安全协议设计与分析技术研究

该假设认为协议采用的密码算法是完美的，不考虑 密码算法被攻破的情况。如Hash函数提供单向性和 无碰撞性，加密算法提供语义安全性（Semantic Security）及不可延展性（Non-Malleability）等。
无加密项冲突，即若有{m1}k1= {m2}k2，则有m1= m2和k1 = k2。这使得攻击者试图用{ m2 }k2使A相 信其为{m1}k1是不可行的。
24
协议交互攻击
密钥通常是被设计在一个单独的协议中使用，然而， 由于设计上或者使用上的疏忽，可能在多个协议中 使用同一个密钥。
防范这种攻击可以考虑两种方法：一种方法是对于 不同的协议使用不同的密钥；另外一种方法是在消 息中添加协议标识（如协议名称及其版本号）并对 其认证。
通常情况下，对协议的分析都只针对单个协议，并 不考虑协议交互攻击。
14
单一协议假设
单一协议假设是指协议运行环境中不存在其他协议 的运行。目前各种形式化分析中都显式或隐式地包 含了这个假设。
多个不同的安全协议同时运行可能会被攻击者利用 造成攻击，这是因为有些密钥（如公钥）可以用于 多个应用中，多个协议同时运行为攻击者提供了大 量的加密和解密机会。
Kelsey等人在文献[KSW98]中给出了一些这样的例 子，称之为协议选择攻击。
安全协议分析与设计课件第1章-上安全协议基础知识
安全协议基础知识
NSSK（Needham-Schroeder Shared Key）协议。
A→S: S→A: A→B: B→A: A→B:
A，B，Na { Na，B，Kab，{ Kab，A }Kbs }Kas { Kab，A }Kbs
{ Nb }Kab { Nb – 1 }Kab
前向安全：一个协议具备前向安全，是指即便安全 协议中使用的长期密钥被攻击者破获，而由这些长 期密钥所建立（通过安全协议建立）的会话密钥仍 然是安全的。

Ｕ ｉｕ ｄ ｎｉ ｅ ）和公钥 ，然后 Ｓ ｎｑ ｅ Ｉｅ ｔ ｉｒ ｆ Ｃ向登记 的控 制点
（ 或者设备）发放 Ｓ Ｃ的 自签名证书 ，并且将控制点 （ 或 者设备 ）的 ＵＵＩ Ｄ和公钥签名并制作证书发放给控制点 （ 或者设备 ） Ｃ登记控制点 （ ，Ｓ 或者设备 ）的角色信息 ， 并将角色信息加入到访 问控制列表里 ，角色是 Ｓ Ｃ确定
Ｕｎ Ｐ Ｐ设 备 通 过 Ｓ Ｄ Ｓ Ｐ广 播 自己和 提供 服务 ，而控制点通过 Ｓ Ｐ来调用此服务。Ｓ Ａ ＯＡ Ｏ Ｐ 接 口代表另一种可能的安全漏洞 ，因为这些软件 Ａ Ｉ Ｐ 可 能会暴 露功能。例如一个打包应用程序可能有成百上千 的关键操作被暴露 ，而所有这些都可 以通过某个端 口读 取 ； 击者可 以得到更多他可以使用 的标准信息。Ｗｅ 攻 ｂ 服务描述语言 （ Ｄ ）文件 、通用描述、检 测和整合 ＷＳ Ｌ （ Ｄ ）等这些条 目提供了关于服务的详细信息 ，例如 ＵＤ Ｉ 如何调用它 ，希望发送和接收什么样的参数等 ，这些为 黑客提供了登录所使用 的信息。Ｓ Ｐ信息和 ＷＳ Ｌ文 ＯＡ Ｄ 件都 是 Ｘ ＭＬ格式的 ，这种格式是 自描述 的，它清楚地 显示 了数据元素和数据结构。拥有这些信息 ，黑客能够 了解信息格式 ，并充分利用它。由于 Ｓ Ｐ控制信息和 ＯＡ 回复没有进行 检查和 限制 ，这就会造成 黑客进行监听 ， 角色扮演和重播攻击 ，以及弄虚作假、串改 、伪 造、歪 曲数据 隅。 Ｊ
