第6講-認(rèn)證協(xié)議-課件

第6講認(rèn)證協(xié)議/s/1hqGj6QS1PPT課件第6講認(rèn)證協(xié)議6.1認(rèn)證方式分類6.2經(jīng)典認(rèn)證協(xié)議6.3密鑰交換協(xié)議6.4認(rèn)證密鑰交換協(xié)議6.5可否認(rèn)認(rèn)證協(xié)議6.6對(duì)認(rèn)證協(xié)議的典型攻擊6.7認(rèn)證協(xié)議的設(shè)計(jì)原則2PPT課件認(rèn)證和協(xié)議的概念認(rèn)證：是一個(gè)過(guò)程，通過(guò)這個(gè)過(guò)程，一個(gè)實(shí)體可以向另一個(gè)實(shí)體證明某種聲稱的屬性。協(xié)議：在兩方或相互協(xié)作的多方之間進(jìn)行通信的過(guò)程。因此，一個(gè)認(rèn)證過(guò)程也是一個(gè)認(rèn)證協(xié)議。認(rèn)證協(xié)議是安全協(xié)議的一種。什么是認(rèn)證？什么是協(xié)議？3PPT課件消息認(rèn)證（也稱數(shù)據(jù)源認(rèn)證）身份認(rèn)證（或稱實(shí)體認(rèn)證）帶認(rèn)證的密鑰建立實(shí)體聲稱的屬性有哪些呢？？4PPT課件消息認(rèn)證目的：確認(rèn)消息發(fā)送者的身份確認(rèn)數(shù)據(jù)完整性消息認(rèn)證與數(shù)據(jù)完整性區(qū)別：消息認(rèn)證必然涉及通信，而數(shù)據(jù)完整性不一定包含通信，該安全服務(wù)可用于存儲(chǔ)的數(shù)據(jù)。消息認(rèn)證必然涉及確認(rèn)消息的新鮮性，而數(shù)據(jù)完整性無(wú)此必要，這是因?yàn)槔蠑?shù)據(jù)、重放的舊消息也可能有完善的數(shù)據(jù)完整性。新鮮的消息指接收者認(rèn)定的新近發(fā)送的消息（收發(fā)之間的時(shí)間間隔足夠?。?。5PPT課件身份認(rèn)證1、主機(jī)—主機(jī)類型通信的參與者是在分布式系統(tǒng)中被稱為“節(jié)點(diǎn)”的計(jì)算機(jī)或平臺(tái)。實(shí)例：客戶端—服務(wù)器設(shè)置，其中一臺(tái)主機(jī)（客戶端）向另一臺(tái)主機(jī)（服務(wù)器）請(qǐng)求某些服務(wù)。6PPT課件身份認(rèn)證2、用戶—主機(jī)類型用戶通過(guò)登錄系統(tǒng)中某臺(tái)主機(jī)來(lái)獲得訪問(wèn)該計(jì)算機(jī)系統(tǒng)。舉例：通過(guò)Telnet登錄到某臺(tái)計(jì)算機(jī)通過(guò)FTP（filetransferprotocol）執(zhí)行文件傳送7PPT課件身份認(rèn)證3、進(jìn)程—主機(jī)類型主要用于分布式計(jì)算系統(tǒng)遠(yuǎn)程進(jìn)程的識(shí)別與認(rèn)證。一個(gè)主機(jī)可能會(huì)給外部的進(jìn)程授予不同的接入權(quán)限。例如某段“移動(dòng)代碼”或可執(zhí)行的Java程序都能夠到達(dá)遠(yuǎn)程主機(jī)并作為遠(yuǎn)程進(jìn)程在該主機(jī)上運(yùn)行。在敏感的應(yīng)用中，設(shè)計(jì)認(rèn)證機(jī)制是必需的，也是可能的，這樣才能使主機(jī)識(shí)別外部進(jìn)程是否友好，從而能夠?qū)ν獠窟M(jìn)程賦予合適的接入權(quán)限。8PPT課件身份認(rèn)證4、成員—俱樂(lè)部類型可以把成員擁有俱樂(lè)部證書(shū)的證明看做是一般化的“用戶—主機(jī)類型”。俱樂(lè)部可以只需要考慮成員證件的有效性，而沒(méi)有必要知道該成員的進(jìn)一步信息，如該成員的真實(shí)身份。9PPT課件6.1認(rèn)證方式分類（1）

單方認(rèn)證（2）

雙方認(rèn)證（3）

包含可信第三方的認(rèn)證認(rèn)證可以分為那些類別？10PPT課件6.1.1單方認(rèn)證協(xié)議的兩個(gè)參與主體A和B中只對(duì)其中的一個(gè)主體進(jìn)行認(rèn)證。（服務(wù)器對(duì)客戶端的認(rèn)證或…）認(rèn)證機(jī)制包括基于交互模式的挑戰(zhàn)—應(yīng)答機(jī)制(CR)基于對(duì)稱密碼技術(shù)的挑戰(zhàn)—應(yīng)答機(jī)制的單方認(rèn)證基于非對(duì)稱密碼技術(shù)的挑戰(zhàn)—應(yīng)答機(jī)制的單方認(rèn)證基于非交互模式的時(shí)間戳機(jī)制(TS)基于對(duì)稱加密技術(shù)的時(shí)間戳機(jī)制的單方認(rèn)證基于非對(duì)稱加密技術(shù)的時(shí)間戳機(jī)制的單方認(rèn)證11PPT課件挑戰(zhàn)—應(yīng)答機(jī)制“挑戰(zhàn)-應(yīng)答”機(jī)制（Challenge-Response）B期望從A獲得一個(gè)新消息，首先發(fā)給A一個(gè)臨時(shí)值(challenge)，并要求后續(xù)從A收到的消息(response)包含正確的這個(gè)臨時(shí)值。12PPT課件基于對(duì)稱密碼技術(shù)的挑戰(zhàn)—應(yīng)答機(jī)制”的單方認(rèn)證協(xié)議1：Bob→Alice：NB;(挑戰(zhàn))Alice→Bob：EKAB(M,NB);(應(yīng)答)Bob解密接收到密文分組并接受（若Bob看到NB）或拒絕（其它情況）。協(xié)議2：Bob→Alice：NB;(挑戰(zhàn))Alice→Bob：M,MDC(KAB,M,NB);(應(yīng)答)Bob重構(gòu)MDC(KAB,M,NB)并接受（若兩個(gè)MDC相同）或拒絕（其它情況）。13PPT課件基于非對(duì)稱密碼技術(shù)的挑戰(zhàn)—應(yīng)答機(jī)制的單方認(rèn)證協(xié)議3：Bob→Alice：NB;(挑戰(zhàn))Alice→Bob：M,SigA(M,NB);(應(yīng)答)Bob使用他的一次性隨機(jī)數(shù)NB驗(yàn)證簽名并接受（若簽名通過(guò)驗(yàn)證）或拒絕（其它情況）。14PPT課件數(shù)字時(shí)間戳機(jī)制數(shù)字時(shí)間戳（DTS，DigitalTime-stamp）：是由DTS服務(wù)機(jī)構(gòu)提供的安全服務(wù)項(xiàng)目，專門(mén)用于證明信息的發(fā)送時(shí)間。B接受一個(gè)新消息僅當(dāng)該消息包含一個(gè)時(shí)間戳，該時(shí)間戳在B看來(lái)，是足夠接近B所知道的當(dāng)前時(shí)間；這種方法要求不同參與者之間的時(shí)鐘需要同步。由于變化的和不可預(yù)見(jiàn)的網(wǎng)絡(luò)延遲的本性，不能期望分布式時(shí)鐘保持精確的同步。因此，任何基于時(shí)間戳的過(guò)程必須采用時(shí)間窗的方式來(lái)處理：一方面時(shí)間窗應(yīng)足夠大以包容網(wǎng)絡(luò)延遲，另一方面時(shí)間窗應(yīng)足夠小以最大限度地減小遭受攻擊的機(jī)會(huì)。15PPT課件數(shù)字時(shí)間戳機(jī)制數(shù)字時(shí)間戳的生成及使用過(guò)程16PPT課件基于對(duì)稱加密技術(shù)的時(shí)戳機(jī)制的單方認(rèn)證協(xié)議4：Alice→Bob：EKAB

