第十五章安全协议形式化分析ppt课件.ppt

《第十五章安全协议形式化分析ppt课件.ppt》由会员分享，可在线阅读，更多相关《第十五章安全协议形式化分析ppt课件.ppt（133页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用 第十五章 安全协议的形式化分析技术2023/3/252023/3/251 1经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用逻辑推理及形式化语言逻辑推理形式化语言形式化分析方法形式化分析方法应用2023/3/252023/3/252 2经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用逻辑推理逻辑推理 由

2、前提推出结论。前提和结论都是命题。命题的真或假由命题的内容是否符合客观实际确定。演绎逻辑 当前提的“真”蕴涵结论的“真”，称前提和结论之间有可推导性关系。即前提和结论之间的推理是正确的。研究怎样的前提和结论之间具有可推导性关系。归纳逻辑 只要求得到的结论本身是协调的，与前提是协调的。前提的“真”并不蕴涵结论的“真”。2023/3/252023/3/253 3经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用逻辑推理逻辑推理的正确性命题的内容：“真”/“假”，内容决定命题的“真”/“假”。命题的形式：即逻辑形式。由内

3、容抽象出来。逻辑形式决定前提和结论的之间的可推导性关系。不关心前提和结论的真假，而关注前提的真是否蕴涵结论的真。2023/3/252023/3/254 4经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用形式化语言形式语言使用自然语言陈述并分析命题常常引出歧义。需要构造一种符号语言形式语言，描述由命题内容抽象出来的命题逻辑形式。形式语言使用符号来构造公式由公式来精确地表示命题的逻辑形式语义和语法语义涉及符号和符号表达式的涵义(给符号某种解释)语法涉及符号表达式的形式结构，但不考虑任何对形式语言的解释。形式语言的语义

4、和语法既有联系，又有区分。2023/3/252023/3/255 5经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用形式化分析方法集合论数理逻辑图论：有限状态图网论：Petri网模型代数系统：代数系统形式化模型2023/3/252023/3/256 6经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议 安全协议的基本概念安全协议特指使用密码学技术的密码协议所谓协议，就是两个或者两个以上的参与者为完成某项特定的任务而采取的一系列

5、步骤。协议的定义包含三层含义：1.协议自始至终是有序的过程，每一个步骤必须执行，在前一步没有执行完之前，后面的步骤不可能执行；在参与者之间呈现为消息处理和消息交换交替进行的一系列步骤。2.协议至少需要两个参与者；一个人可以执行一系列的步骤来完成一项任务，但它不构成协议。3.通过协议必须能够完成某项任务。安全协议使用密码学技术，协议参与者可能是可以信任的人，也可能是攻击者和完全不信任的人。密码协议包含某种密码算法。2023/3/252023/3/257 7经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议网络

6、通信中常用的密码协议按照其完成的功能分成以下四类：密钥交换协议在参与协议的两个或者多个实体之间建立共享的秘密通道，常用于建立在一次通信中所使用的会话密钥。协议可以采用对称密码体制，也可以采用非对称密码体制，例如Diffie-Hellman密钥交换协议。认证协议认证协议中包括实体认证（身份认证）协议、消息认证协议、数据源认证和数据目的认证协议等，用来防止假冒、篡改、否认等攻击。认证和密钥交换协议协议将认证和密钥交换协议结合在一起，是网络通信中最普遍应用的安全协议。常见的有Needham-Schroeder协议、分布认证安全服务（DASS）协议、ITU-T X.509认证协议等等。电子商务协议电子

7、商务协议中，主体利益目标往往是不一致的，电子商务协议关注的就是公平性，即协议应保证交易双方都不能通过损害对方利益而得到它不应得的利益。常见的电子商务协议有SET协议等。2023/3/252023/3/258 8经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用DH算法描述1.Alice与ob确定两个大素数n和g，这两个整数不保密，Alice与ob 可以使用不安全信道确定这两个数2.Alice选择另一个大随机数x，并计算A如下：A=gx mod n3.Alice将发给ob4.ob选择另一个大随机数y，并计算B如下：B

8、=gy mod n5.ob将发给Alice6.计算秘密密钥K1如下：K1=Bx mod n7.计算秘密密钥K2如下：K2=Ay mod n2023/3/252023/3/259 9经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用SSL/TLS协议栈介于应用层和传输层之间为上层提供安全性IPSSL ChangeCipher SpecProtocolSSL AlertProtocolApplication ProtocolTCPSSL RecordProtocolSSL HandshakeProtocolHTTPLD

