4认证协议2.ppt

使用对称密码的认证 相互认证? 有什么问题? “Alice” 可以是 Trudy (或其他任何人)! 相互认证 既然我们有一个安全的单向认证协议 … 最明显的事情是使用两次协议 一次用于 Bob 认证 Alice 一次用于 Alice认证 Bob 相互认证 提供了相互认证… …还是没有呢？ 对相互认证的攻击 对相互认证的攻击 相互认证 我们的单向认证协议是不安全的 协议是微妙的 在“显而易见”的事情可能是不安全的 另外，如果假设或环境的变化，协议可能无法工作 这是一个常见的安全故障 例如，互联网协议 使用对称密码的认证 做这些“微不足道”的变化会有帮助吗？ 是的! 引言 讨论基于对称密码的双方密钥建立与认证协议 分类准则 预先有密钥可用:参与者之间共享,参与者与服务器共享(在线) ,离线服务器-证书(公钥) 会话密钥生成的方法:密钥传输,协商,混合 记号 A, B :期望共享会话密钥的两个用户 S :可信服务器 {M}K :使用密钥K加密信息M,提供机密性与完整性 无服务器的密钥建立 基于服务器的密钥建立 使用多服务器的密钥建立 * * * 认证协议 吴汉炜 使用共享密钥密码的 认证与密钥建立协议 Alice, KAB Bob, KAB “I’m Alice” E KAB (R) 对Bob来说，这是验证Alice的一种安全方法 Alice不能验证Bob 我们能否实现相互认证 ? R Alice Bob “I’m Alice”, R E KAB (R) E KAB (R) Alice Bob “I’m Alice”, RA RB, E KAB (RA) E KAB (RB) Bob 1. “I’m Alice”, RA 2. RB, E KAB (RA) Trudy Bob 3. “I’m Alice”, RB 4. RC, E KAB (RB) Trudy 5. E KAB (RB) Bob 1. “I’m Alice”, RA 2. RB, E KAB (RA) Trudy Alice 3. “I’m Bob”, RB 4. RC, E KAB (RB) Trudy 5. E KAB (RB) Alice Bob “I’m Alice”, RA RB, E KAB (“Bob”, RA) E KAB (“Alice”, RB) 实体认证协议 1. A?B: NA 2. B ? A : NB, u(KAB, NA, …) 3. A?B: v(KAB, NB, …) Bird等人的协议 1. IA?B: NI 2. B ? IA : NB, u(KAB, NI, …) 1’. IB?A: NB(I为了回答B,开始一个新会话,询问A) 2’. A ? IB : NA, u(KAB, NB, …) 3. IA ?B: u(KAB, NB, …) (I假冒A与B建立会话) u,v 相同时,存在Oracle攻击 1. A?B: NA 2. B ? A : NB, [B, A, NA, NB]KAB 3. A?B: [A, NB]KAB Bellare-Rogaway MAP1协议 1. A? IB : NA (I假冒B,开始一个MAP1会话) 1’. IB?A: NA (I为了回答A,开始一个会话,询问A) 2’. A ? IB : N’A, [B, A, NA, N’A]KAB 2. IB?A: N’A, [B, A, NA, N’A]KAB (I假冒B完成MAP1会话) 3. A ? IB : [A, N’A]KAB 选择协议攻击, A被I用作Oracle攻击A A和B次序问题 只保留B 破坏结构 A?B: {TA, B}KAB ISO/IEC9798-2协议 1路单向认证(时间戳) 2路单向认证(一次性随机数) 1. B ? A : NB 2. A?B: {NB, B}KAB 3路双向认证(一次性随机数) 2路双向认证(时间戳) A?B: {TA, B}KAB B?A: {TB, A}KAB 1. B ? A : NB 2. A?B: {NA, NB, B}KAB 3. B?A : {NB, NA}KAB 1. A?B: A 2. B?A : NB 3. A?B: {NB}KAS 4. B?S : {A, {NB}KAS}KBS 5. S?B: {NB}KBS Woo-Lam认证协议 B A S 1. A 2. NB 3. {NB}KAS 4. {A, {NB}KAS}KBS 5. {NB}KBS 单向认证A 1. IA?B: A 1’.I?B: I 2. B?IA : NB 2’. B?I : N’B 3. IA?B: R (随便的数) 3’. I?B: {NB}KIS