当前位置:文档之家 › 安全协议设计与分析 -第3章-下

安全协议设计与分析 -第3章-下

  • 格式:ppt
  • 大小:1.31 MB
  • 文档页数:30

下载文档原格式

  / 30

合集下载

安全协议分析与设计课件第1章-上安全协议基础知识

安全协议分析与设计课件第1章-上安全协议基础知识
该假设认为协议采用的密码算法是完美的,不考虑 密码算法被攻破的情况。如Hash函数提供单向性和 无碰撞性,加密算法提供语义安全性(Semantic Security)及不可延展性(Non-Malleability)等。
无加密项冲突,即若有{m1}k1= {m2}k2,则有m1= m2和k1 = k2。这使得攻击者试图用{ m2 }k2使A相 信其为{m1}k1是不可行的。
24
协议交互攻击
密钥通常是被设计在一个单独的协议中使用,然而, 由于设计上或者使用上的疏忽,可能在多个协议中 使用同一个密钥。
防范这种攻击可以考虑两种方法:一种方法是对于 不同的协议使用不同的密钥;另外一种方法是在消 息中添加协议标识(如协议名称及其版本号)并对 其认证。
通常情况下,对协议的分析都只针对单个协议,并 不考虑协议交互攻击。
14
单一协议假设
单一协议假设是指协议运行环境中不存在其他协议 的运行。目前各种形式化分析中都显式或隐式地包 含了这个假设。
多个不同的安全协议同时运行可能会被攻击者利用 造成攻击,这是因为有些密钥(如公钥)可以用于 多个应用中,多个协议同时运行为攻击者提供了大 量的加密和解密机会。
Kelsey等人在文献[KSW98]中给出了一些这样的例 子,称之为协议选择攻击。
安全协议分析与设计课件第1章-上安全协议基础知识
安全协议基础知识
NSSK(Needham-Schroeder Shared Key)协议。
A→S: S→A: A→B: B→A: A→B:
A,B,Na { Na,B,Kab,{ Kab,A }Kbs }Kas { Kab,A }Kbs
{ Nb }Kab { Nb – 1 }Kab
前向安全:一个协议具备前向安全,是指即便安全 协议中使用的长期密钥被攻击者破获,而由这些长 期密钥所建立(通过安全协议建立)的会话密钥仍 然是安全的。

口令认证协议的分析与设计

口令认证协议的分析与设计

口令认证协议的分析与设计口令认证协议是指在计算机网络中,通过输入口令(密码)对用户身份进行验证的过程和方法。

它是保证网络安全的一种重要方式,也是日常生活和工作中非常常见的安全机制。

在本文中,我们将对口令认证协议的分析与设计进行探讨,以便更好地理解该协议的原理和运作方式。

首先,我们需要了解口令认证协议的基本原理。

口令认证协议是建立在客户端和服务器之间的,基本的过程是:用户在客户端上输入账号和密码,客户端将该信息发送给服务器,服务器将验证用户输入的账号和密码是否正确,如果验证通过,则将相关的服务提供给用户。