9、APIMAP2023/3/252023/3/251010经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用SSL/TLS概况协议分为两层上层：TLS握手协议、TLS密码变化协议、TLS警告协议底层：TLS记录协议上层协议是用于管理SSL密钥信息的交换，下层提供基本的安全服务TLS握手协议客户和服务器之间相互认证协商加密算法和密钥它提供连接安全性，有三个特点身份认证，至少对一方实现认证，也可以是双向认证协商得到的共享密钥是安全的，中间人不能够知道协商过程是可靠的TLS记录协议建立在可靠的传输协议(如TCP)之上它提供

10、连接安全性，有两个特点保密性，使用了对称加密算法完整性，使用HMAC算法用来封装高层的协议2023/3/252023/3/251111经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用SET协议目标信信息息在在InternetInternet上上的的安安全全传传输输，保保证证网网上上传传输输的的数据不被黑客窃听数据不被黑客窃听订订单单信信息息和和个个人人账账号号信信息息的的隔隔离离，在在将将包包括括消消费费者者账账号号信信息息的的订订单单送送到到商商家家时时，商商家家只只能能看看到到订订货信息，而看不到消费者的账户

11、信息货信息，而看不到消费者的账户信息 消消费费者者和和商商家家的的相相互互认认证证，以以确确定定通通信信双双方方的的身身份份，一一般般由由第第三三方方机机构构负负责责为为在在线线通通信信双双方方提提供供信用担保信用担保要要求求软软件件遵遵循循相相同同的的协协议议和和消消息息格格式式，使使不不同同厂厂家家开开发发的的软软件件具具有有兼兼容容和和互互操操作作功功能能，并并且且可可以以运行在不同的硬件和操作系统平台上运行在不同的硬件和操作系统平台上2023/3/252023/3/251212经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的

12、价款或接受服务的费用Card HolderHow SET with Credit Card WorksMerchant ServerAcquiring BankCard Issuer Bank876543219CACertificate Authority00-cardholder registration132-purchase request-merchant passes signed,encrypted authorization to the acquirer for check-card validation with issuer4-issuer authorizes and s

13、igns transaction5-acquirer authorizes merchant and signs the transaction6-cardholder receives the goods and a receipt7-merchant deposit the transaction to his account8-merchant gets paid9-cardholder receives bill from card issuer2023/3/252023/3/251313经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费

14、者购买商品的价款或接受服务的费用安全协议系统模型如果将安全协议所处环境视为一个系统，那么这个系统中，一般而言包括一些发送和接收消息的诚实的主体和一个攻击者，以及用于管理消息发送和接收的规则。诚实主体诚实主体诚实主体诚实主体环境/攻击者通信通信通信通信2023/3/252023/3/251414经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的性质 评估一个安全协议是否安全就是检查其所欲达到的安全性质是否遭到攻击者的破坏。认证性声称者使用仅为其与验证者知道的密钥封装的一个消息声称者使用私钥对消息签名，验证者

15、使用公钥来验证声称者通过可信第三方来证明自己。秘密性保护协议消息不被泄露给非授权拥有此消息的人，即使是攻击者观测到了消息的格式，它也无法从中得到消息的内容或提炼出有用的信息。保证协议消息秘密性的最直接的方法是对消息进行加密。安全协议中，一般不考虑具体的密码算法的执行细节，但在实际应用中这往往有可能造成协议秘密性的缺陷。2023/3/252023/3/251515经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的性质完整性保护协议消息不被非法篡改、删除和替代。常用的方法有封装和签名SSL和IKE等协议中就涉

16、及到保护协议消息完整性的具体实现细节不可否认性目的是通过通信主体提供参与协议交换的证据来保证其合法利益不受侵害，即协议主体必须对自己的合法行为负责，而不能也无法事后否认。协议必须具有两个特点：证据的正确性、交易的公平性。在不可否认性之中还可引申出其他一些相关性质，如适时中止性、公平性、可追究性等。2023/3/252023/3/251616经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的缺陷安全协议的安全性安全协议是许多分布式系统安全的基础，确保这些协议的安全运行是极为重要的。安全协议有若干几个消息传递

