第二種種攻擊擊方法法需要要應(yīng)用用3個協(xié)議議回合合，攻攻擊過過程如如下：：在回合合1中，攻攻擊者者P記錄A與B之間的的一次次會話話。然然后，，在第第2與第3回合，，攻擊擊者假假冒A與B從S處獲得得對他他有用用的消消息和和這時，，攻擊擊者P可以假假冒S向A與B重放上上述消消息，，引起起A與B之間的的重新新認(rèn)證證。2.其他重重要的的認(rèn)證證協(xié)議議（1）Helsinki協(xié)議的的描述述Helsinki協(xié)議是是國際際標(biāo)準(zhǔn)準(zhǔn)ISO/IECDIS11770-3中提出出的認(rèn)認(rèn)證協(xié)協(xié)議草草案。。BA2213圖2-8Helsinki協(xié)議Helsinki協(xié)議的的目標(biāo)標(biāo)是為為主體體A和B安全地地分配配一個個共享享會話話密鑰鑰，，他他最終終由和和和和單向向函數(shù)數(shù)確確定，，即（2）針針對Helsinki協(xié)議的的Horng-Hsu攻擊Horng和Hsu指出，，Helsinki協(xié)議存存在安安全缺缺陷，，不能能達到到它的的安全全目標(biāo)標(biāo)。Horng-Hsu攻擊擊是一種種內(nèi)部部攻擊擊，即即攻擊擊者必必須是是合法法的協(xié)協(xié)議主主體，，而且且其他他合法法主體體希望望與他他通過過協(xié)議議分配配共享享通信信密鑰鑰。Horng-Hsu攻擊的的過程程如下下：經(jīng)過上上述兩兩回合合協(xié)議議運行行之后后，主主體A相信，，他成成功地地完成成了一一次與與主體體P的會話話，并并獲得得共享享會話話密鑰鑰但但是主主體P并不知知道會會話密密鑰的的組成成部分分。。同同時，，主體體B相信，，他與與主體體A成功地地進行行了一一次會會話，，并獲獲得會會話密密鑰。。但但是主主體A并不知知道會會話密密鑰的的組組成部部分。。因因此，，攻擊擊者P的攻擊擊是有有效的的。（3）Mitchell-Yeun的改進進協(xié)議議Mitchell和Yeun對Helsinki協(xié)議進進行了了改進進。他他們認(rèn)認(rèn)為Horng-Hsu攻擊成成功的的原因因是A相信B發(fā)送的的第2條消息息來來源源于P。這是是因為為消息息2沒有明明確指指出消消息來來源，，從而而造成成了消消息的的重放放。因因此，，攻擊擊者P雖然并并不知知道消消息2的真實實內(nèi)容容，但但P可以將將消息息2轉(zhuǎn)發(fā)給給A，使A相信消消息2來源于于P。基于上上述理理由，，Mitchell-Yeun的改進進協(xié)議議如下下：Woo-Lam單向認(rèn)認(rèn)證協(xié)協(xié)議是是Woo和Lam于1992年提出出的。。SAB421523圖2-9Woo-Lam協(xié)議針對Woo-Lam協(xié)議的的攻擊擊方法法攻擊1：攻擊2：攻擊3：如果Woo-Lam協(xié)議所所應(yīng)用用的對對稱密密碼算算法滿滿足交交換律律，則則這種種攻擊擊方法法可以以奏效效。臨時值值與時時間戳戳臨時值值的作作用是是保證證消息息的新新鮮性性，防防止消消息重重放。。時間間戳和和臨時時值都都是用用于保保證消消息的的新鮮鮮性的的，但但它們們之間間有很很重要要的區(qū)區(qū)別。。使用用時間間戳?xí)r時，一一般要要求各各主體體的時時鐘同同步，，但時時間戳戳并不不和某某個主主體之之間關(guān)關(guān)聯(lián)，，任何何一個個主體體產(chǎn)生生的時時間戳戳都能能被其其他主主體用用來檢檢驗消消息的的新鮮鮮性。。臨時時值則則是某某個主主體產(chǎn)產(chǎn)生的的隨機機數(shù)值值，一一個主主體只只能根根據(jù)他他自己己所產(chǎn)產(chǎn)生的的臨時時值來來檢驗驗消息息的新新鮮性性。此此外，，時間間戳不不具有有唯一一性，，它通通常有有一個個有效效范圍圍，只只要它它位于于這個個有效效范圍圍內(nèi)，，主體體都接接受它它的新新鮮性性。因因此，，在一一次會會話中中使用用的時時間戳戳可能能在另另一次次時間間上接接近的的會話話中被被主體體接收收為新新鮮的的。臨臨時值值則具具有唯唯一性性，任任何一一個主主體在在兩次次會話話中產(chǎn)產(chǎn)生的的臨時時值在在很長長一段段時間間內(nèi)不不可能能相同同。所所以在在一次次會話話中使使用的的臨時時值不不可能能在另另一次次會話話中被被主體體接收收為新新鮮的的臨時時值。。