要使该协议正常运作,需要考虑以下几个方面的问题:一、安全性问题。

口令认证协议必须保障数据的机密性,防止数据被窃取、篡改等危险行为。

为此,我们可以采用密码学、数字签名、消息认证码等方式来确保安全性。

二、隐私保护问题。

在进行口令认证的过程中,用户个人信息可能会被泄露,如何保护用户信息的隐私是非常关键的。

为此,我们可以采用密钥协商、身份认证等方式来确保用户信息的隐私性。

三、效率问题。

要让口令认证协议正常运转,需要考虑协议的效率问题,特别是在大量数据的情况下,如何提高协议的效率是非常重要的。

为此,我们可以采用压缩算法、数据缓存等方式来优化协议的效率。

四、易用性问题。

口令认证协议需要方便易用,简单明了,对用户友好,否则将影响用户的使用体验。

为此,我们可以采用图形化界面、人性化提示等方式来提升易用性。

在以上的基础上,我们可以对口令认证协议进行设计。

具体的设计步骤如下:一、确定协议的需求和功能。

确定协议的目标和功能,解决用户的安全和便捷需求,使协议更符合实际需求。

二、进行技术分析。

对技术方案进行分析,选择符合安全性、可用性和可扩展性的技术方案,确保协议正常运转。

三、设计协议框架。

确定协议的整体框架,包括通信协议、数据格式、消息交互流程等,确保协议的可扩展性。

四、确定协议实现。

选择符合需求的编程语言,设计协议的具体实现方案,包括客户端、服务器的功能实现、安全机制、代码规范等。

安全协议分析与设计考核试卷

安全协议分析与设计考核试卷
A.散列函数
B.数字签名
C.时间戳
D.访问控制
19.以下哪些因素可能导致安全协议失败?()
A.软件缺陷
B.密码分析
C.社会工程
D.硬件故障
20.在设计安全协议时,以下哪些原则是重要的?()
A.简洁性
B.可扩展性
C.可靠性
D.透明性
三、填空题(本题共10小题,每小题2分,共20分,请将正确答案填到题目空白处)
A. MD5
B. SHA-1
C. SHA-256
D. CRC-32
11.在安全协议中,以下哪个概念指的是验证通信双方身份的过程?()
A.认证
B.授权
C.审计
D.记账
12.以下哪个协议主要用于虚拟专用网络(VPN)的安全?()
A. IPsec
B. SSL/TLS
C. SSH
D. HTTPS
13.以下哪个概念指的是攻击者通过篡改数据包中的信息来实施攻击?()
A.机密性
B.完整性
C.可用性
D.可靠性
2.以下哪些加密算法属于对称加密算法?()
A. AES
B. DES
C. RSA
D. 3DES
3.在SSL/TLS协议中,握手过程包括以下哪些步骤?()
A.交换密钥
B.服务器认证
C.客户端认证
D.生成会话密钥
4.数字证书包含以下哪些信息?()
A.证书持有者的公钥
10.以下哪些工具或技术可用于安全协议测试?()
A.安全套接字层(SSL)扫描
B.漏洞扫描
C.渗透测试
D.端口扫描
11.在安全协议中,以下哪些技术可用于身份验证?()
A.密码
B.令牌

安全协议可视化建模和验证方法的分析与设计

安全协议可视化建模和验证方法的分析与设计

7 4 2
佳 木 斯 大 学 学 报 (自 然 科 学 版 )
2 0 1 3丘
模糊 控制规则 的确 定是 根据 有 经验 的操 作者 多次 实践得 出 的若 干条模糊 条 件语句 , 这些模 糊语 句可 用模糊控 制规则 表表示 , 如表 1 所 示
表 1 模糊 控制 规则 表
E、 EC NB NM NS Z O P S P M P B
糊 控制超 调量小 , 调 节时 间短 , 控 制过程 比较平稳 , 跟 随性能好 .
( 1 ) 安全 协议 的类 图
类图是对类及其之间关系的可视化表示 , 它是
从 一定抽 象 的视角 来 描述 系统 的静态 结构 . 安 全协
2 建模 语 言 P R O ME L A
P R O M E L A( P r o t o c o l Me t a L a n g u a g e ) 是 用 来 对
3 安 全 协 议 可 视 化 建 模 及 对 应 P R O M E L A语 义转 换
3 . 1 N e e d h a m—S c h r o e d e r 公钥 协议
为使描述更加清晰 , 我们采用消息序列的方式
来 表示 协议 :
( 1 ) A S : A, B
1 模 型检 测 工具 S P I N
( 3 ) 利用 S P I N对 系统属 性进 行 验证 ; ( 4 ) 若 属 性 为假 , S P I N会 生 成 一 个 . t a i l 文件 ,
( 2 ) s A :{ P k b , B } p k s 一1 ( 3 ) A —B :{ N a , A } p k b
第3 1 卷 第 5期

