计算系统与网络安全 Computer System and Network Security

Presentation on theme: "计算系统与网络安全 Computer System and Network Security"— Presentation transcript:

1 计算系统与网络安全 Computer System and Network Security
电子科技大学 计算机科学与工程学院 2018/11/29

2 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

3 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

4 消息重放 消息重放攻击是指攻击者利用其消息再生能力生成诚实用户所期望的消息格式，并重新发送，从而达到破坏协议安全性的目的。
消息重放的实质是消息的新鲜性（Freshness）不能得到保证。 消息重放攻击是安全协议中最容易出现的问题之一。 2018/11/29

5 消息重放（续） Example 1：Needham－Schroeder协议 协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。
Alice (A) Bob (B) Trent (T) 攻击者如果获知以前的一个工作密钥，可以重放消息EB（K，A） A, B, RA EA(RA,B,K,EB(K,A)) K EB(K,A） EK(RB） EK(RB－1） EK(M={I Love XXX}) 2018/11/29

6 消息重放（续） 考虑诚实主体： 它接收到的消息： 它发送的消息： 轮内消息重放 轮外消息重放 延迟的消息 被返还 被发往第三方 被延迟
2018/11/29

7 消息重放（续） 消息重放攻击分类 根据消息的来源： 根据消息的去向： 其中偏转攻击分为： 协议轮内攻击：一个协议轮内消息重放
协议轮外攻击：一个协议不同轮次消息重放 根据消息的去向： 偏转攻击：改变消息的去向 直接攻击：将消息发送给意定接收方 其中偏转攻击分为： 反射攻击：将消息返回给发送者 第三方攻击：将消息发给协议合法通信双方之外的任一方 2018/11/29

8 消息重放（续） 消息重放对策 通过发送挑战值（Nonce）来确保消息的新鲜性。 挑战－应答机制 时戳机制（Timestamp）
序列号机制（Sequence No） 通过发送挑战值（Nonce）来确保消息的新鲜性。 对消息盖上本地时戳，只有当消息上的时戳与当前本地时间的差值在意定范围之内，才接受该消息。 要求有一个全局同步时钟，但是如果双方时钟偏差过大或者允许的范围过大，则可以被攻击者利用。 通信双方通过消息中的序列号来判断消息的新鲜性 要求通信双方必须事先协商一个初始序列号，并协商递增方法 2018/11/29

9 消息重放（续） Example 1：Needham－Schroeder协议的时戳机制改进
协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。 Alice (A) Bob (B) Trent (T) A, B, RA EA(RA,B,K,EB(K,A,T)) Bob收到消息后，根据本地时间和消息中的时戳，决定是否接受该消息 K EB(K,A,T） EK(RB） EK(RB－1） EK(M={I Love XXX}) 2018/11/29

10 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

11 中间人攻击 攻击者Malice将自己伪装于用户Alice和Bob之间进行通信。 我可以战胜胡荣华！！ 胡荣华 许银川 炮二平五 炮二平五
Little girl 马八进七 马八进七 2018/11/29

12 Diffie－Hellman密钥协商协议
Example 2: Diffie－Hellman密钥协商协议 协议目的：Alice和Bob利用公钥体制建立一个新的共享密钥Kab 协议组成：2条消息组成 A：计算Kab=gxy B：计算Kab=gxy Diffie-Hellman密钥协商协议的理论依据的离散对数困难性问题。 2018/11/29

13 Diffie－Hellman密钥协商协议（续）
胡荣华(B) 许银川（A） Little girl（M） 攻击结果：M拥有A和B的密钥，而A和B并不知道。 2018/11/29

14 一次性口令协议 Example 3: 一次性口令协议（S/Key） 协议目的：用户通过口令向服务器认证，但口令不会重复。（口令认证协议）
熟悉口令认证协议吗? 2018/11/29

15 口令认证协议－明文形式存放的口令表 明文形式存放的口令表 ID OK？ 用户输入ID 查找与该ID对应的PW 相同？ 拒绝 N Y 接受
身份标识 注册口令 ID PW1 ID PW2 ID PW3 IDn PWn 明文形式存放的口令表 2018/11/29

16 口令认证协议－基于单向hash函数的口令表
ID OK？ 用户输入ID 查找与该ID对应的H(PW) 相同？ 接受 拒绝 N Y 用户输入PW 用预定的Hash 函数计算 H(PW‘) H(PW) ID 拒绝 身份标识 注册口令 ID H(PW1) ID H(PW2) ID H(PW3) IDn H(PWn) Hash值形式存放的口令表 2018/11/29

