第五章安全協(xié)議技術(shù)-安全協(xié)議缺陷計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)攻擊模型安全協(xié)議缺陷安全協(xié)議技術(shù)導(dǎo)致協(xié)議不安全的根本原因在于協(xié)議所運(yùn)行環(huán)境的復(fù)雜性該復(fù)雜性的典型代表是存在協(xié)議攻擊者。攻擊模型安全協(xié)議缺陷安全協(xié)議技術(shù)導(dǎo)致協(xié)議不安全的根本原因在于協(xié)議所運(yùn)行環(huán)境的復(fù)雜性該復(fù)雜性的典型代表是在協(xié)議主體中可能存在協(xié)議攻擊者協(xié)議主體：參與協(xié)議的主體攻擊者：不按照協(xié)議要求執(zhí)行協(xié)議的主體攻擊模型在眾多攻擊者模型中，Dolev-Yao模型是公認(rèn)較好的模型之一（1）截獲并延遲消息的發(fā)送。（2）截獲并重新發(fā)送消息到任意接收者。（3）截獲并修改消息，并可轉(zhuǎn)發(fā)給任意接收者。（4）可以產(chǎn)生新的消息（包括新鮮的消息）。（5）可以對(duì)消息進(jìn)行分離。（6）可以對(duì)多個(gè)消息進(jìn)行組合。（7）知道密鑰后可解密消息和重新加密消息。（8）可以查看和掌握協(xié)議相關(guān)的公用信息。安全協(xié)議缺陷安全協(xié)議技術(shù)Dolev-Yao攻擊者模型假設(shè)攻擊者具有的能力協(xié)議缺陷在實(shí)際應(yīng)用中，由于存在攻擊者，因此設(shè)計(jì)一個(gè)安全的協(xié)議是非常困難的任務(wù)。所謂協(xié)議的安全性，一般為在假定攻擊者模型下，證明協(xié)議是安全的。安全協(xié)議缺陷安全協(xié)議技術(shù)協(xié)議存在缺陷的原因1協(xié)議設(shè)計(jì)過程不規(guī)范2是在協(xié)議執(zhí)行時(shí)產(chǎn)生安全協(xié)議缺陷安全協(xié)議技術(shù)常見協(xié)議缺陷（1）基本協(xié)議缺陷：協(xié)議中沒有或者很少考慮對(duì)攻擊者的防范而引發(fā)的協(xié)議缺陷（如TCP/IP協(xié)議的安全缺陷問題等）。安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Bob(B)這種方法的問題是什么？攻擊者可以采取加密的方式來(lái)猜測(cè)M的內(nèi)容（即破壞機(jī)密性）考慮M是Alice給Bob加工資的金額常見協(xié)議缺陷（2）陳舊消息缺陷：在協(xié)議設(shè)計(jì)過程中，未考慮消息的時(shí)效性（即新鮮性），從而使得攻擊者可以利用協(xié)議過程中產(chǎn)生的過時(shí)消息來(lái)對(duì)協(xié)議進(jìn)行重放攻擊。安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Bob(B)Carol(C)結(jié)論：不要相信輕易沒有時(shí)間的簽名！常見協(xié)議缺陷（3）并行會(huì)話缺陷：協(xié)議設(shè)計(jì)對(duì)僅考慮單個(gè)協(xié)議執(zhí)行的情況，對(duì)多個(gè)協(xié)議（或同一個(gè)協(xié)議的多個(gè)運(yùn)行實(shí)例）并行會(huì)話缺乏考慮，使得攻擊者可以相互交換適當(dāng)?shù)膮f(xié)議消息來(lái)獲得更為重要的消息。安全協(xié)議缺陷安全協(xié)議技術(shù)該協(xié)議是否安全呢？Alice(A)Bob(B)協(xié)議目的：Alice和Bob在可信第三方的條件下實(shí)現(xiàn)認(rèn)證及密鑰交換常見協(xié)議缺陷（4）內(nèi)部協(xié)議缺陷：協(xié)議中缺少足夠的信息讓協(xié)議參與者能夠區(qū)分消息的真實(shí)性而導(dǎo)致缺陷。