一种基于着色Petri网的密钥交换协议分析与改进方法.pdfVIP

技术方案

TechnologyScheme数据通信2025(2)

一种基于着色Petri网的密钥交换协议分析与改进

方法

缪祥华2

张家临（1．昆明理工大学信息工程与自动化学院云南昆明650500；

2.云南省计算机技术应用重点实验室云南昆明650500）

摘要：本文采用的着色Petri网（ColoredPetriNets,CPN)是一种基于模型检测法的自动化建模技术,它引入

了颜色集的概念，以扩展Petri网的表达能力。该技术利用着色Petri网及其配套的建模工具CPNTools对安全

协议进行建模，能够使得模型实现图形化和层次化，其内置的状态空间分析工具及CPNML语言，能够高效地协助

分析人员获取必要数据。本文以经典的密钥交换协议TMN为例，运用CPN方法对其进行形式化分析，成功识别出

攻击者可能利用的攻击路径,并验证了协议中存在的安全漏洞。针对这些漏洞，本文提出了一种改进方法,经过验

证，证实了该改进方法的有效性。

关键词：安全协议；形式化分析；模型检测；着色Petri网；自动化建模;CPNTools

中图分类号：TP393文献标识码：A

0引言情况。定理证明法虽能判断协议的正确性,然而当协

安全协议是确保网络正常与安全运行的重要基议存在漏洞时，它却无法提供相应的攻击序列。相比

石，一旦某项安全协议被广泛应用，普通用户便不得不之下,模型检测法的最大优势在于其自动化执行能力，

依赖其安全性。然而,安全协议的设计具有复杂性，涉有效弥补了模态逻辑法和定理证明法的局限性[2]。

及多种数据格式类型、多个并发会话，这使得设计人员本文采用的着色Petri网(ColoredPetriNets,CPN)

仅凭人工或经验难以发现协议中的漏洞。安全协议形是一种基于模型检测法的自动化建模技术。它在经典

式化分析则是基于数学原理和逻辑严谨的分析方法，Petri网强大的表达能力基础上,引人颜色集概念,进一

借助它可让研究人员发现一些经典安全协议中存在的步扩展了对协议的模拟能力[3]。本文结合Dolev-Yao

漏洞,并据此不断完善,设计出更加安全、合理且符合攻击者模型[4]与CPNTools建模工具,对密钥交换协议

当前网络环境的安全协议。TMN进行深入分析,识别其存在的安全漏洞,并提出一

本文所采用方法是形式化分析方法中的模型检测种改进方法。通过再次利用着色Petri网对改进后的

法，该方法在软件测试和通信协议领域已得到广泛应协议进行验证，旨在彻底解决协议的安全漏洞。

用,近年来也逐渐被应用于安全协议的研究。尽管形

式化分析方法中模态逻辑法能够得出协议违背安全属1TMN协议流程

性的结论,但其抽象程度过高，忽略了协议运行中的具TMN协议是由Tatebayashi、Matsuzaki和Newman

体执行信息，导致研究人员难以全面掌握协议的运行共同开发的一种应用于数字移动通信系统的密钥交换

12

技术方案

2025(2)TechnologyScheme

数据通信

协议[5]。协议包含会话发起者A、响应者B,以及可信模块；

第三方服务器J。会话双方需要先建立仅彼此知晓的(4)分析协议的安全属性、安全需求；

会话密钥,该密钥由可信第三方服务器J进行分配，以(5)利用CPNTools的状态空间分析工具生成状

确保正常通信。协议运行的具体流程如下：态空间报告，识别违反安全需求的状态。

(1