認(rèn)證協(xié)議2課件

認(rèn)證協(xié)議吳漢煒1認(rèn)證協(xié)議1使用共享密鑰密碼的認(rèn)證與密鑰建立協(xié)議2使用共享密鑰密碼的2使用對稱密碼的認(rèn)證Alice,KABBob,KAB“I’mAlice”EKAB(R)

對Bob來說，這是驗證Alice的一種安全方法Alice不能驗證Bob

我們能否實現(xiàn)相互認(rèn)證

?R3使用對稱密碼的認(rèn)證Alice,KABBob,KAB“I’相互認(rèn)證?AliceBob“I’mAlice”,REKAB(R)EKAB(R)有什么問題?“Alice”可以是Trudy(或其他任何人)!4相互認(rèn)證?AliceBob“I’mAlice”,REK相互認(rèn)證既然我們有一個安全的單向認(rèn)證協(xié)議…最明顯的事情是使用兩次協(xié)議一次用于Bob認(rèn)證Alice一次用于Alice認(rèn)證Bob5相互認(rèn)證既然我們有一個安全的單向認(rèn)證協(xié)議…5相互認(rèn)證AliceBob“I’mAlice”,RARB,EKAB(RA)EKAB(RB)提供了相互認(rèn)證……還是沒有呢？

6相互認(rèn)證AliceBob“I’mAlice”,RARB,對相互認(rèn)證的攻擊Bob1.“I’mAlice”,RA2.RB,EKAB(RA)TrudyBob3.“I’mAlice”,RB4.RC,E

KAB

(RB)Trudy5.E

KAB

(RB)7對相互認(rèn)證的攻擊Bob1.“I’mAlice”,RA2對相互認(rèn)證的攻擊Bob1.“I’mAlice”,RA2.RB,EKAB(RA)TrudyAlice3.“I’mBob”,RB4.RC,E

KAB

(RB)Trudy5.E

KAB

(RB)8對相互認(rèn)證的攻擊Bob1.“I’mAlice”,RA2相互認(rèn)證我們的單向認(rèn)證協(xié)議是不安全的協(xié)議是微妙的在“顯而易見”的事情可能是不安全的另外，如果假設(shè)或環(huán)境的變化，協(xié)議可能無法工作這是一個常見的安全故障例如，互聯(lián)網(wǎng)協(xié)議9相互認(rèn)證我們的單向認(rèn)證協(xié)議是不安全的9使用對稱密碼的認(rèn)證AliceBob“I’mAlice”,RARB,EKAB(“Bob”,

RA)EKAB(“Alice”,

RB)做這些“微不足道”的變化會有幫助嗎？是的!10使用對稱密碼的認(rèn)證AliceBob“I’mAlice”,引言討論基于對稱密碼的雙方密鑰建立與認(rèn)證協(xié)議分類準(zhǔn)則預(yù)先有密鑰可用:參與者之間共享,參與者與服務(wù)器共享(在線),離線服務(wù)器-證書(公鑰)會話密鑰生成的方法:密鑰傳輸,協(xié)商,混合記號A,B:期望共享會話密鑰的兩個用戶S:可信服務(wù)器{M}K:使用密鑰K加密信息M,提供機密性與完整性11引言討論基于對稱密碼的雙方密鑰建立與認(rèn)證協(xié)議11實體認(rèn)證協(xié)議1.AB:NA2.B

A:NB,u(KAB,NA,…)3.AB:v(KAB,NB,…)Bird等人的協(xié)議1.IAB:NI2.B

IA:NB,u(KAB,NI,…)1’.IBA:NB(I為了回答B(yǎng),開始一個新會話,詢問A)2’.A

IB:NA,u(KAB,NB,…)3.IA

B:u(KAB,NB,…)(I假冒A與B建立會話)u,v相同時,存在Oracle攻擊12實體認(rèn)證協(xié)議1.AB:NABird等人的協(xié)議1.IA1.AB:NA2.B

A:NB,[B,A,NA,NB]KAB3.AB:[A,NB]KABBellare-RogawayMAP1協(xié)議1.AIB

:NA(I假冒B,開始一個MAP1會話)1’.IBA:NA(I為了回答A,開始一個會話,詢問A)2’.A

IB:N’A,[B,A,NA,N’A]KAB2.IBA:N’A,[B,A,NA,N’A]KAB(I假冒B完成MAP1會話)3.A

IB:[A,N’A]KAB選擇協(xié)議攻擊,

A被I用作Oracle攻擊AA和B次序問題只保留B破壞結(jié)構(gòu)131.AB:NABellare-RogawayMAP1AB:{TA,B}KABISO/IEC9798-2協(xié)議1路單向認(rèn)證(時間戳)2路單向認(rèn)證(一次性隨機數(shù))1.B

A:NB2.AB:{NB,B}KAB3路雙向認(rèn)證(一次性隨機數(shù))2路雙向認(rèn)證(時間戳)AB:{TA,B}KABBA:{TB,A}KAB1.B

A:NB2.AB:{NA,NB,B}KAB3.BA:{NB,NA}KAB14AB:{TA,B}KABISO/IEC9798-2協(xié)議1.AB:A2.