安全協(xié)議缺陷安全協(xié)議技術(shù)Neuman－Stubblebine協(xié)議Neuman,BCandStubblebine,SG,ANoteontheUseofTimestampsandNonces,OSReview27,2,Apr.1993.Na，Nb，Ma，Mb都是Nonce密鑰交換相互認(rèn)證常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Trent(T)Bob(B)KabKabNeuman－Stubblebine協(xié)議常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術(shù)Neuman－Stubblebine協(xié)議密鑰交換相互認(rèn)證消息5－7實(shí)現(xiàn)雙向認(rèn)證，該過程可以重復(fù)進(jìn)行；該過程稱之為重復(fù)認(rèn)證。{A,Kab,Tb}Kbs稱之為票據(jù)直到票據(jù){A,Kab,Tb}Kbs

過期。

常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Trent(T)Bob(B)KabKabNeuman－Stubblebine協(xié)議問題：協(xié)議安全問題在哪里？差異是什么？Kab&Na?常見協(xié)議缺陷安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Trent(T)Bob(B)NaNaNeuman－Stubblebine協(xié)議的規(guī)因于類型缺陷攻擊Malice(M)忽略消息3攻擊中，攻擊者利用一次性Nonce替代Kab，如果Bob不能區(qū)別其類型，就會(huì)上當(dāng)受騙。原因：協(xié)議中的變量（如Kab）的類型沒有明確定義。常見協(xié)議缺陷（5）密碼系統(tǒng)缺陷：協(xié)議中使用的密碼算法的安全強(qiáng)度問題導(dǎo)致協(xié)議不能完全滿足所要求的機(jī)密性、完整性、認(rèn)證等需要而產(chǎn)生的缺陷。這類缺陷包括密碼算法強(qiáng)度不夠、密鑰長(zhǎng)度不夠、不正確的使用密碼算法等例如，SHA-1數(shù)字摘要算法被證明存在缺陷，因此凡是用SHA-1的協(xié)議均不同程度的存在安全缺陷。安全協(xié)議缺陷安全協(xié)議技術(shù)安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Bob(B)Trent(T)A,B,RAEA(RA,B,K,EB(K,A))EB(K,A）KKEK(RB）EK(RB－1）EK(M={ILoveXXX})Needham－Schroeder協(xié)議前向保密失敗攻擊者如果破解了以前的一個(gè)會(huì)話密鑰，可以重放消息EB（K，A）協(xié)議目的：基于認(rèn)證服務(wù)器（PPT）實(shí)現(xiàn)雙向認(rèn)證及密鑰交換。安全協(xié)議缺陷安全協(xié)議技術(shù)協(xié)議目的：A和B在一個(gè)可信第三方的幫助下實(shí)現(xiàn)會(huì)話密鑰Kab的交換協(xié)議包含四條消息：Na,Nb是新鮮性隨機(jī)數(shù)M是協(xié)議標(biāo)識(shí)變形：Nb與其他消息分開加密分開加密目的：使用加密來(lái)提供消息的新鮮性O(shè)tway-Reeskeyexchangingprotocol的一種變形安全協(xié)議缺陷安全協(xié)議技術(shù)Alice(A)Bob(B)Trent(T)Trent解密兩個(gè)消息并比較其相同部分是否一致。一致則發(fā)送會(huì)話密鑰。該變形同樣存在前面所描述的類型錯(cuò)誤攻擊。除此之外，引來(lái)了其他攻擊Otway-Reeskeyexchangingprotocol的一種變形安全協(xié)議缺陷安全協(xié)議技術(shù)Bob(B)Trent(T)Trent解密兩個(gè)消息并比較其相同部分是否一致。一致則發(fā)送會(huì)話密鑰。Carol(C)攻擊結(jié)果：Bob認(rèn)為于Alice共享了會(huì)話密鑰，而實(shí)際上是于Carol共享了密鑰Otwa