安全测试中的安全开发和安全设计

安全测试中的安全开发和安全设计

安全测试中的安全开发和安全设计在安全测试中,安全开发和安全设计是至关重要的环节。

本文将介绍安全开发和安全设计的概念、原则和实施方法,以及它们在安全测试中的作用和重要性。

一、安全开发安全开发是指在软件或系统开发过程中,将安全考虑融入到每个开发阶段,确保开发出的产品具备一定的安全性能和防护措施。

安全开发的目标是降低系统被攻击的风险,保护用户的敏感数据和隐私。

安全开发的原则包括:1. 防御原则:采用多重防御措施,不依赖单一安全机制。

2. 最小权限原则:按照最小权限原则进行开发,使得信息资源只授权给必要的使用者。

3. 输入验证原则:对输入数据进行有效性验证和过滤,防止恶意输入导致的安全漏洞。

4. 安全认证原则:确保身份认证是有效可靠的,禁止使用弱密码和明文存储。

5. 安全通信原则:使用安全通信协议保护数据在传输过程中的安全性。

实施安全开发的方法包括:1. 设计阶段:对系统进行安全分析和安全设计,明确安全需求并制定相应的安全策略。

2. 编码阶段:遵循安全编码规范,使用安全的编程语言和框架,避免常见的安全漏洞。

3. 测试阶段:进行代码审计、安全测试和漏洞扫描,修复和验证发现的安全漏洞。

4. 运维阶段:及时更新系统补丁、监控系统运行状况,检测和处理安全事件。

二、安全设计安全设计是指在系统或网络架构设计过程中,考虑系统整体安全性的设计思路和方法。

安全设计旨在预防和减轻潜在的安全风险,确保系统的稳定性和可靠性。

安全设计的原则包括:1. 分层原则:按照系统不同的功能和安全等级进行分层设计,限制攻击者的权限。

2. 隔离原则:对系统进行功能和数据的隔离,防止一处受损影响全局。

3. 弹性原则:系统应具备弹性和容错机制,能够应对恶意攻击和突发事件。

4. 监控原则:建立完善的监控系统,及时检测和报警系统的异常行为。

5. 更新原则:随时跟进最新的安全威胁和漏洞信息,及时修补系统的安全漏洞。

实施安全设计的方法包括:1. 风险评估:对系统进行全面的风险评估,确定系统所面临的威胁和弱点。

基于硬件加密设备的身份认证协议的设计及安全性分析

基于硬件加密设备的身份认证协议的设计及安全性分析
接。
( ) 机 认 证 客 户 端 4随 认证成功 后 , 服务器 可能会不定 时地 发送新的 “ 战” 挑 消息 给客户
端用户 , 重复步骤( ) ( ) 以便在通信过程 中随时验 证用户身份的合 1 ~ 3,
法性。
11 .符号说明 X ̄Y: 表示从 x向 Y发送信息 M M: l: l为连接操作 s: 代表认证服务器 u: 表客户端用户 代 W: 客 户 端 用 户 的 口令 为 R n : 作 “ 战 ” 息 的 随机 数 ad用 挑 消 H()对 I m : n进行 MD 5散列运算
1CH . AP认 证 协 议 原 理及 安应答 消息后 ,根据它存储的用户 u 的 口令 w和 R n ad计算 S( R n)并 与接收到的消息摘要 比较。如果 w l ad , l 两 者 相 等 , 给用 户 发 送 认 证 成 功 的 回执 AC 否 则 , 开 与用 户 的 连 则 K; 断
用 服


应答 挑 战 H( ta d wl n ) R
发送 认 证结 果



图 lC P认 证 协 议 图 HA
( S U: n 1)  ̄ Ra d
当系统 P P连接建立完成后 , P 服务器 s向客户端 用户 u发送 一个 随机数 R n , ad 作为“ 挑战” 消息 , 并保存该 R n 。 ad ( ) j sun( R n ) 2 u :, w l ad l 接下来 客户端用户 u接收 到 R n ad后 , 计算 Hw l n )然后将 (, ( Rad, l U
科技信 毒
博士 ・ 专家论 坛
基于硬件力 窑设备的身份认证砷议晌设计及安茔性 口 .
景 德镇 陶瓷 学院信 息工程 学院 叶君 耀 景德 镇 陶瓷 学 院机 电学 院 王 英连

