一种网络安全协议的符号建模系统[发明专利]

(19)中华人民共和国国家知识产权局
(12)发明专利申请
(10)申请公布号 (43)申请公布日 (21)申请号 202011468862.9
(22)申请日 2020.12.15
(71)申请人 中国电子科技集团公司第三十研究
所
地址 610000 四川省成都市高新区创业路6
号
(72)发明人 赵伟　张文政　何琨　刘正斌　
穆道光　汤殿华　王林　
(74)专利代理机构 成都九鼎天元知识产权代理
有限公司 51214
代理人 贾年龙
(51)Int.Cl.
H04L 29/06(2006.01)
H04L 12/24(2006.01)
(54)发明名称
一种网络安全协议的符号建模系统
(57)摘要
本发明公开了一种网络安全协议的符号建
模系统。

本发明包含协议实体建模、攻击者建模、
信道建模以及密码原语的建模模块，能够对协议
参与实体行为进行细致准确的描述，考虑攻击者
具有各种各样的攻击手段；考虑安全信道参与
下，能否抵抗攻击；对于协议参与实体以及攻击
者能够进行的操作进行了细致的密码原语建模，
可以将协议的非形式化描述，逐句转化成准确的
形式化描述，该方法建立的符号模型与协议描述
基本一致。

通过对该模型进行分析验证，可以发
现协议设计存在的漏洞，进而可以解决网络安全
协议的设计出现缺陷。

权利要求书3页 说明书6页 附图1页CN 112511554 A 2021.03.16
C N 112511554
A
1.一种网络安全协议的符号建模系统，其特征在于，包括：
协议实体建模模块，用于建模协议参与方执行的事件，以及协议参与方之间的交互，包括第三方密钥基础设施分发公钥的行为；
攻击者建模模块，用于建模协议正常运行下，攻击者能执行的事件；
信道建模模块，用于减弱攻击者在公共信道中修改信息和伪造信息的能力，用于限制攻击者对协议参与方通信信道的控制；
密码原语建模模块，用于对所采用的密码算法的性质进行等式建模。

2.根据权利要求1所述的网络安全协议的符号建模系统，其特征在于，所述协议实体建模模块包括对密钥基础设施的建模以及协议参与实体行为的建模，所述密钥基础设施为注册和分发协议参与实体信息加密所需的密钥，所述协议参与实体行为为协议实体在协议运行过程中执行的事件；
所述密钥基础设施建模了协议参与方注册密钥以及分发密钥的行为；
所述协议参与实体建模了每一个参与角色执行的若干事件以及执行这些事件的逻辑。

3.根据权利要求2所述的网络安全协议的符号建模系统，其特征在于，所述协议参与方注册密钥为对称密钥或非对称密钥，所述对称密钥保存在若干个共同注册密钥的参与方的本地，所述非对称密钥中的私钥存储在各个注册密钥的协议参与方本地，所述非对称密钥中的公钥通过广播形式分发给其他协议参与方。

4.根据权利要求1所述的网络安全协议的符号建模系统，其特征在于，所述攻击者执行的事件包括窃听信息、阻塞信道、修改信息、注入信息和俘获协议实体；
所述窃听信息具体为：协议参与方所处的网络处于攻击者的控制之下，协议参与方接收的信息都可以看作经过攻击者转发而来，此时每个协议参与方发送的信息都被对应的接收方所接收，协议参与方无法察觉攻击者的存在网络；
所述阻塞信息具体为：攻击者可以将协议参与方发送的信息拦截，使得接收方无法接收到来自发送方的信息；
所述修改信息具体为：攻击者将协议参与方发送的信息拦截后，基于自身的知识，对信息进行修改后，发送给接收方；
所述注入信息具体为：攻击者基于自身的知识可以伪造信息，将信息发送给协议参与实体，接收方认为该信息来自合法的发送方；
所述俘获协议实体具体为：攻击者通过一些方法妥协了协议实体，攻击者可以获取到协议实体的所有信息，包括实体的密钥信息，此时该实体处于攻击者的控制之下，攻击者可以借助该实体与其他协议实体通信。

