网络安全教程 教学课件 田园 第9章 对网络安全协议的.pptVIP

第9章 对网络安全协议的典型攻击 ;9.1 一个例子、一段历史 ;Needham-Schroeder协议的消息交换过程为 A → B：{Na, A}KB B → A：{Na, Nb}KA A → B：{Nb}KB 该协议也可以用分布式计算系统中进程的Lamport图表达，如图9-1（a）所示，这种图形表示法是一种很直观并且可以精确化的表示方法。;图9-1 Needham-Schroeder协议及其安全漏洞; 直观上看，A、B通过Needham-Schroeder协议向对方证实自己的存在。 A将自己生成的随机数Na用B的公钥加密后发送到B；B生成一个自己的随机数Nb后连同A的随机数Na一起传递回A，整个消息以A的公钥加密；A以自己的私钥解密该消息，验证其中包含的第一个数确实是自己在第一个消息中向B传递的那个随机数（否则A立刻终止该协议），然后将该消息中的第二个数以B的公钥加密后传递回B；B以自己的私钥解密该消息，验证其中所含的恰是其在第二条消息中自己生成的那一个随机数Nb。; 特别值得注意的是第二条消息{Na, Nb}KA，它要表达的意思是“A、B当前存在于一个时效由随机数Na、Nb界定的会话中”，但注意该消息表达式中实际上没有任何信息可以使接收方据此推断发送方是B而不是其他参与者。 细心的读者或许会争辩说该消息中的项Na来自A发送的第一条消息{Na, A}KB，既然该消息以B的公钥加密，“当然”只有B能解密从而提取出Na，因此当A看到Na 出现于{Na, Nb}KA中时,“当然”能据此推断出是B而不是其他进程发送了该消息。; 实际上，以上“论证”并不成立，如图9-1（b）中所示的攻击恰是对Needham-Schroeder协议这一漏洞的巧妙利用。 A、B以及其他符号如前述，P表示攻击者，假定P已破译出一个合法参与者的私钥，其对应的公钥为KP。 ; 当A期望向P（从现在起对P及被其破译出私钥的参与者不加区分，用同一符号表示）证实身份时，向P发送消息{N1, A}KP，P提取出A的随机数N1 后以A的身份向B发送消息{N1, A}KB，B根据协议的规定向A发送消息{N1, N2}KA，注意如前所述，A并不能根据该消息本身推断出该消息的实际发送者是B而不是A所期望的P，于是A接收该消息后能正确地通过验证并向P发送消息{N2}KP，P提取出N2后向B发送{N2}KB。; 至此，根据Needham-Schroeder协议，A断定“P存在于N1, N2所界定的会话中，且N1, N2仅有A、P知道”，B断定“A存在于N1, N2所界定的会话中，且N1, N2仅有A、B知道”，而事实上，两者的结论都是错误的。 ; 对Needham-Schroeder协议的改正非常简单，这就是Needham-Schroeder-Lowe协议 A → B：{Na, A}KB B → A：{Na, Nb, B}KB A → B：{Nb}KB Needham-Schroeder-Lowe协议的安全性目前已经被严格证明。;9.2 更多的例子 ;9.2.1 其他身份鉴别协议的例子; 然而，消息CA,CB,{{K, Ta}da }Kb对该涵义的表达并不充分，具体地说，消息中的子项{{K, Ta}da}Kb可以被一个意图假冒发送者身份的进程所重用。 设想C是这样一个进程，在与A以Denning-Sacco协议获取了会话密钥Kac后，C再与B进行一次Denning-Sacco协议，C向B发送的最后一条消息是 C → B：CB,CC,{{Kac, Ta}da }Kb 根据Denning-Sacco协议B将判定Kac来自A，而实际上C也知道该密钥，当B以Kac加密其敏感数据与A会话时，将立刻被C破译。;对Denning-Sacco协议可以改正如下 A → S：A,B S → A：CA,CB A → B：CA,CB,{{A,B,K,Ta}da }Kb; Woo-Lam协议 这是一个基于对称加密体制的身份鉴别协议，S是被共同信任的服务器进程，进程B期望验证进程A当前的确存在，A、B双方的消息交换过程为（注意被验证的A是协议过程的发起方） A → B：A B → A：Nb A → B：{Nb}Kas B → S：{A,{Nb}Kas}Kbs S → B：{Nb}Kbs; Nb是随机数、Kas、Kbs分别是A、S之间和B、S之间的共享密钥。 B解密最后一条消息{Nb}Kbs，将提取出的明文与它在第二条消息中发送的随机数比较，如果相同则B判定A当前确实存在。; 如果最后一条消息{Nb}Kbs中的Nb确实来自第三条消息{Nb}Kas中的Nb，则A确