17 口令认证协议－基于单向hash函数和“盐”的口令表
ID OK？ 用户输入ID 拒绝 查找与该ID对应的H(PW) 相同？ 接受 N Y 用户输入PW 用预定的Hash 函数计算 H(PW‘+R) H(PW+R) ID R 身份标识 注册口令 盐 ID1···· H(PW1+R1) R1 ID H(PW2+R2) R2 ID H(PW3+R3) R3 IDn H(PWn+Rn) Rn “加盐”Hash值形式存放的口令表 2018/11/29

18 一次性口令系统 S/Key（Simple key):一次性口令系统 一次性口令机制确保在每次认证中所使用的口令不同，以对付重放攻击。
确定口令的方法： （1）两端共同拥有一串随机口令，在该串的某一位置保持同步； （2）两端共同使用一个随机序列生成器，在该序列生成器的初态保持同步； （3）使用时戳，两端维持同步的时钟。 2018/11/29

19 一次性口令系统（续） S/Key（Simple key):一次性口令系统
其安全性依赖于一个单向函数。为建立这样的系统A输入一随机数Pu，计算机计算f（ Pu ）, f（ f（ Pu ））， f（ f（ f（ Pu ）） ），…,共计算n次，计算得到的数为x1, x2 , x3 ,… xn，A打印出这样的表，随身携带，计算机将xn存在A的名字旁边。 第一次登录，键入xn-1，计算机xn，并与存储的xn比较，相同则认证通过；否则认真失败。 以后依次键入xi，计算机计算f(xi)，并将它与xi+1比较。 2018/11/29

20 一次性口令系统（续） S/Key（Simple key):一次性口令系统 4. 输入私钥 1. 用户登录 2. 登录请求 S/KEY 服务器
客户端 7. 传送口令 5. 私钥与质询输入计算器 6. 产生本次口令 口令计算器 2018/11/29

21 一次性口令协议 Example 3: 一次性口令协议（S/Key）
口令存储表 Example 3: 一次性口令协议（S/Key） 身份标识 fc(Pu) c值 ID1···· f(P1) R1 ID f(P2) R2 ID f(P3) R3 IDn f(Pn) Rn 协议目的：用户通过口令向服务器认证，但口令不会重复,从而有效防御口令在线猜测攻击。（口令认证协议） 协议组成：口令存储表＋3条消息组成 2018/11/29

22 一次性口令协议（续） Example 3: 一次性口令协议（S/Key） 讨论：
问题：口令明文传送是否有问题？ 许银川（A） Little girl（B） 考虑：协议是双向认证还是单向认证？ 单向认证中，Alice为什么要相信计数器值c是Bob发送的？ 讨论： （1）尽管S/Key中口令明文传送，但是可以抵抗口令的在线窃听攻击 （2）S/Key协议是否安全？ 2018/11/29

23 一次性口令协议的中间人攻击 Example 3: 一次性口令协议（S/Key）的中间人攻击 攻击结果：
胡荣华(B) 许银川（A） Little girl（M） 攻击结果： 攻击者Malice获得了fc-2,下一次他就可以用用户的ID登录了。 2018/11/29

24 Needham-Schroeder公钥认证协议
Example 4 :Needham－Schroeder公钥认证协议 协议目的：Alice和Bob利用公钥体制建立一个新的共享秘密Na，Nb，并实现认证 协议组成：7条消息组成 讨论：消息1，2，4，5是获得公钥，3，6，7是A和B相互认证。如果假设公钥已知，协议可以简化： 2018/11/29

25 Needham-Schroeder公钥认证协议的中间人攻击
胡荣华(B) 许银川（A） Little girl（M） 攻击结果：B认为她和A建立了共享秘密，而实际上她和M建立了共享秘密。 上述攻击可以成功的原因之一：在消息（3）中，A无意之间为M解了B的Nonce（Nb）。 主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机。 2018/11/29

26 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

27 预言机攻击 主体无意地为攻击这执行了一个密码运算时，该主体被认为用作了预言机（或称该主体提供了预言服务）。
如果存在主体可以提供预言服务，该主体可能被诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无法得到地信息。 2018/11/29

