ＷＴＰ协议的ＳＰＩＮ模型检测.docVIP

ＷＴＰ协议的ＳＰＩＮ模型检测 　　摘要：基于模型检测技术，使用SPIN对WTP协议进行了建模和分析.应用自动机和Promela对协议进行建模，利用LTL规范了协议需要满足的安全性，时序性。通过分析发现了协议的一个错误。 　　关键词：WTP协议；SPIN；模型检测； Promela 　　中图分类号：TP393文献标识码：A 文章编号：1009-3044(2008)34-1588-04 　　Model Checking of WTP Protocol Via SPIN 　　FENG Jie 　　(Electronic Science and Information Technology College, Guizhou University, Guiyang 550025, China) 　　Abstract：This paper deals with a formal verification of WTP, where the model checking approach is applied by SPIN model checker.The Promela model is developed and LTL specifications of secrecy are given. Eventually, some defects has been revealed. 　　Key words:WTP Protocol; SPIN; model checking; Promela 　　1 引言 　　SPIN作为一个有效的软件系统模型检测工具，已经在分布系统，软件的形式化验证，特别是通信协议和安全协议上获得了的成功。SPIN己经验证的协议有：X. 509认证协议，距离矢量路由协议，NS公钥协议，Ad Aoc路由协议。 　　Gordon[1]基于Petri网的理论，用有色Petri网(CPN)对WTP协议进行了建模和形式化的分析。他是在无损通道上建立的模型，但在无线应用上，信道上数据包的丢失是时常发生的。 　　在本文中，我对WTPv2[2]协议方案进行了形式化的验证。我们用自动机的理论重新形式化了服务的定义和协议的规程，并建立了相应的Promela的模型。 　　2 SPIN对协议的分析原理 　　SPIN以Promela为输入语言，适合于对网络协议设计中规格的逻辑一致性进行检验。Promela被设计为可以对协议模型作出准确的表达。此外，Promela的语义保持了协议并发性和不确定性的特征。Promela本质上是一种有穷自动机的形式描述语言。 　　SPIN易于对Promela建立的模型进行仿真和验证。仿真和验证是SPIN的两种工作方式。随机仿真常被用于仿真协议的执行过程。同时，如果在验证阶段发现了错误，可以由此指导仿真重现相应的错误轨迹。这样就能帮助我们找出错误的来源。 　　当我们用SPIN进行验证时，我们就需要解决模型检测的问题：证明时序逻辑公式φ是在模型M中成立（即证明M│=φ）。当我们把φ转化成Buchi自动机Aφ并且模型M转化成自动机AM就相当于 　　证明： 　　 ■ (1) 　　证明过程实际上就是计算(1)式是否为空集。如果(1)式成立，就可认为该协议满足这些性质，如果(1)式不成立，则说明该协议可能存在某些性质上缺陷或攻击。使用SPIN 对协议进行验证和分析过程如图1所示。 　　3 WTP协议的形式化 　　由于人们无时无处通信的需求，对无线网络移动数据服务的要求也越来越迫切。无线用户的需求不同于有线用户的需要，因为移动数据服务受到移动终端以及无线网络特点的限制――移动终端本身显示屏微小，处理能力很低，同时无线网络具有高延迟和低带宽的性质。WAP(Wireless Application Protocol)定义了一个体系结构就是针对无线环境下的传输，通信等问题。WTP是WAP体系结构中的事务层（Transaction Layer)。它定义了一个协议实现在两个实体之间的请求/响应事务，作为浏览应用的一个组件。 　　3.1 协议的设计及内容 　　我们按照网络协议的5个基本要素来对WTP协议进行说明 　　3.1.1 协议环境的假定 　　在层次化的WAP体系结构中，事务层位于传输层的上层。传输层为事务层提供服务。然而，在WAP体系中传输层采用的是无连接的无线数据报协议（WDP）(对应于TCP/IP中的UDP)。所以，我们假定在事务层两个对等的协议实体（TR-PES）之间消息交换可能会丢失、重排，重复。 　　3.1.2 服务定义 　　在WTP中，CLASS 2的事务层服务被定义为向上层的会话层用户（TR-Users）提供可靠的事务服务。这种可靠性是通过一个可靠的请求（Invok