安全协议理论与方法.pptVIP

从主体认证属性的证明 In_window=true??((SB.NB)kB known_in Sz) 增加：SA.slave≠B?SB.NB≠SA.NB。 例如如果A与其他主体C通信，那么SA.NB将不是B所期待的随机数。 与上类似为使行为6a保持不变式，需有： ?(SA.NA,SB.NB) KA known_in Sz 也即:A收到一个消息如果第一部分SA.NA是正确的，那么其第二部分一定不同于SB.NB。 从主体认证属性的证明续 但是如果SA.NA和SB.NB是不同的，那么不变式显然是不成立的。而且根据它的角色，A必须发送(SA.NA, A)kc给C，但根据假设攻击者是知道此消息的(因为除了A,B,S外任何主体都可充当攻击者的角色)。攻击者因此知道了Kc-1和SA.NA,并能够发送(SA.NA,A)kc给B。由此(SA.NA, SB.NB)KA known_in Sz 和 SA.slave≠B 及SB.NB=SA.NB都为真，并且7b可由A的一个不正确响应6a所触发。 从主体认证属性的证明续 由上述说明可知，协议是有缺陷的。 修改之一：在消息6中增加发送者的标识。 第二个约束条件变为： ?b.(SA.NA, SB.NB, b)kA known_in Sz?b=B 并行多重会话续 A?B: Na B?A: E(Kab: Na, Nb) A?B: Nb 协议的行为包括6步：1a,1b,2b,2a,3a,3b，并可对A、B的状态以及6个行为进行形式化描述，但是： 1)断言行为的描述,需考虑新型的序列约束。 2)每个主体的状态涉及多个并行会话，因此需要跟踪每个会话的内容。 并行多重会话续 描述主认证属性时仅考虑1a和2a以及B的行为1b和2b。 证明不变式 ?(Kab known_in Si) 然后用反证法证明行为2b在任一会话中必须出现在由1b和2b界定的窗口内。它使用一个窗口不变式： In_window=true??n.?((SA.NA,n)Kab known_in Si) 并行多重会话续 注意2b的不同情况： 2b可被A或B执行。2b由B执行时Sb.master可等价于A或不等价于A，SA.NA也可等价于SB.NA，或者不等价。 如果2b由A执行，则存在问题。如果强制执行与前述协议同样的序列约束，认证属性得到满足，否则，如果A可执行并行的多重会话，那么将破坏不变式，作为从主体，A将给攻击者一个答案，即它在等待所涉及的其他并行会话。 Human-readable 若要求更为详细的协议分析时，可与基于模型检测的形式化方法交替使用。其已用于许多认证协议的分析中，验证结论可以从一个协议应用到另一个协议，因为： 证明法的主要工作是独立于协议的，因此是可以重用。 即使是与协议相关的部分，诸如不变式的确定与证明或认证属性的形式化与证明，也不因协议不同而有重大改变，因而也是可以重用的。 Paulson归纳法概述-协议模型续 Otway-Rees协议 A?B: M,A,B,E(Kas: Na ,M, A, B) B?S: M,A,B,E(Kas:Na, M,A,B), E(Kbs:Nb, M,A,B) S?B: M,E(Kas:Na, Kab), E(Kbs: Nb, Kab) B?A: M, E(Kas: Na, Kab) 服务器是常量S，A和B可为任意主体。 Paulson归纳法概述-协议模型续 协议模型化的表示： 如果evs是一个路径, Na是一个新鲜的随机数,B是一个不同于S和A的主体, 那么evs 将被下面事件扩展。 Says AB {Na, A, B, {Na, A, B}ka} 如果路径evs包含一个事件: Says A’B {Na, A, B, X} Paulson归纳法概述-协议模型续 Nb是一个新鲜的随机数, 并且B≠S,那么evs将被下面事件扩展： Says BS{Na, A,B,X, Nb, {Na, A,B}kb} 发送者的标记为A’, 并且未在新事件中使用是因为B不知道是谁发送了消息。 Paulson归纳法概述-协议模型续 如果路径evs包含一个事件: Says B’S {Na, A, B, {Na, A,B}ka, Nb, {Na, A,B}kb} Kab 是一个新鲜密钥且B≠S,那么evs将被下面事件扩展： Says SB {Na, {Na, Kab}ka, {Na, Kab}kb} 服务器S并不知道消息来自何方。如果S可以用标识的主体的密钥解密消息，并得到消息的正确格式，那么它认为消息是有效的并响应B。 Paulson归纳法概述-协议模型续 如果路径evs包含两个事件: Says BS{Na, A,B,X’, Nb, {Na, A, B}kb} Says S’B {Na, X, {