1、 未信的我 1 海南大学信息学院信息安全系专业课程 安全协议 Yahalom 协议验证实验报告 姓 名: 学 号: 学 院: 成 绩: 任课教师: 未信的我 2 计算机类课程实验报告 姓 名 主讲教师 专 业 信息安全 班级 学 号 实验日期 2013-11-13 课程名称 安全协议 小组成员 一、实验名称 Yahalom 二、实验目的 1加深对 Yahalom 协议的理解。 2掌握软件分析安全协议的基本方法,认识安全协议的基本描述规则,构建完备的知识体系。 三、实验内容及要求 分析 Yahalom 协议,并使用 Scyther 协议验证软件对其进行安全验证,完成详尽的报告。 1建立对 Yah
2、alom 协议的认识,在此基础上分析其破解途径。 2学会使用软件验证安全协议的方法,即协议的代码描述、攻击方法的分析。 3深入总结实验 ,进一步发觉安全协议更深层次的知识。 四、实验材料、工具、或软件 Windows XP; Python2.6; Scyther1.0; wxPython2.8-win32-unicode-2.8.12.0-py26 五、实验步骤 本次实验共分四步执行: 第一步:查阅相关资料,系统地认识 Yahalom 协议; 第二步:思考该协议的验证流程,推敲其攻击破解的方法; 第三步:分析协议的代码描述,并做出详细的解释; 第四步:透过 Scyther 生成的攻击图,分析其
3、具体的攻击流程。 下面按照这四个步骤开始实验并详细叙述。 一、 Yahalom Protocol 的认识 Yaha lom 协议是由 T. Burrouw 等人于 1989 年提出的一种基于单钥体制的经典认证协议。参加协议的主体是通信双方 A、 B 和认证服务器 S。其目的是通过认证服务器 S 在通信双方之间安全地分配会话密钥。 A, B, S : principal /二个主体 A,B 和服务器 S Na, Nb : number fresh /新鲜的随机数 Kas, Kbs, Kab : key /三个双方的长期共享密钥 A knows : A, B, S, Kas /实体 A 所拥有的知
4、识集 未信的我 3 B knows : B, S, Kbs /实体 B 所拥有的知识集 S knows : S, A, B, Kas, Kbs /服务器 S 所拥有的知识集 1. A - B : A, Na 2. B - S : B, A, Na, NbKbs 3. S - A : B, Kab, Na, NbKas, A, KabKbs 4. A - B : A, KabKbs, NbKab 协议流程分 析: 1: A 作为协议的发起者,向 B 发起了挑战响应,挑战中包含了 A 的实体标识及随机数Na; 2: B 作为协议的响应者,接收到来自 A 的挑战后,向服务器 S 做出挑战,挑战中包含
5、实体 B 的标识和用 B 与 S 之间的共享密钥加密的 A, Na, Nb; 3:服务器 S 收到来自 B 的挑战并用共享密钥解密后发现希望会话的实体为 A,B,对此,为 A、 B 双方产生了会话密钥 Kab, 将 B, Kab, Na, Nb用 Kas 加密和经过 Kbs 加密的 A, Kab一同发送给 A; 4: A 收到服务器 S 的响应后,用与 S 的共享密钥解密属于自己的秘密 A, Kab,最后在将未知的 NbKab 发送给 B,最终, A、 B 双方获得了会话的密钥 Kab。 经过这样一次协议的运行,主体 A 和 B 通过双反相互信任的服务器 S 获得了会话密钥。 二、 Yahal
6、om 协议攻击 W 作为攻击者 (中间人) , 根据已有的知识集并采用多回合的攻击方式, 破坏了 I 与 R 之间的身份认证, 具体的攻击如下 : W 拥有的知识集 : W 截取陈旧的消息 I, KirKis ,作为票据 T1 i.1. IW(R) : I, Ni /攻击者冒充 Charlie ii.1.W(I)-R: I, Ni /攻击者 W 又冒充 Dave 重放消息给 Charlie ii.2.R-W(S): I,Ni,NrKrs /攻击者又冒充了 S,接收 Charlie 的消息 iii.1. /省略 iii2.W(R)-S: R,I,Ni,NrKrs /攻击者冒充 Charlie 重
7、放消息给 S iii.3.S-W(I): (R,Kir,Ni,NrKis,I,KirKrs) /攻击者冒充了 Dave 接收了 S 的消息 I.2. /省略 I.3. W(S)-I: (R,Kir,Ni,NrKis,T1) /攻击者冒充 Simon 将部分消息及初始的票据 T1 发送给第一回合的 Dave i.4. I-R: (T1,Nrkir) /攻击的最后, Dave 发送使用 Kir 加密的随机数 (Nr)和票据 T1,当R 用 Kir 解密出 Nr 后对比自己的 Nr,不匹配从而破坏了 I 与 R 之间的通信 三、分析代码描述 # Yahalom # # Modelled after