(M,TA);Bob解密接收到的密文分組并接受（若認(rèn)為T(mén)A是有效的）或拒絕（其它情況）。協(xié)議5：Alice→Bob：M,TA,MDC(KAB,M,TA);Bob重構(gòu)MDC（KAB,M,TA)并接受（若兩個(gè)MDC相等且TA是有效的）或拒絕（其它情況）。17PPT課件基于非對(duì)稱加密技術(shù)的時(shí)戳機(jī)制的單方認(rèn)證協(xié)議6：Alice→Bob：SigA(M,TA);Bob驗(yàn)證簽名并接受（若簽名通過(guò)驗(yàn)證且TA是有效的）或拒絕（其它情況）。18PPT課件6.1.2雙方(向)認(rèn)證雙方認(rèn)證是指協(xié)議的兩個(gè)通信實(shí)體要互相認(rèn)證。協(xié)議7：前提：A擁有公鑰證書(shū)CertA，B擁有公鑰證書(shū)CertB；目標(biāo)：A和B完成雙方認(rèn)證(對(duì)身份的確認(rèn))。協(xié)議步驟：B→A：RB;(表示認(rèn)證請(qǐng)求的功能碼)A→B：CertA,RA||RB||B||SigA(RA||RB||B);B→A：CertB,RB||RA||A||SigB(RB||RA||A).--19PPT課件6.1.2雙方認(rèn)證對(duì)協(xié)議7的攻擊協(xié)議8：Wiener攻擊(加拿大人攻擊)：前提：除了原協(xié)議的前提外，Malice也擁有證書(shū)CertM。Malice（“B”）→A：RB;（冒充B）A→Malice（“B”）：CertA,RA||RB||B||SigA(RA||RB||B);1)Malice（“A”）→B：RA;（冒充A）2)B→Malice（“A”）：CertB,R′B||RA||A||SigB(R′B||RA||A);Malice（“B”）→A：CertB,R′B||RA||A||SigB(R′B||RA||A).結(jié)果是得到了A和B的信任協(xié)議7：前提：A擁有公鑰證書(shū)CertA，B擁有公鑰證書(shū)CertB；目標(biāo)：A和B完成雙方認(rèn)證(對(duì)身份的確認(rèn))。協(xié)議步驟：B→A：RB;(表示認(rèn)證請(qǐng)求的功能碼)A→B：CertA,RA||RB||B||SigA(RA||RB||B);B→A：CertB,RB||RA||A||SigB(RB||RA||A).--20PPT課件6.1.3包含可信第三方的認(rèn)證Woo-Lam協(xié)議：前提：Trent作為可信第三方（TTP)，Alice和Trent共享對(duì)稱密鑰KAT，Bob和Trent共享對(duì)稱密鑰KBT；目標(biāo)：即使Alice和Bob開(kāi)始互不相識(shí)，Alice仍然能夠向Bob證明自己。Alice→Bob：Alice; 【我是Alice】Bob→Alice：NB;【你證明一下吧】Alice→Bob：{NB}KAT;【你可以去驗(yàn)證，Trent可以證明】Bob→Trent：{Alice,{NB}KAT}KBT;【問(wèn)Trent，X說(shuō)她是Alice】Trent→Bob：{NB}KBT;【你如果看到NB，那就是了】Bob使用密鑰KBT解密密文分組，如果解密后正確地返回Bob的一次性隨機(jī)數(shù)，Bob就接受此次運(yùn)行，否則拒絕。協(xié)議依賴TTP的可信性。21PPT課件6.1.3包含可信第三方的認(rèn)證Abadi和Needham對(duì)上述Woo-Lam協(xié)議的攻擊（并行攻擊?。㎝alice(“Alice”)→Bob：Alice;【冒充Alice對(duì)Bob，我是Alice】

1′.Malice→Bob：Malice;【同時(shí)執(zhí)行Malice本身的認(rèn)證協(xié)議——我是Malice】Bob→Malice(“Alice”)：NB;【Bob執(zhí)行Woo-Lam認(rèn)證過(guò)程，證明給我】2′.Bob→Malice：N′B;【Bob執(zhí)行Woo-lam認(rèn)證過(guò)程，證明給我】Malice(“Alice”)→Bob：{NB}KMT;【執(zhí)行Woo-lam，注意NB，你問(wèn)TTP？】

3′.Malice→Bob：{NB}KMT;【并行執(zhí)行Woo-lam，注意NB不是N’B】Bob→Trent：{Alice,{NB}KMT}KBT;【Bob問(wèn)Trent關(guān)于Alice的身份】4′.Bob→Trent：{Malice,{NB}KMT}KBT;【Bob問(wèn)Trent關(guān)于Malice的身份】Trent→Bob：{“垃圾”}KBT;【按照協(xié)議執(zhí)行，Nb被破壞了】（產(chǎn)生“垃圾”是因?yàn)門(mén)rent使用KAT對(duì)密文組{NB}KMT進(jìn)行了解密）5′.Trent→Bob：{NB}KBT;【按照協(xié)議，Nb返回了，Alice的身份被確認(rèn)】Bob拒絕和Malice的運(yùn)行;（因?yàn)榻饷芎蠓祷氐氖恰袄倍皇且淮涡噪S機(jī)數(shù)N′B）

