下載/瀏覽Download
Download
Report
Transcript 下載/瀏覽Download
1
以動態匿名為基礎的多伺
服器認證協定弱點分析
作者:南臺科技大學 資訊工程系
陳鈺惠 魏宏吉 鄭錦楸
國立雲林科技大學 資訊工程系
郭文中
講者:陳鈺惠
2
大綱
緒論
2. 回顧Xue等人的協定
3. 弱點分析
4. 結論
1.
3
1. 緒論
• 網路資源使用服務器提供服務,驗證合法使用者的身分。
• 保護使用者與服務端之間,傳遞資料的安全性。
• 安全且有效率多伺服器的身份驗證,必須滿足以下條件:
(1)單一註冊
(2)低效能的計算
(3)無對照表
(4)更新密碼
(5)相互驗證和會議金鑰協商
(6)安全性
• Xue等人所提的協定宣稱可以阻擋各種攻擊。經過我們的安
全性分析後,發現在Xue等人的協定還是存在許多能被惡意
攻擊的弱點。
4
2. 回顧Xue等人的協定
Ui
第i個使用者
IDi
Ui的身分
SIDj
Sj的身分
TSi
Ui產生的時間戳記
x
y
只有CS知道的祕密金鑰
只有CS知道的祕密金鑰
b
使用者產生的隨機亂數
d
服務器產生的隨機亂數
PIDi
保護使用者的匿名身份
PSIDj
保護服務器的匿名身份
SK
使用者、服務器與控制服務器間的共享會議金鑰
Ni1, Ni2, Ni3
使用者、服務器與控制服務器分別選擇的隨機亂數
h(⋅)
一次性的雜湊函數
⊕
互斥或運算
‖
串接運算
Sj
第j個服務提供者
CS
控制服務器
5
2. 回顧Xue等人的協定
•
註冊階段
Ui
1. Ui 選擇 Pi、b
Ai=h(b||Pi)
(IDi、b、Ai)
3. 收到smart card後
Ci=h(IDi||Ai)
Di=Bi⊕h(PIDi⊕Ai)
Ui輸入(Ci 、Di 、h(‧)、b)
smart card 包含(Ci 、Di 、h(‧)、b)
Sj
CS
2. 驗證Ui
PIDi=h(IDi||b)
Bi=h(PIDi||x)
(Bi)
Sj選擇d和SIDj對CS註冊
PSIDj=h(SIDj||d)
BSj=h(PSIDj||y)
(BSj)
6
2. 回顧Xue等人的協定
•
登入階段
Ui knows IDi、Pi
Smart card:Ci 、Di 、h(‧)、b
1. 輸入IDi、Pi
Ai=h(b||Pi)
Ci*=h(IDi||Ai)
Ci*=Ci則認定為合法使用者
Sj knows BSj、d
CS knows x、y
7
2. 回顧Xue等人的協定
•
認證與建立會議金鑰階段
Ui knows IDi、Pi
Sj knows BSj、d
Smart card:Ci 、Di 、h(‧)、b
1. Ui產生Ni1和timestamp TSi
Bi = Di⊕Ci,Fi=Bi ⊕Ni1
Pij = h(Bi ⊕h(Ni1||SIDj||PIDi||TSi))
CIDi = IDi⊕h(Bi||Ni1||TSi||”00”)
Gi = b ⊕h(Bi||Ni1||TSi||”11”)
(Fi,Pij,CIDi,Gi,PIDi,TSi)
Check TSj – TSi<∆T
產生Ni2
Ji = BSj ⊕Ni2
Ki= h(Ni2||BSj||Pij||TSi)
Li=SIDj⊕h(BSj||Ni2||TSi||”00”)
Mi=d⊕h(BSj||Ni2||TSi||”11”)
(Fi,Pij,CIDi,Gi,PIDi,TSi,Ji,
Ki,Li,Mi,PSIDj)
CS knows x、y
8
2. 回顧Xue等人的協定
•
認證與建立會議金鑰階段
Ui knows IDi、Pi
Smart card:Ci 、Di 、h(‧)、b
Sj knows BSj、d
(Fi,Pij,CIDi,Gi,PIDi,TSi,Ji,
Ki,Li,Mi,PSIDj)
CS knows x、y
Check TScs – TSi<∆T
Ni2 = BSj ⊕Ji
Ki* = h(Ni2||BSj||Pij||TSi),Check Ki*= Ki?
