Needham-Schroeder公钥协议的SMV分析.pdfVIP

第六届全国青年透信学术会议论文集 Needham-Schroeder公钥协议的S盯分析 张玉清王磊肖国镇 西安电子科技大学西安710071 ■蔓本文首次尝试运用形式方法的模型捡测工具sMV(SymbolicModelVerifier)时著名的 Ncedham-Schroeder套钥协议进行安全分析．同时给出了协议的一个改进版本，井再班舟涮V Schroeder套钥协议是安全的． 美t词密码协议网络安全驯v模型检测 密码协议目前已广泛应用于计算机通信网络中，借助于密码算法来达到密钥分配、身份 认证等目的．但密码协议安全性的论证仍是一个悬而未决的问题。20世纪90年代以来，密 码坍议的形式化分析成为国际上的研究热点。这种方法的出发点是希望将密码协议形式化， 而后借助于人工推导．甚至计算机的辅助分析，来判别密码胁议是否安全可靠。 早先的密码彤式分析方法采用基于信仰韵逻辑--BAN逻辑…，来说明和验证密码舟议． 随后学者们经过研究，发现BAN逻辑在理想化步骤等方面存在着不可逾越的障碍“j[31．自 1997年起，计算机科学家及密码学家开始陆续尝试用模型检测(modelchecking)这种新的 形式方法来分析密码协议的安全性“卜c”，作者正是基于这种背景开始了这方面的研究，本 Verifier)tsl这种新的模型检测工具软件来分析密码协 文将首先启用S时(Symbolic崩odel 议，并以著名的Needham-Schroeder公钥协议”1作为分析研究的对象。 一、Needlm}Schroeder公钥协议 Needham-Schroeder公钥挤议按功能划分为两个部分：获取公开密锈和双方身份认迁． 这里我们研究其身份认证部分，协议为： 消息I A—B： {Na，A}n 消息2 B—A： {Na，Nb}K． 消息3 A--B：{Nb}n 协议的参与者只有两个：主体A和主体B，其中A作为Ns公钥协议的韧始者·B为响应 耆．整个协议采用公开密钥系统，Ka、Kb分别是A和B的公开密钥，Na、№是A和B发布 的具有新鲜性的随机数(也称临时值．noDce)．协议的运行过程为：主体^向主体B发送包 含Na和自己身份的消息l，并用B的公钥Kb加密消息I；B收到并解密消息1后按协议要 求向A发送用A的公钥Ka加密的内含Na和Nb的消息2；在协议最后，A向B发送经Kb加 密的Nb．经过这样一次协议的运行，主体A和B就建立了一个它们之间的共享秘密曲，这 个共享秘密可为以后他们进行秘密通信确认双方身份时使用． 二、密码协议形式分析_r提 (1)完善保密(perfectencryption)前提，即协议采用的密码算法是完善傈密的． (2)参与协议运行的主体除了诚实的合法用户外，还有不怀好意的入侵者- (3)入侵者的知识与能力 ①知道参与协议运行的各主体名及其公钥，并拥有自己的加密密钥和解密密钥； ②可窃听或中途拦截系统中传送的任何消息，并增加自己的知识； ③即使不知道加密部分的内容，也可重放他所看到的任何消息(其中可改变明文部分) ④在系统中可插入新的消息．并可运用他知道的所有知识． 第六届全国青年通信学术会议论文集 三、髓公胡协谩曲SMV分折 I．NS公钥协议有限状杏薯统蕞型 众所周知．模型幢铡技术用于有限状态系统，为此我们为Ns公钥协议构造了如下的有 限状态系统模型： 参与协议运行能主体集合：{初始者A，响应者B，入侵者I)。其中A和B是诚实的 主体，他们将严格按照初始者和响应者的身份参与协议运行，并只运行一次Ns协议。而入 侵者I则不受此限制 有关集合为： (1)初始者集合：(A，I)； (2)响应者集合：{B，I}； (3)密钥集合：jKa，Kb，Ki)； (4)临时值集台：{Na．Nb，Ni)。 根据初始者和响应者的组合，Ns公钥协议有匕上下两种运行情况： (1)AHB ^和B运行一次Ns协议，其中A作为初始者，B作为响应 者 I÷+I I和I自己运行一次Ns协议，无实际意义 (2)A-÷I A和1运行一次Ns协议，其中A