MANET网络安全协议仿真系统设计和实现


32
赣南师范学院学报
2012 年
? 不同安全协议在不同攻击下的延迟 、 控制开销、 吞吐量、 丢包率、 包交付率和抖动等性能对比分析. 对 应用不同安全协议的场景跟踪文件 ( trace 文件) 进行分析, 以数据和图表的形式展现给用户, 力求准确而真 实地反应出不同安全协议的性能差异 . ? 动画演示协议受攻击时的性能动态变化过程 . 可以演示数据流的动态变化和网络在各种攻击下的流 表现出 MANET 网络所具有的动态拓扑的特性, 将安全协议抵抗攻击的整个仿真过程以动画的形式 量变化, 力求能直观、 形象地向用户呈现丰富的信息, 尤其是安全协议的运行过程; 并提供便捷的人机交 呈现给用户, 互接口, 方便用户观察仿真过程, 捕捉、 捕获仿真过程中表现出来的各种数据流信息和攻击信息 . ? 可视化网络拓扑配置和管理. 网络拓扑主要有节点对象组成, 可以控制拓扑图中节点对象以及节点 信号覆盖范围、 信号干扰范围和节点对象之间连接线等的绘制和显示 ; 一个传输层代理对象依 对象的位置、 可以控制拓扑图中传输层代理对象以及传输层代理对象的位置 、 传输层代理对象和节点 附于一个节点对象, 对象的依附关系以及传输层代理以控制拓扑图中应用层对象以及应用层对象的位置 、 应用层对象和传输层代理对象的依附关系的绘制 和显示; 可以手工控制绘制或随机生成各种对象 . ? 安全协议配置和管理. 可以查看现有系统支持的各种路由协议 ( 包括安全路由协议 ) , 查看安全协议 修改和删除新的安全协议. 支持的加密和 hash 算法; 添加、 ? 攻击模型配置和管理. 可以查看系统支持的各种攻击方法 ; 添加、 修改和删除新的攻击方法. ? 仿真过程脚本的自动生成. 整个网络拓扑生成和参数配置完毕后 , 可以利用 tcl 脚本管理功能自动生 trace 文件可以用 成和编辑相应的 tcl 脚本和相关配置文件, 调用 NS2 运行 tcl 脚本, 产生 trace 和 nam 文件, nam 文件用于动画演示. 来进行性能数据分析, 2 系统设计和实现 2. 1 系统设计方案 系统由前台子系统和后台子系统组成 ( 如 图 1 ) . 其中前台子系统包含工程管理、 场景生 TCL 脚本文件自动生成和执行、 成和参数设置、 仿真结果分析和系统管理五大模块, 用 java 语 言开发; 后台子系统是在 NS2 的基础之上扩充 了安 全 协 议 库 和 攻 击 模 型 库 两 个 模 块, 用 C + + 语言开发. 在本系统中, 工程被定义为所有一次或若 干次 MANET 网络安全协议仿真过程活动的总 和. 使用本系统进行协议仿真首先必须创建工 图 1 MANET 网络安全协议仿真系统总体设计示意图 程, 工程管理模块用来建立、 删除、 打开和关闭 一个工程, 和工程有关的数据会自动保存和更新至数据库中 . 场景被定义为在一个具体的网络拓扑环境中进 行一个协议性能分析仿真的情形 . 场景生成和参数设置模块用来在一个工程中创建 、 删除、 打开和关闭一个 场景, 在一个场景中按照 NS2 对象层次结构绘制生成节点对象 、 传输层代理对象、 应用层对象和连接对象并 节点运动轨迹、 路由协议、 传输层协议、 应用层协议、 数据流的大小、 开始时 配置相关的参数如节点初始位置 、 间和结束时间等, 特别指出参数还包含了和安全协议仿真有关的数据如协议使用的 hash 函数、 加密算法和 攻击行为描述数据等. 一个工程可以包含若干个场景. TCL 脚本自动生成和执行模块根据一个场景的所有 具体参数自动生成一个 TCL 脚本文件, 并调用基于 NS2 的后台子系统生成场景跟踪文件 ( trace 文件 ) 和动 ( nam ) . 文件 仿真结果分析模块有两大功能. 第一个功能是根据 trace 文件分析相应场景的丢包 画描述文件 率、 包交付率、 网络控制开销、 吞吐量和时延等性能, 可以对一个网络协议在不同网络攻击下的性能或不同协 议在相同攻击下的性能比较分析 , 从而对协议的安全性能状况做出定量的评价 , 为定性评价提供可靠依据; 如果一个协议在某种攻击下相关性能参数没有异常 , 则说明此协议可以抵抗这种攻击, 否则说明不能抵抗. 第二个功能主要是根据 nam 文件来动画演示一个场景中一个协议在特定攻击下的表现 , 可以演示各个节点 的运动轨迹、 路由动态寻找、 数据包发送、 数据包接收、 数据包丢弃、 路由包丢弃等细节, 动画演示画面可以放 大缩小和控制动画播放速度. 后台子系统是以 NS2 为基础附加了两个和网络安全相关的模块: 安全协议扩