17、，消息之间存在着复杂的相互作用和制约；协议中使用多种不同的密码体制，目前的许多安全协议存在安全缺陷。原因有两个：协议设计者误解或者采用了不恰当的技术；协议设计者对环境要求的安全需求研究不足。对协议的安全性进行分析和研究是一个重要的课题。2023/3/252023/3/251717经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的缺陷S.Gritzalis和D.Spinellis根据安全缺陷产生的原因和相应的攻击方法对安全缺陷进行了分类：基本协议缺陷：协议设计中没有或很少考虑防范攻击者。口令/密钥猜测缺陷：

18、弱口令导致攻击者能够进行口令猜测攻击；或者弱密钥使攻击者能够破解该密钥。陈旧（stale）消息缺陷：协议设计中对消息的新鲜性没有充分考虑，从而使攻击者能够进行消息重放攻击，包括消息源的攻击、消息目的的攻击等等。2023/3/252023/3/251818经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的缺陷并行会话缺陷协议对并行会话攻击缺乏防范，从而导致攻击者通过交换适当的协议消息能够获得所需要的重要消息。内部协议缺陷协议可达性存在问题，协议的参与者中至少有一方不能够完成所有必须的动作而导致缺陷。密码系统

19、缺陷协议中使用的密码算法的安全强度导致协议不能完全满足所要求的机密性、认证等需求而产生的缺陷。2023/3/252023/3/251919经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的逻辑形式化分析安全协议的安全性是一个很难解决的问题，许多广泛应用的安全协议后来都被发现存在安全缺陷。从安全协议的分析和设计角度来看，应当对协议的安全性作出认真的分析和验证。安全协议的分析方法攻击检验方法；形式化的分析方法。2023/3/252023/3/252020经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求

20、增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的逻辑形式化分析攻击检验方法搜集使用目前的对协议的有效攻击方法，逐一对安全协议进行攻击，检验安全协议是否具有抵抗这些攻击的能力。在分析的过程中主要使用自然语言和示意图，对安全协议所交换的消息进行剖析。这种分析方法对已知的攻击非常有效的。不能发现协议中未知的安全隐患。2023/3/252023/3/252121经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议的逻辑形式化分析形式化的分析方法采用各种形式化的语言或者模型，为安全协

21、议建立模型，并按照给定的假设和规则，分析、验证方法证明协议的安全性。近几年来，密码学家提出了许多关于安全协议的形式化分析方法，以检验协议中是否存在安全缺陷。形式化的分析方法是目前研究的热点，但是就其实用性来说，还有待进一步突破。安全协议的形式化分析有助于：界定安全协议的边界，即协议系统与其运行环境的界面更准确地描述安全协议的行为。更准确地定义安全协议的特性。证明安全协议满足其说明，以及证明安全协议在什么条件下不能满足其说明。2023/3/252023/3/252222经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费

22、用协议形式化分析技术(1)1）通用的形式化描述语言使用通用的、不是为分析安全协议专门设计的形式化描述语言和协议校验工具建立安全协议的模型并进行校验。主要思想是将安全协议看作一般的协议，并试图证明协议的正确性。采用的工具和模型与验证一般协议的类似，例如使用有限状态图、Petri网模型、LOTOS语言等等。方法的主要缺点是仅证明协议的正确性而不是安全性。2023/3/252023/3/252323经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用协议形式化分析技术(2)2）专家系统设计专用的专家系统来制定安全协议的校验

23、方案并进行协议检验，从而对协议的安全性作出结论。主要思想是针对所设计的协议而开发专用的专家系统，通过专家系统发现协议是否能够达到不合理的状态（比如密钥的泄露等等）。这种技术能够识别缺陷但是不能证明协议的安全性，也不能发现未知的缺陷。2023/3/252023/3/252424经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用协议形式化分析技术(3)(3)3）安全需求模型基于知识和信任逻辑，针对具体协议建立相应的形式化安全需求模型依据给定的逻辑初设和公理规则对该模型进行形式化分析推理通过推理获取的结果来推断协议能否完

24、成预期的目标、证明协议结论的正确性。形式系统的组成（初始符号、形式规则、公理、变形规则）2023/3/252023/3/252525经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用协议形式化分析技术(4)(4)这种方法是目前为止使用最广泛的一种方法，最著名的是BAN逻辑。BAN逻辑是基于知识和信任的形式逻辑模型，进行基于知识和信任的分析。BAN逻辑假设协议的安全是完整性和新鲜度的函数，使用逻辑规则来对协议的属性进行跟踪和分析。通常，BAN逻辑只能推出给定初设的协议结果，对一般的安全性的证明依赖于给定攻击模型的初设