5.根据权利要求1所述的网络安全协议的符号建模系统，其特征在于，所述通信信道的控制包括加密信道、认证信号以及安全信道；
所述加密信道可以确保信息到达指定接收端，攻击者无法修改发送的信息内容，可以确保只有目标接受者才能得知信息内容，但是目标接收者无法确定信息的来源，攻击者可以重放该信息，也可以使用自己的知识构造信息然后发送给接收方；
所述认证信道可以确保信息由目标源发送，攻击者可以读取发送的信息内容，重放信息，但是不可以修改信息的内容以及信息的来源方；
所述安全信道相当于认证信道与加密信道的结合，同时能够保证信息源以及目的方，
能够确保攻击既不能修改信息、获取信息内容，也能保证信息的来源方和目标接收方，但是攻击者仍能重放信息。

6.根据权利要求1所述的网络安全协议的符号建模系统，其特征在于，所述等式建模包括公钥加密算法建模、对称加密算法建模、签名算法建模、信息泄露的签名算法建模、迪赫尔曼算法建模、双线性映射算法和xor异或算法；
所述公钥加密算法建模的建模公式为：
adec(aenc(m,pk(sk)),sk)＝m
上式中，adec为非对称解密函数，aenc为非对称加密函数，pk为获取公钥函数，sk为私钥，m为信息；
所述对称加密算法建模的建模公式为：
sdec(senc(m,k),k)＝m
上式中，sdec为信息解密函数，senc为信息加密函数，k为密钥；
所述签名算法建模的建模公式为：
verify(sign(m,sk),m,pk(sk))＝true
上式中，verify为信息验证函数，sign为信息签名函数，true为签名验证结果正确；
所述信息泄露的签名算法建模的建模公式为：
revealVerify(revealSign(m,sk),m,pk(sk))＝true
getMessage(revealSign(m,sk))＝m
上式中，revealSign(m,sk)为使用私钥sk对信息m进行签名，revealVerify为签名验证函数，getMessage为获取签名中的信息函数；
所述迪赫尔曼算法建模的建模公式为：
(x^y)^z＝x^(y*z)
x^1＝x
x*y＝y*x
(x*y)*z＝x*(y*z)
x*1＝x
x*inv(x)＝1
上式中，^为指数运算符，*为乘法运算符，inv为取逆函数，x、y、z为参数；
所述双线性映射算法的建模公式为：
pmult(x,(pmult(y,p)))＝pmult(x*y,p)
pmult(1,p)＝p
em(p,q)＝em(q,p)
em(pmult(x,p),q)＝pmult(x,em(p,q))
上式中，pmult(x,p)为点p乘以标量x，em(p,q)为点p和点q的双线映射关系；
所述xor异或算法的建模公式为：
x XOR y＝y XOR x
(x XOR y)XOR z＝x XOR(y XOR z)
x XOR zero＝x
x XOR x＝zero
上式中，XOR为异或函数。

一种网络安全协议的符号建模系统
技术领域
[0001]本发明涉及网络安全技术领域，具体涉及一种网络安全协议的符号建模系统。

背景技术
[0002]网络安全协议是营造网络安全环境的基础，是构建安全网络的关键技术。

设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全，避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。

在计算机网络应用中，人们对计算机通信的安全协议进行了大量的研究，以提高网络信息传输的安全性。

[0003]现有的协议建模方法存在一些问题。

一些建模方法可读性好，但描述不准确，有二义性，导致建模较为困难。

另一些建模方法便于协议的实现，但可读性差，无法描述安全协议并发性、不确定性，导致难以发现协议存在的问题。

发明内容
[0004]针对现有技术中的上述不足，本发明提供的一种网络安全协议的符号建模系统解决了网络安全协议的设计容易出现缺陷、协议难以建模、模型难以验证的问题。