无线通信网络协议设计方案分析

无线通信网络协议设计方案分析无线通信网络协议设计方案的目标是为了实现高效、可靠的无线通信传输,并提供适当的安全措施和管理机制。

在协议设计过程中,需要考虑到数据传输的速度、传输距离、连接的可靠性、网络拓扑结构等因素。

本篇文章将对无线通信网络协议设计方案进行分析。

一、协议设计的背景和意义随着无线通信技术的飞速发展,无线通信网络在日常生活和工作中已经变得不可或缺。

因此,设计高效可靠的无线通信网络协议方案具有重要意义。

协议设计的目标是实现数据的快速、可靠的传输,降低丢包率和延迟,提高网络的整体性能。

二、协议设计的基本原则(1)无线信道特性:由于无线信道受到干扰和衰落的影响,协议设计需要考虑信道状态的变化,采用合适的调制与编码方法,以及信道自适应算法,来提高传输的可靠性和效率。

(2)网络拓扑结构:无线通信网络可以采用不同的拓扑结构,如星型、网状和混合结构等。

协议设计需要根据具体应用场景选择适合的拓扑结构,并考虑网络节点的部署和连接方式,以便提高网络的覆盖范围和传输效率。

(3)安全性与隐私保护:无线通信网络面临着信息泄露和网络攻击的威胁,协议设计需要考虑数据的加密、身份验证和访问控制等安全机制,保障通信数据的机密性和完整性。

(4)性能优化与资源分配:协议设计需要考虑到网络的整体性能优化和资源的合理分配。

通过设计合适的调度算法和资源管理机制,实现网络资源的高效利用,提高用户体验。

三、常见的无线通信网络协议设计方案(1)Wi-Fi协议:Wi-Fi协议是一种无线局域网协议,广泛应用于家庭、企业和公共场所。

Wi-Fi协议采用CSMA/CA(载波监听多址碰撞避免)的方式,避免了节点之间的碰撞和冲突,提高了传输效率。

此外,Wi-Fi协议还支持功率控制和信道选择等技术,提高网络的覆盖范围和抗干扰能力。

(2)蓝牙协议:蓝牙协议适用于短距离无线通信,常用于手机、耳机等设备间的数据传输。

蓝牙协议采用TDMA(时分多址)的方式,实现并行传输,提高了传输速率。

车联网中安全通信协议的设计与分析

车联网中安全通信协议的设计与分析随着物联网技术的不断发展,车联网作为物联网的一个重要分支领域受到了越来越多的关注。

车联网的快速发展给行车安全、交通管理和车辆控制等方面带来了巨大的便利性,但也带来了一系列的安全风险。

为了保障车辆网络通信的安全与可靠性,车联网系统需要采用合适的安全通信协议。

车联网中安全通信协议的设计主要涉及到车辆间的通信安全和车辆与基础设施的通信安全两个方面。

首先,对于车辆间的通信安全,主要考虑以下几个方面:1. 身份认证:在车联网中,车辆需要对其他车辆进行身份认证,以确保通信双方的身份合法。

可以采用基于公钥基础设施(PKI)或者数字证书的方式实现身份认证,确保通信的安全性。

2. 数据加密:车联网中传输的数据可能涉及到车辆位置、状态信息等敏感数据,需要采用合适的加密算法来保护数据的机密性。

对于数据加密,可以使用对称加密算法和非对称加密算法相结合的方式,确保数据的机密性。

3. 认证协议:车辆间的通信过程中,需要使用认证协议来确保通信的安全。

认证协议可以采用基于挑战响应方式的方法,如基于Diffie-Hellman算法的认证协议,通过挑战响应验证通信双方的身份,以防止通信双方的冒充或欺骗攻击。

4. 安全密钥管理:车联网中的通信安全离不开密钥的管理。

安全密钥的生成、分发和更新是一个重要的问题。

可以借鉴现有的密钥管理方案,如基于PKI的密钥管理方案,确保密钥的安全性和有效性。

其次,对于车辆与基础设施的通信安全,主要考虑以下几个方面:1. 数据完整性:在车辆与基础设施之间的通信过程中,可以采用数据签名的方式来确保数据的完整性。

即发送方对数据进行数字签名,接收方通过验证数字签名以确定数据是否被篡改。

2. 安全连接:车辆与基础设施之间的通信需要建立安全的连接。

可以采用虚拟专用网络(VPN)来实现车辆与服务器之间的安全通信,确保通信的私密性与安全性。