25、。使用BAN逻辑分析安全协议的步骤如下：协议的理想化转化；假设所有的协议初始状态；使用逻辑规则对系统的状态作出断言；运用逻辑原理得到关于信任的断言；2023/3/252023/3/252626经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用协议形式化分析技术(5)4）代数系统形式化模型基于密码学系统的代数特性开发协议的形式化模型将安全协议系统当作一个代数系统模型，表示出协议的参与者的各种状态，然后分析某种状态的可达性。Michael Merritt已经证明了代数模型可以用来分析安全协议。美国海军研究实验室（Nav

26、y Research Lab.）开发的协议分析器是这种方法中最成功的一个应用，可以用来在各种协议中寻找新的和已知的缺陷。2023/3/252023/3/252727经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用安全协议分析的问题安全协议分析的问题形式化分析方法在安全协议的应用是研究的热点。目前应用并不广泛的主要原因,是需要事先建立安全协议的安全性形式化模型。该过程比较复杂困难。目前并没有一种方法能够给出安全协议安全性的充分而且必要的理论证明。由于安全协议本身的复杂性，上述每一类方法都有不同的侧重点，或多或少地存

27、在不足之处。使用上述方法分析安全协议的时候，应当仔细分析协议的特点、应用环境和需求，综合使用这些分析方法，以得到一个比较合理的结果。2023/3/252023/3/252828经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑:一种验证逻辑由Burrows,Abadi&Needham提出，从而解决了SPA（Security Protocol Analysis)问题上迈出一大步。它是关于主体信仰以及用于从已有信仰推出新的信仰的推理规则的逻辑。这种逻辑通过对认证协议的运行进行形式化分析，来研究认证双方通过相互

28、发送和接收消息能否从最初的信仰逐渐发展到协议运行最终要达到的目的认证双方的最终信仰，其目的是在一个抽象层次上分析分布网络系统中认证协议的安全问题。如在协议执行结束时未能建立起关于诸如共享通信密钥、对方身份等信任时，则表明这一协议有安全缺陷。BAN逻辑包含believing、seeing、controlling和saying message语句，并以一种自然结构进行语义描述。2023/3/252023/3/252929经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑:一种验证逻辑Burrows,Abadi

29、&Needham定义一种基于信任的逻辑精确地表示这些信任找准、抓住导致信任的原因BAN通过形式化的方法回答以下问题协议在工作吗？协议能否使用？协议达到了预定的目标吗？协议比别的协议需要更多的安全假设吗？协议做了不必要的事吗？2023/3/252023/3/253030经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑:一种验证逻辑BAN逻辑形式化分析方法重点放在对协议涉及的通信各方的信任以及由这些信任的进一步推演所得到的通信结果上不考虑由程序执行时所引入的错误如死锁，甚至密码系统的不正确使用问题考虑到入侵

30、的可能性，并不试图去处理不信任的参与方的认证，也不检测加密方案及未经授权的密码体系。2023/3/252023/3/253131经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑:一种验证逻辑BAN逻辑形式推理过程1.给出协议的消息序列描述；2.对协议进行理想化转换；【】3.分析理想化的协议模型；4.判断结论。2023/3/252023/3/253232经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系BA

31、N逻辑的符号、语法、语义、规则(1)BAN形式体系建立在多种类的模型逻辑上在BAN逻辑中区分几种对象主体(principals)加密密钥(encryption keys)公式(formulas)，也称为语句(statements)。2023/3/252023/3/253333经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系BAN逻辑的符号、语法、语义、规则(2)公式或语句的连接符(conjunction)用逗号表示【例如】(X,Y)表示X和Y的结合具有结合性和交换性BAN逻辑认为消息(mess

32、age)和语句(statements)是一样的。2023/3/252023/3/253434VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑的符号、语法、语义、规则逻辑的符号、语法、语义、规则(3)(3)n nBANBAN逻辑的符号逻辑的符号 表示如果表示如果P P为真，则为真，则QQ为真。为真。n n同时假定协议参与者是良好的逻辑学家，即同时假定协议参与者是良好的逻辑学家，即:如果如果

33、AliceAlice相信陈述命题相信陈述命题X X和以及和以及 ，则，则她她也信任命题也信任命题Y Y2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑符号逻辑符号A A,S S 表示具体的主体；表示具体的主体；K KASAS 表示具体的共享对称密钥；表示具体的共享对称密钥；K KA A,K KS S 表示具体的公钥；表示具体的公钥；K KA A-1-1

