第七章密码协议:72认证协议概述 722 Daley-Yao威胁模型与常见攻击 Canetti-Krawczyk(cK模型 Canetti Krawczyk于2002年提出了一种分析和设计密钥交换协议的安全 模型通过模块化的方法来进行协议的安全设计与安全分析,并且采用不可 区分性的方法来定义安全: 在允许的攻击能力下,如果攻击者不能够区分协议产生的密钥和一个独立 的随机数,那就可以说该密钥交换协议是安全的 为了区分各种攻击,确保信息在被暴露情况下尽可能的安全,该模型根据攻击 者能够得到信息的实际情况将攻击分为以下三种类型: (1)攻陷参与者 Party Corruption):攻击者能够随时攻陷任意一个参与者, 并能得到该参与者内部存储的所有信息,包括长期的会话密钥、秘密私钥 以及和会话相关的信息。 (2)会话密钥查询( Session- Key Query):攻击者提供某个参与者的身份和 该参与者已经完成会话的会话标识,就能得到它所产生的会话密钥。 (3)会话状态暴露( Session- State Reveal):攻击者提供某个参与者的名字 和其中一个尚未完成会话的会话标识,就能得到该会话的相关信息 历忠毛孑技*字 12/7.2.2 Daolev-Yao威胁模型与常见攻击  Canetti-Krawczyk(CK)模型 ⚫ Canetti和Krawczyk于2002年提出了一种分析和设计密钥交换协议的安全 模型.通过模块化的方法来进行协议的安全设计与安全分析，并且采用不可 区分性的方法来定义安全： ⚫ 在允许的攻击能力下，如果攻击者不能够区分协议产生的密钥和一个独立 的随机数，那就可以说该密钥交换协议是安全的.  为了区分各种攻击，确保信息在被暴露情况下尽可能的安全，该模型根据攻击 者能够得到信息的实际情况将攻击分为以下三种类型： ⚫ (1) 攻陷参与者(Party Corruption)：攻击者能够随时攻陷任意一个参与者， 并能得到该参与者内部存储的所有信息，包括长期的会话密钥、秘密私钥 以及和会话相关的信息。 ⚫ (2) 会话密钥查询(Session-Key Query)：攻击者提供某个参与者的身份和 该参与者已经完成会话的会话标识，就能得到它所产生的会话密钥。 ⚫ (3) 会话状态暴露(Session-State Reveal)：攻击者提供某个参与者的名字 和其中一个尚未完成会话的会话标识，就能得到该会话的相关信息 12/ 第七章 密码协议：7.2 认证协议概述