[0005]为了达到上述发明目的，本发明采用的技术方案为：一种网络安全协议的符号建模系统，包括：
[0006]协议实体建模模块，用于建模协议参与方执行的事件，以及协议参与方之间的交互，包括第三方密钥基础设施分发公钥的行为；
[0007]攻击者建模模块，用于建模协议正常运行下，攻击者能执行的事件；
[0008]信道建模模块，用于减弱攻击者在公共信道中修改信息和伪造信息的能力，用于限制攻击者对协议参与方通信信道的控制；
[0009]密码原语建模模块，用于对所采用的密码算法的性质进行等式建模。

[0010]进一步地：所述协议实体建模模块包括对密钥基础设施的建模以及协议参与实体行为的建模，所述密钥基础设施为注册和分发协议参与实体信息加密所需的密钥，所述协议参与实体行为为协议实体在协议运行过程中执行的事件；
[0011]所述密钥基础设施建模了协议参与方注册密钥以及分发密钥的行为；
[0012]所述协议参与实体建模了每一个参与角色执行的若干事件以及执行这些事件的逻辑。

[0013]进一步地：所述协议参与方注册密钥为对称密钥或非对称密钥，所述对称密钥保存在若干个共同注册密钥的参与方的本地，所述非对称密钥中的私钥存储在各个注册密钥的协议参与方本地，所述非对称密钥中的公钥通过广播形式分发给其他协议参与方。

[0014]进一步地：所述攻击者执行的事件包括窃听信息、阻塞信道、修改信息、注入信息和俘获协议实体；
[0015]所述窃听信息具体为：协议参与方所处的网络处于攻击者的控制之下，协议参与方接收的信息都可以看作经过攻击者转发而来，此时每个协议参与方发送的信息都被对应
的接收方所接收，协议参与方无法察觉攻击者的存在网络；
[0016]所述阻塞信息具体为：攻击者可以将协议参与方发送的信息拦截，使得接收方无法接收到来自发送方的信息；
[0017]所述修改信息具体为：攻击者将协议参与方发送的信息拦截后，基于自身的知识，对信息进行修改后，发送给接收方；
[0018]所述注入信息具体为：攻击者基于自身的知识可以伪造信息，将信息发送给协议参与实体，接收方认为该信息来自合法的发送方；
[0019]所述俘获协议实体具体为：攻击者通过一些方法妥协了协议实体，攻击者可以获取到协议实体的所有信息，包括实体的密钥信息，此时该实体处于攻击者的控制之下，攻击者可以借助该实体与其他协议实体通信。

[0020]进一步地：所述通信信道的控制包括加密信道、认证信号以及安全信道；[0021]所述加密信道可以确保信息到达指定接收端，攻击者无法修改发送的信息内容，可以确保只有目标接受者才能得知信息内容，但是目标接收者无法确定信息的来源，攻击者可以重放该信息，也可以使用自己的知识构造信息然后发送给接收方；
[0022]所述认证信道可以确保信息由目标源发送，攻击者可以读取发送的信息内容，重放信息，但是不可以修改信息的内容以及信息的来源方；
[0023]所述安全信道相当于认证信道与加密信道的结合，同时能够保证信息源以及目的方，能够确保攻击既不能修改信息、获取信息内容，也能保证信息的来源方和目标接收方，但是攻击者仍能重放信息。