Bi = h(PIDi||x),Ni1 = Fi ⊕Bi
IDi = CIDi ⊕h(Bi||Ni1||TSi||”00”)
SIDj=Li ⊕h(BSj||Ni2||TSi||”00”)
Pij* = h(Bi ⊕h(Ni1||SIDj||PIDi||TSi))
check Pij*= Pij
b=Gi⊕h(Bi||Ni1||TSi||”11”)
d=Mi⊕h(BSj||Ni2||TSi||”11”)
PIDi*=h(IDi||b), PSIDj*=h(SIDj||d)
Check PIDi*=PIDi, PSIDj*= PSIDj
產生Ni3
Pi = Ni1 ⊕Ni3 ⊕h(SIDj||Ni2||BSj)
Qi = h(Ni1 ⊕Ni3)
Ri = Ni2 ⊕Ni3 ⊕h(IDj|||Ni1||Bi)
Vi = h(Ni2 ⊕Ni3)
(Pi,Qi,Ri,Vi)
9
2. 回顧Xue等人的協定
•
認證與建立會議金鑰階段
Ui knows IDi、Pi
Smart card:Ci 、Di 、h(‧)、b
Sj knows BSj、d
Ni1 ⊕Ni3 = Pi ⊕h(SIDj||Ni2||BSj)
Qi* = h(Ni1 ⊕Ni3)
Check Qi*=Qi
(Ri,Vi)
Ni2 ⊕Ni3 = Ri ⊕h(IDj||Ni1||Bi)
Vi* = h(Ni2 ⊕Ni3)
Check Vi*= Vi
SK = h((Ni1 ⊕Ni2 ⊕Ni3)||TSi)
CS knows x、y
10
2. 回顧Xue等人的協定
•
密碼更新階段
Ui
1. Ui 選擇 Pi # 、b
Ai=h(b||Pi #)
(IDi、b、Ai#)
3. 收到smart card後
Ci # =h(IDi||Ai#)
Di # =Bi⊕h(PIDi⊕Ai#)
即更新密碼成功
Sj
CS
2. 驗證Ui
PIDi=h(IDi||b)
Bi=h(PIDi||x)
(Bi)
11
2. 回顧Xue等人的協定
•
身份更新階段階段
Ui
1.Ui 重新選擇 b#
Ai #=h(b #||Pi)
(IDi、b # 、Ai#)
Sj
CS
2.驗證Ui
PIDi#=h(IDi||b#)
Bi #=h(PIDi#||x)
(Bi#)
3.收到smart card後
Ci#=h(IDi||Ai#)
Di#=Bi#⊕h(PIDi#⊕Ai#)
Ui輸入(Ci# 、Di# 、h(‧)、b#)
smart card包含(Ci#、Di#、h(‧)、b#)
Sj選擇d和SIDj對CS註冊
PSIDj#=h(SIDj||d#)
BSj#=h(PSIDj#||y)
(BSj#)
12
3. 弱點分析
•
協定設計上的缺失
在註冊階段時協定設計為Ci=h(IDi||Ai)、Di=Bi⊕h(PIDi⊕Ai)
並在認證階段時表示Bi = Di⊕Ci,故為了滿足Bi=Di⊕Ci所以
計算Ci=h(PIDi⊕Ai) 。如此一來便有智慧卡遺失攻擊、無匿
名性、偽冒攻擊、假名身分變更攻擊。
為了避免攻擊,Ci、Di必須為Ci=h(IDi||Ai)及Di=h(PIDi⊕Ai),
但這樣的計算方式無法算出Bi=Di⊕Ci,故此協定在原設計
上存在有嚴重缺失。
13
3. 弱點分析
•
智慧卡遺失攻擊
假設攻擊者拾獲使用者Ui遺失的智慧卡,並已成功提取
智慧卡內之參數Ci、 Di、h(.)、b,則攻擊者可以藉由計
算Bi= Di⊕Ci取得Bi,並利用Bi進行更進一步的攻擊。
14
3. 弱點分析
•
無匿名性
攻擊者攔截到公開通道上Ui送出的訊息CIDi,並取得使
用者智慧卡內所存的參數Ci, Di, h(.), b,則攻擊者可透
過計算Bi = Di⊕Ci 、IDi = CIDi ⊕h(Bi||Ni1||TSi||”00”)
,得知使用者Ui的真實身分IDi。
Ui knows IDi、Pi
Smart card:Ci 、Di 、h(‧)、b
Ui產生Ni1和timestamp TSi
Bi = Di⊕Ci,Fi=Bi ⊕Ni1
Pij = h(Bi ⊕h(Ni1||SIDj||PIDi||TSi))
CIDi = IDi⊕h(Bi||Ni1||TSi||”00”)
Gi = b ⊕h(Bi||Ni1||TSi||”11”)
(Fi,Pij,CIDi,Gi,PIDi,TSi)
Sj knows BSj、d
CS knows x、y
IDi = CIDi ⊕h(Bi||Ni1||TSi||”00”)
成功取得IDi
成功的推算出使用者Ui的真實身分IDi,故此協定存在有無
法實現匿名性的缺失。
15
3. 弱點分析
•
假冒攻擊
攻擊者Ua藉由無匿 名性攻擊方式,取得合法使用者Ui
的Bi及IDi,並攔截Ui傳送於公開通道上的訊息Fi、Pij、
CIDi、Gi、PIDi、TSi,則攻擊者可以透過下列步驟,
偽冒合法使用者Ui通過CS的認證。
Ui knows IDi、Pi
Smart card:Ci 、Di 、h(‧)、b
Ua產生Na1和timestamp TSa
Bi = Di⊕Ci, Fa=Bi⊕Na1
Paj = h(Bi⊕h(Na1||SIDj||PIDi||TSa))
CIDa = IDi⊕h(Bi||Na1||TSa||”00”)
Ga = b⊕h(Bi||Na1||TSa||”11”)
(Fa、Paj、CIDa、Ga、PIDi、TSa)
Sj knows BSj、d
CS knows x、y
在計算後,攻擊者Ua傳送訊息Fa、Paj、CIDa、Ga、
PIDi、TSa給CS,即可成功偽冒合法使用者Ui通過CS
的認證。由此可證,此協定存在有偽冒攻擊的弱點。
16
3. 弱點分析
•
假名身分變更攻擊
由無匿名性得知,攻擊者可以計算出使用者Ui的真實身分
IDi,並更改合法使用者的PIDi,稱為假名身分變更攻擊。
攻擊者Ua產生兩個亂數ba與Aa
攻擊者Ua傳送{IDi、ba、Aa}給CS
由於CS只會確認IDi是否合法,並不會檢查ba與Aa 的值,
所以攻擊者Ua可以透過此方式,變更合法使用者Ui的PIDi,
讓Ui無法通過CS的認證。
17
4. 結論
本篇論文對於Xue等人的多伺服器認證協定,指出存在有智
慧卡丟失攻擊、無匿名性、偽冒攻擊、協定設計上的疏失。
18
THANK YOU!