配置 ”的前提下提供联 网设备 之间的 自动发现、 自动声 明、直接信息交换和互操作等功能，真正实现 “ 设备 即
插即用 。
Ｕｎ Ｐ Ｐ的工作流程 图如图 ３ 所示 嘲。
息 通 过 运 行 于 ＵＤ Ｐ上 的 ＨＴ Ｐ Ｔ ＭＵ （ ｌｃｓ Ｐ Ｍｕｔ ａｔＵＤ ｉ Ｈ Ｔ ｓａｅ） 或 ＨＴ Ｐ （ ｎｃｓ Ｕ Ｐ Ｈ Ｔ Ｔ Ｐ Ｍｅｓｇｓ Ｔ Ｕ Ｕ ｉａｔ Ｄ Ｔ Ｐ

７ ４ ２
佳 木 斯 大 学 学 报 （自 然 科 学 版 ）
２ ０ １ ３丘
模糊 控制规则 的确 定是 根据 有 经验 的操 作者 多次 实践得 出 的若 干条模糊 条 件语句 ， 这些模 糊语 句可 用模糊控 制规则 表表示 ， 如表 １ 所 示
表 １ 模糊 控制 规则 表
Ｅ、 ＥＣ ＮＢ ＮＭ ＮＳ Ｚ Ｏ Ｐ Ｓ Ｐ Ｍ Ｐ Ｂ
糊 控制超 调量小 ， 调 节时 间短 ， 控 制过程 比较平稳 ， 跟 随性能好 ．
（ １ ） 安全 协议 的类 图
类图是对类及其之间关系的可视化表示 ， 它是
从 一定抽 象 的视角 来 描述 系统 的静态 结构 ． 安 全协
２ 建模 语 言 Ｐ Ｒ Ｏ ＭＥ Ｌ Ａ
Ｐ Ｒ Ｏ Ｍ Ｅ Ｌ Ａ（ Ｐ ｒ ｏ ｔ ｏ ｃ ｏ ｌ Ｍｅ ｔ ａ Ｌ ａ ｎ ｇ ｕ ａ ｇ ｅ ） 是 用 来 对
３ 安 全 协 议 可 视 化 建 模 及 对 应 Ｐ Ｒ Ｏ Ｍ Ｅ Ｌ Ａ语 义转 换
３ ． １ Ｎ ｅ ｅ ｄ ｈ ａ ｍ—Ｓ ｃ ｈ ｒ ｏ ｅ ｄ ｅ ｒ 公钥 协议
为使描述更加清晰 ， 我们采用消息序列的方式
来 表示 协议 ：
（ １ ） Ａ Ｓ ： Ａ， Ｂ
１ 模 型检 测 工具 Ｓ Ｐ Ｉ Ｎ
（ ３ ） 利用 Ｓ Ｐ Ｉ Ｎ对 系统属 性进 行 验证 ； （ ４ ） 若 属 性 为假 ， Ｓ Ｐ Ｉ Ｎ会 生 成 一 个 ． ｔ ａ ｉ ｌ 文件 ，
（ ２ ） ｓ Ａ ：｛ Ｐ ｋ ｂ ， Ｂ ｝ ｐ ｋ ｓ 一１ （ ３ ） Ａ —Ｂ ：｛ Ｎ ａ ， Ａ ｝ ｐ ｋ ｂ
第３ １ 卷 第 ５期

Ｘｕ ａｆｎｇ ｅ Ｈ ｉｅ （ｎｏｍａｉｎＭａ ａ ｅ ｅｔ ｆ ｃ，ｈ ｐｎＵ ｉ ｒｔ ｈｎ ， Ｉ ｒ ｔ ｎ ｇｍ ｎ ｆ ｅＴ ｅＯ ｅ ｎｖ ｓｙｏ ｉａ ＆ ｆ ｏ Ｏｉ ｅ ｉ ｆＣ
Ａｂ ｔ ａ ｔ ｓｒ ｃ
１０ ３ ， ｈｎ ００１ Ｃｉ ａ）
Ｄ ａ ｎ ｔ ｅｉ ｅ ｆｓ ｆ ａ ｅ ｅ ｇ ｎ ｅ ｉ ｇ ｈ ｓｐ ｐ ｒｐ ｏ ｏ ｅ ｈ ｏ ｋ ｌｗ ｆｄ ｓｇ ｉ ｇ ｓ ｃ ｒ ｙ ｐ ｏｏ ｏｓ ｉ ｒｒ ｈ ｃ ｌ ｄ ｌ ｒ ｗｎ ｏ ｈ ｄ ａ ｏ ｏｔ ｒ ｎ ｉ ｅ ｒ ，ｔ ｉ ａ ｅ ｒ ｐ ｓ ｓｔ ｅ ｗ ｒ ｆ ｗ ｎ ｏ ｏ ｅ ｉ ｎ ｎ ｅ ｕ ｔ ｒ ｔｃ ｌ ，ｈ ｅ ａｃ ｉａ ｉ ｍｏ ｅｓ
