《认证协议》PPT课件

1,认证协议,刘昆alexliukun中国矿业大学徐海学院,2,使用共享密钥密码的认证与密钥建立协议,3,使用对称密码的认证,Alice,KAB,Bob,KAB,“ImAlice”,E(R,KAB),对Bob来说，这是验证Alice的一种安全方法,Alice不能验证Bob,我们能否实现相互认证?,R,4,相互认证?,Alice,Bob,“ImAlice”,R,E(R,KAB),E(R,KAB),有什么问题?“Alice”可以是Trudy(或其他任何人)!,5,相互认证,既然我们有一个安全的单向认证协议最明显的事情是使用两次协议一次用于Bob认证Alice一次用于Alice认证Bob,6,相互认证,Alice,Bob,“ImAlice”,RA,RB,E(RA,KAB),E(RB,KAB),提供了相互认证还是没有呢？,7,对相互认证的攻击,Bob,1.“ImAlice”,RA,2.RB,E(RA,KAB),Trudy,Bob,3.“ImAlice”,RB,4.RC,E(RB,KAB),Trudy,5.E(RB,KAB),8,相互认证,我们的单向认证协议是不安全的协议是微妙的在“显而易见”的事情可能是不安全的另外，如果假设或环境的变化，协议可能无法工作这是一个常见的安全故障例如，互联网协议,9,使用对称密码的认证,Alice,Bob,“ImAlice”,RA,RB,E(“Bob”,RA,KAB),E(“Alice”,RB,KAB),做这些“微不足道”的变化会有帮助吗？是的!,10,引言,讨论基于对称密码的双方密钥建立与认证协议分类准则预先有密钥可用:参与者之间共享,参与者与服务器共享(在线),离线服务器-证书(公钥)会话密钥生成的方法:密钥传输,协商,混合记号A,B:期望共享会话密钥的两个用户S:可信服务器MK:使用密钥K加密信息M,提供机密性与完整性MK:使用密钥K加密信息M,提供机密性MK:使用密钥K对信息M单向变换,提供完整性,11,实体认证协议,1.AB:NA2.BA:NB,u(KAB,NA,)3.AB:NA,v(KAB,NB,),Bird等人的协议,1.IAB:NI2.BIA:NB,u(KAB,NI,)1.IBA:NB(I为了回答B,开始一个新会话,询问A)2.AIB:NA,u(KAB,NB,)3.IAB:u(KAB,NB,)(I假冒A与B建立会话),u,v相同时,存在Oracle反射攻击,12,1.AB:NA2.BA:NB,B,A,NA,NBKAB3.AB:A,NBKAB,Bellare-RogawayMAP1协议,1.AIB:NA(I假冒B,开始一个MAP1会话)1.IBA:NA(I为了回答A,开始一个EVE1会话,询问A)2.AIB:NA,B,A,NA,NAKAB2.IBA:NA,B,A,NA,NAKAB(I假冒B完成MAP1会话)3.AIB:A,NAKAB,选择协议攻击,A被I用作Oracle攻击A,Alves-Foss设计的EVE1协议,1.AB:NA2.BA:NB,A,B,NA,NBKAB3.AB:A,NBKAB,13,AB:TA,BKAB,ISO/IEC9798-2协议1路单向认证(时间戳),2路单向认证(一次性随机数),1.BA:NB2.AB:NB,BKAB,3路双向认证(一次性随机数),2路双向认证(时间戳),AB:TA,BKABBA:TB,AKAB,1.BA:NB2.AB:NA,NB,BKAB3.BA:NB,NAKAB,14,1.AB:A2.BA:NB3.AB:NBKAS4.BS:A,NBKASKBS5.SB:NBKBS,Woo-Lam认证协议,B,A,S,1.A,2.NB,3.NBKAS,4.A,NBKASKBS,5.NBKBS,单向认证A,15,1.IAB:A1.IB:I2.BIA:NB2.BI:NB3.IAB:R3.IB:NBKIS4.BS:A,RKBS4.BS:I,NBKISKBS5.SB:NBKBS,Abadi的攻击,B,I(IA),S,1.1,2.2,3.3,4.4,5.NBKBS,I开启2个会话,其中一个假冒A,最后IA-B会话成功,I-B会话失败,16,无服务器的密钥建立,额外的记号KAB:A与B初始时共享的长期密钥,反复使用KAB:利用长期密钥建立的新的会话密钥,当前会话中使用,17,1.AB:A,NA2.BA:AUTH,MASKKAB3.AB:NA,KAB,AKAB,Janson-Tsudik2PKDP协议,2.B生成新会话密钥KAB,然后计算:AUTH=NA,KAB,BKAB(单向函数)MASK=AUTHKAB(加密)3.A利用AUTH计算KAB,再利用KAB验证AUTH的正确性,18,1.AB:NA2.BA:NBKAB=f(NA,NB,KAB),Boyd两路协议,19,AB:TA,BKABKAB=f(KAB,TA),ISO/IEC11770-2无服务器的密钥建立协议,机制2,AB:KABKAB,机制3,AB:TA,B,KABKAB,1.BA:NB2.AB:NB,B,KABKAB,机制4,1.AB:TA,B,FABKAB2.BA:TB,A,FBAKABKAB=f(FAB,FBA)密钥材料F,机制5,1.BA:NB2.AB:NA,NB,B,FABKAB2.BA:NB,NA,FBAKABKAB=f(FAB,FBA),机制6,KAB提供机密性与完整性,机制1,20,基于服务器的密钥建立,额外的记号A,B：期望建立会话密钥的两个用户S：可信服务器KAS,KBS：A与S,B与S初始时共享的长期密钥KAB：会话密钥,21,1.AS:A,B,NA2.SA:NA,B,KAB,KAB,AKBSKAS3.AB:KAB,AKBS4.BA:NBKAB5.AB:NB-1KAB,Needham-Schroeder协议,1,2,3,4,5,22,1.AS:A,B2.SA:B,KAB,TS,A,KAB,TSKBSKAS3.AB:A,KAB,TSKBS,Denning-Sacco协议,Denning-Sacco攻击:在Needham-Schroeder协议消息3中使用破解的会话密钥,假冒A.,A,B,S,1,2,3,保证会话密钥的新鲜性,会话密钥与时间戳绑定,23,1.AB:A,NA2.BS:A,NA,B,NB3.SB:KAB,A,NBKBS,KAB,B,NAKAS4.BA:KAB,B,NAKAS,Bauer-Berson-Feiertag协议,Bauer攻击:在Needham-Schroeder协议中,如果A与S使用长期密钥泄漏了,即使再更换,也可假冒A(同Denning-Sacco攻击).,A,B,S,保证会话密钥的新鲜性,会话密钥与nonce绑定,24,使用多服务器的密钥建立,好处当一个或多个服务器不可用时,用户仍可以建立会话密钥当一个或多个服务器不可信时,用户仍可以建立好的会话密钥,25,KA,i,KB,i:A,B与服务器Si共享的长期密钥秘密共享:A持有x,x可以从x1,x2,xn中的t个恢复;B持有y,y可以从y1,y2,yn中的t个恢复,A,B,Si,1,2,3,4,5,会话密钥为KAB=h(x,y)cc(x)=(h(x1),h(x2),h(xn),Gong的多服务器协议：服务器至少t个可信,A与B选择密钥材料,1.AB:A,B,NA,A,B,xi,cc(