安全协议分析与设计课件第5章-下NSL协议的串空间基本方法证明.pptVIP

安全协议分析与设计第五章（下） 卫剑钒 NSL协议的串空间方法证明 NSL协议是Lowe对NSPK协议的改进，其中A、B代表协议主体，Na、Nb分别代表A和B产生的随机数，KA、KB分别代表A、B的公钥。 定义NSL串空间 先为串空间中的项代数增加两个成员如下。 主体标识集Tname：它是T的子集，包含主体的名字，如A、B等。 映射Key：Tname→K，这个映射是主体到其公钥的映射，如主体A的公钥为Key（A），记作KA。假设该映射是单射的，即如果KA=KB，则A=B。 定义NSL串空间 定义5.6 当串空间Σ中只有以下3种串时，称Σ为NSL串空间。 （1）攻击者串p。 （2）发起方串t∈Init[A,B,Na,Nb]，其迹为+{Na,A}KB, ?{Na,Nb,B}KA, +{Nb}KB，其中A、B∈Tname，Na、Nb∈T，但Na!∈Tname，串对应的主体是A。 （3）响应方串s∈Resp[A,B,Na,Nb]，其迹为?{Na,A}KB, +{Na,Nb,B}KA, ?{Nb}KB，其中A、B∈Tname，Na、Nb∈T，但Nb!∈Tname，串对应的主体是B。 证明响应方B的认证目标 命题5.1 设 （1）Σ为NSL串空间，C是Σ中的一个丛，s是一个响应方串，满足s∈Resp[A,B,Na,Nb]，且高度为3； （2）KA?1!∈KP； （3）Na≠Nb，Nb唯一地产生于Σ。 则C中存在一个发起方串t∈Init[A,B,Na,Nb]，且高度为3。 引理5.2 引理5.2 S={n∈C: Nb ? term(n)∧V0!?term(n)}有一个极小元n2，n2是正规节点并且方向是正的。 证明：由于n3∈C，Nb?V3，V0! ?V3，所以集合S是非空的，由极小元定理，S至少含有一个极小元n2，由正向定理，该极小元的符号为正。 n2是否可能为一个攻击者节点？下面用穷举所有可能攻击者串的办法来验证。 对于M串，迹为+t，t∈T，若要成为n2，只有t=Nb才可以，但若t=Nb，则Nb产生在这个串上。命题5.1第3条中指出Nb唯一地产生于Σ，引理5.1指明了Nb产生于n0，所以t=Nb不可能成立。 F串缺乏正向的节点，故而不可能含有n2。 T串具有?g,+g,+g的形式，其中的正向节点都不是S的极小元。 C串具有?g, ?h,+gh的形式，同T串一样，其中的正向节点不是S的极小元。 K串具有+k0的形式，k0∈Kp，Nb∈T，故Nb!?k0，所以该情况下不可能含有n2。 E串具有?k0, ?h,+{h}k0的形式，假设项为+{h}k0这个正向节点属于集合S，则有Nb?{h}k0∧V0!? {h}k0, 故而可得Nb? h，V0!? h，则?h这一点也属于集合S，故+{h}k0这个E串中唯一的正向节点不是极小元。 D串具有?k0?1，?{h}k0，+h的形式，如果项为+h的这个节点是S的极小元，则有：V0!?h并且V0?{h}K0，否则项为?{h}k0的节点就是极小元了。由完善加密假设，若V0?{h}K0，则必有h={Na，Nb，B}且K0=KA，故必存在一个节点m并且term(m)=KA?1（也即D串的第1个节点），由于KA?1!∈KP，由定理5.5，KA?1产生于正规节点，但是，发起方串和响应方串都没有产生KA?1，故S的极小元不在D串上。 S的极小元不在S串上的证明略。 经过上述分析，n2并不位于攻击者节点上，所以一定在正规节点上。 □ 引理5.3 引理5.3 在节点n2前存在同一个串上的节点n1，并且term(n1) = { Na, Nb, B }KA。 证明：由引理5.1可知，Nb产生于n0。由于V0?term(n0)而V0!?term(n2)，所以n2不等于n0，又由于Nb唯一地产生于Σ，故Nb不可能产生于n2，根据“产生”的定义可知，一定有和n2同一个串上之前节点的n1，并有Nb?term(n1)。由n2的极小元特性，一定有V0?term（n1），由于没有一个正规节点把加密项作为子项的，所以V0=term(n1)= { Na, Nb, B }KA。□ 引理5.4 引理5.4 包含n1和n2的正规串是一个发起方串，并且包含在C中。 证明：n2是一个正向的正规节点并且在一个形如{*,*,*}K的节点后，所以只可能是在发起方串上（因为在响应方串上，跟在形如{*,*,*}K的节点后的只有一个负向的节点），并且位于该串的第3个节点，根据引理5.2及“从”的定义，该串在C中，高度为3。□ 由引理5.3和引理5.4，可以直接得到命题5.1的证明。到这里就已经证明了非单射一致性目标。 证明单射一致性目标 命题5.2 如果Σ为NSL串空间，且Na在Σ中被唯一产生，则对于给定的A、B和Nb，Σ中最多只有一个发起