28 Needham-Schroeder公钥认证协议的预言机（Oracle）攻击
协议1 协议2 胡荣华(M) 许银川（A） Little girl（B） 成功的原因之二：M利用了该协议的多个运行实例，从而将不同协议的消息交织在一起（如（1‘）、（2’）和消息（2））。 攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行，从而使得攻击这获得不应当获得的信息，这种攻击叫做交错攻击。 2018/11/29

29 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

30 交错攻击定义 攻击者将某个协议的两个或者多个运行实例安排为以交织的方法执行。 结果是：
（1）攻击者可以合成某条消息，并发送各某个运行中的主体，期望收到该主体的一个应答； （2）而该应答可能对于另外某个运行中的另外一个主体是有用的； （3）在接下来的运行中，从前面运行中得到的应答可能促使后面的主体对某个问题作出应答，而该应答又恰好能运用于第一个运行。 2018/11/29

31 Needham-Schroeder公钥认证协议的交错攻击
（1）攻击者构造消息 胡荣华(M) 许银川（A） Little girl（B） （2）该应答对于M是有用的 （3）应答使得A作出应答 2018/11/29

32 ISO三次传输双向认证协议 Example5: ISO三次传输双向认证协议 协议目的：Alice和Bob利用公钥体制实现双向认证
协议组成：3条消息组成 Alice (A) Bob (B) 2018/11/29

33 ISO三次传输双向认证协议的交错攻击 Example5: ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击）
攻击协议的关键：第三条消息 在上述消息中，A信任B的条件是：A能用B的公钥解密消息得到Na，并与自己发送的Na相比较。如果相同则信任；否则不信任。 对于Nb，只要求明文和解密结果中所得到的值相同即可。 攻击者M无法回答第三条消息（没有B的私钥） 攻击者M向B发起一次通信（得到B用私钥签名的消息） 2018/11/29

34 ISO三次传输双向认证协议的Wiener攻击
Example5: ISO三次传输双向认证协议的Wiener攻击（加拿大人攻击） 通过与B通信，得到所期望的应答消息 Mallory Alice (A) Bob (B) 攻击结果：A认为B发起了一次协议通信，并接受了该B的身份；而B实际上没有发起协议，而且在等待由M（A）发起的运行。 2018/11/29

35 工作站－工作站协议（STS） Example6: 工作站－工作站协议（STS）
协议目的：Alice和Bob利用公钥体制实现密钥协商(即得到密钥Kab（同时，该协议还实现了双向实体认证、双向密钥确认、完善前向保密性和不可否认性） 协议组成：3条消息组成 Alice (A) Bob (B) 2018/11/29

36 工作站—工作站协议（STS）存在一个小小的瑕疵
Example6: 工作站－工作站协议（STS）存在一个小小的瑕疵 Alice (A) Malice (M) Bob (B) 攻击结果：Alice被完全欺骗，她认为和Bob进行了一次会话，并共享了某个会话密钥，而Bob认为和Malice运行了一次不完全的协议。随后，Alice试图与Bob进行安全通信，但是不会得到任何回应。 攻击者Malice没有得到会话密钥，因此这种攻击只是很小的一个瑕疵。 2018/11/29

37 工作站—工作站协议（STS）存在一个小小的瑕疵（续）
Example6: 工作站－工作站协议（STS）存在一个小小的瑕疵 Alice (A) Malice (M) Bob (B) 不安全 运行协议：如果协议实体的某一方（A）接受了对方的身份，但是对方运行协议的记录与A的记录不匹配。 问题：该攻击是否属于协议攻击？ 问题：什么是安全认证？ 上述攻击属于攻击的理由：（1）是不安全运行协议；（2）协议执行后Alice资源被浪费（拒绝服务攻击） 上述攻击成立的原因：消息缺乏消息主体身份信息！ 2018/11/29

38 简化的工作站－工作站协议 Example7: 简化的工作站－工作站协议 协议目的：实现站间协议中的双向认证功能（唯认证协议）。
简化的工作站－工作站协议与ISO三次传输双向协议的区别：前者没有包括通信实体的身份。 协议目的：实现站间协议中的双向认证功能（唯认证协议）。 协议组成：3条消息组成 Alice (A) Bob (B) 2018/11/29