6′.Bob接受“和Alice的運(yùn)行”，但實(shí)際上是和Malice的運(yùn)行。（因?yàn)榻饷芊祷氐腘B是正確的）22PPT課件6.2經(jīng)典認(rèn)證協(xié)議6.2.1Needham-Schroeder對(duì)稱密鑰認(rèn)證協(xié)議6.2.2Needham-Schroeder公鑰認(rèn)證協(xié)議6.2.3Otway-Rees認(rèn)證協(xié)議6.2.4Yahalom協(xié)議6.2.5AndrewRPC(RemoteProcedureCall)認(rèn)證協(xié)議6.2.6Wide-MouthFrog協(xié)議23PPT課件6.2.1Needham-Schroeder對(duì)稱密鑰認(rèn)證協(xié)議基于“挑戰(zhàn)-應(yīng)答”機(jī)制目的：在通信雙方之間分配會(huì)話密鑰，使協(xié)議發(fā)起者能夠檢查會(huì)話密鑰的新鮮性是認(rèn)證和密鑰建立協(xié)議中最著名的協(xié)議24PPT課件6.2.1Needham-Schroeder對(duì)稱密鑰認(rèn)證協(xié)議25PPT課件Needham-Schroeder對(duì)稱密鑰認(rèn)證協(xié)議前提：Alice和Trent共享密鑰KAT；Bob和Trent共享密鑰KBT；目標(biāo)：Alice和Bob希望建立一個(gè)新的共享密鑰K。Alice隨機(jī)生成一次性隨機(jī)數(shù)NA,向Trent發(fā)送：Alice，Bob，NA;【我要和Bob通信】Trent隨機(jī)生成K，向Alice發(fā)送：{Bob,K,NA,{Alice,K}KBT}KAT;【給你們分配好了密鑰】Alice解密NA，驗(yàn)證她的nonce(表示僅使用一次的數(shù)字)，驗(yàn)證Bob的身份并發(fā)給Bob：Trent，{Alice,K}KBT;Bob解密并驗(yàn)證Alice的身份，生成隨機(jī)數(shù)NB，向Alice發(fā)送：{我是Bob!NB}K;Alice向Bob發(fā)送：{我是Alice!NB-1}K.26PPT課件Denning和Sacco對(duì)Needham-Schroeder對(duì)稱密鑰認(rèn)證協(xié)議的攻擊協(xié)議漏洞的原因是什么？27PPT課件Denning和Sacco對(duì)Needham-Schroeder

對(duì)稱密鑰認(rèn)證協(xié)議的改進(jìn)利用時(shí)間戳代替挑戰(zhàn)號(hào)，可以解決消息新鮮性的漏洞。28PPT課件6.2.2Needham-Schroeder公鑰認(rèn)證協(xié)議目的：使通信雙方安全地交換兩方彼此獨(dú)立的秘密。這與其它大多數(shù)公鑰認(rèn)證協(xié)議不同，它們的目的是通信雙方安全地交換共享密鑰。29PPT課件6.2.2Needham-Schroeder公鑰認(rèn)證協(xié)議Trent，我要和Bob通信，ps：Alice給你Bob的公鑰你好，我是AliceTrent，我要和Bob通信，ps：Alice給你Alice的公鑰Alice，你好，我是Bob，這是你給我發(fā)的挑戰(zhàn)Na你好，我是alice，這是你給我發(fā)的挑戰(zhàn)Nb30PPT課件6.2.2Needham-Schroeder公鑰認(rèn)證協(xié)議前提:假定AliceBob

Trent的密鑰對(duì)分別為(KA,KA-1),(KB,KB-1),(KT,KT-1)目標(biāo)：Alice和Bob建立一個(gè)新的共享密鑰。Alice向Trent發(fā)送：Alice，Bob;Trent向Alice發(fā)送：{Bob,KB}KT-1;Alice驗(yàn)證Trent對(duì){Bob,KB}的簽字，隨機(jī)生成她的nonceNA，并向Bob發(fā)送：{Alice,NA}KB;Bob解密并驗(yàn)證Alice的身份，向Trent發(fā)送：Bob，Alice;Trent向Bob發(fā)送：{Alice,KA}KT-1;Bob驗(yàn)證Trent對(duì){Alice,KA}的簽字，隨機(jī)生成他的nonceNB，并向Alice發(fā)送：{NA,NB}KA;Alice解密并向Bob發(fā)送：{NB}KB.31PPT課件Lowe對(duì)Needham-Schroeder公鑰認(rèn)證協(xié)議的攻擊32PPT課件Lowe對(duì)Needham-Schroeder

公鑰認(rèn)證協(xié)議的攻擊假設(shè)在這個(gè)系統(tǒng)中Malice是一個(gè)合法的主體，因此其他主體可能要和Malice建立標(biāo)準(zhǔn)會(huì)話。這個(gè)攻擊過(guò)程中包括兩次同時(shí)運(yùn)行該協(xié)議。第一次是Alice和Malice之間的運(yùn)行（①-③、①-⑥、①-⑦步），結(jié)果是Alice和Malice建立了一個(gè)合法的會(huì)話。第二次是Malice假冒Alice和Bob之間的運(yùn)行（②-③、②-⑥、②-⑦步），結(jié)果是Malice假冒Alice和Bob建立了一個(gè)假的會(huì)話。我們分析以上攻擊，Malice成功攻擊的關(guān)鍵步驟是Alice無(wú)意地為他解密了Bob的nonceNB。當(dāng)一個(gè)主體無(wú)意地為攻擊者執(zhí)行了一個(gè)密碼運(yùn)算時(shí)，該主體就被用作預(yù)言機(jī)（oracle）或提供了預(yù)言機(jī)服務(wù)（Oracleservice）。因此密碼算法和協(xié)議應(yīng)該設(shè)計(jì)成即使用戶為攻擊者提供了預(yù)言服務(wù)也是安全的。33PPT課件修補(bǔ)Needham-Schroeder公鑰認(rèn)證協(xié)議34PPT課件6.2.3Otway-Rees認(rèn)證協(xié)議目的：用于在通信雙方之間分配會(huì)話密鑰。特點(diǎn)：簡(jiǎn)單實(shí)用，不需要應(yīng)用復(fù)雜的同步時(shí)鐘機(jī)制。35PPT課件6.2.3Otway-Rees認(rèn)證協(xié)議前提：Trent作為可信第三方（TTP)，Alice和Trent共享對(duì)稱密鑰KAT，Bob和Trent共享對(duì)稱密鑰KBT；目標(biāo)：Alice和Bob協(xié)商密鑰KAB進(jìn)行下一次會(huì)話。Alice向Bob發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT;【發(fā)起通信，請(qǐng)驗(yàn)證】Bob向Trent發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT，{NB,M,Alice,Bob}KBT;【驗(yàn)證一下Alice是不是Alice，我是Bob】Trent解密并向Bob發(fā)送：M，{NA,KAB}KAT，{NB,KAB}KBT;【驗(yàn)證了你是bob，她是Alice，并且給你們分配了密鑰】Bob向Alice發(fā)送:M,{NA,KAB}KAT.【我們通過(guò)了驗(yàn)證，把密鑰給你】36PPT課件針對(duì)Otway-Rees協(xié)議的“類型缺陷”型攻擊“類型缺陷”型攻擊的特點(diǎn)是利用認(rèn)證協(xié)議實(shí)現(xiàn)時(shí)的固定格式對(duì)協(xié)議進(jìn)行攻擊。只是檢測(cè)長(zhǎng)度的合法性。假定在Otway-Rees認(rèn)證協(xié)議中，M的長(zhǎng)度是64比特，Alice和Bob的長(zhǎng)度各為32比特，KAB的長(zhǎng)度為128比特。攻擊過(guò)程如下（冒充Bob）：