ｆ ｓ ｃ ｒ ｙ ｐ ｏｏ ｏ ｎ ｅ ｕ ｔ ｒ ｐ ｒ ｅ ． ｏ ｅ ｕ ｉ ｒ ｔｃ ｌａ ｄ ｓ ｃ ｒ ｙ ｐ ｏ ｅｔ ｓ Ｍｅ ｎ ｉ ，ｔｅ ａｔｃ ｎ ｌｓｓ ｏ ｅ ｈ ｅ ａ ｃ ｉａ ｄ ｌ ｓａｓ ｄ ｎ ｔ ｅ ｐ ｐ ｒ ｈ ｕ ｈ ｒ ｔ ｉ ｉ ａ ｗｈ ｌ ｈ ｔ ｋ ａ ａｙ ｉ ｆｔ ｉｒ ｒ ｈｃ ｌｍｏ ｅ ｓｉ ｏ ｍａ ｅ ｉ ｈ ａ ｅ ．Ｔ ｅ ａ ｔ ｏ ｅ ａ ｈ ｌ
次化 的分析和论述 ， 论述不够 全面。最 后作 者提出 ： 使用安全协
０ 引 言
安全协议又称为密码协议 。它是确保分 布式 网络 中安全通
议工 程的思想来全面 、 系统地解决 安全 协议 安全问题 ， 是安全协
议最 终得以解决的必 由之路 。
讯 的基 础技术手段 ， 是网络通讯安全 的基本和核心 问题 之一 ， 被 广 泛地应用于互联 网、 安全通信 、 电子商务 、 网络教育 、 数字化校

］ ｙｗｏ ｄ ］Ｓ ｃ ｒｙｐｏｏ ｏｓＦ ｒ ｌ ｎ ｌｓ ： ｄ ｌｈ ｃ Ｋｅ ｒ ｓ ｅｕｉ ｒｔｃ ｌ ｏｍａａ ａｙｉ Ｍｏ ｅ ｃｅ ｋ ｔ ： ｓ
安全协议 是通 过密码技术 ，实现密钥分发和身份认证 的 通信协议。如何设计一 个符合安全 目标 的安全协议是一 个难
题 ，有的协议在使 用多年 后才被发现存在漏洞 。凶此 ，对 ’
基于模型检测的形式化 分析 工具 ，侧重于 具体 的实 践，
证 协议是否满足其 安全 说明。逻辑 系统通 常由一些命题 和推 理公理组成 。命题表示 体对 消息的知识 或信仰 ，而运 用推 ＃
理公理则 可以从主体 已知的知识 和信仰 中推导 出新 的知识和
在协议不安全的情 况下，会给 出协议 所受 的攻 击路径 ，而基
较广 ，速度比较快 ，自动化程度高。只要计 算能力和时间足 够 ，模型检测过程给出待检验性 质的真假值 ，并且 为假 时 ， 还能够提供反例。凶此模型检测在形 式化验证领 域中，越 来
之一 。本文主要思想是把模型检 测技术 与逻辑推证技术 相结
合 ，以弥补单个方法的局限性 ，从而 更全 面地 验证 协议 的安
全性 。
１２逻辑推证技 术 ． 逻辑分析 方法是基于知识和信仰 的分析方法，主要是从
用户发送和接收 的消息 出发，通 过一 系列的公理和规 则来推
ｌ模型检测技术与逻辑推证技术
于推理结构性 方法的逻 辑推证技术 更侧重于抽 象的理论 ，最 终对所分析的协议 给出安全或不 安全 的结 论。
信仰。如果最终的知识和信仰 的语句集里 不包含所 要得 到的 目标知识和信仰 的语句 ，就说 明协议 存在 安全 缺陷。其 中以
Ｂ ＡＮ逻辑 ０ 为代表 。 ＮＹ逻辑 、 Ｔ逻辑 等是在 Ｂ Ｇ Ａ ＡＮ逻辑 的 基础土改进而来 的，一 股称之 为 Ｂ Ｎ类逻辑。 Ａ