3. 安全升级:车辆与基础设施之间的通信需要进行定期的安全升级,以及时修复发现的安全漏洞。

密码学中的安全协议设计与分析

密码学中的安全协议设计与分析第一章:引言密码学是信息安全领域的重要组成部分,它研究如何保护信息的机密性、完整性和可用性。

在今天的网络环境中,保护通信过程中涉及的数据免受未经授权的访问和篡改至关重要。

为了应对这一挑战,密码学研究了安全协议的设计与分析方法。

第二章:基础知识本章将介绍密码学中的基本概念和数字加密算法。

首先,我们讨论对称加密算法和非对称加密算法的原理和特点。

其次,我们将介绍哈希函数的原理和应用。

最后,我们讨论数字签名算法和数字证书的作用。

第三章:安全协议的设计在这一章中,我们将讨论安全协议的设计原则和常用的设计方法。

首先,我们将介绍协议的目标和基本要求,包括机密性、完整性和认证等。

然后,我们将讨论安全协议的通信模型和设计步骤。

最后,我们将介绍一些常用的安全协议设计方法,如Needham-Schroeder协议和Kerberos协议。

第四章:安全协议的分析在这一章中,我们将讨论安全协议的分析方法和工具。

首先,我们将介绍形式化方法在安全协议分析中的应用。

其次,我们将讨论基于模型检测和安全协议验证的分析方法。

最后,我们将介绍一些常用的安全协议分析工具,如ProVerif和Scyther。

第五章:实例研究为了更好地理解安全协议的设计和分析过程,本章将通过几个实例来说明。

我们将选择一些经典的安全协议,并介绍它们的设计原理和分析结果。

通过对这些实例的研究,读者可以更好地理解如何应用前面章节中的理论知识。

第六章:未来发展在这一章中,我们将展望密码学中安全协议设计和分析的未来发展方向。

首先,我们将讨论量子密码学对传统密码学的冲击和挑战。

然后,我们将介绍安全协议设计中的一些新颖方法,如基于机器学习和人工智能的设计方法。

最后,我们将讨论安全协议分析工具的发展趋势和未来可能的改进方向。

结论安全协议的设计与分析在保护信息安全和网络安全方面起着至关重要的作用。

通过建立合适的安全协议,可以有效地防止恶意攻击者获取敏感信息或破坏通信平台。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
19
Nonce验证公理(Nonce-Verification)
Ax19. fresh (X) ∧ P said X ⊃ P says X 如果X是新鲜的,且主体说过X,就意味着主体最近
说过,也即在当前时期内(current epoch)说过。
20
共享密钥对称公理(Symmetric goodness of shared keys)
7
和BAN在标记法上的一些不同
SVO使用了BAN逻辑的一些标记方法,但有一些扩展和不同: (1)P says X:与“P said X”不同的是,它的意思是本次会话
开始后P发送了X,而不是指以前会话发送了X。 (2)P sees X:等价于“P has X”,意思是“P拥有消息X”,
这可能是4种情况引起的:原本X就由P所有,X被P收到,P 生成了X,以及前面3种情况的组合。 (3){X}K:用密钥K对消息X加密后得到的消息,于BAN不同 的是,SVO并不假设主体可以识别自己发出的消息,但是仍 然假定唯有拥有正确密钥的主体能够解密这条加密的消息。 (4)[X]K:用私钥K对消息X签名后得到的消息,并认为收到 [X]K,就自动获得了X。 (5)*:SVO使用*表示主体所收到的,但不可识别的消息。
29
30
14
看见公理(Seeing)
Ax10表明一个主体能看见所有它接收到的。Ax11表明主体 可以看见连接消息项中的一部分。
Ax12中的F是主体P可计算的函数(如加密函数、解密函数 及se散es列X函只数是等Ax等1)2的,一这个样特,例P,se而es不{再X}作K ∧为P一s个ee单s 独K−的1 ⊃公P理 出现。
