是最为著名的早期的认证协议,许多广泛使用的认证协议都是以Needham-Schroeder 协议为基础而设计的。
Needham--Schroder 协议的目的是使得通讯双方能够互相证实对方的身份并且为后续的加密通讯建立一个会话密钥(session key)。 协议涉及三个主体:A 和B ,以及A ,B 信赖的可信第三方,也叫认证服务器(authentication server)S 。 Needham 和Schroeder 于1978年提出的基于共享密钥体系的协议过程: (1) A ->S :A,B,Na (2) S->A:{Na, B,Kab,{Kab, A}Kbs}Kas (3) A ->B :{Kab,A}Kbs (4) B ->A :{Nb}Kab
(5) A ->B :{Nb-1}Kab
图7.1 Needham-Schroeder 认证过程
其中,Kas 是A 与S 之间的共享密钥,Kbs 是B 与S 之间的共享密钥。Kab 是认证服务器临时生成的密钥,用于A 、B 双方认证之后的加密通讯,称为会话密钥。Na 和Nb 分别是A 和B 生成的随机量(nonce)。
假定有攻击者H 记录下A 与B 之间执行Needham-Schroeder 共享密钥协议的一轮消息,并且进而破获了其会话密钥Kab (如经过蛮力攻击等),攻击者可以在第3步冒充A 利用旧的会话密钥欺骗B 。 在这个攻击中,攻击者H 首先向B 发送一个他记录的从A 的第三步发出的旧消息,此消息用于向B 表明是A 在与B 通讯并且Kab 是会话密钥。
B 无法知道这是不是一个A 发送的正常通讯请求,也不记得他过去曾经用过Kab 作为会话密钥。遵循协议,B 将向A 发送一个加密的新随机量作为挑战。 H 截获之,并用Kab 解密得到此随机量,然后向B 返回一个响应消息,使得B 相信他正在用会话密钥 Kab 与A 通讯,而实际上A 根本没有参加这一轮协议的运行。
除非B 记住所有以前使用的与A 通信的会话密钥,否则B 无法判断这是一个重放攻击,攻击者由此可以随意冒充A 与B 进行通讯了!
A B S 1 3 4 5 2
Otway-Rees 协议
Otway-Rees 协议的主要功能是完成身份的双向认证,使用对称密码。
图7.2 Otway-Rees 认证过程
标号1表示A 产生一消息,包括用和S 共享的密钥Kas 加密的一个索引号R 、A 的名字、B 的名字和一随机数Ra 。
标号2表示B 用A 消息中的加密部分构造一条新消息。包括用和S 共享的密钥Kbs 加密的一个索引号R 、A 的名字、B 的名字和一新随机数Rb 。
标号3表示S 检查两个加密部分中的索引号R 是否相同,如果相同,就认为从B 来的消息是有效的。S 产生一个会话密钥Ks 用Kb 和Ka 分别加密后传送给B ,每条消息都包含S 接收到的随机数。
标号4表示B 把用A 的密钥加密的消息连同索引号R 一起传给A 。
A B S 1 2 3 4