1′.Alice向Malice（“Bob”）發(fā)送：M，Alice，Bob，{NA,M,Alice,Bob}KAT;【發(fā)給Bob的消息被Malice劫持】2.Malic向Trent發(fā)送:M,Alice,Malic,{NA,M,Alice,Bob}KAT，{NB,M,Alice,Malic}KMT;【紅色的信息是否能驗(yàn)證通過(guò)是攻擊成功的前提】

3.Trent解密并向Malic發(fā)送：M，{NA,KAB}KAT，{NB,KAB}KMT;【你們驗(yàn)證通過(guò)給你們密鑰】4′.Malice（“Bob”）向Alice發(fā)送：M,{NA,KAB}KAT.【你驗(yàn)證通過(guò)了，給你密鑰】37PPT課件針對(duì)Otway-Rees協(xié)議的“類型缺陷”型攻擊攻擊者還可以冒充可信第三方Trent攻擊Otway-Rees協(xié)議。攻擊過(guò)程如下：2′.Bob向Malice（“Trent”）發(fā)送：M，Alice，Bob，{NA,M,Alice,Bob}KAT，{NB,M,Alice,Bob}KBT;【發(fā)給Trent的信息被劫持】3′.Malice（“Trent”）向Bob發(fā)送：M，{NA,M,Alice,Bob}KAT，{NB,M,Alice,Bob}KBT;【利用手頭上的密文進(jìn)行攻擊】4′.Bob向Alice發(fā)送：M，{NA,M,Alice,Bob}KAT.【現(xiàn)在的密鑰是什么？】Alice向Bob發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT;Bob向Trent發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT，{NB,M,Alice,Bob}KBT;Trent解密并向Bob發(fā)送：M，{NA,KAB}KAT，{NB,KAB}KBT;Bob向Alice發(fā)送:M,{NA,KAB}KAT.38PPT課件6.2.4Yahalom協(xié)議前提：Trent作為可信第三方（TTP)，Alice和Trent共享對(duì)稱密鑰KAT，Bob和Trent共享對(duì)稱密鑰KBT;目標(biāo)：Alice和Bob之間建立會(huì)話密鑰KAB。Alice向Bob發(fā)送：Alice，NA;【我是Alice】Bob向Trent發(fā)送：Bob,{Alice,NA,NB}KBT;【Alice要和我通信，我是Bob】Trent解密并向Alice發(fā)送：{Bob,KAB,NA,NB}KAT，{Alice,KAB}KBT;【Alice，給你們的密鑰】Alice向Bob發(fā)送：{Alice,KAB}KBT，{NB}KAB.【Bob,密鑰給你，還有我是Bob】39PPT課件Alice向Bob發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT;Bob向Trent發(fā)送:M,Alice,Bob,{NA,M,Alice,Bob}KAT，{NB,M,Alice,Bob}KBT;Trent解密并向Bob發(fā)送：M，{NA,KAB}KAT，{NB,KAB}KBT;Bob向Alice發(fā)送:M,{NA,KAB}KAT.Alice向Bob發(fā)送：Alice，NA;Bob向Trent發(fā)送：Bob,{Alice,NA,NB}KBT;Trent解密并向Alice發(fā)送：{Bob,KAB,NA,NB}KAT，{Alice,KAB}KBT;Alice向Bob發(fā)送：{Alice,KAB}KBT，{NB}KAB.Otway-ReesAlice向Bob發(fā)送：Alice，NA;Bob向Trent發(fā)送：Bob,NB,{Alice,NA}KBT;Trent解密并向Alice發(fā)送:NB,{Bob,KAB,NA}KAT,{Alice,KAB,NB}KBT；Alice向Bob發(fā)送：{Alice,KAB,NB}KBT，{NB}KAB.BAN-YahalomYahalom40PPT課件6.2.4BAN-Yahalom協(xié)議Alice向Bob發(fā)送：Alice，NA;【我是Alice】Bob向Trent發(fā)送：Bob,NB,{Alice,NA}KBT;【我是Bob,Alice要通信，給個(gè)密鑰吧】Trent解密并向Alice發(fā)送:NB,{Bob,KAB,NA}KAT,{Alice,KAB,NB}KBT;【Bob,驗(yàn)證通過(guò)，Alice，給你們的密鑰】Alice向Bob發(fā)送：{Alice,KAB,NB}KBT，{NB}KAB.【Bob，密鑰給你】Alice向Bob發(fā)送：Alice，NA;Bob向Trent發(fā)送：Bob,{Alice,NA,NB}KBT;Trent解密并向Alice發(fā)送：{Bob,KAB,NA,NB}KAT，{Alice,KAB}KBT;Alice向Bob發(fā)送：{Alice,KAB}KBT，{NB}KAB.41PPT課件針對(duì)BAN-Yahalom協(xié)議的攻擊①Alice→Malice（“Bob”）：Alice，NA;【Alice的消息被Bob劫持】1′.Malice（“Bob”）→Alice：Bob,NA;【我是Bob】2′.Alice→Malice（“Trent”）：Alice,N′A,{Bob,NA}KAT;【冒充Trent】2′′.Malice（“Alice”）→Trent：Alice，NA,{Bob,NA}KAT;【冒充Alice】3′′.Trent→Malice(“Bob”):NA,{Alice,KAB,NA}KBT,{Bob,KAB,NA}KAT;【冒充Bob】③Malice（“Trent”）→Alice：NM,{Alice,KAB,NA}KBT,{Bob,KAB,NA}KAT;【冒充Trent】④Alice→Malice（“Bob”）：{Alice,KAB,NA}KBT,{NM}KAB.Alice向Bob發(fā)送：Alice，NA;Bob向Trent發(fā)送：Bob,NB,{Alice,NA}KBT;Trent解密并向Alice發(fā)送:NB,{Bob,KAB,NA}KAT,{Alice,KAB,NB}KBT;Alice向Bob發(fā)送：{Alice,KAB,NB}KBT，{NB}KAB.42PPT課件針對(duì)BAN-Yahalom協(xié)議的攻擊上述攻擊中共運(yùn)行了3次協(xié)議：第1次是Alice發(fā)起的希望與Bob會(huì)話的運(yùn)行，見(jiàn)第①，③，④步，而協(xié)議的第②步應(yīng)該由Bob向Trent發(fā)送的消息在第2′步中被Malice所截獲。