34、,K KS S-1-1 表示具体的私钥；表示具体的私钥；N NA A,NNA A,NNA A,N NS S,NNS S 表示临时值表示临时值(一次性随机值一次性随机值)；P P,QQ,R R表示任意主体；表示任意主体；X X,Y Y表示任意语句；表示任意语句；K K 表示任意密钥。表示任意密钥。2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 P P相信相信X X；或者

35、；或者P P认为认为X X为真为真 P P曾经收到曾经收到X X；P P看见、能读并且能重复看见、能读并且能重复X X。P P曾发送出曾发送出X X；但在发出；但在发出X X时，时，P P相信相信X X。P P对对X X有控制权；有控制权；P P是是X X的权威机构并且的权威机构并且P P相信相信X X。例如，通常相信服务器能正确产生加密密钥。例如，通常相信服务器能正确产生加密密钥。初始假设中则表示主体对密钥的质量有控制权。初始假设中则表示主体对密钥的质量有控制权。X X是新的、适时的；它经常用随机值来表示，用它来说明是新的、适时的；它经常用随机值来表示，用它来说明X X是新鲜的。随机值通常包

36、括时间戳或者一个一次性使是新鲜的。随机值通常包括时间戳或者一个一次性使用的数。用的数。BANBAN逻辑语法、语义逻辑语法、语义2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 P P和和QQ可用共享密钥可用共享密钥K K通信，如果通信，如果K K是好的，则意味着除是好的，则意味着除了了P P和和QQ以及以及P P或者或者QQ所信任的主体之外的任何主体所信任的主体之外的任

37、何主体都不会发现它。都不会发现它。K K是是P P的公开密钥，相应的私钥的公开密钥，相应的私钥K K-1-1不会被除了不会被除了P P和和P P所信所信任的主体之外的主体知道。任的主体之外的主体知道。X X是只有是只有P P和和QQ知道的秘密，也可能知道的秘密，也可能P P和和QQ信任的主体知信任的主体知道。只有道。只有P P和和QQ能用能用X X来相互说明他们彼此的身份。来相互说明他们彼此的身份。一个秘密的例子就是口令一个秘密的例子就是口令。BANBAN逻辑语法、语义逻辑语法、语义(续续1)1)2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天

38、大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 表示表示X X经密钥经密钥K K加密后的结果加密后的结果表示表示X X和和Y Y相结合相结合(combined)(combined)；n n它表明它表明Y Y是一个秘密，它的出现可以证明谁发出了是一个秘密，它的出现可以证明谁发出了Y Y消息。消息。n n符号强调突出符号强调突出Y Y扮演着能证明扮演着能证明X X起源的特殊角色。在起源的特殊角色。在具体执行时，具体执行时，X X只是简单的与口令只是简单的与口令Y Y结

39、合。在很多时结合。在很多时候，候，Y Y实际上就是密钥。实际上就是密钥。n n在在BANBAN逻辑中，可能别的工作在这些结构中使用不逻辑中，可能别的工作在这些结构中使用不同的符号。当前这些符号更详细冗长，但更容易读，同的符号。当前这些符号更详细冗长，但更容易读，因此，更适合论文中用很少的公式。因此，更适合论文中用很少的公式。H(X)H(X)是是X X的单向杂凑函数（哈希的单向杂凑函数（哈希HashHash）值）值BANBAN逻辑语法、语义逻辑语法、语义(续续2)2)2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营

40、者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑规则：逻辑规则：消息含义（消息含义（消息含义（消息含义（“收收收收发发发发”）规则）规则）规则）规则 要保证这个规则要保证这个规则是合理的，我们则必是合理的，我们则必须保证须保证P P自己没有说过自己没有说过X X；这就要将公式；这就要将公式XXK K表示成表示成XXK K from Q from Q，并且要求并且要求QQ不能是不能是P P 消息含义规则消息含义规则消息含义规则消息含义规则关心消关心消息的解释。其中三分息的解释。其中

41、三分之二关心加密消息的之二关心加密消息的解释。它们关心解释解释。它们关心解释如何得到消息源的信如何得到消息源的信任任 2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑规则：逻辑规则：消息（消息（消息（消息（“发发发发发发发发”）规则）规则）规则）规则2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计

