NSPK协议的Promela语言建模及分析 Promela modeling and analysis for NSPK protocol.pdfVIP

V01．29 第29卷第190期 电力系统通信 No．190 ·52· Telecommunication8forElectricPower 2008年8月lO丑 System Aug．10，2008 NSPK协议的Promela语言建模及分析 田国良，陈春玲 (南京邮电大学计算机学院，江苏南京210003) 摘要：重点提出了对NsPK协议进行建模设计的思想和方法，阐述了如何用Promela语言实现模 型的关键技术。使用Spin对该模型进行行为模拟和属性校验，结果既能保证协议的正常执行， 也能帮助发现安全缺陷。 关键词：SPIN；Promela；NSPK；建模 中图分类号：TN915．04 文献标志码：B 文章编号：1005—7“1(2008)08—0052一04 程名字和行为的定义，进程可以有参数，进程体可 0 引言 以包含局部变量、表达式和控制语句等。进程类似 安全协议的自动检测工具是近年来发展起来 于c语言中的函数，但是Pmmela语言描述的进程 的技术，虽然绝大多数安全协议看上去只有几句简 相对简单得多，没有返回值的概念。 单的通信消息，但这些协议中隐藏的安全隐患和设 5)初始化进程声明。关键字init代表初始化 计缺陷往往是很难发现的。因此用单纯的推理法 进程。一般模型系统内只要有初始化进程，那么系 或证明构造法分析协议的安全性是难以发现其中 统就会先启动初始化进程，这个进程主要完成对一 问题的，况且使用诸如BAN逻辑推理这样的方法 些数值的初始化工作，并启动其他进程。init进程 推出的结果，很大程度上依赖于前提假设，因而很 本身是系统调用的，一个Promela语言描述的系统 难发现问题。 255个不同种类的进程。 1 仿真建模初步 对于Pmmela语言本身不再进行太多赘述，详 从整体上讲，Promela所描述的系统模型一般情可参考文献[1—4]。 含有如下元素。 1)类型声明。可以用关键字mtype完成符号的时候常会用到以下算法。 变量声明，用typedefs声明结构体等，符号变量在 1)线性时序逻辑LTL。用户可以用m对系 一个文件中只能声明一次。 统有限状态模型的状态或事件序列的发生需求做 2)信道声明。可以用关键字chan声明模型中出抽象性描述，这种描述是通过LTL公式来表达 需要用到的任意信道，信道可以带参数或者不带参 的，这些公式类似于命题逻辑中的命题公式。这些 数；信道可以是同步信道或者是异步信道。需要指 命题符号有“[]，，!，and，or，u，一”等，这些 出的是，信道的这些性质在后面介绍的对NSPK协符号可以单个使用或者组合使用表达不同的系统 议的模拟中具有非常重要的作用。 状态。 3)全局变量声明。和C语言声明全局变量很 2)偏序归约。主要用来解决spin在进行系统 相似，如intX，mtypeY等。需要指出的是Promela模型状态搜索中常遇到的状态空间爆炸问题，偏序 语言中声明的变量都只能是整型(布尔值也被 归约技术基于系统各个状态之间的依赖关系，这个 Spin当作O或者l来处理)，整型给建模和校验检技术会大大降低状态搜索的复杂度。 测带来了很大的方便。全局变量可以被任何进程 the the 3)onny技术。通过使用o