X.509三路认证协议.doc

安全协议X.509三路认证协议验证实验报告姓 名： 学 号： 学 院： 成 绩： 任课教师： 二一二年十月二十三日II计算机类课程实验报告姓 名主讲教师专 业班级学 号实验日期课程名称安全协议小组成员一、 实验名称：X509三路认证协议的验证。二、实验目的：1加深对X509三路认证协议的理解。2掌握软件分析安全协议的基本方法，认识安全协议的基本描述规则，构建完备的知识体系。三、实验内容及要求分析X509三路认证协议，并使用Scyther协议验证软件对其进行安全验证，完成详尽的报告。1建立对X509三路认证协议的认识，在此基础上分析其破解途径。2学会使用软件验证安全协议的方法，即协议的代码描述、攻击方法的分析。3深入总结实验，进一步发觉安全协议更深层次的知识四、实验材料、工具、或软件Microsoft Windows7；Python2.6；Scyther1.0五、实验步骤（或记录）本次实验共分四步执行：第一步：查阅相关资料，系统地认识X509三路认证协议；第二步：思考该协议的验证流程，推敲其攻击破解的方法；第三步：分析协议的代码描述，并做出详细的解释；第四步：透过Scyther生成的攻击图，分析其具体的攻击流程。下面按照这四个步骤开始实验并详细叙述。一、认识X509三路认证协议 1.AB：TA,NA,B,EB(KAB),SigA(TA,NA,B,EB(KAB) / A给B发送TA（确保消息的新鲜性）、随机数NA（A给B的挑战）、B的主体标识（表明这条消息是发给B的），用B的公钥加密的会话秘钥KAB，还有A的签名。 2.BA：TB,NB,A,NA,EA(KBA),SigB(TB,NB,A,NA,EA(KBA) /B用私钥解密得到会话秘钥KBA，用A的公钥加密，把产生的时间戳TB，随机数NB，A的主体标识，得到的随机数NA和加密后的会话秘钥，还有B的签名发送给A 3.AB：NB,B, SigA(NB,B) /A给B发送NB,B和A的签名表示自己收到消息并确定自己的身份二、 X509三路认证协议攻击1. A-I(B):A, Ta, Na, B, Xa, YaPK(B)SK(A) /I截获A给B发送的 消息2. I(A)-B:A, Ta, Na, B, Xa, YaPK(B)SK(A) /I冒充A将截获的 消息转发给B3. B-I(A):B, Tb, Nb, A, Na, Xb, YbPK(A)SK(B) /B用A公钥 解密得到随机数Na，自己产生时间戳Tb，随机数Nb，用自己的私钥加密Tb, Nb, A, Na, Xb和用A的公钥加密的Yb，然后发送给I4. A-I:A, Ta, Na, C, Xa, YaPK(I)SK(A) /A对I发起会话5. I-A:I, Ti, Nb, A, Na,Xi, YiPK(A)SK(I) /I用合法的身份 将Ti，A，Na,Xi,用A公钥加密的Yi和从B那解密得到的Nb用自己的私钥加密后发送给A6. A-I:A, NbSK(A) /A回复给I用自己的私钥加密的Nb， I因此得到NbSK(A)7. I(A)-B:A, NbSK(A) /I将从A出得到信息转发给B,成功冒充 A三、分析代码描述# CCITT X.509 (3) /X.509三路认证协议# Modelled after the description in the SPORE library# http:/www.lsv.ens-cachan.fr/spore/ccittx509_3.html# Note:# The protocol description also states that Xa and Ya should be fresh# this can not be verified using scyther#const pk: Function; /定义一个公钥secret sk: Function; /定义一个私钥inversekeys(pk,sk); /声明一对匹配的公、私钥usertype Timestamp; /声明用户自定义类型的时间戳protocol ccitt509-3(I,R) /协议ccitt509-3中有两个实体I，R role I /人物I const Ta: Timestamp; /定义一个常量Ta作为时间戳 var Tb: Timestamp; /定义一个变量Tb作为时间戳 const Na,Xa,Ya: Nonce; /定义I产生的随机常量Na,Xa,Ya var Xb,Nb,Yb: Nonce; /定义R产生的随机变量Xb,Nb,Yb send_1(I,R, I,Ta, Na, R, Xa,Yapk(R)sk(I); /I用R的公钥加密I产生的随机数Ya，再用自己的私钥加密信息Ta, Na, R, Xa,和加密后的Ya，然后发送给R，确保了Ya的机密性 read_2(R,I, R,Tb, Nb, I, Na, Xb,Ybpk(I)sk(R); /I收到从R发来的用R的私钥加密的信息，用R的公钥解密得到Tb, Nb, I, Na, Xb以及用I的公钥加密的Yb send_3(I,R, I, Nbsk(I); /I将信息Nb用自己的私钥加密发送给R，完成认证 claim_I1(I,Nisynch); /声明I完成单射一致性 claim_I2(I,Secret,Ya); /声明I产生的随机数Ya是秘密的 claim_I3(I,Secret,Yb); /声明I获得的随机数Yb是秘密的 role R /人物R var Ta: Timestamp; /定义一个变量Ta作为时间戳 const Tb: Timestamp; /定义一个常量Tb作为时间戳 var Na,Xa,Ya: Nonce; /定义随机变量Na,Xa,Ya const Xb,Yb,Nb: Nonce; /定义随机常量Xb,Nb,Yb read_1(I,R, I,Ta, Na, R, Xa,Yapk(R)sk(I); /读取I发送的第一条信息 send_2(R,I, R,Tb, Nb, I, Na, Xb,Ybpk(I)sk(R); /R读取I发来的信息后，对I发出的认证信息 read_3(I,R, I, Nbsk(I); /R读取I发送的信息，通过认证 claim_R1(R,Nisynch); /声明R完成单射一致性 claim_R2(R,Secret,Ya); /声明随机数Ya是秘密的 claim_R3(R,Secret,Yb); /声明随机数Yb是秘密的 # There should also be Fresh Xa and Fresh Ya claims here const Alice,Bob,Eve: Agent; /实体Alice,Bob,Eve是代理者untrusted Eve; /Eve是不受信任的const ne: Nonce; /定义常量neconst te: Timestamp; /定义时间戳te是常量compromised sk(Eve); /通过协商所得的Eve的私钥， Eve是合法用户，其身份得到Alice和Bob的承认四、分析攻击流程扫描结果显