39 唯认证协议的“替换证书签名攻击” Example7: 唯认证协议的“替换证书签名攻击”
Alice (A) Malice (M) Bob (B) 攻击结果：Bob认为他和Alice进行了一次对话（实际上和与Malice进行了一次对话）；而Alice认为她只是与Malice进行了一次对话；B被Malice欺骗。 该攻击对未简化的站间协议并不适用，因为加密使得证书替换不可能。 2018/11/29

40 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

41 平行会话攻击 定义： 目的： 在攻击者Malice的安排下，一个协议的两个或者多个的运行并发执行。
平行会话使得从一个运行可以得到另外一个运行中困难性问题的答案。 2018/11/29

42 Woo－Lam单向认证协议 Example8: Woo－Lam单向认证协议
T. Y. C. Woo and S. S. Lam. A lesson on authentication protocol design. Operating Systems Review, 1994. 协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己(单向认证）。 协议组成：5条消息 如果Bob解密所得到的正确的nonce，则信任Alice 2018/11/29

43 Woo－Lam单向认证协议（续） Example8: Woo－Lam单向认证协议 该协议在许多方面存在致命缺陷。
随后的许多修改版本也存在不同程度的缺陷。 分析该协议可以从中学到很多协议设计的经验和教训。 Trent (T) Alice (A) Bob (B) 2018/11/29

44 Woo－Lam单向认证协议的平行会话攻击
Example8: Woo－Lam协议的平行会话攻击 Trent (T) 拒绝 认可 Alice (A) Bob (B) Malice (M) 结果： Bob拒绝和Malice的通信，而接受和Alice（实际上也是Malice）的通信。 2018/11/29

45 Woo－Lam单向认证协议的平行会话攻击（续）
Trent (T) 平行会话攻击成功原因：消息参与者身份不明确。 Alice (A) Bob (B) Malice (M) 2018/11/29

46 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

47 反射攻击 定义： 注： 当一个诚实的主体给某个意定的通信方发送消息时，攻击者Malice截获该消息，并将该消息返回给消息的发送者。
攻击者返回消息时，不一定时“原封不动”返回，他可能会对消息修改（比如通过修改底层通信协议中的地址和身份信息），使得消息发送者意识不到该消息是反射回来的。 反射消息的目的是，使得该消息是对发送者的应答或者询问，从而欺骗消息发送者提供“预言服务” 2018/11/29

48 反射攻击（续） 反射攻击实现方式实例 IP头其他域 IP源地址 IP目的地址 其他域 IP头其他域 202.115.2.1
其他域 IP头其他域 其他域 2018/11/29

49 Woo－Lam单向认证协议的一个修正 Example9: Woo－Lam单向认证协议的一个修正
协议目的：在存在可信第三方的条件下，即使Alice和Bob开始互相不相识，但是Alice仍然能够向Bob证明自己。 协议组成：5条消息 在消息中加入了Alice的身份标识。 2018/11/29

50 Woo－Lam单向认证协议的一个修正（续）
Example9: Woo－Lam单向认证协议的一个修正 修正协议可以防范平行会话攻击。因为Malice发送的第五条消息是： Trent (T) 而Bob期望的消息是： Alice (A) Bob (B) 但是，该修正版本存在反射攻击 2018/11/29

51 Woo－Lam协议的一个修正版本的反射攻击
Example9: Woo－Lam协议的一个修正版本的反射攻击 Alice (A) Trent (T) Bob (B) Malice (M) 消息5是消息4的反射。 消息3是消息2的反射。Bob收到后只能视作密文而不能作其他操作。 Bob收到消息5后，解密后的Nb确实是他在消息2中所发送的，因此只能相信是来自于Alice的会话。 2018/11/29

52 Woo－Lam协议 有关Woo－Lam协议、修正及攻击的有关信息参见文献
T. Y. C. Woo and S. S. Lam. A lesson on authentication protocol design. Operating Systems Review, 1994. Clark J, Jacob J. A survey of authentication protocol literature: Version 2018/11/29

53 第7章 协议安全技术（协议安全基础B） 消息重放 中间人攻击 预言机（Oracle） 交错攻击 平行会话攻击 反射攻击 其它
2018/11/29

54 归因于类型缺陷的攻击 定义： 攻击者欺骗某个主体，使得他把一次性随机数、时戳或者身份等信息嵌入到某个密钥中去，从而导致协议安全性被破坏 原因： 协议中的消息部分的类型信息不明确。 2018/11/29