第2次是Malice冒充響應(yīng)者Alice的運(yùn)行，見(jiàn)第2′′，3′′步，而在這次運(yùn)行中，Trent以為發(fā)起者是Bob，響應(yīng)者是Alice，并且這次運(yùn)行沒(méi)有完全完成，邏輯上運(yùn)行了協(xié)議的第③個(gè)步驟后被掛起，并且缺少邏輯上的第①個(gè)步驟。第3次是由Malice冒充發(fā)起者Bob的運(yùn)行，見(jiàn)第1′，2′步，這次運(yùn)行也沒(méi)有完全完成，邏輯上運(yùn)行了協(xié)議的第②個(gè)步驟后被掛起。43PPT課件6.2.5AndrewRPC(RemoteProcedureCall)認(rèn)證協(xié)議AndrewRPC認(rèn)證協(xié)議也是一種早期的雙方認(rèn)證協(xié)議。該協(xié)議只包含兩個(gè)主體Alice和Bob，其中Alice為客戶，Bob為服務(wù)器。AndrewRPC認(rèn)證協(xié)議提供了互不信任的客戶端和服務(wù)器之間的認(rèn)證握手。當(dāng)一個(gè)客戶機(jī)與一個(gè)新的服務(wù)器連接時(shí)，利用握手協(xié)議，客戶Alice能夠從服務(wù)器Bob獲得一個(gè)新的會(huì)話密鑰。44PPT課件45PPT課件6.2.5AndrewRPC(RemoteProcedureCall)認(rèn)證協(xié)議46PPT課件前提：假設(shè)Alice與Bob之間原先共享會(huì)話密鑰KAB；NA和NB分別是Alice和Bob生成的一次性隨機(jī)數(shù)，N′B是在隨后的通信中使用的初始序列號(hào)；目標(biāo)：Alice向Bob申請(qǐng)一個(gè)新的會(huì)話密鑰K′AB。Alice向Bob發(fā)送：Alice,{NA}KAB;【我是Alice】Bob向Alice發(fā)送：{NA+1,NB}KAB;【你好Alice，我是Bob】Alice向Bob發(fā)送：{NB+1}KAB;【我真的是Alice】Bob向Alice發(fā)送：{K′AB,N′B}KAB.【看出來(lái)了，給你新的密鑰】6.2.5AndrewRPC(RemoteProcedureCall)認(rèn)證協(xié)議47PPT課件針對(duì)AndrewRPC認(rèn)證協(xié)議的“類型缺陷”型攻擊3′.Alice→Malice(“Bob”)：{NB+1}KAB;【我真的是Alice】4′.Malice(“Bob”)→Alice：{NA+1,NB}KAB.【曉得了，新密鑰NA+1】Alice向Bob發(fā)送：Alice,{NA}KAB;Bob向Alice發(fā)送：{NA+1,NB}KAB;Alice向Bob發(fā)送：{NB+1}KAB;Bob向Alice發(fā)送：{K′AB,N′B}KAB.48PPT課件6.2.6Wide-MouthFrog協(xié)議Wide-MouthFrog協(xié)議又稱作大嘴青蛙協(xié)議，大嘴青蛙協(xié)議是一種最簡(jiǎn)單的、應(yīng)用對(duì)稱密碼體制的三方認(rèn)證協(xié)議。在該協(xié)議中，Alice通過(guò)可信第三方Trent向Bob傳送會(huì)話密鑰。該協(xié)議特點(diǎn)是會(huì)話密鑰只通過(guò)兩個(gè)步驟就從Alice傳給了Bob，同時(shí)應(yīng)用了同步時(shí)鐘機(jī)制。49PPT課件6.2.6Wide-MouthFrog協(xié)議前提：Alice和Bob分別與可信第三方Trent共享秘密密鑰KAT和KBT；目標(biāo)：Alice將產(chǎn)生的會(huì)話密鑰傳給Bob。Alice向Trent發(fā)送：Alice,{TA,Bob,KAB}KAT;【Alice要和Bob通信，我自己準(zhǔn)備好了密鑰】Trent向Bob發(fā)送：{TT,Alice,KAB}KBT.【Alice要和你通信，這是密鑰】50PPT課件針對(duì)Wide-MouthFrog協(xié)議的攻擊第1種方法是在有效的時(shí)間范圍內(nèi)重放步驟①的消息。其后果是將進(jìn)行重新認(rèn)證。因?yàn)楦鶕?jù)協(xié)議，Trent將生成一個(gè)新的消息2′,并生成一個(gè)新的時(shí)間戳。這樣通信的時(shí)間戳被修改可能影響后續(xù)的使用。（破壞可用性的方法）51PPT課件針對(duì)Wide-MouthFrog協(xié)議的攻擊第2種攻擊方法攻擊過(guò)程如下：（實(shí)施破壞性的攻擊）Alice→Trent：Alice,{TA,Bob,KAB}KAT;Trent→Bob：{TT,Alice,KAB}KBT;1′.Malice(“Bob”)→Trent：Bob,{TT,Alice,KAB}KBT;【假冒Bob】2′.Trent→Malice(“Alice”)：{T′T,Bob,KAB}KAT;【假冒Alice】1′′.Malice(“Alice”)→Trent：Alice,{T′T,Bob,KAB}KAT;