安全协议分析与设计 第三章 逻辑类分析方法(下)
卫剑钒
SVO逻辑
针对BAN 逻辑的缺陷和不足,Paul Syverson和Paul C. van Oorschot在1994年提出了SVO逻辑[SVO94], 1996年他们对SVO逻辑做了适当的修改后给出了一 个新的版本[SVO96],它的出现标志着BAN 及BAN 类逻辑的成熟。
Ax20. SharedKey( K, P, Q ) ≡ SharedKey ( K, Q, P )
Ax20表明共享密钥具有对称性。
21
SVO目标的形式化
G1存活确认A believes B says X G2身份认证A believes B says F( X, Na ) G3安全密钥建立A believes SharedKey( K-, A, B ) G4 密钥确认A believes SharedKey( K+, A, B ) G5 密钥新鲜性 A believes fresh( K ) G6 相互确认密钥 A believe B says SharedKey( K−, B, A )
一个定理。
9
SVO公理
SVO公理有20条,其中有些是普通的公理,有些则 是公理模板(axiom schemata),即含有一些公式变 量的公理。
对于任意的主体P及Q、任意和公式φ及ψ,有下面这 些公理。
10
相信公理(Believing)
11
源关联公理(Source Association)
Ax6中,≡为逻辑恒等,φ[F1/F2]符号表示在公式φ 中替换F1为F2,该公理表达了密钥协商的对称性。
13
接收公理(Receiving)
以上公理表明,主体接收到一个消息,也同时接收 了该消息中的连接项;如果主体拥有解密密钥,可 以获得被加密前的消息;主体能够从签名中得到被 签名的消息。
8
SVO的规则
SVO有两个初始规则。
(1)分离规则MP(Modus Ponens):φ ∧φ⊃ψ ψ (2)必要性规则Nec(Necessitation): ├φ├ P believes φ
∧表示“与”,⊃表示“蕴含”,├φ表示φ是一个定 理,表示推理,也即“若……则……”关系。
规则1表明,可将公式φ和φ蕴含ψ替换成公式ψ。 规则2表明,如果φ是一个定理,则P believes φ也是
22
用SVO逻辑分析安全协议
以NSSK协议为例:
23
协议的初始假设
24
主体接收到消息的假设
25
对收到消息进行可理解性分析
26
主体对消息的解释
27
用SVO的推理规则和公理进行推导
28
用SVO的推理规则和公理进行推导
对B来说,B由(9)和(10)可以推导出S曾经说过Kab是良好的和 新鲜的,但不能继续推导得出S是否在本次运行中说过。
看见(see)和接收(receive)是不一样的,凡是主体接 收的,它一定看见,另外,主体还看见(可理解为生成或 拥有)它自己生成的公式。
15
理解公理(Comprehending)
其中F是函数,且F或F−1是P可以计算的。 理解公理指的是主体可以运用F或F−1,对F(X)进行检验,如X
(1)如果X∈T,则X是消息。 (2)如果X1, X2,…, Xn是消息,F是任意一个n元变量
函数,则 F(X1, X2,…, Xn)是消息。F可以是连接 函数、加密函数或者签名函数等,即如果X1, X2,…, Xn是消息,则(X1 ,…, Xn)、{X}K、[X]K等都是消息。 在SVO逻辑中,[X]K表示签名。 (3)如果φ是公式,则φ是消息。
G4密钥确认 (Key Confirmation) :除了G3外,该目标还让A 相信B也知道这个Key。
G5密钥新鲜性 (Key Freshness):该目标让A相信某个Key是 新鲜的。
G6相互确认密钥(Mutual Understanding of Shared Key): 该目标让A相信B最近确认了B拥有了一个用于和A通信的良 好的Key。
SVO 具有十分简洁的推理规则和公理,并且具有很 好的扩展能力,受到了普遍的重视和广泛的应用。