[0024]进一步地：所述等式建模包括公钥加密算法建模、对称加密算法建模、签名算法建模、信息泄露的签名算法建模、迪赫尔曼算法建模、双线性映射算法和xor异或算法；[0025]所述公钥加密算法建模的建模公式为：
[0026]adec(aenc(m,pk(sk)),sk)＝m
[0027]上式中，adec为非对称解密函数，aenc为非对称加密函数，pk为获取公钥函数，sk 为私钥，m为信息；
[0028]所述对称加密算法建模的建模公式为：
[0029]sdec(senc(m,k),k)＝m
[0030]上式中，sdec为信息解密函数，senc为信息加密函数，k为密钥；
[0031]所述签名算法建模的建模公式为：
[0032]verify(sign(m,sk),m,pk(sk))＝true
[0033]上式中，verify为信息验证函数，sign为信息签名函数，true为签名验证结果正确；
[0034]所述信息泄露的签名算法建模的建模公式为：
[0035]revealVerify(revealSign(m,sk),m,pk(sk))＝true
[0036]getMessage(revealSign(m,sk))＝m
[0037]上式中，revealSign(m,sk)为使用私钥sk对信息m进行签名，revealVerify为签名验证函数，getMessage为获取签名中的信息函数；
[0038]所述迪赫尔曼算法建模的建模公式为：
[0039](x^y)^z＝x^(y*z)
[0040]x^1＝x
[0041]x*y＝y*x
[0042](x*y)*z＝x*(y*z)
[0043]x*1＝x
[0044]x*inv(x)＝1
[0045]上式中，^为指数运算符，*为乘法运算符，inv为取逆函数，x、y、z为参数；[0046]所述双线性映射算法的建模公式为：
[0047]pmult(x,(pmult(y,p)))＝pmult(x*y,p)
[0048]pmult(1,p)＝p
[0049]em(p,q)＝em(q,p)
[0050]em(pmult(x,p),q)＝pmult(x,em(p,q))
[0051]上式中，pmult(x,p)为点p乘以标量x，em(p,q)为点p和点q的双线映射关系；[0052]所述xor异或算法的建模公式为：
[0053]x XOR y＝y XOR x
[0054](x XOR y)XOR z＝x XOR(y XOR z)
[0055]x XOR zero＝x
[0056]x XOR x＝zero
[0057]上式中，XOR为异或函数。

[0058]本发明的有益效果为：本发明包含协议实体建模、攻击者建模、信道建模以及密码原语的建模模块，能够对协议参与实体行为进行细致准确的描述，考虑攻击者具有各种各样的攻击手段；考虑安全信道参与下，能否抵抗攻击；对于协议参与实体以及攻击者能够进行的操作进行了细致的密码原语建模，可以将协议的非形式化描述，逐句转化成准确的形式化描述，该方法建立的符号模型与协议描述基本一致。

通过对该模型进行分析验证，可以发现协议设计存在的漏洞，进而可以解决网络安全协议的设计出现缺陷。

附图说明
[0059]图1为本发明的结构框图；
[0060]图2为本发明的应用场景及架构示意图。

具体实施方式
[0061]下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

[0062]本发明的应用场景及架构如图2所示，网络协议运行通常由一个协议参与方发起请求，另一个协议参与方给出回应，在这个过程中，请求回复信息的构成，可能经过加密、签名等方式，信息通过网络公共信道传输，攻击者可以窃听及修改公共信道中传输的信息、阻塞传输信道、伪造信息发送给协议参与方。

网络服务提供商通过提供一些专有的信道来限制攻击者的能力。

因此本发明对网络协议建模分别针对协议实体、攻击者、信道、密码原语
进行建模。

[0063]如图1所示，一种网络安全协议的符号建模系统，包括：
[0064]协议实体建模模块，用于建模协议参与方执行的事件，以及协议参与方之间的交互，包括第三方密钥基础设施分发公钥的行为；
[0065]协议实体是协议运行的主体，协议实体的建模包括密钥设施建模以及协议参与实体行为的建模。