【假冒Alice】2′′.Trent→Malice(“Bob”)：{T′′T,Alice,KAB}KBT.【假冒Bob】在第1次運(yùn)行中，攻擊者M(jìn)alice監(jiān)聽(tīng)Alice與Bob之間的一次會(huì)話。然后，在第2次運(yùn)行中，攻擊者M(jìn)alice假冒Bob，從Trent處獲得對(duì)它有用的消息2′。在第3次運(yùn)行中，Malice假冒Alice，從Trent處獲得對(duì)它有用的消息2′′，這時(shí)，攻擊者M(jìn)alice可假冒Trent向Alice與Bob重放上述消息，引起Alice與Bob之間的重新認(rèn)證。52PPT課件6.3密鑰交換協(xié)議密鑰交換協(xié)議用于完成會(huì)話密鑰的建立。一般情況下是在參與協(xié)議的兩個(gè)或多個(gè)實(shí)體之間建立共享的秘密。著名的Diffie-Hellman密鑰交換協(xié)議。由于該算法本身限于密鑰交換的用途，被許多商用產(chǎn)品用作密鑰交換技術(shù)，因此該算法通常稱之為Diffie-Hellman密鑰交換。這種密鑰交換技術(shù)的目的在于使兩個(gè)用戶安全地交換一個(gè)秘密密鑰，以便用于以后的報(bào)文加密。53PPT課件Diffie-Hellman密鑰交換協(xié)議設(shè)p是一個(gè)素?cái)?shù)，α是Z*p的本原元，p和α是公開(kāi)的。在此條件下，通信雙方（設(shè)為A和B）可以執(zhí)行如下協(xié)議形成共享的秘密密鑰K：A隨機(jī)選擇XA，0≤XA≤p-2;A計(jì)算YA=αXAmodp，并把YA發(fā)送給B;B隨機(jī)選擇XB，0≤XB≤p-2;B計(jì)算YB=αXB

modp，并把YB發(fā)送給A;A計(jì)算：B計(jì)算：顯然K=K′,因此A和B之間就形成了一個(gè)共享的秘密密鑰。54PPT課件Diffie-Hellman協(xié)議進(jìn)行密鑰交換舉例例：假設(shè)用戶A、B想交換會(huì)話密鑰進(jìn)行保密通信，選擇素?cái)?shù)p=353，本原元α

=3，并且A，B分別隨機(jī)選擇私鑰XA=97和XB=233。A、B分別計(jì)算其公鑰：YA=397(mod353)=40YB=3233(mod353)=248在他們相互獲取了公鑰之后，A、B各自通過(guò)計(jì)算得到雙方共享的秘密密鑰如下：A計(jì)算：KAB=(YB)XAmod353=24897mod353=160B計(jì)算：KAB=(YA)XB

mod353=40233mod353=16055PPT課件Diffie-Hellman密鑰交換協(xié)議Diffie-Hellman密鑰交換算法的安全性依賴于這樣一個(gè)事實(shí)：雖然計(jì)算以一個(gè)素?cái)?shù)為模的指數(shù)相對(duì)容易，但計(jì)算離散對(duì)數(shù)X=logαYmodp卻很困難。對(duì)于大的素?cái)?shù)，計(jì)算出離散對(duì)數(shù)幾乎是不可能的。該協(xié)議安全的一個(gè)必要條件是Z*p上的離散對(duì)數(shù)問(wèn)題是難處理的，這要求p至少有300位的十進(jìn)制數(shù)，且p-1應(yīng)該至少具有一個(gè)較大的素?cái)?shù)因子。56PPT課件Diffie-Hellman密鑰交換協(xié)議優(yōu)點(diǎn)：僅當(dāng)需要時(shí)才生成密鑰，減小了將密鑰存儲(chǔ)很長(zhǎng)一段時(shí)間而致使遭受攻擊的機(jī)會(huì)；除對(duì)全局參數(shù)的約定外，密鑰交換不需要事先存在基礎(chǔ)結(jié)構(gòu)。57PPT課件Diffie-Hellman密鑰交換協(xié)議缺點(diǎn)：沒(méi)有提供雙方身份的任何信息，因此標(biāo)準(zhǔn)的Diffie-Hellman密鑰交換協(xié)議無(wú)法防止被稱為“中間人攻擊”的主動(dòng)攻擊。即第三方C在和A通信時(shí)扮演B；和B通信時(shí)扮演A。A和B都與C協(xié)商了一個(gè)密鑰，然后C就可以監(jiān)聽(tīng)和傳遞通信量；它是計(jì)算密集性的，因此容易遭受阻塞性攻擊，即攻擊者請(qǐng)求大量的密鑰，被攻擊者花費(fèi)了相對(duì)多的計(jì)算資源來(lái)求解無(wú)用的冪系數(shù)而不是在做真正的工作；沒(méi)辦法防止重放攻擊。58PPT課件對(duì)Diffie-Hellman密鑰交換協(xié)議的中間人攻擊59PPT課件6.4認(rèn)證密鑰交換協(xié)議（DH存在缺陷）認(rèn)證協(xié)議和密鑰交換協(xié)議相結(jié)合先對(duì)通信實(shí)體的身份進(jìn)行認(rèn)證在認(rèn)證成功的基礎(chǔ)上，為下一步安全通信分配密鑰例：站-站協(xié)議（STS協(xié)議）因特網(wǎng)密鑰交換協(xié)議（IKE協(xié)議）分布式認(rèn)證安全服務(wù)協(xié)議（DASS協(xié)議）Kerberos認(rèn)證協(xié)議X.509協(xié)議60PPT課件站－站協(xié)議（STS協(xié)議）站－站協(xié)議實(shí)際上是Diffie-Hellman密鑰交換協(xié)議的一種變形。前提：Alice和Bob各自擁有公鑰證書(shū)：CertA=SigCA(Alice,PA,desc<α>)CertB=SigCA

(Bob,PB,desc<α>)其中CA是證書(shū)機(jī)構(gòu)。PA和PB分別表示Alice和Bob的公鑰。desc<α>表示α生成的共享群。此外，同一系統(tǒng)中的用戶共享一個(gè)高階有限阿貝爾群（交換群），而且同一系統(tǒng)中的用戶共同確認(rèn)了一個(gè)對(duì)稱密碼算法E；目標(biāo)：Alice和Bob實(shí)現(xiàn)雙方認(rèn)證和雙方認(rèn)證的密鑰交換。Alice隨機(jī)選擇某個(gè)大整數(shù)x，并發(fā)送給Bob：αx;Bob隨機(jī)選擇某個(gè)大整數(shù)y，并發(fā)送給Alice：αy,CertB,EK(SigB(αy,αx));Alice向Bob發(fā)送：CertA,EK(SigA(αx,