認(rèn)證協(xié)協(xié)議的的設(shè)計計原則則設(shè)計目目標(biāo)明明確，，無二二義性性；最好應(yīng)應(yīng)用描描述協(xié)協(xié)議的的形式式語言言，對對認(rèn)證證協(xié)議議本身身進行行形式式化描描述；；通過形形式化化分析析方法法證明明認(rèn)證證協(xié)議議實現(xiàn)現(xiàn)了設(shè)設(shè)計目目標(biāo)；；安全性性與具具體采采用的的密碼碼算法法無關(guān)關(guān)；保證臨臨時值值和會會話密密鑰等等重要要消息息的新新鮮性性，防防止重重放攻攻擊；；盡量采采用異異步認(rèn)認(rèn)證方方式，，特別別是防防止重重放攻攻擊的的能力力；具有抵抵抗常常見攻攻擊，，特別別是防防止重重放攻攻擊的的能力力；進行運運行環(huán)環(huán)境的的風(fēng)險險分析析，做做盡可可能少少的初初始安安全假假設(shè)實用性性強，，可用用于各各種網(wǎng)網(wǎng)絡(luò)的的不同同協(xié)議議層；；盡可能能減少少密碼碼運算算，降降低成成本，，擴大大應(yīng)用用范圍圍。思考題題試述Dolev-Yao攻擊者者模型型的主主要內(nèi)內(nèi)容及及其在在安全全協(xié)議議研究究中的的意義義。臨時值值與時時間戳戳在保保證消消息新新鮮性性方面面有哪哪些貢貢獻?臨時值值與時時間戳戳之間間有哪哪些區(qū)區(qū)別?“類型缺缺陷”型攻擊擊的特特點是是什么么?在認(rèn)證證協(xié)議議的設(shè)設(shè)計中中，應(yīng)應(yīng)該如如何注注意防防止類類型缺缺陷型型的攻攻擊?Thankyou!9、靜夜夜四無無鄰，，荒居居舊業(yè)業(yè)貧。。。12月月-2212月月-22Wednesday,December28,202210、雨中黃葉葉樹，燈下下白頭人。。。20:49:3120:49:3120:4912/28/20228:49:31PM11、以我獨獨沈久，，愧君相相見頻。。。12月-2220:49:3120:49Dec-2228-Dec-2212、故人江江海別，，幾度隔隔山川。。。20:49:3220:49:3220:49Wednesday,December28,202213、乍見翻疑夢夢，相悲各問問年。。12月-2212月-2220:49:3220:49:32December28,202214、他他鄉(xiāng)鄉(xiāng)生生白白發(fā)發(fā)，，舊舊國國見見青青山山。。。。28十十二二月月20228:49:32下下午午20:49:3212月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December28,202216、行動動出成成果，，工作作出財財富。。。2022/12/2820:49:3220:49:3228December202217、做前前，能能夠環(huán)環(huán)視四四周；；做時時，你你只能能或者者最好好沿著著以腳腳為起起點的的射線線向前前。。。8:49:32下下午8:49下下午午20:49:3212月月-229、沒有失失敗，只只有暫時時停止成成功！。。12月-2212月-22Wednesday,December28,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒沒有。。20:49:3220:49:3220:4912/28/20228:49:32PM11、成功就是是日復(fù)一日日那一點點點小小努力力的積累。。。12月-2220:49:3220:49Dec-2228-Dec-2212、世世間間成成事事，，不不求求其其絕絕對對圓圓滿滿，，留留一一份份不不足足，，可可得得無無限限完完美美。。。。20:49:3220:49:3220:49Wednesday,December28,202213、不知知香積積寺，，數(shù)里里入云云峰。。。12月月-2212月月-2220:49:3220:49:32December28,202214、意志堅強強的人能把把世界放在在手中像泥泥塊一樣任任意揉捏。。28十二二月20228:49:32下下午20:49:3212月-2215、楚塞三三湘接，，荊門九九派通。。。。十二月228:49下午午12月-2220:49December28,202216、少年十十五二十十時，步步行奪得得胡馬騎騎。。2022/12/2820:49:3220:49:3228December20