双向认证协议中的并行会话攻击及防御

本文分析了一种基于共享秘钥的双向认证协议, 并指出其存在的安全漏洞。

协议描述:

客户端 Alice 与服务端 Bob 共享秘钥 KAB, H 为公开的安全 Hash() 函数。认证流程如下:

Alice (Client)->Bob (Server): Challenge12. Bob (Server)-> Alice (Client) :Hash (KAB ⊕ Challenge1), Challenge23. Alice (Client)->Bob (Server): Hash (KAB ⊕ Challenge2)

安全漏洞:

该协议存在安全漏洞, 攻击者即使不知道 KAB 也能够发起并行会话攻击, 假冒 Alice。

攻击步骤:

攻击者向 Bob 发送 Challenge1。2. Bob 回复 Challenge2 和 Hash (KAB ⊕ Challenge1)。3. 攻击者直接使用 Bob 返回的 Hash 值来伪造 Alice 的身份, 发起攻击。

漏洞分析:

攻击者不需要知道 KAB 的值, 因为攻击者可以控制 Challenge1, 并直接获取 Bob 计算的 Hash (KAB ⊕ Challenge1)。

改进方案:

为了避免并行会话攻击, 可以使用一次性随机数 nonce 改进协议。

改进后的协议:

Alice (Client)->Bob (Server): Nonce12. Bob (Server)-> Alice (Client) :Nonce2, Hash (KAB ⊕ Nonce1 ⊕ Nonce2)3. Alice (Client)->Bob (Server): Hash (KAB ⊕ Nonce1 ⊕ Nonce2)

安全性分析:

Nonce1 和 Nonce2 是一次性随机数, 每次会话都不同。攻击者即使知道了一个 Nonce, 也无法伪造 Alice 的身份, 因为 Nonce2 是随机的, 攻击者无法预测 Hash (KAB ⊕ Nonce1 ⊕ Nonce2) 的值。

结论:

使用一次性随机数 nonce 可以有效增强双向认证协议的安全性, 避免并行会话攻击。