密钥基础设施为了注册和分发协议参与实体信息加密所需的密钥，协议参与实体行为指协议实体在协议运行过程中执行的事件。

[0066]密钥基础设施建模了协议参与方注册密钥(对称密钥或非对称密钥)及分发密钥的行为。

对称密钥通常保存在若干个共同注册密钥的参与方的本地，非对称密钥中私钥通常存储在各个注册密钥的协议参与方本地，非对称公钥通过广播形式分发给其他协议参与方。

[0067]协议参与实体建模了每一个参与角色执行的若干事件以及执行这些事件的逻辑，角色需要执行的事件以及执行逻辑构成了协议参与实体多次执行协议的蓝图，其中包括一个协议参与方执行了某些事件，在另一个参与方执行某些事件后，触发下一个事件的执行。

每个事件的执行都有前提条件，前提条件可能为空，事件执行之后，会得到一些执行结果，这些执行结果可以作为另一些事件执行的前提条件。

[0068]攻击者建模模块，用于建模协议正常运行下，攻击者能执行的事件；攻击者能够从网络中窃听、阻塞、修改、注入信息，甚至俘获协议参与实体，获取实体密钥信息。

具体能力如下：
[0069]窃听信息：协议参与方所处的网络处于攻击者的控制之下，协议参与方接收的信息都可以看作经过攻击者转发而来。

此时每个协议参与方发送的信息都被对应的接收方所接收，协议参与方无法察觉攻击者的存在网络。

[0070]阻塞信息：攻击者可以将协议参与方发送的信息拦截，使得接收方无法接收到来自发送方的信息。

[0071]修改信息：攻击者将协议参与方发送的信息拦截后，基于自身的知识，对信息进行修改后，发送给接收方。

[0072]注入信息：攻击者基于自身的知识可以伪造信息，将信息发送给协议参与实体，接收方认为该信息来自合法的发送方。

[0073]俘获协议实体：攻击者通过一些方法妥协了协议实体，攻击者可以获取到协议实体的所有信息，包括实体的密钥信息。

此时该实体处于攻击者的控制之下，攻击者可以借助该实体与其他协议实体通信。

[0074]信道建模模块，用于减弱攻击者在公共信道中修改信息和伪造信息的能力，本发明建模了加密信道、认证信道以及安全信道，用于限制攻击者对协议参与方通信信道的控制；
[0075]加密信道：可以确保信息到达指定接收端，攻击者无法修改发送的信息内容，可以确保只有目标接收者才能得知信息内容，但是目标接收者无法确定信息的来源。

攻击者可以重放该信息，也可以使用自己的知识构造信息然后发送给接收方。

[0076]认证信道：可以确保信息由目标源发送，攻击者可以读取发送的信息内容，重放信息，但是不可以修改信息的内容以及信息的来源方。

[0077]安全信道：相当于认证信道以及加密信道的结合，同时能够保证信息源方以及目的方。

能够确保攻击既不能够修改信息、获取信息内容，也能保证信息的来源方和目标接收方，但是攻击者仍能够重放信息。

[0078]密码原语建模模块，用于对所采用的密码算法的性质进行等式建模。

包括网络环境中信息的加解密、信息的签名与验证等，具体如下：
[0079]公钥加密算法建模的建模公式为：
[0080]adec(aenc(m,pk(sk)),sk)＝m
[0081]上式中，adec为非对称解密函数，aenc为非对称加密函数，pk为获取公钥函数，sk 为私钥，m为信息；公钥加密属于非对称加密算法，通信双方各自持有一对密钥。

aenc(m,pk (sk))表示使用私钥sk对应的公钥pk(sk)对信息m进行非对称加密，adec(aenc(m,pk(sk)), sk)表示使用私钥sk对加密信息进行解密，若解密成功，则得到信息m，该等式表明公钥加解密顺利完成。

[0082]所述对称加密算法建模的建模公式为：
[0083]sdec(senc(m,k),k)＝m
[0084]上式中，sdec为信息解密函数，senc为信息加密函数，k为密钥；对称加密通信双方持有相同密钥k。

senc(m,k)建模了使用对称密钥k对信息m进行加密，sdec(senc(m,k),k)表示使用密钥k对加密信息进行解密，若解密成功，则得到信息m，该等式表示对称加解密顺利完成。