55 Neuman－Stubblebine协议
Example10: Neuman－Stubblebine协议 Neuman, BC and Stubblebine, SG, A Note on the Use of Timestamps and Nonces , OS Review 27, 2, Apr 协议目的：Alice和Bob在可信第三方的条件下实现认证及密钥交换 协议组成：7或以上条消息组成 作用是什么？ 密钥交换 相互认证 Na， Nb，Ma，Mb都是Nonce 2018/11/29

56 Neuman－Stubblebine协议（续）
Example10: Neuman－Stubblebine协议 Trent (T) Bob (B) Alice (A) Kab 2018/11/29

57 Neuman－Stubblebine协议（续）
Example10: Neuman－Stubblebine协议 消息5－7实现双向认证，该过程可以重复进行；该过程称之为重复认证。 {A, Kab, Tb}Kbs称之为票据 直到票据 {A, Kab, Tb}Kbs 过期。 密钥交换 相互认证 2018/11/29

58 Neuman－Stubblebine协议（续）
Example10: Neuman－Stubblebine协议 Trent (T) 差异是什么？ 问题：协议安全问题在哪里？ Kab & Na? Bob (B) Alice (A) Kab 2018/11/29

59 Neuman－Stubblebine协议的类型缺陷攻击
攻击中，攻击者Malice利用一次性Nonce替代Kab，如果Bob不能区别其类型，就会上当受骗。 Example10: Neuman－Stubblebine协议的归因于类型缺陷攻击 Trent (T) 忽略消息3 Malice (M) 原因：协议中的变量（如Kab）的类型没有明确定义。 Alice (A) Bob (B) Na 2018/11/29

60 Otway-Rees 密钥交换协议 Example 11 Otway-Rees key exchanging protocol
Protocol Purpose: A and B exchange a session key, Kab, with the help of a trusted third party Protocol: the protocol contains 4 messages M, Na, Nb are nonces 2018/11/29

61 Otway-Rees 密钥交换协议（续） Example 11 Otway-Rees key exchanging protocol
Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 问题：该协议哪里不安全？ Trent (T) Alice (A) Bob (B) 2018/11/29

62 Otway-Rees 密钥交换协议（续） Example 11 Otway-Rees key exchanging protocol
Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 问题：该协议哪里不安全？ Trent (T) Alice (A) Bob (B) 2018/11/29

63 Otway-Rees 密钥交换协议的归因于类型缺陷攻击
Example 11 Otway-Rees key exchanging protocol的归因于类型缺陷攻击 Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 攻击结果：Alice将M||A||B视为密钥 Trent (T) Carol (C) Alice (A) Bob (B) Carol冒充Bob Na外的数据（M||A||B)当作会话密钥 2018/11/29

64 归因于姓名遗漏攻击 定义： 如果与消息相关的主体的名字不能从消息中推断出来，则攻击者利用此缺陷所发动的攻击称之为“归因与姓名遗漏攻击” 原因： 在协议中，与消息相关的名字必须明确 2018/11/29

65 Denning - Sacco 密钥交换协议 Example12：Denning - Sacco Key Exchange Protocol
协议目的：:利用公钥体制实现Alice和Bob之间会话密钥的交换 协议组成:3条消息 CA and CB are certificates of A and B respectively. 2018/11/29

66 Denning - Sacco 密钥交换协议（续）
Example12：Denning - Sacco Key Exchange Protocol (1) A，B Trent (T) (2) CA，CB Kab Kab (3) CA，CB，Eb(Sa(Kab, Ta)) Alice (A) Bob (B) 2018/11/29

67 Denning - Sacco 密钥交换协议（续）
原因：消息3本来的意思是：在时刻Ta，Alice说Kab是用于Alice和Bob通信的安全密钥。但是参与者Alice的身份不能推导出来。 Example12：Denning - Sacco Key Exchange Protocol How to attack the protocol？ Trent (T) (2’) CA，CB (1’) A，B (1) A，B (2) CA，CB Kab Kab (3) CA，CB，Eb(Sa(Kab, Ta)) Alice (A) (3’) CA，CC，Ec(Sa(Kab, Ta)) Bob (B) Bob将消息3发送给另外一个主体Carol，使得Carol 相信给Alice“独享”的密钥 Kab （实际上Bob知道该密钥） Carol (C) 2018/11/29

