安全协议的安全性分析方法
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络安全协议分析 2006
15
BAN逻辑的发展
GNY逻辑 AT逻辑 VT逻辑 SVO逻辑
在总结BAN逻辑、GNY逻辑、AT逻辑和VO逻 辑的基础上发展而成的
P.F.Syverson and P.C.van Oorshchot. On unified cryptographic protocol logics. Proceedings of the 1994 IEEE Computer Society Press, 1994.
Ch5 安全协议的安全性 分析方法
胡东辉 hudh@ 2008.9 合肥工业大学
5.1 概述
安全协议的安全性
如果安全协议使得非法用户不可能从协议交换 过程中获得比协议自身体现地更多的有用信息, 则称该协议时安全的。 安全协议严格意义上说主要关心两个方面,即 密码算法的安全性和协议逻辑安全性。 主要关心逻辑安全性,而认为密码算法是安全 的,即完美加密前提 完美加密前提。 完美加密前提
网络安全协议分析 2006
11
BAN逻辑分析的缺陷
不合理的假设
BAN逻辑认为所有的协议运行实体都是诚实的 初始状态的假设难以确定,而假设对于协议分 析结论的正确得出至关重要
网络安全协分析 2006
12
BAN逻辑分析的缺陷
缺少良好的语义
对好密钥的理解存在偏差,认为:K是否是一 个好的密钥在于,如果一个密钥K被用于发送 消息,则该密钥是好的密钥,而不涉及密钥的 安全性。 无法发现一些重放攻击 无法检查协议并行运行的带来的攻击
通用形式化分析方法
试图用一些通用的形式化方法来说明和分析安全协议。如最弱前 置谓词等方法,Petri网,代数方法等。
网络安全协议分析 2006
4
5.4 BAN逻辑
1989年由Burrows, Abadi, Needham提出; 简单,实用,广泛使用和关注; 各种不同类型的对BAN逻辑的增强和推广, 称为BAN类逻辑。
网络安全协议分析 2006
16
网络安全协议分析 2006
2
5.2 安全分析的基本方法
非形式化分析方法
又称攻击检验方法。根据已知各种攻击方法对 协议进行攻击,以攻击是否有效来检验安全协 议是否安全。
形式化分析方法
将安全协议形式化,从而借助于人工推导甚至 计算机的辅助分析,来判别安全协议是否安去 拿可靠,即安全协议是否完备。
网络安全协议分析 2006
3
5.3 安全协议的形式化分析基 本方法
逻辑分析法
基于信仰和知识对协议进行安全性研究。是迄今为止使用最广泛 的分析方法。
模型检测方法
一种验证有限状态系统的自动化分析工具,采用非专门的说明语 言和验证工具来对协议建立模型并加以验证。
定理证明和专家系统方法
类似证明程序的正确性一样,将协议的证明规约到证明一些循环 不变式。
网络安全协议分析 2006
7
BAN逻辑
BAN逻辑试图回答下面问题
协议所欲达到什么样的目标? 协议基于的假设是什么? 协议是否存在冗余? 协议中的加密消息是否可以明文传递而不影响 协议的安全性
网络安全协议分析 2006
8
BAN逻辑中关于知识的理论模型的若 干概念
协议运行的分布式环境由参与者组成。参与者是 一个状态机,它们之间由通信信道相连,任何参 与者都能够在任何通道上传送消息,能够看到并 修改经过通道的消息 协议是一个分布的算法,协议决定参与者根据它 们的内部状态来发送相应消息的一次运行(称为 会话) 每个参与者在协议的会话中都有若干个集合,用 以描述当前参与者所相信的知识的集合、拥有的 公式的集合 网络安全协议分析 2006
9
BAN逻辑分析协议的步骤
对协议进行理想化 给出协议的初始状态及其所基于的假设 形式化说明协议将达到的安全目标 运用公理和推理规则以及协议的会话事实 和假设,从协议的开始进行推证直至验证 协议是否满足其最终运行目标
网络安全协议分析 2006
10
BAN逻辑分析的缺陷
非标准的理想化协议过程
分析者对同一协议的不同理解会得到不同的理 想化版本 B -> A : {Rb}Kab A -> B : Rb BAN逻辑认为明文可以被伪造,在理想化时 被略去,但实际上在很多协议上起着重要的作 用。
网络安全协议分析 2006
5
BAN逻辑
推理系统的组成
主体(pirnciple) 命题和推理公理:命题表示主体对消息的知识 或信仰,运用公理可以从已有的知识和信仰中 推导出新的知识和信仰
网络安全协议分析 2006
6
BAN逻辑
系统假设
密文块中不能被操作 消息中的两个密文块被看作是两次分别到达的 假设加密系统是完善的——只有掌握密钥的主 体才能理解密文的消息内容 密文中含有足够的冗余信息,使得解密者可以 判定他是否使用了正确的密钥 消息中有足够的冗余信息,使主体可以判断该 消息是否来源于自身 假设参与协议的主体是诚实的
网络安全协议分析 2006
13
BAN逻辑方法的改进
建立可靠的语义,用以验证初始假设的正 确性,确保推理的可靠性 减少理想化步骤的模糊度 建立自动化分析模型,将各种攻击模型化 用于分析 用于协议设计阶段
网络安全协议分析 2006
14
BAN逻辑对认证协议设计的指导
认证协议中认证主体用会话密钥加密另一 个认证主体所知的明文信息,来表示已经 获得会话密钥 在认证协议中,在传送包含关键的敏感信 息的消息中,尽可能的显示的表示出参与 协议的各主体 协议中同一认证主体生成发送的信息结构 和接收并能看到的信息的结构不要相同
15
BAN逻辑的发展
GNY逻辑 AT逻辑 VT逻辑 SVO逻辑
在总结BAN逻辑、GNY逻辑、AT逻辑和VO逻 辑的基础上发展而成的
P.F.Syverson and P.C.van Oorshchot. On unified cryptographic protocol logics. Proceedings of the 1994 IEEE Computer Society Press, 1994.
