资源描述:
《网络安全教程 教学课件 田园 第9章 对网络安全协议的.ppt》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、第9章对网络安全协议的典型攻击9.1一个例子、一段历史9.2更多的例子9.3更复杂的协议和攻击9.1一个例子、一段历史第一个有趣而又非常简单的例子是Needham-Schroeder协议。A、B是两个用户或进程的名字(ID),Na、Nb是随机数,KA、KB分别表示A、B的公钥,{m}K表示以K对消息m加密后的密文,X,Y表示字X和字Y的联结,这些都是典型的消息表达式。Needham-Schroeder协议的消息交换过程为A→B:{Na,A}KBB→A:{Na,Nb}KAA→B:{Nb}KB该协议也可以用分布式计算系统中进程的Lamport图表达,如图9-
2、1(a)所示,这种图形表示法是一种很直观并且可以精确化的表示方法。图9-1Needham-Schroeder协议及其安全漏洞直观上看,A、B通过Needham-Schroeder协议向对方证实自己的存在。A将自己生成的随机数Na用B的公钥加密后发送到B;B生成一个自己的随机数Nb后连同A的随机数Na一起传递回A,整个消息以A的公钥加密;A以自己的私钥解密该消息,验证其中包含的第一个数确实是自己在第一个消息中向B传递的那个随机数(否则A立刻终止该协议),然后将该消息中的第二个数以B的公钥加密后传递回B;B以自己的私钥解密该消息,验证其中所含的恰是其在第二条
3、消息中自己生成的那一个随机数Nb。特别值得注意的是第二条消息{Na,Nb}KA,它要表达的意思是“A、B当前存在于一个时效由随机数Na、Nb界定的会话中”,但注意该消息表达式中实际上没有任何信息可以使接收方据此推断发送方是B而不是其他参与者。细心的读者或许会争辩说该消息中的项Na来自A发送的第一条消息{Na,A}KB,既然该消息以B的公钥加密,“当然”只有B能解密从而提取出Na,因此当A看到Na出现于{Na,Nb}KA中时,“当然”能据此推断出是B而不是其他进程发送了该消息。实际上,以上“论证”并不成立,如图9-1(b)中所示的攻击恰是对Needham-
4、Schroeder协议这一漏洞的巧妙利用。A、B以及其他符号如前述,P表示攻击者,假定P已破译出一个合法参与者的私钥,其对应的公钥为KP。当A期望向P(从现在起对P及被其破译出私钥的参与者不加区分,用同一符号表示)证实身份时,向P发送消息{N1,A}KP,P提取出A的随机数N1后以A的身份向B发送消息{N1,A}KB,B根据协议的规定向A发送消息{N1,N2}KA,注意如前所述,A并不能根据该消息本身推断出该消息的实际发送者是B而不是A所期望的P,于是A接收该消息后能正确地通过验证并向P发送消息{N2}KP,P提取出N2后向B发送{N2}KB。至此,根据
5、Needham-Schroeder协议,A断定“P存在于N1,N2所界定的会话中,且N1,N2仅有A、P知道”,B断定“A存在于N1,N2所界定的会话中,且N1,N2仅有A、B知道”,而事实上,两者的结论都是错误的。对Needham-Schroeder协议的改正非常简单,这就是Needham-Schroeder-Lowe协议A→B:{Na,A}KBB→A:{Na,Nb,B}KBA→B:{Nb}KBNeedham-Schroeder-Lowe协议的安全性目前已经被严格证明。9.2更多的例子9.2.1其他身份鉴别协议的例子9.2.2加密的运用9.2.3时效9
6、.2.4类型攻击9.2.5代数攻击9.2.1其他身份鉴别协议的例子Denning-Sacco协议这是一个基于公钥体制的会话密钥交换协议,参与的进程是准备进行会话的双方A、B和一个双方共同信任的服务器S,A、B的公钥分别是Ka、Kb,对应的私钥分别为da、db,且A、B分别有证书CA、CB。在下面的分析中CA、CB的具体形式无关紧要,消息交换过程如下A→S:A,BS→A:CA,CBA→B:CA,CB,{{K,Ta}da}Kb然而,消息CA,CB,{{K,Ta}da}Kb对该涵义的表达并不充分,具体地说,消息中的子项{{K,Ta}da}Kb可以被一个意图假冒
7、发送者身份的进程所重用。设想C是这样一个进程,在与A以Denning-Sacco协议获取了会话密钥Kac后,C再与B进行一次Denning-Sacco协议,C向B发送的最后一条消息是C→B:CB,CC,{{Kac,Ta}da}Kb根据Denning-Sacco协议B将判定Kac来自A,而实际上C也知道该密钥,当B以Kac加密其敏感数据与A会话时,将立刻被C破译。对Denning-Sacco协议可以改正如下A→S:A,BS→A:CA,CBA→B:CA,CB,{{A,B,K,Ta}da}KbWoo-Lam协议这是一个基于对称加密体制的身份鉴别协议,S是被共同
8、信任的服务器进程,进程B期望验证进程A当前的确存在,A、B双方的消息交换过程为(
