安全协议分析与设计课件第5章-下NSL协议的串空间方法证明.ppt

安全协议分析与设计第五章（下） 卫剑钒 NSL协议的串空间方法证明 NSL协议是Lowe对NSPK协议的改进，其中A、B代表协议主体，Na、Nb分别代表A和B产生的随机数，KA、KB分别代表A、B的公钥。 定义NSL串空间 先为串空间中的项代数增加两个成员如下。 主体标识集Tname：它是T的子集，包含主体的名字，如A、B等。 映射Key：Tname→K，这个映射是主体到其公钥的映射，如主体A的公钥为Key（A），记作KA。假设该映射是单射的，即如果KA=KB，则A=B。 定义NSL串空间 定义5.6 当串空间Σ中只有以下3种串时，称Σ为NSL串空间。 （1）攻击者串p。 （2）发起方串t∈Init[A,B,Na,Nb]，其迹为+{Na,A}KB, ?{Na,Nb,B}KA, +{Nb}KB，其中A、B∈Tname，Na、Nb∈T，但Na!∈Tname，串对应的主体是A。 （3）响应方串s∈Resp[A,B,Na,Nb]，其迹为?{Na,A}KB, +{Na,Nb,B}KA, ?{Nb}KB，其中A、B∈Tname，Na、Nb∈T，但Nb!∈Tname，串对应的主体是B。 证明响应方B的认证目标 命题5.1 设 （1）Σ为NSL串空间，C是Σ中的一个丛，s是一个响应方串，满足s∈Resp[A,B,Na,Nb]，且高度为3； （2）KA?1!∈KP； （3）Na≠Nb，Nb唯一地产生于Σ。 则C中存在一个发起方串t∈Init[A,B,Na,Nb]，且高度为3。 为了方便，下面记节点s,2（即响应方串的第2个节点+{Na,Nb,B}KA）为n0；记节点s,3（即?{Nb}KB）为n3；记term(n0)为V0，记term(n3)为V3。后面将附加两个节点n1和n2，使得n0n1n2n3。 引理5.1 为证明命题5.1，先证明一组引理。 引理5.1 Nb产生于n0。 证明：因为Nb?V0，并且n0的方向为正，根据对“产生”的定义，只需证明对n0前的节点n，都有Nb! ?term(n)即可。由于在同一串上，V0前只有s,1这个节点，term(s,1)={Na,A}KB，只需检验Nb≠Na和Nb≠A即可。前者是命题5.1的假设，后者则由NSL串空间定义中Nb!∈Tname的假设直接得出。 引理5.2 引理5.2 S={n∈C: Nb ? term(n)∧V0!?term(n)}有一个极小元n2，n2是正规节点并且方向是正的。 证明：由于n3∈C，Nb?V3，V0! ?V3，所以集合S是非空的，由极小元定理，S至少含有一个极小元n2，由正向定理，该极小元的符号为正。 n2是否可能为一个攻击者节点？下面用穷举所有可能攻击者串的办法来验证。 对于M串，迹为+t，t∈T，若要成为n2，只有t=Nb才可以，但若t=Nb，则Nb产生在这个串上。命题5.1第3条中指出Nb唯一地产生于Σ，引理5.1指明了Nb产生于n0，所以t=Nb不可能成立。 F串缺乏正向的节点，故而不可能含有n2。 T串具有?g,+g,+g的形式，其中的正向节点都不是S的极小元。 C串具有?g, ?h,+gh的形式，同T串一样，其中的正向节点不是S的极小元。 K串具有+k0的形式，k0∈Kp，Nb∈T，故Nb!?k0，所以该情况下不可能含有n2。 E串具有?k0, ?h,+{h}k0的形式，假设项为+{h}k0这个正向节点属于集合S，则有Nb?{h}k0∧V0!? {h}k0, 故而可得Nb? h，V0!? h，则?h这一点也属于集合S，故+{h}k0这个E串中唯一的正向节点不是极小元。 D串具有?k0?1，?{h}k0，+h的形式，如果项为+h的这个节点是S的极小元，则有：V0!?h并且V0?{h}K0，否则项为?{h}k0的节点就是极小元了。由完善加密假设，若V0?{h}K0，则必有h={Na，Nb，B}且K0=KA，故必存在一个节点m并且term(m)=KA?1（也即D串的第1个节点），由于KA?1!∈KP，由定理5.5，KA?1产生于正规节点，但是，发起方串和响应方串都没有产生KA?1，故S的极小元不在D串上。 S的极小元不在S串上的证明略。 经过上述分析，n2并不位于攻击者节点上，所以一定在正规节点上。 □ 引理5.3 引理5.3 在节点n2前存在同一个串上的节点n1，并且term(n1) = { Na, Nb, B }KA。 证明：由引理5.1可知，Nb产生于n0。由于V0?term(n0)而V0!?term(n2)，所以n2不等于n0，又由于Nb唯一地产生于Σ，故Nb不可能产生于n2，根据“产生”的定义可知，一定有和n2同一个串上之前节点的n1，并有Nb?term(n1)。由n2的极小元特性，一定有V0?term（n1），由于没有一个正规节点把加密项