CN105049283B - 安全交换协议模型检测方法 - Google Patents

Abstract

本发明公开了一种安全交换协议模型检测方法，该方法的步骤包括：1)构建安全交换协议模型；2)构建安全属性模型；3)构建攻击者模型；4)状态约简以及模型检测。与现有技术相比，本发明通过对安全交换协议以及其公平性和不可否认性进行建模，可以验证协议的安全属性，通过引入适合于公平性和不可否认性验证的攻击者模型，提高了验证的效果，并且实现了状态约简，解决状态爆炸问题，最终实现模型检测系统，方便使用。

Description

安全交换协议模型检测方法

技术领域

本发明涉及移动安全领域，特别是涉及一种软件静态检测和动态检测相结合的混合检测技术，以攻击树为基础可以检测出恶意软件。

背景技术

随着计算机技术和网络技术的发展，电子商务已经渗透到日常生活和工作的各方面，比如电子政务、个人在线购物、企业电子商务、合同签署和电子拍卖等。但是互联网安全问题随着网络技术的发展愈发严重，并进一步影响了电子商务的发展。作为电子商务的基石，安全交换协议安全性、公平性等问题的重要性日益凸显，已经成为安全研究领域的一个热点。根据协议的不同用途，公平交换协议可以分为电子邮件认证协议、电子购物协议、电子合同签署协议等。

安全交换协议分析的主要目的是检测协议是否满足安全性、公平性、及不可否认性等必要性质。其中公平性保证在协议结束时，或者每个协议参与者都获得了自己所期望的消息，或者没有参与者获得自己所期望的信息。不可否认性分为发送方非否认性和接收方非否认性，主要用于为协议参与者提供对方行为证据。

通过借助形式化的方法对协议的安全性质进行验证是一种有效的方式。近年来安全协议形式化验证的研究已经越来越多，主要研究的方法有基于逻辑推理的方法、基于定理证明的方法、串空间方法以及模型检测方法等，并且已经开发了许多自动化的安全协议验证工具，例如Athena，ProVerif，Murphi，以及AVISPA等，这些工具对于安全协议秘密性与认证性的验证具有较好的效果，但是对于公平性和不可否认性则有具有一定的局限性，例如无法对密码原语建模、无法引入攻击者模型或者攻击者模型不适用于一些安全属性的验证等问题。

发明内容

为了克服上述现有技术的问题，本发明提出了一种安全交换协议模型检测方法，以安全交换协议作为研究对象，通过对协议进行建模，从而进行对协议的公平性和不可否认性进行验证，最终实现模型检测自动化工具。

本发明提出一种安全交换协议模型检测方法，该方法包含以下步骤：

步骤一、使用Proverif建模语言Pi演算为基础，所述Pi演算扩展了选择算子，用于对安全交换协议进行形式化描述，构建安全交换协议模型；

步骤二、使用LTL线性时序逻辑对协议参与者的公平性和不可否认性进行描述，构建安全属性模型，并转换为自动机；

步骤三、基于Dolev-Yao攻击者模型、弹性信道RCC和协议内部不诚实参与者行为对攻击者行为来构建攻击者模型，包含了协议攻击者恶意行为以及主体恶意行为，使之更匹配安全交换协议公平性和非否认性验证；运用验证工具FDR2对协议模型进行自动化验证，从而发现协议的缺陷；

步骤四、使用经典的SCC搜索算法Tarjan算法实现攻击路径的查找，使用一边生成状态空间，一边进行攻击路径检测的On-The-Fly思想，在搜索到第一个攻击路径时，即停止状态空间的生成和攻击路径的检测；采用Move-One-Step方法进行模型检测；依据相应的状态压缩规则如减去系统不可达状态、合并本质相同的状态，避免重复验证本质上相同的路径；

步骤五、进行基于Pi演算和LTL的验证安全交换协议公平性与非否认性的可视化验证。

与现有技术相比，本发明通过对安全交换协议以及其公平性和不可否认性进行建模，可以验证协议的安全属性，通过引入适合于公平性和不可否认性验证的攻击者模型，提高了验证的效果，并且实现了状态约简，解决状态爆炸问题，最终实现模型检测系统，方便使用。有益效果有：

1)可以对安全交换协议以及公平性和不可否认性进行形式化描述。本发明在对协议分析后，扩展了Pi演算，利用扩展PI演算来对协议进行描述，对每个元素进行形式化；利用LTL对于公平性和不可否认性进行描述。形式化具有严格的语法和语义定义，能够进行准确描述，并且方便模型检测。

2)对于攻击者模型的构建，协议诚实参与者获得的所有消息都来自于攻击者。攻击者通过多次运行协议来构造完整的攻击者消息集合，直到攻击者的知识集稳定。使用有效模式集合MsgPatter，来对于无效消息进行过滤。

