第十一章_安全协议的形式化分析.pptVIP

第十一章 安全协议的形式化分析 杨秋伟 湖南大学 计算机与通信学院 安全协议的形式化分析：简介 为何要形式化分析 密码协议的可信性 可靠性、可用性、可测性、可维护性、机密性、安全性 密码算法是安全的——理论安全 密码协议是安全的——理论安全 + 应用安全 “实用”的密码协议 以严格的方法来分析协议是否达到既定的安全目标 假设密码协议中所采用的密码算法是强健和不可攻破的 集中研究协议框架及其消息交互过程 安全协议的形式化分析：形式化方法简介 形式化方法 起源于20世纪70年代末期 计算机安全是形式化方法比较成功的应用领域——安全协议 “形式化”的前身 形式化的数学系统 一个由符号集以及使用这些符号的规则共同组成的系统 形成规则：规定构成正确形式共识符号的字符串 证明规则：规定构成证明公式的字符串 语义规则：把公式映射到一个代数域 安全协议的形式化分析：形式化方法简介 “形式化”的本质 将概念或方法经过高度抽象后实用一定的数学模型进行表示 通过过程式化的推演计算来研究数学模型 进而揭示概念方法的内在规律的研究方法 安全协议的另一种分析方法 软件测试 测试样例集是样本空间的子集 安全协议的形式化分析：形式化方法简介 “形式化”的工作内容 界定协议运行系统的边界 更加准确地描述系统的行为 更加准确地定义系统的特性 证明系统在特定的假设前提下满足一定的特性 形式化分析的“特定的假设前提” 假设不成立======证明不成立 协议系统的运行不是独立的 入侵者会违反系统的假设，从而构成入侵 安全协议的形式化分析：形式化方法简介 安全协议的形式化分析：形式化方法简介 “形式化”的两大方向 基于状态搜索技术 定义一个状态空间和安全协议的系统模型 在模型内进行状态搜索：确定是否存在一条路径对应于一次成功的攻击 基于知识和信仰(信任) 基于主体拥有的知识和信仰推知新的信仰——推理规则逻辑 知识：主体能力 + 历史记录 + ……. 信仰：主观意识 + 系统/规则定义 1989年Burrows、Abadi、Needham提出BAN逻辑 BAN逻辑：简介 BAN逻辑 内涵 对认证协议的运行进行形式化分析 研究认证双发如何通过相互发送和接收消息的方式 从最初的信仰逐渐发展到协议运行最终要达到的目的——认证双发的最终信仰 特点 规则简洁、易于使用 抽象层次高于状态搜索，所以一般情况下它的能力弱于状态搜索 案例 成功分析出NS协议\Kerberos协议若干已知和未知的漏洞 BAN逻辑：假设条件 BAN逻辑的假设条件 密文块不能被篡改，也不能用几个小的密文块组成一个新的大密文块 一个消息中的两个密文块被看作是分两次分别到达的 总假设加密系统是完善的 只有掌握密钥的主体才能理解密文的消息 攻击者不知道密钥不能解密密文 攻击者不能从密文推断出密钥 密文含有足够的冗余信息使解密者可以判断他是否应用了正确的密钥 BAN逻辑还假设参与协议的主体是诚实的 BAN逻辑：逻辑中的前置/边缘定义 BAN逻辑的三种处理对象 主体 P、Q、R代表一般意义上的主体，A、B、C代表具体的认证主体 IDA为主体A的身份标识 S代表可信第三方 密钥 kab、kas、kbs代表具体认证主体的共享密钥 (ka, ka-1)代表具体认证主体的公私钥对 k代表一般意义上的加密密钥 公式——语句或命题 BAN逻辑：逻辑中的前置/边缘定义 BAN逻辑的三种处理对象 公式——语句或命题 协议的每个消息表达为该逻辑的一个公式 Na、Nb、Nc代表具体的观点(如随机数) X、Y代表一般意义上的消息 推到规则 “逻辑公式X1, X2, …., Xn成立则Y成立”记为 BAN逻辑：基本公式及其语义 BAN逻辑：推理规则 消息含义规则 使主体推知其他主体发送过的消息——说明消息的出处 共享秘钥情况 公钥情况 共享秘钥情况 BAN逻辑：推理规则 临时值验证规则 使主体推知其他主体的信仰 BAN逻辑：推理规则 管辖规则 拓展了主体的推知能力 使主体可以在基于其他主体已有的信仰之上推知新的信仰 BAN逻辑：推理规则 接收消息规则 定义了主体在协议运行中对消息的获取 规则1 规则2 BAN逻辑：推理规则 接收消息规则 定义了主体在协议运行中对消息的获取 规则3 规则4 BAN逻辑：推理规则 接收消息规则 定义了主体在协议运行中对消息的获取 规则5 BAN逻辑：推理规则 信仰规则 反映了信念在消息的级联与分割的不同操作中的一致性 规则1 规则2 BAN逻辑：推理规则 信仰规则 反映了信念在消息的级联与分割的不同操作中的一致性 规则3 规则4 BAN逻辑：推理规则 新鲜性规则 如果一个公式的一部分是新鲜的，则该公式的全部是新鲜的 BAN逻辑：推理规则 密钥与秘密共享规则 共享密钥和共享秘密具有对称性 规则1 规则2 BAN