基于计算模型安全协议验证软件CryptoVerif研究.docVIP

基于计算模型安全协议验证软件CryptoVerif研究 　　摘 要：目前，对安全协议的自动化证明分为两类：基于符号模型的和基于计算模型的。介绍了基于计算模型的协议证明软件CryptoVerif，介绍了其原理和可证明的安全属性，并使用其证明了一个协议的安全性；最后，指出其不足，为以后的软件改进指出了方向。?? 　　关键词：安全协议；计算模型；CryptoVerif?? 　　中图分类号：TP309 文献标识码：A 文章编号：1672-7800（2011）04-0140-02?お? 　　?? 　　作者简介：李林（１９82-）,男，山东菏泽人，中南民族大学计算机学院硕士研究生，研究方向为信息安全。 　　 　　0 引言?? 　　安全协议是通信主体利用约定的流程序列交换消息，并利用密码体制加密被交换消息，以保证实现预定的安全目标：秘密性和认证性。为了实现安全性，需要对协议进行验证。对协议验证主要使用两种方法：手工验证和形式化软件验证。手工验证繁琐易出错，局限于验证者的个人能力，且难以推广；形式化软件验证主要基于两种模型：Delve-Yao模型和计算模型。Delve-Yao模型把密码体制黑盒化，通过验证消息序列来证明协议安全性；计算模型把协议里的消息作为字符串，把攻击者对协议的攻击以对消息字符串的函数运算表示，通过各操作的概率来表示协议安全性。?? 　　本文将介绍基于计算模型的协议验证软件CryptoVerif，与其它软件不同，不仅可以验证协议，也可以验证密码算法。?? 　　1 CryptoVerif原理?? 　　CryptoVerif建立在计算模型上，协议以概率多项式时间的进程代数表示，消息用位串表示，加密算法表示为位串的函数，通过对特定事件(event)的到达和参数的询问(query)来证明安全属性。CryptoVerif使用Spi演算，把协议表示为Spi演算下的进程；使用Game序列来形式化验证过程：协议作为初始Game，通过一系列转换操作为安全性可容易识别的最终Game。Game转换以计算密码学下的观察等价(Observational Equivalence)概念为基础，观察等价是CryptoVerif的核心。?? 　　1.1 CryptoVerif语法（语法用图一起表示，原稿是单独表示） 　　 CryptoVerif利用改进的Spi演算表达协议：用项(term)来表示参数、密码体制、函数，用进程(process)来表示协议主体行为,并分为输入进程和输出进程，并把参数存入数组中方便操作，具体语法如下所示，其中M、N表示项，Q表示输入进程，P表示输出进程。?? 　　M,N ：：=i?? 　　x[M-1,…，M-m]?? 　　f[M-1,…，M-m]?? 　　Q::=0?? 　　 Q|Q′?? 　　 !+{i≤n}Q?? 　　 c[M-1,…，M-i]?? 　　 c[M-1,…，M-i](x-i[i]:T-1,…,x-b[i]:T-b):P?? 　　P::= c[M-1,…，M-i]:Q?? 　　 new x[i-1,…，i-m]:T:P?? 　　 let x[i-1,…，i-m]:T=M in P?? 　　 if defined（M-1，…，M-i）＾M then P else P?? 　　 fing (??+m-{i-1}v-{i1},…,v-{im}[i]≤n-{im}auohthet defined (M-{i1},…,M-{ig})^M-i then P-i)else P?? 　　1.2 观察等价?? 　　CryptoVerif进行协议证明有两个基础：密码原语安全性和观察等价。密码原语安全性是CryptoVerif证明的标准，是密码原语的进程代数表示；观察等价是进行Game转换的基础，它是用概率来表示的，通过严格的数学性来证明其正确性。?? 　　观察等价涉及评价环境(evaluation context)概念。环境(context)是一个可引入参数的空进程(与0输入空进程不同)，评价环境则是引入了通道、进程组合的环境。CryptoVerif以评价环境来表示攻击者。（下边的观察等价定义改变）?? 　　观察等价的定义如下：Q和Q`为两个进程，V表示两进程变量集合，称Q和Q`在变量集V下是观察等价的，对任一Q，Q`,V可接受的评价环境S，对任一通道c和位串a，??|Pr[C[Q]→]-Pr[C[Q′]→]|??是可忽略的。?? 　　1.3 Game转换规则?? 　　CryptoVerif里的Game转换基于Spi演算的3个属性：只一次定义、使用前定义和类型化。前两者是自明的；Spi里参数类型化，确定参数的功能和防止类型攻击。?? 　　Game转换规则有3个，分别论述