42、算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑规则：逻辑规则：消息接收（消息接收（消息接收（消息接收（“收收收收收收收收”）规则）规则）规则）规则2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑规则：逻辑规则：

43、随机数验证（随机数验证（随机数验证（随机数验证（“新鲜新鲜新鲜新鲜信任信任信任信任”）规则）规则）规则）规则2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 BANBAN逻辑规则：裁判（逻辑规则：裁判（“信任信任”）规则）规则 2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者

44、服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑的形式体系 类类BANBAN逻辑规则：逻辑规则：单向哈希函数规则单向哈希函数规则单向哈希函数规则单向哈希函数规则Q拥有消息X2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑形式化分析方法BANBAN逻辑形式推理证明步骤逻辑形式推理证明步骤1.1.给出协议的消息

45、序列描述给出协议的消息序列描述2.2.对协议进行理想化转换对协议进行理想化转换建立协议的理想化模型；建立协议的理想化模型；给出初始假设状态集合给出初始假设状态集合；给出预期目标集合给出预期目标集合；3.3.分析理想化的协议模型分析理想化的协议模型利用初设和逻辑公设规则对协议系统进行推理利用初设和逻辑公设规则对协议系统进行推理得出状态断言，以及协议所能得到的、关于信任的最终目标得出状态断言，以及协议所能得到的、关于信任的最终目标断言集合断言集合；4.4.最后判断结论：若最后判断结论：若 ，则协议可行。，则协议可行。2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方

46、法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑形式化分析方法1.协议的消息序列描述n n协议必须首先被描述成自己的消息序列表，协议必须首先被描述成自己的消息序列表，每条消息可典型地写成以下形式：每条消息可典型地写成以下形式：P PQQ:messagemessage.这表示这表示P P发送消息给发送消息给QQ。n n消息应按照原设计意图表示成具体执行时的消息应按照原设计意图表示成具体执行时的位串，但非正式的符号。位串，但非正式的符号。2023/3/252023

47、/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑形式化分析方法2.对协议进行理想化转换对协议进行理想化转换理想化模型理想化模型(2.1.1)(2.1.1)n n由于由于“P PQQ:messagemessage”这种表达经常含糊不清，仍不这种表达经常含糊不清，仍不适合作为形式化分析的基础。因此，需要将协议的每个适合作为形式化分析的基础。因此，需要将协议的每个步骤转换成理想化模型。步骤转换成理想化模型。n

48、n协议的理想化模型中，消息是公式或语句。协议的理想化模型中，消息是公式或语句。例如，协议步骤：例如，协议步骤：AliceAlice告诉告诉Bob(Bob(他知道他知道K Kbsbs)：我是我是Alice,Alice,K Kabab是她是她(Alice)(Alice)和和他他(Bob)(Bob)之间的通信密钥。之间的通信密钥。2023/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑形式化分

49、析方法2.对协议进行理想化转换对协议进行理想化转换理想化模型理想化模型(2.1.2)(2.1.2)n n该协议步骤该协议步骤 可理想化为语义：可理想化为语义：n n从从(A,A,K Kabab)到到 ，该消息完成了由符号到逻辑语义的，该消息完成了由符号到逻辑语义的协议理想化转换（因为协议理想化转换（因为BANBAN逻辑关心语义推理）。逻辑关心语义推理）。n nBANBAN逻辑忽略明文通信，只是因为明文能被伪造。逻辑忽略明文通信，只是因为明文能被伪造。n n明文对认证协议的作用仅仅是提供在已被加密的消息中明文对认证协议的作用仅仅是提供在已被加密的消息中有哪些信息的线索。有哪些信息的线索。2023

50、/3/252023/3/25VR0304-DOC0-学习讨论：形式化分析方法 北京航空航天大学计算机学院 VR Lab经营者提供商品或者服务有欺诈行为的，应当按照消费者的要求增加赔偿其受到的损失，增加赔偿的金额为消费者购买商品的价款或接受服务的费用BAN逻辑形式化分析方法2.对协议进行理想化转换对协议进行理想化转换理想化模型理想化模型(2.1.3)(2.1.3)n n理想化转换后所描述的协议比传统的协议描述更清楚、理想化转换后所描述的协议比传统的协议描述更清楚、详细和规范。建议在设计和描述协议时都使用理想化协详细和规范。建议在设计和描述协议时都使用理想化协议模型。议模型。n n为研究已发表的协