αy))，其中K=αxy=αyx.61PPT課件站－站協(xié)議（STS協(xié)議）是用于因特網(wǎng)安全的因特網(wǎng)密鑰交換(IKE)協(xié)議的基礎(chǔ)之一密鑰協(xié)商：以Diffie-Hellman密鑰交換協(xié)議為基礎(chǔ)密鑰的新鮮性：由雙方各自隨機(jī)選取指數(shù)保證雙方獨(dú)享確認(rèn)密鑰：由數(shù)字簽名保證62PPT課件Lowe對(duì)STS協(xié)議的攻擊該攻擊中，Malice也是系統(tǒng)的一個(gè)合法用戶，因此他可以與系統(tǒng)的其他用戶Alice和Bob同時(shí)進(jìn)行會(huì)話，但他在面對(duì)Bob時(shí)使用他的真實(shí)身份，而在面對(duì)Alice時(shí)假冒Bob。63PPT課件6.5可否認(rèn)認(rèn)證協(xié)議可否認(rèn)的認(rèn)證協(xié)議：接收者能夠辨別出某個(gè)消息的發(fā)送者的身份第三者不會(huì)知道消息發(fā)送者的身份典型應(yīng)用：電子投票系統(tǒng)網(wǎng)絡(luò)商談64PPT課件6.5可否認(rèn)認(rèn)證協(xié)議基于離散對(duì)數(shù)問(wèn)題的可否認(rèn)認(rèn)證協(xié)議基于因子分解問(wèn)題的可否認(rèn)認(rèn)證協(xié)議65PPT課件6.5.1基于離散對(duì)數(shù)問(wèn)題的可否認(rèn)認(rèn)證協(xié)議前提：每個(gè)發(fā)送方都有來(lái)自可信任認(rèn)證機(jī)構(gòu)CA的證書(shū)，證書(shū)上包含發(fā)送者的公鑰KP和CA的簽名發(fā)送者S和接收者R協(xié)商兩個(gè)公開(kāi)的素?cái)?shù)g和n設(shè)定一個(gè)Hash函數(shù)H(·)66PPT課件S選擇一個(gè)隨機(jī)大整數(shù)x，并計(jì)算:X=gxmodn；X’=EKS(X)然后，S將X′發(fā)送給R;R選擇一個(gè)隨機(jī)大整數(shù)y，并向S發(fā)送:Y=gymodnR解密X′，并獲得:X=DKP(X’)然后，R計(jì)算:k=XymodnS計(jì)算:k′=Yxmodn實(shí)際上，k=gxy=k′，于是S和R共享會(huì)話密鑰k；S將消息M及H(k,M)一同發(fā)送給R；R收到M后計(jì)算H(k,M)，驗(yàn)證計(jì)算的Hash值是否與收到的H(k,M)一致。若一致，R確信消息M的確來(lái)自發(fā)送者S，并接受該消息，否則，拒絕。6.5.1基于離散對(duì)數(shù)問(wèn)題的可否認(rèn)認(rèn)證協(xié)議67PPT課件協(xié)議性能分析(1)該協(xié)議是可否認(rèn)的因?yàn)榻?jīng)過(guò)Diffie-Hellman算法的運(yùn)算，S和R已經(jīng)擁有了相等的密鑰k=k′，并且Hash函數(shù)也可以公開(kāi)得到，因此R完全可以模仿偽造某個(gè)消息M′=M，從而S可以否認(rèn)M來(lái)自于S，于是R不能向第三方證明消息M來(lái)自于S，即使R和第三方是完全合作的關(guān)系?！就镀敝杏杏门叮　?8PPT課件協(xié)議性能分析（2）消息來(lái)源性認(rèn)證從協(xié)議可以看出，即使攻擊者得到協(xié)議前兩步的所有信息，他也不能得到密鑰k，因?yàn)槠潆y度等于計(jì)算離散對(duì)數(shù)。對(duì)于大的素?cái)?shù)，計(jì)算離散對(duì)數(shù)被認(rèn)為是不可行的。因此只有S和R可以確定這個(gè)密鑰，其他用戶不可能得到這個(gè)密鑰，接收者R知道只有用戶S才能用這個(gè)密鑰生成密文，從而可以確定某個(gè)消息M來(lái)自于S?！旧矸葙嚥涣?，但是投票內(nèi)容可以賴】69PPT課件協(xié)議性能分析（3）抵抗PIM攻擊分析假定INQ是一個(gè)在S和R之間的不安全信道上的敵對(duì)方，即中間人。在第①步，消息用KS加密，這個(gè)密鑰不被任何其他人所知。假設(shè)INQ從S那里截獲了消息并冒充R與S協(xié)商會(huì)話密鑰，如果他想進(jìn)行中間人攻擊，則INQ必須要冒充S來(lái)欺騙R，他選擇一個(gè)整數(shù)并得到X，但他因?yàn)闆](méi)有KS而不能得到X′。如果他偽造一個(gè)X′，R便不能正確解密得到X，因此，R和INQ將不能獲得共享密鑰k，從而攻擊失敗。70PPT課件6.5.2基于因子分解問(wèn)題的可否認(rèn)認(rèn)證協(xié)議S隨機(jī)選擇a∈ZN*，計(jì)算A=a2modN，并將A發(fā)送給R;R發(fā)送i∈{1,2,…,m}給S;S計(jì)算ui=agimodN，vi=H(ui)Int(Zi)，其中Int(zi)是hash函數(shù)執(zhí)行的次數(shù)。然后發(fā)送(EPKR(ui),vi)給R。R解密EPKR(ui)得到消息，驗(yàn)證是否滿足等式ui2=AGimodN和vi=H(ui)Int(Zi)。如果滿足，則接受；否則，拒絕。71PPT課件協(xié)議性能分析(1)該協(xié)議是可否認(rèn)的(2)消息來(lái)源性認(rèn)證(3)可抵抗PIM攻擊72PPT課件6.6對(duì)認(rèn)證協(xié)議的典型攻擊在認(rèn)證協(xié)議的實(shí)際應(yīng)用中，各種認(rèn)證協(xié)議的設(shè)計(jì)背景差別很大，設(shè)計(jì)目的各異，即使在同一背景下具有相同目的的各種協(xié)議，其報(bào)文也不盡相同。因此，認(rèn)證協(xié)議的設(shè)計(jì)是一項(xiàng)非常復(fù)雜的工作，要設(shè)計(jì)出簡(jiǎn)潔、高效而又能抵抗各種攻擊的協(xié)議是很困難的。Dolev和Yao的工作具有深遠(yuǎn)的影響。迄今大部分有關(guān)認(rèn)證協(xié)議的研究工作，都是遵循Dolev和Yao的基本思想。73PPT課件6.6對(duì)認(rèn)證協(xié)議的典型攻擊Dolev和Yao認(rèn)為攻擊者具有如下能力：可以竊聽(tīng)所有經(jīng)過(guò)網(wǎng)絡(luò)的消息；可以阻止和截獲所有經(jīng)過(guò)網(wǎng)絡(luò)的消息；可以存儲(chǔ)所獲得或自身創(chuàng)造的消息；可以根據(jù)存儲(chǔ)的消息偽造消息，并發(fā)送該消息；可以作為合法的主體參與協(xié)議的運(yùn)行。熟悉加密、解密、散列等密碼運(yùn)算，擁有自己的加密密鑰和解密密鑰；熟悉參與協(xié)議的主體標(biāo)識(shí)符及其公鑰；具有密碼分析的知識(shí)和能力；具有進(jìn)行各種攻擊，例如，重放攻擊的知識(shí)和能力。

