网络安全协议的形式化分析与验证 教学课件 作者 李建华 第二章 基于模态逻辑技术的安全协议分析方法.pptVIP

第2章 基于模态逻辑技术的 安全协议分析方法;;2.1 BAN逻辑 ;2.1 BAN逻辑;BAN逻辑的处理对象包括： 主体（Principals） 密钥（Keys） 公式（Formula），公式也称为语句或命题（Statement）。 一般地，P、Q、R等表示主体变量，K表示密钥变量，X、Y表示公式变量。 设A、B表示两个普通主体，S表示认证服务器，则KAB、KAS、KBS表示具体的共享密钥，KA、KB表示具体的公钥，KA-1、KB-1表示相应的私钥，NA、NB表示随机值。h(X)表示X的单向散列函数。;BAN逻辑包含一个联接词，用逗号表示； 除此之外，它还定义了以下语法构件： P|≡X：P相信X，即主体P相信命题X是正确的。 P X：P看到X，即主体P接收到了包含X的消息，P能读出并重复。 P|~X：P曾经说过X，即P曾经发送过一条包含X的消息，并且在发送时，P是相信X的。 P| X：P对X有仲裁权，即P对命题X具有权威性，别的主体对此都信服。 #(X)：X是新鲜的，即X是本轮协议运行过程中产生的新鲜随机数。;P Q：K是P与Q的共享密钥，并且除P、Q及他们所信任的主体之外，其他主体都不知道该密钥。 : P的公钥为K，且除P及他所信任的主体之外，其他主体都不知道对应的私钥K-1。 P Q：X为P和Q的共享秘密，且除P和Q以及他们所信任的主体之外，其他主体都不知道X。 {X}K：用密钥K加密X后得到的密文。 XY：消息X和秘密Y的级联。这里主要是利用Y来证明发出消息XY的主体的身份。;2.1.2 推理规则;R1表明：如果P相信K为P和Q的共享密钥，且P接收到用K加密的X的密文消息{X}K，则P相信Q曾发送过消息X。 类似地，对于公开密钥及共享秘密的情形，分别有下述推理规则R2和R3： R2： R3： ; 2. 随机数验证规则 R4： 3．仲裁规则 R5： ;4．信仰规则：信仰规则共有4条，反映了信仰在消息的级联与分割的不同操作中具有一致性及传递性。 R6： ; R7： R8： R9： ; 5．消息接收规则：消息接收规则共有5条，定义了主体在协议运行中对消息的获取能力。 R10： R11： ; R12： R13： R14： ;6．消息新鲜性规则 R15： 如果P相信X是新鲜的，那么P相信与X级联的整个消息都是新鲜的。; 7．密钥与秘密对称规则 R16： R17： ; R18： R19： ;2.1.3 应用实例; Needham-Schroeder 协议过程如下： （1）A→S: A, B, NA （2）S→A: {NA, B, KAB, {KAB, A} （3）A→B: {KAB, A} （4）B→A: （5）A→B: ; ; ;——关于S的可信性： A6: A7: A8: ;——关于随机数的新鲜性： A9: A10: A11: A12: ; 3．协议目标的形式化描述 G1: G2: G3: G4: ; 4．逻辑推理及验证 由M2可知， ，又由初始化假设A1，应用消息意义规则R1，可得