8、the description in the SPORE library 未信的我 4 # http:/www.lsv.ens-cachan.fr/spore/yahalom.html # # usertype SessionKey; protocol yahalom(I,R,S) /协议的主体 I、 R、 S role I /实体 I fresh Ni: Nonce; /定义一个新鲜的临时值 Ni var Nr: Nonce;/定义一个临时的随机值 Nr var T: Ticket; /票据 T var Kir: SessionKey;/定义一个 I 与 R 会话密钥 Kir send_1(
9、I,R, I,Ni);/I 向 R 发送双方的实体标识 I,R 及新鲜的临时值 Ni 作为对 I 的挑战 read_3(S,I, R,Kir,Ni,Nrk(I,S), T );/I 收到服务器 S 的响应获得了 I、 R 的会话密钥,此外任包含了 I 未知的票据 T send_4(I,R, T, NrKir );/I 向 R 发送票据 T 和用会话密钥加密的随机值 Nr 作为对 R的挑战 claim_I1(I, Secret,Kir);/声明了秘密的会 话密钥 Kir role R /实体 R fresh Nr: Nonce; /定义一个新鲜的临时值 Nr var Ni: Nonce; /定义
10、一个临时的随机值 Ni var T: Ticket; /票据 T var Kir: SessionKey; /定义一个 I 与 R 的会话密钥 Kir read_1(I,R, I,Ni);/收到来自 I 的挑战,希望双方建立临时的会话密钥 send_2(R,S, R, I,Ni,Nrk(R,S) );/B 向服务器 S 发送了用 R 与 S 共享密钥加密的I,Ni,Nr及双方的实体标识 R,S 作为对服务器 S 的挑战 read_4(I,R, I,Kirk(R,S) , NrKir );/R 收到了 I 发送来的票据 T 从而获得了 I 与 R 的会话密钥,并解密得到 Nr claim_R1(
11、R, Secret,Kir); /声明了秘密的会话密钥 Kir role S /实体 S fresh Kir: SessionKey; /定义一个 I 与 R 的会话密钥 Kir var Ni,Nr: Nonce; /定义了临时的随机值 Ni, Nr read_2(R,S, R, I,Ni,Nrk(R,S) );/S 收到来自 B 的挑战,希望建立 I 与 R 的临时会话 send_3(S,I, R,Kir,Ni,Nrk(I,S), I,Kirk(R,S) );/S 用 KiS 加密了的共享密钥和随机值未信的我 5 Ni,Nr 作为对 I 的响应,此外还包含了 I 与 S 的票据 T clai
12、m(S, Secret, Ni); /声明了秘密的随机值 Ni claim(S, Secret, Nr); /声明了秘密的随机值 Nr const Alice,Bob,Simon : Agent;/实体 Alice, Bob, Simon 是代理者 const Eve: Agent;/实体 Eve 是代理者 untrusted Eve;/Eve 不值得信任 compromised k(Eve,Simon);/Eve 与 Simon 的会话密钥被泄露 四、分析攻击流程 未信的我 6 存在的攻击 未信的我 7 初始的入侵者知识集: 入侵者产生票务入侵者2(此处意为入侵者获得了陈旧的 Kir) i.
13、1. IW(R) : I, Ni 攻击者冒充 Charlie ii.1.W(I)-R:I, Ni 攻击者 W 又冒充 Dave 重放消息给 Charlie I.3. W(S)-I:(R,Kir,Ni,NrKis,T1) 攻击者冒充 Simon 将部分消息及初始的票据 T1 发送给第一回合的 Dave i.4. I-R:(T1,Nrkir) 攻击的最后, Dave 发送使用Kir 加密的随机数 (Nr)和票据T1,当 R 用 Kir 解密出 Nr 后对比自己的 Nr,不匹配从而破坏了 I 与 R 之间的通信 iii2.W(R)-S:R,I,Ni,NrKrs 攻击者冒充 Charlie 重放消息给 S iii.1.省略 R-W(S): I,Ni,NrKrs 攻击者又冒充了 S,接收 Charlie的消息 iii.3.S-W(I):(R,Kir,Ni,NrKis,I,KirKrs) 攻击者冒充了 Dave 接收了 S 的消息 未信的我 8 五、实验存在问题和解决办法 Yahalom 协议有别于前几次所做的实验,该协议的攻击者通过破坏通信双方的验证,从而破坏了通信双方的正常通信,该协议的为典型的中间人攻击方式,通过多回合的攻击巧妙地完成攻击。 六、教师评语(或成绩) 教师签字: 年 月 日