2
SVO的主要优点
与其他逻辑分析方法相比,SVO的主要优点如下。 SVO建立了一个清晰明确的语义基础,并且以此来
保证在此语义基础之上的逻辑推理是可靠的,这恰 恰是SVO逻辑系统合理性的理论依据。 SVO具有一个更为详细的模型,很好地消除了由于 逻辑表达式意义引起的模糊理解问题,可以更准确 地理解协议消息的真实含义。 SVO逻辑仍然保持了BAN逻辑简洁易用的特点,而 且由于SVO逻辑语义的支持,对SVO逻辑的扩展变 得十分方便。
6
公式语言
公式语言FT是满足下列性质的最小公式集合。 (1)如果P和Q是主体,K是一个密钥,则SharedKey(K, P,Q),
PKψ(P,K)和 PKσ(P,K),PKδ(P,K)是公式。它们分别表示 “K是P与Q的良好共享密钥”、“K是P的加密公钥”、“K 是P的签名验证公钥”和“K是P的协商公钥”,并且公钥所 对应的私钥是良好的。 (2)如果X和Y是消息,K是密钥,则SV(X,K,Y)是公式。 SV(X,K,Y)表示签名验证。 (3)如果P是主体,X是消息,则P sees X,P says X,P said X,P received X和 fresh(X)是公式。 (4)如果φ和ψ是公式,则¬φ和φ∧ψ是公式。¬和∧分别代表 “非”和“与”。 (5)如果φ是公式,则P believes φ和 P controls φ是公式,其 中P是主体。
3
SVO逻辑的认证目标
G1存活确认(Far-End Operative):该目标是让A相信B最 近发送过消息,也即认为B最近是存活的。
G2身份认证(Entity Authentication):该目标是让A相信B 最近发送了消息X,且它是对A的挑战的响应。
G3安全密钥建立 (Secure Key Establishment) :该目标是让 A相信他拥有的一个用于和B通信的良好的Key。
4
SVO逻辑的语法
SVO定义了两个语言,Байду номын сангаас个是消息语言,另一个是 公式语言。
首先定义T为原子项(Primitive Term)集合,其中 包括互不相交的符号集合:主体、共享密钥、公钥、 私钥、数字常量等。原子项也无法判断真假,在原 子项集合的基础上,定义消息语言和公式语言。
5
消息语言
消息语言MT是建立在T之上的满足下列性质的最小 语言集合。
在Ax3中,XQ指消息X来自Q,Q sees K可以理解为Q has K。 Ax4中,PKσ(Q,K)表示K是Q的签名验证公钥,SV(X,K,Y)表
示使用K可以验证X是否为消息Y的签名,如果收到X,且签 名验证通过,则可推理出Q说过Y。
12
密钥协商公理(Key agreement)
Ax5中PKδ(P, Kp)表示Kp是P的协商公钥,还隐含 表达了对应私钥的秘密性。F0(Kp, Kq)表示协商密 钥生成函数(如DH算法),F0使用第1个参数所 表示的公钥,使用第2个参数所对应的私钥。
16
说过公理(Saying)
17
仲裁公理(Jurisdiction)
Ax16. P controls φ ∧ P says φ ⊃ φ Ax16表明P对φ有仲裁权。
18
新鲜性公理(Freshness)
在Ax18中,F的计算必须依赖(X1,…,Xn)中新鲜元素 的值。
例如:在X1、X2、X3中,只有X2是新鲜的,根据 Ax17,则级联(X1,X2,X3)是新鲜的,但 F(X1,X2,X3) = ( X1+(0 *X2) +X3 )不是新鲜的,因 为F的计算并不依赖于X2的值。
为P产生的Nonce, F为对X的加密或者Hash,P可以对{X}K解 密或者对X进行Hash,并检验是否为X或是否为H(X)。若检 验成功,则P相信P拥有F(X),这意味着P能识别它。 对于不能识别的项,SVO记之为“*”。注意,Ax13的反向 形式,即P believes ( P sees X )⊃P believes ( P sees F(X) ) 是一个定理,可由Ax1和Ax12推导得出。