68 Denning - Sacco 密钥交换协议（续）
Example12：Denning - Sacco Key Exchange Protocol How to remove the flaws recovered in above protocol? The identifications of A and B are included in the third message to denote that A and B communicated each other. (1) A，B Trent (T) (2) CA，CB Kab (3) CA，CB，Eb(Sa(A, B, Kab, Ta)) Alice (A) Bob (B) Although the name of A can be deduced from ka-1, it is not enough to ensure that the message comes from A. 2018/11/29

69 密码服务滥用攻击 定义： 常见的密码服务滥用攻击包括： 协议中的密码算法没有提供正确的保护，从而在协议中缺少所需要的密码保护。
归因于缺失数据完整性保护的攻击 归因于缺失语义安全保护的攻击 攻击者可以从密文中获得部分信息 对应的可证安全性 2018/11/29

70 Otway-Rees 密钥交换协议的一种变形
Example 13 Otway-Rees key exchanging protocol的一种变形 Protocol Purpose: A and B exchange a session key, Kab, with the help of a trusted third party Protocol: the protocol contains 4 messages 变形：Nb与其他消息分开加密 分开加密目的：使用加密来提供消息的新鲜性 Na, Nb are nonces M是协议标识 2018/11/29

71 Otway-Rees 密钥交换协议的一种变形（续）
Example 13 Otway-Rees key exchanging protocol的一种变形 Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 该变形同样存在前面所描述的类型错误攻击。除此之外，引来了其他攻击 Trent (T) Alice (A) Bob (B) 2018/11/29

72 Otway-Rees 密钥交换协议的变形的密码服务滥用攻击
Example 13 Otway-Rees key exchanging protocol的一种变形的密码服务滥用攻击：缺失完整性保护 Trent解密两个消息并比较其相同部分是否一致。一致则发送会话密钥。 Trent (T) Bob (B) Carol冒充Alice Carol (C) Alice (A) Carol冒充Alice Bob (B) 攻击结果：Bob认为与Alice共享了会话密钥，而实际上是与Carol共享了密钥 结论：新鲜性应该由完整性而非机密性来保证：缺失完整性 2018/11/29

73 前向保密失败 定义： 协议设计时的应用： 泄漏不应该被传播：过去泄漏的信息不应该影响到后来的消息。
如果密钥传输协议使用了密钥加密的形式，则使用已经被泄漏的密钥加密的另外一个密钥，也必须被视为已经泄漏的密钥。 2018/11/29

74 回顾：Needham-Schroeder协议
Example 1：Needham－Schroeder协议前向保密失败 协议目的：基于认证服务器（PPT）实现双向认证及密钥交换。 攻击者如果破解了以前的一个会话密钥，可以重放消息EB（K，A） Alice (A) Bob (B) Trent (T) A, B, RA EA(RA,B,K,EB(K,A)) K EB(K,A） EK(RB） EK(RB－1） EK(M={I Love XXX}) 2018/11/29

75 课外阅读资料 Bruce Schneier（吴世忠登译），应用密码学－协议、算法与C源程序，机械工业出版社，2000 第二章，第三章
2018/11/29

76 课外阅读资料 范红，冯登国，安全协议理论与方法，科学出版社 ，2003 第一章，第二章 2018/11/29

77 课外阅读资料 Mao Wenbo， Modern Cryptography: Theory and Practice ， 电子工业出版社，2004 第一章，第二章，第十一章， 2018/11/29

78 教材与参考书 教材： 李毅超 曹跃，网络与系统攻击技术 电子科大出版社 2007
周世杰 陈伟 钟婷，网络与系统防御技术 电子科大出版社 2007 参考书 阙喜戎 等 编著，信息安全原理及应用，清华大学出版社 Christopher M.King, Curitis E.Dalton, T. Ertem Osmanoglu（常晓波等译）. 安全体系结构的设计、部署与操作，清华大学出版社，2003(Christopher M.King, et al, Security Architecture, design, deployment & Operations ) William Stallings，密码编码学与网络安全－原理与实践（第三版），电子工业出版社，2004 Stephen Northcutt， 深入剖析网络边界安全，机械工业出版社，2003 冯登国，计算机通信网络安全，2001 Bruce Schneier, Applied Cryptography, Protocols, algorithms, and source code in C (2nd Edition)( 应用密码学 －协议、算法与C源程序， 吴世忠、祝世雄、张文政等译) 蔡皖东，网络与信息安全，西北工业大学出版社，2004 2018/11/29

79 Any Question? Q&A 2018/11/29