3)通过Tarjan模型检测算法与On-The-Fly思想结合进行模型检测，实现了较高的时间和空间效率。模型检测方面，采用Move-One-Step方法实现On-The-Fly思想实现状态空间的减少，节省了协议分析的时间和空间需求；在系统建模过程方面，提出相应的状态压缩规则如减去系统不可达状态，降低状态搜索时间；合并本质相同的状态，压缩状态空间，而且避免重复验证本质上相同的路径。

模型检测系统实现，通过输入安全协议形式化描述，以及安全属性形式化描述可以自动进行验证，可以追踪生成的攻击路径从而对协议进行改进，使用方便。

附图说明

图1为安全交换协议模型检测方法工作流程示意图；

图2为扩展Pi演算建模语言结构图；

图3为攻击者模型学习过程流程图。

具体实施方式

下面将结合附图对本发明的具体实施方式进行详细描述，这些实施方式若存在示例性的内容，不应解释成对本发明的限制。

如图1所示，本发明使用LTL线性时序逻辑对协议参与者的公平性和不可否认性进行描述，并转换为自动机，从而方便验证。针对安全交换协议的公平性和不可否认性验证的检测方法。具体为：

1、使用Proverif建模语言Pi演算为基础，扩展了选择算子，用于对安全交换协议进行形式化描述，建模语言扩展Pi演算的操作语义基于标号转移系统(LabelledTransition System，LTS)来实现，扩展后的Pi演算能够对于密码原语建模；

2、对协议参与者的公平性和不可否认性进行LTL线性时序逻辑形式化描述，LTL逆命题转换为并转换为性质模型自动机，从而方便验证。

3、基于Dolev-Yao(DY)DY攻击者模型并且基于弹性信道(ResilientCommunication Channels，RCC)和协议内部不诚实参与者行为对攻击者行为进行了改进来构建攻击者模型，包含了协议攻击者恶意行为以及主体恶意行为，并拥有构造与更新消息集合的能力，使之更匹配安全交换协议公平性和非否认性验证。验证与发现缺陷。运用验证工具FDR2对协议模型进行自动化验证，从而发现协议的缺陷。

4、结合On-the-fly思想的Tarjan模型检测算法，通过将Tarjan算法实现攻击路径的查找并且将该算法与On-The-Fly思想结合，实现了较高的时间和空间效率，从而一定程度上解决了状态爆炸问题。

5、构建基于Pi演算和LTL的验证安全交换协议公平性与非否认性的可视化验证工具，方便使用。

本发明技术方案主要涉及四个方面：1)构建安全交换协议模型；2)构建安全属性模型；3)构建攻击者模型；4)状态约简以及模型检测。详细说明如下：

一、构建安全交换协议模型

以Proverif建模语言Pi演算为基础，加入了了选择算子，用于对安全协议进行形式化描述。由于协议不诚实参与者会不按照协议规定的步骤执行协议进程，所以不诚实参与者能够选择发送或者不发送信息，但是原始的Pi演算不支持这种选择行为，所以我们通过使用antlr扩充了原始的Pi演算的语法和语义，使其能够支持这种选择算子。我们使用符号[]表示选择算子，P[]Q表示参与者对于进程P和Q可以选择执行。建模语言扩展后的Pi演算主要包括消息安全函数、消息封装函数、消息广播函数和进程交互四个模块：消息安全函数用于消息的加密与解密，哈希值操作以及用户签名和验证；消息封装函数用于通过调用封装函数实现多个消息的共同传送，提高信息交互效率；调用消息广播函数用于使整个协议网络中的参与者接收到信道上的信息，对信息进行处理；最后，进程交互是用于协议中的每个参与者与别的参与者一起交互进行。扩展Pi演算的操作语义基于标号转移系统(Labelled Transition System，LTS)来实现，扩展后的Pi演算能够对于密码原语建模。

二、构建安全属性模型(在本发明提及的安全属性为公平性和不可否认性)：

对于协议系统S，用LTL线性时序逻辑将协议参与者的公平性描述如下：

这里，假设只有P_i是诚实消息签名者并且要和其他参与者交换签名的消息。在公式“A→B”中的“→”表示如果A为真，那么B就为真。上述公式表示当协议终止。如果在一条可达路径τ中存在P₁,...,P_i-1,P_i+1,...,P_n中的一个签名者能够收到来自P_i的消息的数字签名那么这里在路径τ之后肯定会存在可达路径ζ使得P_i接收到来自P₁,...,P_i-1,P_i+1,...,P_n的数字签名消息。

对于不可否认性，需要根据不同的协议要求进行分析，无法给出统一的建模公式。

三、构建攻击者模型：

根据step-compression思想，定义安全交换协议诚实参与者在公共信道上发送的消息都会被攻击者获得，同样，安全交换协议诚实参与者获得的所有消息都来自于攻击者。攻击者通过多次运行协议来构造完整的攻击者消息集合，直到攻击者的知识集稳定。在每个输入操作过程中，攻击者会利用输入规则从攻击者的知识库中选择类型相同的所有项作为输入项，这是攻击者模型中关键部分，但是，这种情况同时会导致LTS中状态过多的现象。对此，抽取协议消息的有效模式集合MsgPattern，捕获协议涉及的消息类型集合Type，并通过Proverif验证私密消息。

