第五章安全協(xié)議技術-安全協(xié)議缺陷計算機系統(tǒng)與網絡安全技術攻擊模型安全協(xié)議缺陷安全協(xié)議技術導致協(xié)議不安全的根本原因在于協(xié)議所運行環(huán)境的復雜性該復雜性的典型代表是存在協(xié)議攻擊者。攻擊模型安全協(xié)議缺陷安全協(xié)議技術導致協(xié)議不安全的根本原因在于協(xié)議所運行環(huán)境的復雜性該復雜性的典型代表是在協(xié)議主體中可能存在協(xié)議攻擊者協(xié)議主體：參與協(xié)議的主體攻擊者：不按照協(xié)議要求執(zhí)行協(xié)議的主體攻擊模型在眾多攻擊者模型中，Dolev-Yao模型是公認較好的模型之一（1）截獲并延遲消息的發(fā)送。（2）截獲并重新發(fā)送消息到任意接收者。（3）截獲并修改消息，并可轉發(fā)給任意接收者。（4）可以產生新的消息（包括新鮮的消息）。（5）可以對消息進行分離。（6）可以對多個消息進行組合。（7）知道密鑰后可解密消息和重新加密消息。（8）可以查看和掌握協(xié)議相關的公用信息。安全協(xié)議缺陷安全協(xié)議技術Dolev-Yao攻擊者模型假設攻擊者具有的能力協(xié)議缺陷在實際應用中，由于存在攻擊者，因此設計一個安全的協(xié)議是非常困難的任務。所謂協(xié)議的安全性，一般為在假定攻擊者模型下，證明協(xié)議是安全的。安全協(xié)議缺陷安全協(xié)議技術協(xié)議存在缺陷的原因1協(xié)議設計過程不規(guī)范2是在協(xié)議執(zhí)行時產生安全協(xié)議缺陷安全協(xié)議技術常見協(xié)議缺陷（1）基本協(xié)議缺陷：協(xié)議中沒有或者很少考慮對攻擊者的防范而引發(fā)的協(xié)議缺陷（如TCP/IP協(xié)議的安全缺陷問題等）。安全協(xié)議缺陷安全協(xié)議技術Alice(A)Bob(B)這種方法的問題是什么？攻擊者可以采取加密的方式來猜測M的內容（即破壞機密性）考慮M是Alice給Bob加工資的金額常見協(xié)議缺陷（2）陳舊消息缺陷：在協(xié)議設計過程中，未考慮消息的時效性（即新鮮性），從而使得攻擊者可以利用協(xié)議過程中產生的過時消息來對協(xié)議進行重放攻擊。安全協(xié)議缺陷安全協(xié)議技術Alice(A)Bob(B)Carol(C)結論：不要相信輕易沒有時間的簽名！常見協(xié)議缺陷（3）并行會話缺陷：協(xié)議設計對僅考慮單個協(xié)議執(zhí)行的情況，對多個協(xié)議（或同一個協(xié)議的多個運行實例）并行會話缺乏考慮，使得攻擊者可以相互交換適當的協(xié)議消息來獲得更為重要的消息。安全協(xié)議缺陷安全協(xié)議技術該協(xié)議是否安全呢？Alice(A)Bob(B)協(xié)議目的：Alice和Bob在可信第三方的條件下實現認證及密鑰交換常見協(xié)議缺陷（4）內部協(xié)議缺陷：協(xié)議中缺少足夠的信息讓協(xié)議參與者能夠區(qū)分消息的真實性而導致缺陷。安全協(xié)議缺陷安全協(xié)議技術Neuman－Stubblebine協(xié)議Neuman,BCandStubblebine,SG,ANoteontheUseofTimestampsandNonces,OSReview27,2,Apr.1993.Na，Nb，Ma，Mb都是Nonce密鑰交換相互認證常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術Alice(A)Trent(T)Bob(B)KabKabNeuman－Stubblebine協(xié)議常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術Neuman－Stubblebine協(xié)議密鑰交換相互認證消息5－7實現雙向認證，該過程可以重復進行；該過程稱之為重復認證。{A,Kab,Tb}Kbs稱之為票據直到票據{A,Kab,Tb}Kbs

過期。

常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術Alice(A)Trent(T)Bob(B)KabKabNeuman－Stubblebine協(xié)議問題：協(xié)議安全問題在哪里？差異是什么？Kab&Na?常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術Alice(A)Trent(T)Bob(B)NaNaNeuman－Stubblebine協(xié)議的規(guī)因于類型缺陷攻擊Malice(M)忽略消息3攻擊中，攻擊者利用一次性Nonce替代Kab，如果Bob不能區(qū)別其類型，就會上當受騙。原因：協(xié)議中的變量（如Kab）的類型沒有明確定義。常見協(xié)議缺陷（5）密碼系統(tǒng)缺陷：協(xié)議中使用的密碼算法的安全強度問題導致協(xié)議不能完全滿足所要求的機密性、完整性、認證等需要而產生的缺陷。這類缺陷包括密碼算法強度不夠、密鑰長度不夠、不正確的使用密碼算法等例如，SHA-1數字摘要算法被證明存在缺陷，因此凡是用SHA-1的協(xié)議均不同程度的存在安全缺陷。安全協(xié)議缺陷安全協(xié)議技術安全協(xié)議缺陷安全協(xié)議技術Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Needham－Schroeder協(xié)議前向保密失敗攻擊者如果破解了以前的一個會話密鑰，可以重放消息EB（K，A）協(xié)議目的：基于認證服務器（PPT）實現雙向認證及密鑰交換。安全協(xié)議缺陷安全協(xié)議技術協(xié)議目的：A和B在一個可信第三方的幫助下實現會話密鑰Kab的交換協(xié)議包含四條消息：Na,Nb是新鮮性隨機數M是協(xié)議標識變形：Nb與其他消息分開加密分開加密目的：使用加密來提供消息的新鮮性Otway-Reeskeyexchangingprotocol的一種變形安全協(xié)議缺陷安全協(xié)議技術Alice(A)Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。該變形同樣存在前面所描述的類型錯誤攻擊。除此之外，引來了其他攻擊Otway-Reeskeyexchangingprotocol的一種變形安全協(xié)議缺陷安全協(xié)議技術Bob(B)Trent(T)Trent解密兩個消息并比較其相同部分是否一致。一致則發(fā)送會話密鑰。Carol(C)攻擊結果：Bob認為于Alice共享了會話密鑰，而實際上是于Carol共享了密鑰Otwa