Dolev-Yao模型提供了一個(gè)重要的原則：永遠(yuǎn)不要低估攻擊者的知識(shí)和能力。應(yīng)當(dāng)根據(jù)具體的協(xié)議與應(yīng)用環(huán)境，建立正確的攻擊者模型。74PPT課件6.6.1消息重放攻擊(1)偏轉(zhuǎn)重放攻擊：重放消息重新定向，發(fā)送給不同于原接收者的第三方。這種情形可進(jìn)一步分為如下子類：①重放消息重定向，發(fā)送給原發(fā)送者，稱為反射重放攻擊；②重放消息重定向，發(fā)送給第三方，即不同于原發(fā)送者和原接收方的第三方。(2)攻擊者通過(guò)延時(shí)的方法（可能涉及不同的協(xié)議回合），將消息傳送至目的地，稱為直接重放攻擊。75PPT課件例：針對(duì)BAN-Yahalom協(xié)議的攻擊①Alice→Malice（“Bob”）：Alice，NA;1′.Malice（“Bob”）→Alice：Bob,NA;【重放】2′.Alice→Malice（“Trent”）：Alice,N′A,{Bob,NA}KAT;2′′.Malice（“Alice”）→Trent：Alice，NA,{Bob,NA}KAT;【重放】3′′.Trent→Malice(“Bob”):NA,{Alice,KAB,NA}KBT,{Bob,KAB,NA}KAT;③Malice（“Trent”）→Alice：NM,{Alice,KAB,NA}KBT,{Bob,KAB,NA}KAT;【重放】④Alice→Malice（“Bob”）：{Alice,KAB,NA}KBT,{NM,}KAB.Alice向Bob發(fā)送：Alice，NA;Bob向Trent發(fā)送：Bob,NB,{Alice,NA}KBT;Trent解密并向Alice發(fā)送:NB,{Bob,KAB,NA}KAT,{Alice,KAB,NB}KBT;Alice向Bob發(fā)送：{Alice,KAB,NB}KBT，{NB}KAB.76PPT課件例：針對(duì)BAN-Yahalom協(xié)議的攻擊為了成功地實(shí)施這次攻擊，攻擊者利用以下3種重放技術(shù)：由第①行到第1′行，攻擊者首先將一次性隨機(jī)數(shù)NA反射給Alice；由第2′行到第2′′行，攻擊者將消息組件Alice和{Bob,NA}KAT直接重放，跨越協(xié)議兩個(gè)不同的步驟；由第3′′行到第③行，攻擊者將由Trent到Bob的加密組件{Alice,KAB,NA}KBT和{Bob,KAB,NA}KAT反射給Alice。77PPT課件6.6.2中間人攻擊適應(yīng)于缺少雙方認(rèn)證的通信協(xié)議。攻擊者M(jìn)alice能夠把協(xié)議的某參與者所提出的困難問(wèn)題提交給另外的參與者來(lái)回答，然后把答案（可能經(jīng)過(guò)簡(jiǎn)單處理）交給提問(wèn)的主體，反之亦然。78PPT課件例：Lowe對(duì)Needham-Schroeder公鑰認(rèn)證協(xié)議的攻擊79PPT課件6.6.3平行會(huì)話攻擊在攻擊者的特意安排下，一個(gè)協(xié)議的兩個(gè)或更多的運(yùn)行并發(fā)執(zhí)行并發(fā)的多個(gè)運(yùn)行使得攻擊者能夠從一個(gè)運(yùn)行中得到另外某個(gè)運(yùn)行中困難問(wèn)題的答案。在平行會(huì)話攻擊中，兩個(gè)平行的會(huì)話順序并不重要。80PPT課件例：Abadi和Needham對(duì)Woo-Lam協(xié)議的攻擊Malice(“Alice”)→Bob：Alice;

1′.Malice→Bob：Malice;Bob→Malice(“Alice”)：NB;2′.Bob→Malice：N′B;Malice(“Alice”)→Bob：{NB}KMT;

3′.Malice→Bob：{NB}KMT;Bob→Trent：{Alice,{NB}KMT}KBT;

4′.Bob→Trent：{Malice,{NB}KMT}KBT;Trent→Bob：{“垃圾”}KBT;（產(chǎn)生“垃圾”是因?yàn)門(mén)rent使用KAT對(duì)密文組{NB}KMT進(jìn)行了解密）5′.Trent→Bob：{NB}KBT;Bob拒絕和Malice的運(yùn)行;（因?yàn)榻饷芎蠓祷氐氖恰袄倍皇且淮涡噪S機(jī)數(shù)N′B）

6′.Bob接受“和Alice的運(yùn)行”，但實(shí)際上是和Malice的運(yùn)行。（因?yàn)榻饷芊祷氐腘B是正確的）81PPT課件6.6.4反射攻擊在反射攻擊中，當(dāng)一個(gè)誠(chéng)實(shí)的主體給某個(gè)意定的通信方發(fā)送消息用來(lái)讓他完成密碼操作時(shí)，攻擊者截獲該消息，并把該消息發(fā)送給消息的產(chǎn)生者。注意：這里把消息返回，并不是把消息原封不動(dòng)地返回，攻擊者將會(huì)修改底層通信協(xié)議處理的地址和身份信息，以便消息產(chǎn)生者也不會(huì)意識(shí)到反射回來(lái)的消息是由他“自己產(chǎn)生”的。在此類攻擊中，攻擊者的目的是使消息的產(chǎn)生者相信反射過(guò)來(lái)的消息來(lái)自于消息產(chǎn)生者所意定的通信方。該消息可以是對(duì)消息產(chǎn)生者的應(yīng)答或者詢問(wèn)。如果攻擊者成功了，那么要么消息產(chǎn)生者接受對(duì)問(wèn)題的“回答”，實(shí)質(zhì)上是自問(wèn)自答；要么給攻擊者提供了預(yù)言機(jī)服務(wù)，完成了攻擊者所完不成的功能，并把結(jié)果提交給Malice。82PPT課件例：Abadi和Needham對(duì)Woo-Lam協(xié)議的攻擊Malice(“Alice”)→Bob：Alice;

1′.Malice→Bob：Malice;Bob→Malice(“Alice”)：NB;2′.Bob→Malice：N′B;Malice(“Alice”)→Bob：{NB