双向认证协议中的并行会话攻击及防范

本文讨论了一种使用预共享密钥的双向认证协议，并分析其如何受到并行会话攻击的威胁。同时，本文还提出了两种改进方案以增强该协议的安全性。

协议描述:

客户端 Alice 与服务端 Bob 共享秘钥 KAB，H 为公开的安全 Hash() 函数。认证流程如下：

Alice (Client) -> Bob (Server): Challenge12. Bob (Server) -> Alice (Client): Hash(KAB ⊕ Challenge1), Challenge23. Alice (Client) -> Bob (Server): Hash(KAB ⊕ Challenge2)

攻击分析:

即使攻击者不知道 KAB，也能够通过并行会话攻击假冒 Alice。具体步骤如下：

攻击者向 Bob 发送 Challenge1，并记录下 Bob 返回的 Challenge2。2. 攻击者再次向 Bob 发送相同的 Challenge1。 3. 攻击者使用记录下的 Challenge2 计算 Hash(KAB ⊕ Challenge2) 并发送给 Bob。4. Bob 接收到第三步的消息后，会将其与自己计算的 Hash(KAB ⊕ Challenge2) 进行比对。由于攻击者发送的 Challenge2 与 Bob 发送的一致，因此比对成功，攻击者成功假冒 Alice。

改进方案:

为了避免上述攻击，可以采用以下两种改进方案：

1. 引入时间戳:

在 Challenge1 中加入一个时间戳 T，Bob 在返回 Challenge2 时也将 T 一并返回。Alice 在计算 Hash(KAB ⊕ Challenge2) 时也要加入 T。改进后的流程如下：

Alice (Client) -> Bob (Server): Challenge1, T2. Bob (Server) -> Alice (Client): Hash(KAB ⊕ Challenge1 ⊕ T), Challenge2, T3. Alice (Client) -> Bob (Server): Hash(KAB ⊕ Challenge2 ⊕ T)

这样一来，攻击者无法记录下完整的 Challenge1 和 T 的组合，因此无法进行并行会话攻击。

2. 引入随机数:

在 Challenge1 中加入一个随机数 R1，Bob 在返回 Challenge2 时也将 R1 一并返回。Alice 在计算 Hash(KAB ⊕ Challenge2) 时也要加入 R1。改进后的流程如下：

Alice (Client) -> Bob (Server): Challenge1, R12. Bob (Server) -> Alice (Client): Hash(KAB ⊕ Challenge1 ⊕ R1), Challenge2, R13. Alice (Client) -> Bob (Server): Hash(KAB ⊕ Challenge2 ⊕ R1)

引入随机数后，每次会话的 Challenge1 和 R1 的组合都是不同的，攻击者无法通过记录之前的消息来进行攻击。

总结:

本文分析了双向认证协议中存在的并行会话攻击问题，并提出了两种有效的改进方案。通过引入时间戳或随机数，可以有效提高协议的安全性，防止攻击者利用协议漏洞进行攻击。