安全协议分析与设计课件第4章-下CSP基本方法实例分析.pptVIP

向系统中加入攻击者： SYSTEM = SYSTEM0 | [INTRUDER_ALPH] | INTRUDER INTRUDER_ALPH = {| comm, fake, intercept, init_fake_session, resp_fake_session, leak_session|} 定义中的leak_session、init_fake_session和resp_fake_session的事件，只有在攻击者掌握了密钥的情况下，才可能出现，规范要考察的就是这几个信道上的事件是否会出现： SPEC1=RUN(Σ\ {| leak_session.A.B |} ) SPEC2= RUN (Σ\ {| init_fake_session.A.B |} ) SPEC3= RUN (Σ\ {| resp_fake_session.A.B |} ) 经过FDR检验，3个规范都没有得到满足。 对TMN协议的攻击1 SYSTEM不能精练SPEC1，得到的迹如下： 对TMN协议的攻击1 对TMN协议的攻击2 SYSTEM不能精练SPEC2，得到迹如下： 对TMN协议的攻击2 对TMN协议的攻击3 SYETEM不能精练SPEC3，得到迹如下 对TMN协议的攻击3 Wei Jianfan 安全协议分析与设计第四章（下） 卫剑钒 CSP方法实例分析 用CSP验证NSPK协议 用CSP验证TMN协议 用CSP验证NSPK协议 设发起者集合为Initiator，响应者集合为Responder，公钥集合为Key，随机数集合为Nonce。 消息Message 1. A→B: {Na, A}Kb 可写为用CSP事件 comm.Msg1.a.b.Encrypt.kb.na.a。 其中加密部分{Na,A}Kb用Encrypt.kb.na.a表示。 消息和信道 系统中正常的通信在信道comm上进行，攻击者通过信道fake伪造消息，通过信道intercept窃听或者截取发送者发往其他主体的消息。定义信道如下： Channel comm,fake,intercept : MSG 事件和信道 user.a.b来表示用户a发出一个要与响应者b进行会话的请求； session.a.b表示NSPK协议后紧跟的应用协议会话。 I_running.a.b表明发起者a认为自己已经与b开始了协议的一次运行； R_running.a.b表明b认为已经与a开始了一次协议的运行； I_commit.a.b表明a认为自己结束了与b的会话； R_commit.a.b表明b认为自己结束了与a的会话。 声明以上几个信道如下： Channel user, session, I_running, R_running, I_commit, R_commit : Initiator.Responder 响应者和攻击者 对于响应者，可以写出类似的进程RESPONDER1，此处略。 攻击者可以窃听、截取系统中的任意消息，可以解密用自己密钥加密的消息，可以伪造消息、重放消息等。攻击者也可以作为正常用户与协议交互，设攻击者具有身份I、公钥Ki和一个初始的随机数Ni。 攻击者可以用若干参数描述自己具有的知识，包括分别由消息Msg1、Msg2和Msg3组成的3个集合，记作m1s、m2s和m3s，这些消息都是攻击者无法解密的。攻击者产生的随机数集合记作ns。 攻击者进程 攻击者进程 攻击者进程 系统定义 假设攻击者初始知识只有Ni，可得如下的攻击者定义： INTRUDER=I({},{},{},{Ni}) 把正常的协议主体定义为 AGENT = INITIATOR1 |[{|comm,session|}]| RESPONDER1 然后把攻击者考虑在内，实际的系统可定义为 SYSTEM=AGENT |[{|fake,comm,intercept|}]| INTRUDER 验证协议的认证性 对于A来说，在结束认证之前，要求响应者B确实参与了这次运行，如下所示： AR0=R_running.A.B→I_commit.A.B→AR0, A1={|R_running.A.B,I_commit.A.B|}, AR=AR0|||RUN(Σ\A1) AR0描述了一个I_commit.A.B事件只能在R_running.A.B事件之后发生。AR表明，除了R_running.A.B和I_commit.A.B以外的其他事件，其顺序是不关心的。Σ为所有事件的集合，RUN表明任意的事件排列。 验证协议的认证性 使用FDR验证SYSTEM是否精练了AR，如果精练了AR，则对响应者的认证性就得到了保证。 类似地，有AI如下： AI0=I_running.A.B→R_commit.A.B→AI0, A2={|