对安全协议重放攻击分类研究.docVIP

对安全协议重放攻击分类研究 　　摘 要：在详细研究攻击实例的基础上，从攻击成功的根本原因出发，提出了一种新的重放攻击分类方法。该分类方法能够更清楚地认识到重放攻击的原理和本质,并针对不同的重放种类给出了避免攻击的原则性方法，对协议的设计和分析起到了借鉴作用。 　　关键词：安全协议； 重放攻击； 形式化分析 　　中图分类号：TP393文献标志码：A 　　文章编号：1001―3695(2007)03―0135―05 　　安全协议用来具体实现安全共享网络资源的需求，因此它的安全性是网络安全的重要因素之一。但是人们精心设计并得到广泛应用的多个安全协议近年来被证实并不如预期的那样安全，例如，Needham―Schroeder公钥协议在使用多年后才被证实是有缺陷的[1]。为了保证协议的安全性，人们在协议安全性分析上投入了大量的精力。但目前工作主要都是从协议本身出发，或者对协议的正确性进行证明[2―4]，或者进行状态搜索判断是否能达到不安全状态[5]。本文从另一方面出发，考虑对协议构成安全威胁的攻击类型和攻击者行为，结合具体协议的攻击实例，深入研究了危害较大同时也是最常见的攻击类型――重放攻击，并提出了一种新的重放攻击分类。?? 　　 　　1 研究背景?? 　　安全协议是网络安全的一个重要组成部分，用于实体之间的认证、安全地分配密钥或传递秘密、保证发送和接收的消息的非否认性等。众所周知，安全协议的分析一直是安全研究领域的一个难题，因此也吸引了许多学者的兴趣，但目前的工作主要集中在安全协议的形式化分析方法以及自动分析工具的研究应用上。近年来国外已有多位学者对攻击类型和攻击者行为进行了研究并形成了一些文献资料，其中影响最广泛的是Ulf Carlsen的《Cryptographic Protocol Flaws》[6]，该文将协议缺陷分为基本协议缺陷、密码猜测缺陷、新鲜性缺陷、Oracle缺陷、消息类型缺陷、内部缺陷和加密系统相关缺陷等几大类。2000年Chong Xu等人在[7]根据攻击行为的目的对攻击行为进行了分类，即破坏认证正确性；获取秘密；破坏认证+秘密获取；破坏认证+使用过时秘密欺骗；破坏认证+伪造秘密；伪造消息和会话欺骗。1995年，Martin Abadi和Roger Needham[8]从工程的角度出发，提出了加密协议设计过程中应该遵循的十一条原则，其中最基础也是最重要的是头两条：①协议中的每一条消息都应该是清晰无二义的；消息的含义仅由消息的内容决定。②协议能正确执行的条件应该清楚地体现在协议规范中，使得协议使用者能够判断该协议是否满足应用需要。?? 　　国内很多科研院所也有一些攻击方面的研究论文[9―11]，但遗憾的是大都只停留在对已知或自己发现的攻击方法进行列举的层次上，没有更进一步从攻击原因上进行深入研究。?? 　　 　　2 Syverson重放攻击分类?? 　　重放攻击（Replay Attacks）也称为新鲜性攻击（Freshness Attacks），即攻击者通过重放消息或消息片段达到对主体进行欺骗的攻击行为，其主要用于破坏认证正确性[12]。重放攻击是攻击行为中危害较为严重的一种。假如客户C通过签名授权银行B转账给A，如果攻击者P窃听到该消息，并在稍后重放该消息，银行将认为客户需要进行两次转账，从而使客户账户遭受损失。Paul Syverson在[13]给出了重放攻击的分类：根据消息重放是否发生在产生消息的协议轮内将其分为内部重放攻击（Internal Attacks）和外部重放攻击（External Attacks）。外部重放攻击又根据是否需要不同协议轮的同时执行而分为经典重放攻击（Classic Replays）和交错攻击（Interleaving Replay）。他还提出了另一种分类方法，根据重放消息的接收方与消息的原定接收方的关系分为转向重放（Deflection Replays）和直接重放(Straight Replays)。其中转向重放又可以根据重放消息的接收方是否为原发送方分为反射重放（Reflection Replays）和第三方重放。其中，直接重放攻击的发送方和接收方均不变，前面所举客户―银行转账的例子就属于直接重放攻击。这两种分类方法互相独立，因此这两种方法的交叉积确定了一个更为精确的分类方法，如图1所示。 　　值得指出的是，Syverson的重放攻击分类是完全的但不是排他的，也就是说，针对任何协议的具体的重放攻击一定落在上述某个类别中，但不局限于一个类别。因为一个成功的重放攻击可能需要多次消息的重放才能完成。例如，对CCITT x.509??协议[14，15]的攻击中，消息β.1属于交错重放攻击+直接重放；消息β.3属于交错重放攻击+第三方重放。 　　攻击1