[0085]所述签名算法建模的建模公式为：
[0086]verify(sign(m,sk),m,pk(sk))＝true
[0087]上式中，verify为信息验证函数，sign为信息签名函数，true为签名验证结果正确；sign(m,sk)表示使用私钥sk对信息m进行签名，表明信息m由该私钥的持有方发布，verify(sign(m,sk),m,pk(sk))表明持有信息发布方公钥信息以及签名信息m的参与方可以对签名信息进行验证，若信息m由公钥对应方签名则验证通过，该等式表明签名验证通过。

[0088]所述信息泄露的签名算法建模的建模公式为：
[0089]revealVerify(revealSign(m,sk),m,pk(sk))＝true (1)
[0090]getMessage(revealSign(m,sk))＝m (2)
[0091]上式中，revealSign(m,sk)为使用私钥sk对信息m进行签名，revealVerify为签名验证函数，getMessage为获取签名中的信息函数；revealSign(m,sk)与sign(m,sk)作用相同表示使用s k对信息m进行签名，与签名算法不同之处在于可以通过g e tMessag e (revealSign(m,sk))函数提取签名信息m，revealVerify(revealSign(m,sk),m,pk(sk))与verify(sign(m,sk),m,pk(sk))都是用于验证签名，等式(1)表明签名验证成功，等式(2)表明从签名中提取信息成功。

[0092]所述迪赫尔曼算法建模的建模公式为：
[0093](x^y)^z＝x^(y*z) (3)
[0094]x^1＝x (4)
[0095]x*y＝y*x (5)
[0096](x*y)*z＝x*(y*z) (6)
[0097]x*1＝x (7)
[0098]x*inv(x)＝1 (8)
[0099]上式中，^为指数运算符，*为乘法运算符，inv为取逆函数，x、y、z为参数；等式(3) (6)表示该算法运算符满足结合律，等式(4)(7)表示运算符1值运算不变律，等式(5)表示运算符*满足交换律，等式(8)表示该算法支持取逆操作。

[0100]所述双线性映射算法的建模公式为：
[0101]pmult(x,(pmult(y,p)))＝pmult(x*y,p) (9)
[0102]pmult(1,p)＝p (10)
[0103]em(p,q)＝em(q,p) (11)
[0104]em(pmult(x,p),q)＝pmult(x,em(p,q)) (12)
[0105]上式中，pmult(x,p)为点p乘以标量x，em(p,q)为点p和点q的双线映射关系；等式(9)表示多个嵌套点乘操作，标量可结合运算，等式(10)表示pmult运算满足标量1乘点乘不变律，等式(11)表示em函数运算满足交换律，等式(12)表示标量运算不影响双线性映射关系。

[0106]所述xor异或算法的建模公式为：
[0107]x XOR y＝y XOR x (13)
[0108](x XOR y)XOR z＝x XOR (y XOR z) (14)
[0109]x XOR zero＝x (15)
[0110]x XOR x＝zero (16)
[0111]上式中，XOR为异或函数。

等式(13)表示该算法满足交换律，等式(14)表示算法满足结合律，等式(15)表示与0值参与异或操作不影响异或结果，等式(16)表示异或相同为0。

[0112]本发明包含协议实体建模、攻击者建模、信道建模以及密码原语的建模模块，能够对协议参与实体行为进行细致准确的描述，考虑攻击者具有各种各样的攻击手段；考虑安全信道参与下，能否抵抗攻击；对于协议参与实体以及攻击者能够进行的操作进行了细致的密码原语建模，可以将协议的非形式化描述，逐句转化成准确的形式化描述，该方法建立的符号模型与协议描述基本一致。

通过对该模型进行分析验证，可以发现协议设计存在的漏洞，进而可以解决网络安全协议的设计出现缺陷。

图1图2
说　明　书　附　图1/1页CN 112511554 A 11。