BA:NB3.AB:{NB}KAS4.BS:{A,{NB}KAS}KBS5.SB:{NB}KBSWoo-Lam認(rèn)證協(xié)議BAS1.A2.

NB3.{NB}KAS4.{A,{NB}KAS}KBS5.{NB}KBS單向認(rèn)證A151.AB:AWoo-Lam認(rèn)證協(xié)議BAS1.A2.1.IAB:A1’.IB:I2.

BIA:NB2’.

BI:N’B3.IAB:R(隨便的數(shù))3’.IB:{NB}KIS

4.BS:{A,R}KBS4’.BS:{I,{NB}KIS

}KBS5.SB:{NB}KBSAbadi的攻擊BI(IA)S1.1’2.

2’3.3’4.4’5.{NB}KBSI開啟2個會話,其中一個假冒A,最后IA-B會話成功,I-B會話成功。注意：這里的5實際上是5‘的數(shù)據(jù)。對3和4里面的R，S會有一個響應(yīng)，不過5被I在網(wǎng)絡(luò)上中斷了！用5’冒充5161.IAB:AAbadi的攻擊BI(IA)S1.1’無服務(wù)器的密鑰建立額外的記號KAB:A與B初始時共享的長期密鑰,反復(fù)使用K’AB:

利用長期密鑰建立的新的會話密鑰,當(dāng)前會話中使用17無服務(wù)器的密鑰建立額外的記號171.AB:A,NA2.B

A:AUTH,MASK3.AB:[NA,K’AB,A]KABJanson-Tsudik2PKDP協(xié)議2.B生成新會話密鑰K’AB,然后計算:AUTH=[NA,K’AB,B]KAB(加密)MASK=[[AUTH]]K’AB(單向函數(shù))3.A利用AUTH計算K’AB,再利用K’AB驗證AUTH的正確性181.AB:A,NAJanson-Tsudik2PK1.AB:NA2.B

A:NBK’AB=f(NA,NB,KAB)Boyd兩路協(xié)議191.AB:NABoyd兩路協(xié)議19AB:{TA,B}KABK’AB=f(KAB,TA)ISO/IEC11770-2無服務(wù)器的密鑰建立協(xié)議機制2AB:{K’AB}KAB機制3AB:{TA,B,K’AB}KAB1.B

A:NB2.AB:{NB,B,K’AB}KAB機制41.AB:{TA,B,FAB}KAB2.B

A:{TB,A,FBA}KABK’AB=f(FAB,FBA)密鑰材料F機制51.B

A:NB2.AB:{NA,NB,B,FAB}KAB2.B

A:{NB,NA,FBA}KABK’AB=f(FAB,FBA)機制6{}KAB提供機密性與完整性機制120AB:{TA,B}KABISO/IEC11770-2無基于服務(wù)器的密鑰建立額外的記號A,B：期望建立會話密鑰的兩個用戶S

： 可信服務(wù)器KAS,KBS

：A與S,B與S初始時共享的長期密鑰KAB

：會話密鑰21基于服務(wù)器的密鑰建立額外的記號211.AS:A,B,NA2.SA:{NA,B,KAB,{KAB,A}KBS}KAS3.AB:{KAB,A}KBS4.BA:{NB}KAB5.AB:{NB-1}KABNeedham-Schroeder協(xié)議ABS12345221.AS:A,B,NANeedham-Sch1.AS:A,B2.SA:{B,KAB,TS,{A,

KAB,TS}KBS}KAS3.AB:{A,

KAB,TS}KBSDenning-Sacco協(xié)議Denning-Sacco攻擊:在Needham-Schroeder協(xié)議消息3中使用破解的會話密鑰,假冒A.ABS123保證會話密鑰的新鮮性,會話密鑰與時間戳綁定231.AS:A,BDenning-Sacco協(xié)議1.AB:A,NA2.BS:A,NA,B,NB3.SB:{KAB,A,

NB}KBS,{KAB,B,

NA}KAS4.BA:{KAB,B,

NA}KASBauer-Berson-Feiertag協(xié)議Bauer攻擊:在Needham-Schroeder協(xié)議中,如果A與S使用長期密鑰泄漏了,即使再更換,也可假冒A(同Denning-Sacco攻擊).ABS保證會話密鑰的新鮮性,會話密鑰與nonce綁定241.AB:A,NABauer-Berson-F使用多服務(wù)器的密鑰建立好處當(dāng)一個或多個服務(wù)器不可用時,用戶仍可以建立會話密鑰當(dāng)一個或多個服務(wù)器不可信時,用戶仍可以建立好的會話密鑰25使用多服務(wù)器的密鑰建立好處25KA,i,KB,i:A,B與服務(wù)器Si共享的長期密鑰秘密共享:A持有x,x可以從x1,x2,…,xn中的t個恢復(fù);B持有y,y可以從y1,y2,…,yn中的t個恢復(fù)