安全协议分析与设计课件第3章-上逻辑类分析方法.ppt

安全协议分析与设计第三章（上） 卫剑钒 逻辑类分析方法 概述 BAN逻辑 BAN类逻辑 SVO逻辑 概述 逻辑类分析方法易于理解和使用，能够较为容易地发现协议中存在的漏洞，虽然在完备性等性质上存在局限性，但仍然值得使用。 安全协议的设计是很容易出错的，这是因为安全协议的运行是并发的，并且运行的环境是不可靠的，攻击者具有强大的能力。 靠人力来发现安全协议的错误，是一件很有挑战性的工作，即便是很有经验的研究者，也不能保证能够发现所有的漏洞，这一点，从很多富有经验的协议设计者仍然设计出含有漏洞的协议就可得知。 逻辑 逻辑是研究推理形式有效性的学科，它运用形式化的方法研究和判定推理形式的有效性。 形式化方法是将一套特制的人工符号（形式语言）应用于演绎体系以使其严格化、精确化的研究方法，它包括符号化和系统化两个环节。 符号化将命题形式中的变项（如p、q、r）和常项（如命题连接词）用符号（符号指可重复和可辨认的标记）表示。 系统化是在符号化的基础上将一定范围所有有效的推理形式构成一个形式系统。 逻辑 一个狭义的形式系统包括形式语言和演绎装置两个部分。 形式语言包括系统的初始符号（或称字母表）和形成规则（即如何使用符号组成公式）。 演绎装置包括定义、公理（可空）和规则。 一个广义的形式系统除了上述的狭义形式系统（或称语法部分）外，还有语义部分，即对初始符号、公式和规则的解释。 解释是把形式系统与一定的模型（模型代表对象域或客观原型）连接起来，从而赋予初始符号和公式以一定的意义。 逻辑系统的一些基本概念 公式（formula）：一些文献中称之为“合式公式”或“式”，表示一类具有一定形成规则的、解释后有意义的符号串。 定理（theorem）：在有的文献中称为“公式”，表示系统内的重言式（或称永真式），也即逻辑真理在形式系统中的表现形式。它们是经过证明或是可证明的公式。 初始定理又称“形式公理”，简称“公理”。在形式系统中，公理不需要另外的依据，它是作为产生其他定理的初始假设。非公理的定理称为“导出定理”。 规则（rule）：即推理规则，也称“变形规则”，是从已有定理产生其他定理的方法，指“从Γ得出A”或者“若Γ，则A”，本文用“Γ?A”描述规则，其中Γ是公式的有限序列，且Γ中每一个公式是定理。 初始规则是不需要另外依据的规则，非初始规则的规则称为“导出规则”，导出规则是证明中出现的子证明的紧缩，以缩短证明的步骤。 “蕴含”及“若，则”关系：“实质蕴含”简称“蕴含”，记为A→B，指（not A）or B，但它并不是人们通常逻辑思考中的充分条件关系。“蕴含”不能被简单地念做“若，则” 。 “蕴含”通常应用于公理系统中，而“若，则”这样的推理规则通常使用在自然推理系统中。公理系统和自然推理系统是等效的，采用哪种方法都有着同样的演绎能力。 逻辑类分析方法 BAN逻辑[BAN89]是安全协议形式化分析方法的一个开创性的工作。 在此之后，又有一系列类似的逻辑分析方法相继出现，包括Gong、Needham和Yahalom在1990年提出的GNY逻辑[GNY90]，Abadi和Tuttle在1991年提出的AT逻辑[AT91]，van Oorschot PC在1993年提出的VO逻辑[VO93]以及Syverson、van Oorschot在1994年提出的SVO逻辑[SVO94]等。 这一系列逻辑方法中，大多采用了基于知识和信念推理的模态逻辑，它们被统称为BAN类（BAN-like）逻辑。 逻辑类分析方法的特点 简洁直观、易于使用。相对于其他形式化分析方法来说，逻辑类分析方法还是比较简单易用的。 理想化方法。由于相同的消息在不同的协议中可能代表不同的意义, 因此, 在使用逻辑分析协议之前必须对协议进行理想化处理，但这个过程是非形式化的。 使用假设和推理规则。 BAN逻辑 A、B、S代表协议中的主体；Kab、Kas、Kbs代表主体之间的共享密钥；Ka、Kb、Ks分别代表主体的公开密钥；Ka?1、Kb?1、Ks?1代表对应的秘密密钥； Na、Nb、Ns代表主体各自生成的用于确认新鲜性的Nonce；P、Q、R代表主体变量；X、Y代表公式变量，K代表密钥变量。 P bel X：P 相信（believe）X； P sees X：P 接收了X； P said X：P 发送了X； P cont X：P 拥有对X 的仲裁权，即P拥有对X正确与否的判决权； #(X)：或写作fresh(X)，表明X 是新鲜的（fresh），也就是说，X没有在当前协议执行之前被发送过； SharedKey( K, P, Q )：主体P和Q之间拥有共享密钥K； PK( K, P )：K是P的公开密钥； Sec( X, P, Q )：X是P和Q之间共享的秘密（secre