A在第2步安全地得到了一个新的会话密钥,第3步只能由B解 密、并理解。第4步表明B已知道K、了。第5步表明B相信A知道 K并且消息不是伪造的。 第4,5步目的是为了防止某种类型的重放攻击。特别是,如果 敌方能够在第3步捕获该消息,并重放之,这将在某种程度上 干扰破坏B方的运行操作。 上述方法尽管有第4,5步的握手,但仍然有漏洞
A在第2步安全地得到了一个新的会话密钥 第3步只能由B解 密 并理解 第4步表明B已知道Ks了 第5步表明B相信A知道 Ks并且消息不是伪造的 第4 5步目的是为了防止某种类型的重放攻击 特别是 如果 敌方能够在第3步捕获该消息 并重放之 这将在某种程度上 干扰破坏B方的运行操作 上述方法尽管有第4,5步的握手 但仍然有漏洞
假定攻击方C已经掌握A和B之间通信的一个老的会话密。 C可以在第3步冒充A利用老的会话密钥欺骗B。除非B记住所有 以前使用的与A通信的会话密钥,否则B无法判断这是一个重放 攻击。如果C可以中途阻止第4步的握手信息,则可以冒充A在 第5步响应。从这一点起,C就可以向B发送伪造的消息而对B 来说认为是用认证的会话密钥与A进行的正常通信
假定攻击方C已经掌握A和B之间通信的一个老的会话密 C可以在第3步冒充A利用老的会话密钥欺骗B 除非B记住所有 以前使用的与A通信的会话密钥 否则B无法判断这是一个重放 攻击 如果C可以中途阻止第4步的握手信息 则可以冒充A在 第5步响应 从这一点起 C就可以向B发送伪造的消息而对B 来说认为是用认证的会话密钥与A进行的正常通信
Denning protocol0o92]改进 1、A→KDC:IDA|D 2、KDC→A: Talks‖ DBIT EKSLK DAl 3、A→B:EKK|DAT 4、B→A:EKsN 5、A→B:EKf(N Cock-T|<△t1+△t2 其中:△M1是KDC时钟与本地时钟(A或B)之 间差异的估计值;△t2是预期的网络延迟时间
Denning Protocol [1982] 改 进 1 A → KDC ID A||ID B 2 KDC → A E K a[K s||ID B||T||E Kb[K s||ID A||T]] 3 A → B E Kb[K s||ID A||T] 4 B → A E K s[N1] 5 A → B E K s[f(N1)] | Clock - T | < ∆ t 1 + ∆ t2 其中 ∆ t 1 是KDC 时 钟与本地时 钟 A 或 B 之 间差异 的估计值 ∆ t2 是预 期 的网络延迟时间
Denning Protocol Et Needham/Schroeder Protocol在安 全性方面增强了一步。然而,又提出新的问题:即 必须依靠各时钟均可通过网络同步。 如果发送者的时钟比接收者的时钟要快,攻击者就可 以从发送者窃听消息,并在以后当时间戳对接收者来 说成为当前时重放给接收者。这种重放将会得到意想 不到的后果。(称为抑制重放攻击)
Denning Protocol 比 Needham/Schroeder Protocol在安 全性方面增强了一步 然而 又提出新的问题 即 必须依靠各时钟均可通过网络同步 如果发送者的时钟比接收者的时钟要快 攻击者就可 以从发送者窃听消息 并在以后当时间戳对接收者来 说成为当前时重放给接收者 这种重放将会得到意想 不到的后果 称为抑制重放攻击
KEHN92 、A→B: 2、B→KDC:ID3N‖EKDA‖N2‖Thl 3、KDC→A: EKallDB|N2KTb]‖EKDA‖K 4、A→B: ESsID‖K3‖Tbl‖EKN
KEHN92 1 A → B IDA||Na 2 B → KDC IDB||Nb || EKb[IDA || Na || Tb] 3 KDC → A EKa[IDB||Na ||Ks|| Tb ] || EKb[IDA || Ks || Tb] || Nb 4 A → B EKb[IDA || Ks || Tb] || EKs[ Nb ]