Ch5 安全协议的安全性 分析方法
胡东辉 hudh@ 2008.9 合肥工业大学
5.1 概述
安全协议的安全性
如果安全协议使得非法用户不可能从协议交换 过程中获得比协议自身体现地更多的有用信息, 则称该协议时安全的。 安全协议严格意义上说主要关心两个方面,即 密码算法的安全性和协议逻辑安全性。 主要关心逻辑安全性,而认为密码算法是安全 的,即完美加密前提 完美加密前提。 完美加密前提
网络安全协议分析 2006
11
BAN逻辑分析的缺陷
不合理的假设
BAN逻辑认为所有的协议运行实体都是诚实的 初始状态的假设难以确定,而假设对于协议分 析结论的正确得出至关重要
网络安全协分析 2006
12
BAN逻辑分析的缺陷
缺少良好的语义
对好密钥的理解存在偏差,认为:K是否是一 个好的密钥在于,如果一个密钥K被用于发送 消息,则该密钥是好的密钥,而不涉及密钥的 安全性。 无法发现一些重放攻击 无法检查协议并行运行的带来的攻击
通用形式化分析方法
试图用一些通用的形式化方法来说明和分析安全协议。如最弱前 置谓词等方法,Petri网,代数方法等。
网络安全协议分析 2006
4
5.4 BAN逻辑
1989年由Burrows, Abadi, Needham提出; 简单,实用,广泛使用和关注; 各种不同类型的对BAN逻辑的增强和推广, 称为BAN类逻辑。
网络安全协议分析 2006
16
网络安全协议分析 2006
2
5.2 安全分析的基本方法
非形式化分析方法
又称攻击检验方法。根据已知各种攻击方法对 协议进行攻击,以攻击是否有效来检验安全协 议是否安全。
形式化分析方法
将安全协议形式化,从而借助于人工推导甚至 计算机的辅助分析,来判别安全协议是否安去 拿可靠,即安全协议是否完备。
网络安全协议分析 2006
3
5.3 安全协议的形式化分析基 本方法
逻辑分析法
基于信仰和知识对协议进行安全性研究。是迄今为止使用最广泛 的分析方法。
模型检测方法
一种验证有限状态系统的自动化分析工具,采用非专门的说明语 言和验证工具来对协议建立模型并加以验证。
定理证明和专家系统方法
类似证明程序的正确性一样,将协议的证明规约到证明一些循环 不变式。
网络安全协议分析 2006
7
BAN逻辑
BAN逻辑试图回答下面问题
协议所欲达到什么样的目标? 协议基于的假设是什么? 协议是否存在冗余? 协议中的加密消息是否可以明文传递而不影响 协议的安全性
网络安全协议分析 2006
8
BAN逻辑中关于知识的理论模型的若 干概念
协议运行的分布式环境由参与者组成。参与者是 一个状态机,它们之间由通信信道相连,任何参 与者都能够在任何通道上传送消息,能够看到并 修改经过通道的消息 协议是一个分布的算法,协议决定参与者根据它 们的内部状态来发送相应消息的一次运行(称为 会话) 每个参与者在协议的会话中都有若干个集合,用 以描述当前参与者所相信的知识的集合、拥有的 公式的集合 网络安全协议分析 2006
9
BAN逻辑分析协议的步骤
对协议进行理想化 给出协议的初始状态及其所基于的假设 形式化说明协议将达到的安全目标 运用公理和推理规则以及协议的会话事实 和假设,从协议的开始进行推证直至验证 协议是否满足其最终运行目标
网络安全协议分析 2006
10
BAN逻辑分析的缺陷
非标准的理想化协议过程
分析者对同一协议的不同理解会得到不同的理 想化版本 B -> A : {Rb}Kab A -> B : Rb BAN逻辑认为明文可以被伪造,在理想化时 被略去,但实际上在很多协议上起着重要的作 用。
网络安全协议分析 2006
5
BAN逻辑
推理系统的组成
主体(pirnciple) 命题和推理公理:命题表示主体对消息的知识 或信仰,运用公理可以从已有的知识和信仰中 推导出新的知识和信仰
网络安全协议分析 2006
6
BAN逻辑
系统假设
密文块中不能被操作 消息中的两个密文块被看作是两次分别到达的 假设加密系统是完善的——只有掌握密钥的主 体才能理解密文的消息内容 密文中含有足够的冗余信息,使得解密者可以 判定他是否使用了正确的密钥 消息中有足够的冗余信息,使主体可以判断该 消息是否来源于自身 假设参与协议的主体是诚实的
网络安全协议分析 2006
13
BAN逻辑方法的改进
建立可靠的语义,用以验证初始假设的正 确性,确保推理的可靠性 减少理想化步骤的模糊度 建立自动化分析模型,将各种攻击模型化 用于分析 用于协议设计阶段
网络安全协议分析 2006
14
BAN逻辑对认证协议设计的指导
认证协议中认证主体用会话密钥加密另一 个认证主体所知的明文信息,来表示已经 获得会话密钥 在认证协议中,在传送包含关键的敏感信 息的消息中,尽可能的显示的表示出参与 协议的各主体 协议中同一认证主体生成发送的信息结构 和接收并能看到的信息的结构不要相同