随着人类社会的不断发展 ， 人们也进入到了一个信息化时代 ， 许 绍 。 多先进 的信息技术 已经被人们广泛的应用各个领域当中，这不但有 ３ ． １ 密 码 协议 的安全 『 生 及攻 击 目前设计 出的密码协议己有很多 ，但许多密码常常刚一发表 ， 便 利于社会经济的增长 ， 还给人们 的生活带来了许 多的便利 。而且在当 前通信技术发展的过程 中，人们对计算机通信网络的安全问题也越 被发现有漏洞。造成协议失败 的原因很多 ， 最主要 的是因为协议的设 来越重视 ， 因此也将许多新型的安全 防护措施应用到其中 ， 从而使得 计者对安全需求 的定义研究得不够透彻 ，并且对设计 出来的协议缺 计算机通信 网的安全性得到 了有效的保障 。其 中计算机通信网安全 乏足够的安全性分析 ， 正像密码算法 的设计一样 ， 要证 明协议的不安 协议 的应用 ， 不仅使得计算机通信 网的安全性得到 了进一步 的提升 ， 全性要 比证明其安全 ｆ 生 要容易地 多。 在分析密码协议的安全陛时 ， 常用的方法是对密码协议施加各种 还有利于计算机数据信息的处理 。下面我们就对计算机通信网安全 协议 的相关 内容进行简要 的分析 ，从而让人们对计算机通信网安全 可能的攻击来测试其全度 。密码攻击的 目标通常有三： 协议 有 着 一定 的 了解 。 （ １ ） 协议 中采用 的密码算法 ； １ 安全 协 议 的概 述 （ ２ ） 算法和协议 中采用的密码技术 ； 目前在人们生活 中“ 协议 ” 应用 的十分 的广泛 ， 它主要是为 了完 ｆ ３ ） ｆ 办议 本 身 。 成某项任务或者 目标 ， 由两个及其以上 的参与者而组成的。因此我们 对密码算法和密码技术的研究不是本文主题 ， 我们这里将主要研 在对协议的定义进行理解的过程 中，就要从以下 三个不同层次来对 究对协议 自身的攻击 ，而假设协议 中所采用的密码算法和密码技术 其进行分析 ： 第一 ， 协议是一个有序 的过程 ， 每一个步骤都是有参与 均 是安 全 的 。 者制定完成以后 ，在依次执行 的，而且必须在一个步骤执行完成 以 ３ ． ２密码 协 议 的设 计规 范 在协议的设计过程中 ， 我们通常要求协议具有足够的复杂性 以抵 后， 才能进行下一个步骤的实施 ， 以确保协议的有序进行 。 第二 ， 一份 协议至少有两个参 与者 ， 其 中每个人在执行协议的时候 ， 都有着特定 御交织攻击。另一方面 ， 我们还要尽量使协议保持足够的经济胜和简 的步骤 ， 从 而来对这项任务进行完成 ， 但是这并不属 于协议 的内容 。 单 胜， 以便可应用于低层网络环境 。 如何设计密码协议才能满足安全 有效性 、 完整性 和公平性 的要求 呢？ 这 就需要 对我们的设计 空间 第三 ， 执行协议的 目的主要是为了完成某一项任务 ， 使其得 到人们预 性 、 期的效果 。而所谓的安全协议 ， 也就是指为了保证某项特定任务 的安 规定一些边界条件 。归纳起来 ， 可以提出以下安全协议的设计规范。 全性 ， 而采用 的相关技术 。 ３ ． ２ ． １ 采用一次随机数来替代时戳 在已有的许多安全协议设计 中， 人们多采用同步认证方式 ， 即需 在计算机通信 网使用的过程 中， 人们主要是利用安全协议 ， 通过 密码计算 的方法来保证 信息数据 的安心性 ，从而得到密钥分配和身 要各认证实体之间严格保持一个 同步时钟。在某些 网络环境下 ， 保持 份认证的 目的 。 早在二十世纪七十年代 ， 人们就 已经将安全协议应用 这样 的同步时钟并不难 ， 但对于某些 网络环境却十分 困难。因此 ， 建 应尽量地采用一次随机数来取代时戳 ， 即采用 到计算机通信 网当中，这种安全协议不仅使得计算机通信 网络 的安 议在设计密码协议 时， 全． 陆能得 到了有效的保证 ， 还为计算机 网络通信技术 的发展 、 安全协 异 步 认 证 方式 。 议的设计提供 了 良好的发展前景 。 因此随着科学技术的不断进步 ， 人 ３ ． ２ ． ２ 具有抵御常见攻击 的能力 们也将许 多先进 的信息技术应用到了其中 ，这就使得计算机通信网 对于所设计 的协议 ， 我们必须能够证明它们对于一些常见 的攻击 如 已知或选择明文攻击 、 交织攻击等是安全的。 换 言之 ， 攻击者 的安全性得到 了进一步保证 ，让安全协议 的应用效果得 到了有效的 方法 ， 提高。 目前 ， 计算机通信网络 当中常见 的安全协议主要有 ： Ｓ Ｓ Ｌ协议以 永远不能从任何 “ 回答 ” 消息 中， 或修改过去的某个消息 ， 而推出有用 及Ｓ Ｅ Ｔ协 议 。 的密码消息。 ３ ． ２ ． ３ 适用于任何 网络结构的任何协议层 ２密码协议分类 迄今 为止 ， 尚未有人对安全协议进行过详 细的分类 。其实， 将密 所 设 计 的协 议 不但 必 须 能够 适 用 于低 层 网络 机 制 ， 而且 还 必 须能 码协议进行严格分类是很难 的事情 。 从不 同的角度出发 ， 就有不同的 用于应用层的认证 。这就意味着协议 中包含的密码消息必须要尽可 分类方法 。 例如 ， 根据安全协议的功能 ， 可 以将其分为认证协议 、 密钥 能地短． 如果协议 采用 了分组加密算法 ， 那 么我们期望此密码消息的 建立 （ 交换 、 分配） 协议 、 认证 的密钥建立佼 换 、 分配） 协议； 根据 Ｉ Ｓ Ｏ的 长度等同于一组密文的长度 。 七层参考模型 ， 又可 以将其分成高层协议和低层协议 ； 按照协议 中所 结 束 语 由此可见 ， 在当前社会发展 的过程中 ， 安全协议早 已经广泛 的应 采用 的密码算法 的种类 ， 又可以分成 双钥 （ 或公钥） 协议 、 单钥协议或 混合协议等。其实比较合理的分类 方法是应该按 照密码协议的功能 用在计算机通信 网当中 ， 这不仅有效 的保证了计算机通信的安全性 ， 来分类 ， 而不 管协议具体采 用何种密码技术。这里我们采用《 通信网 还进一步的保 障了人们 的经济利益 ，从而有效的促进 了社会经济的 的安全一理论与技术》 ｌ 中的分类 ， 把密码协议分成 以下三类： 稳定发展。