安全协议分析与设计 教学课件 作者 卫剑钒 陈钟 安全协议 第4章 下.pptVIP

安全协议分析与设计第四章（下） 卫剑钒 CSP方法实例分析 用CSP验证NSPK协议 用CSP验证TMN协议 用CSP验证NSPK协议 设发起者集合为Initiator，响应者集合为Responder，公钥集合为Key，随机数集合为Nonce。 消息Message 1. A→B: {Na, A}Kb 可写为用CSP事件 comm.Msg1.a.b.Encrypt.kb.na.a。 其中加密部分{Na,A}Kb用Encrypt.kb.na.a表示。 消息和信道 事件和信道 user.a.b来表示用户a发出一个要与响应者b进行会话的请求； session.a.b表示NSPK协议后紧跟的应用协议会话。 I_running.a.b表明发起者a认为自己已经与b开始了协议的一次运行； R_running.a.b表明b认为已经与a开始了一次协议的运行； I_commit.a.b表明a认为自己结束了与b的会话； R_commit.a.b表明b认为自己结束了与a的会话。 声明以上几个信道如下： Channel user, session, I_running, R_running, I_commit, R_commit : Initiator.Responder 发起者进程 应用重命名机制 由于Msg1和Msg3可以被拦截和窃听，Msg2可以被伪造，进程可以被改写为： 响应者和攻击者 对于响应者，可以写出类似的进程RESPONDER1，此处略。 攻击者可以窃听、截取系统中的任意消息，可以解密用自己密钥加密的消息，可以伪造消息、重放消息等。攻击者也可以作为正常用户与协议交互，设攻击者具有身份I、公钥Ki和一个初始的随机数Ni。 攻击者可以用若干参数描述自己具有的知识，包括分别由消息Msg1、Msg2和Msg3组成的3个集合，记作m1s、m2s和m3s，这些消息都是攻击者无法解密的。攻击者产生的随机数集合记作ns。 攻击者进程 攻击者进程 攻击者进程 系统定义 假设攻击者初始知识只有Ni，可得如下的攻击者定义： INTRUDER=I({},{},{},{Ni}) 把正常的协议主体定义为 AGENT = INITIATOR1 |[{|comm,session|}]| RESPONDER1 然后把攻击者考虑在内，实际的系统可定义为 SYSTEM=AGENT |[{|fake,comm,intercept|}]| INTRUDER 验证协议的认证性 对于A来说，在结束认证之前，要求响应者B确实参与了这次运行，如下所示： AR0=R_running.A.B→I_commit.A.B→AR0, A1={|R_running.A.B,I_commit.A.B|}, AR=AR0|||RUN(Σ\A1) AR0描述了一个I_commit.A.B事件只能在R_running.A.B事件之后发生。AR表明，除了R_running.A.B和I_commit.A.B以外的其他事件，其顺序是不关心的。Σ为所有事件的集合，RUN表明任意的事件排列。 验证协议的认证性 使用FDR验证SYSTEM是否精练了AR，如果精练了AR，则对响应者的认证性就得到了保证。 类似地，有AI如下： AI0=I_running.A.B→R_commit.A.B→AI0, A2={|I_running.A.B,R_commit.A.B|}, AI=AI0|||RUN(Σ\A2) 验证协议的认证性 将以上的描述输入FDR，可以发现SYSTEM没有精练AI。FDR发现如下迹： 验证协议的认证性 在上面的迹中，出现了R_commit.A.B，但之前并没有I_running.A.B，故SYSTEM未能精炼AI。B以为和A建立了会话，而实际上A认为自己和I建立了会话，B没有能够认证发起方。 用CSP验证TMN协议 TMN协议是一个带有可信第三方的协议。它包括3个主体：发起者A、响应者B和服务器S。 协议包括两种加密方式。 （1）标准加密。这种方式使用加密函数E来加密，发起者和响应者都可以对m加密生成E(m)，但只有S可以解密E(m)。这可通过公钥加密算法来实现，如RSA。 （2）vername加密。这种加密也即异或（exclusive-or）加密，对k1和k2的vername加密记为V(k1,k2)，也即k1和k2的位异或运算。如果有一方拥有k1，则可通过运算V(k1,(V(k1,k2))获得k2。 TMN协议 当发起者A想要与响应者B建立会话的时候，A选择一个密钥ka，并用标准方式加密，发送给服务器。 响应者B选择会话密钥kb，加密后发送给服务器S。 服务器S用Vernam方式加密ka和kb，然后发送给A。当A收到这条消息以后，用密钥ka解密V( ka, kb )，获得会话密钥kb。