双向认证协议中的并行会话攻击及防范

本文分析了一种客户端与服务端共享密钥的双向认证协议, 并探讨了其安全性。

原始协议:

客户端 Alice 与服务端 Bob 共享秘钥 KAB，H 为公开的安全 Hash() 函数。

Alice (Client) -> Bob (Server): Challenge12. Bob (Server) -> Alice (Client): Hash(KAB ⊕ Challenge1), Challenge23. Alice (Client) -> Bob (Server): Hash(KAB ⊕ Challenge2)

安全分析:

该协议容易受到并行会话攻击。攻击者即使不知道 KAB，也能假冒 Alice。攻击流程如下:

攻击者向 Bob 发送 Challenge1，并监听 Bob 的回复。2. 攻击者自己也向 Bob 发送另一个 Challenge1'，并监听 Bob 的回复。3. 攻击者现在获得了 Bob 返回的 Hash(KAB ⊕ Challenge1) 和 Challenge2，以及 Hash(KAB ⊕ Challenge1') 和另一个 Challenge2'。4. 攻击者将 Challenge2 发送给 Alice。5. Alice 计算 Hash(KAB ⊕ Challenge2) 并发送给 Bob。6. 攻击者截获 Alice 的消息，并将其替换为 Hash(KAB ⊕ Challenge2')，然后发送给 Bob。7. Bob 收到消息后，验证通过，误认为是 Alice 发送的。

改进方案:

为避免并行会话攻击，可以在每个挑战中添加一个随机数，使攻击者无法预测下一个挑战的值。

改进后的协议:

Alice (Client) -> Bob (Server): Challenge1, Random12. Bob (Server) -> Alice (Client): Hash(KAB ⊕ Challenge1 ⊕ Random1), Challenge2, Random23. Alice (Client) -> Bob (Server): Hash(KAB ⊕ Challenge2 ⊕ Random2)

改进后的协议分析:

在改进后的协议中，Bob 使用 Challenge1 和 Random1 计算 Hash(KAB ⊕ Challenge1 ⊕ Random1)，并将 Challenge2 和一个新的随机数 Random2 发送给 Alice。Alice 使用 Challenge2 和 Random2 计算 Hash(KAB ⊕ Challenge2 ⊕ Random2) 并发送给 Bob。

由于每个挑战都包含一个随机数，攻击者无法预测下一个挑战的值，因此并行会话攻击不再可行。

总结:

在设计安全协议时，必须考虑并防范各种攻击方式。本文分析了双向认证协议中的并行会话攻击，并提出了改进方案。通过添加随机数，可以有效提高协议的安全性。