不过 ， 从 当前安全协议设计和应用 的实际情况来看 ， 其 中 ２ ． １ 密钥建立协议（ Ｉ （ ｅ ｙ Ｅ ｓ ｔ ａ ｂ ｌ ｉ ｓ ｈ ｍ ｅ ｎ ｔ Ｐ ｒ ｏ ｔ ｏ ｃ ｏ １ ） ， 建立共享秘密； 还存在着一定 的局限性 ， 为此我们还也要在不断的实践过程 中， 来对 ２ ． ２认证建立协议 （ Ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｉ ｏ ｎ Ｐ ｒ ｏ ｔ ｏ ｃ ｏ ｌ １ ， 向一个 实体提供对 其进行相应的完善和改进 ， 以确保计算机 网络通信的安全性。 参 考文 献 他想要进行通信的另一个实体的身份的某种程度的确信； ２ ． ３ 认证的密钥建立协议 （ Ａ ｕ ｔ ｈ ｅ ｎ ｔ ｉ ｃ ａ ｔ ｅ ｄ Ｋ ｅ ｙ Ｅ ｓ ｔ ａ ｂ ｌ ｉ ｓ ｈ ｍｅ ｎ ｔ Ｐ ｒ ｏ — 『 １ １ 杨世 平． 安全协 议及 其 Ｂ Ａ Ｎ逻辑 分析研 究［ Ｄ 】 ． 贵阳： 贵 州大 学 ， ２ ００ ７． ｔ ｏ ｃ ｏ １ ） ， 与另一身份 已被或可被证实的实体之间建立共享秘密。 『 ２ １ 石曙 东． 网络协议安全性分析 中的逻辑化方法研 究［ Ｄ １ ． 武汉： 华 中科 ３密码协议的安全性 如前所言 ， 密码协议的安全性非常重要 ， 本节就这个主题进行介 技 大学 ， ２ ０ ０ ９ ．

• 现有的安全协议形式化分析技术主要有四种： – 逻辑方法：采用基于信仰和知识逻辑的形式分析方法，比如以 BAN逻辑为代表的类BAN逻辑 – 通用形式化分析方法：采用一些通用的形式分析方法来分析安全 协议，例如应用Petri网等 – 模型检测方法：基于代数方法构造一个运行协议的有限状态系统 模型，再利用状态检测工具来分析安全协议 – 定理证明方法：将密码协议的安全行作为定理来证明，这是一个 新的研究热点
P believe k P, P saw{X}k P 定义了主体在协议运行中对消息的获取 • 规则5
R5 : P | kQ, P{X}kQ1 PX
为各种协议形式化分析方法形成统一的形式语言表述以描述可利用的必要信息并使之能够应用于一些新的应用协议的分析中将形式化方法应用于协议说明和协议涉及阶段使之不仅仅用于分析具体的某个安全协议的安全性从而可以极小的代价尽可能早地发现错误类ban逻辑形式化分析ban逻辑形式化首先需要进行理想化即将协议的消息转换为ban逻辑中的公式再由逻辑的推理规则根据理想化协议和假设进行推理推断协议能否完成预期的目标类ban逻辑形式化分析ban逻辑形式化加密系统是完善的只有知道密钥的主体才能解读密文消息任何不知道密钥的主体都不能解读密文消息也没有办法根据密文推导密钥密文含有足够的冗余消息解密者可以根据解密的结果来判断他是否已经正确解密消息中有足够的冗余消息使得主体可以判断该消息是否来源于自身ban逻辑还假设协议的参与主体是诚实的类ban逻辑形式化分析ban逻辑形式化依照ban逻辑的惯例pqr等表示主体变量k表示密钥变量xy表示公式变量
内容提要
1. 安全协议存在安全缺陷 2. 安全协议形式化分析 3. 类BAN逻辑形式化分析 4. 例子：对NSSK认证协议的BAN逻辑分析
类BAN逻辑形式化分析——BAN逻辑形式化