以上建模过程基于Dolev-Yao(DY)DY攻击者模型并且基于弹性信道(ResilientCommunication Channels，RCC)和协议内部不诚实参与者行为对攻击者行为进行了改进来构建攻击者模型，包含了协议攻击者恶意行为以及主体恶意行为，并拥有构造与更新消息集合的能力，使之更匹配安全交换协议公平性和非否认性验证。验证与发现缺陷。运用验证工具FDR2对协议模型进行自动化验证，从而发现协议的缺陷。

四、模型检测和状态约简：

安全交换协议扩展Pi演算模型的进程为P，变量映射的初始值V为空，并且信息集合C中的每个信道中都不含有消息项。协议的初始状态可以表示为(P，V，C)，然后应用通过扩展Pi演算操作语义，获得LTS状态（S，init，T)，其中：

这里，S是状态集，初始状态init∈S并且T是状态转移。我们令Στ表示时间的集合。那么转移(s₁,τ,s₂)∈T表示通过执行事件τ系统能够从状态S₁转换到状态S₂也就是对于τ₁,τ₂,...,τ_n∈Στ，我们令τ₁,τ₂,...,τ_n∈Στ作为LTS中的一个迹并且使用表示这种转移。

本发明使用LTL重写规则对取反后的LTL命题进行化简，然后通过使用非常弱的交替自动机(Very Weak Alternating Automata，VWAA)和广义Büchi自动机(Generalized Büchi Automata，GBA)作为中间自动机实现LTL命题到Büchi自动机的转化。每次自动机的转化过程都实现了On-The-Fly思想，减少了时间和空间消耗。

本发明使用经典的SCC搜索算法Tarjan算法实现攻击路径的查找，通过将该算法与On-The-Fly思想结合，实现了较高的时间和空间效率。本发明使用边生成状态空间，边进行攻击路径检测的On-The-Fly思想，该思想使得系统在搜索到第一个攻击路径时，即停止状态空间的生成和攻击路径的检测。为了避免状态爆炸问题而采取的三个策略。在模型检测方面，采用Move-One-Step方法实现On-The-Fly思想实现状态空间的减少，节省了协议分析的时间和空间需求；在系统建模过程方面，提出相应的状态压缩规则如减去系统不可达状态，降低状态搜索时间；合并本质相同的状态，压缩状态空间，而且避免重复验证本质上相同的路径。

相关语义表达描述如下：

(1)扩展Pi演算语法描述如下：

(2)Pi演算操作语义，描述如下：

(3)攻击者模型语义规则描述如下：

以下通过基于RSA签名的交换协议为例来给出发明的具体实施方式。

RSA签名是一种常用的、高效签名技术。基于RSA签名技术，周永彬等研究者提出了一种秘钥交换协议，协议表达如下：

Exchange Subprotocol

ex1.:Alice→Bob:C_A,(w,z)

ex2.:Bob→Alice:S_B

ex3.:Alice→Bob:S_A

Resolve Subprotocol

re1.:Bob→TTP:{M,C_A,(w,z)},S_B

re2.:TTP→Alice:S_B

re3.:TTP→Bob:S_A

该协议旨在解决电子商务活动中信息交换的公平性及不可否认性问题。

具体步骤如下：

1、基于RSA签名的安全交换协议形式化建模，结果参考如下：

协议模型主要包括四个部分：Alice进程、Bob进程、TTP进程和process协议总进程，Alice，Bob和TTP进程是协议中Alice、Bob和TTP行为的形式化模型，而process总进程表示上述Alice和Bob进程的并行交互过程。上述模型表达中：模型第一行和第三行是对协议ex1操作的形式化，Alice在公共信道上接收TTP利用函数aencs()生成的Alice数字证书C_A，通过构造函数sign()模型产生自己的数字签名S_A，并将信息{C_A,(w,z)}发送给Bob。第三行表示Bob接收了Alice发送的信息C_A'，并使用函数getca()和(w,z)验证其真实性。协议操作ex2在模型的第二行和第五行描述，第五行表示Bob通过构造函数sign()产生其数字签名S_B，并将其发送给Alice，第二行表示Alice收到了Bob的数字签名S_B'，并使用析构函数checksgin()验证其签名的真实性。执行完这些操作之后，Alice的三种操作都有可能被执行，协议模型第四行到第五行形式化了该状态。如果操作(2)或者操作(3)发生，模型第四行执行，resolve子协议被唤醒。模型第七行说明TTP收到了来自Bob的解决争端请求，并验证Bob发送信息C_A”和S_B”的真实性。如果这些信息是真实的，如模型第九行行第十行所示，TTP会利用析构函数densc()和其私钥对C_A”解密获得S_A”然后将Alice的数字签名S_A'，发送给Bob，与此同时，TTP会发送Bob的数字签名S_B”给Alice。“event start_send”表示数字签名被送到了目的地。公私钥对在第十行表示，十三行表示了Alice进程和Bob进程的交互进行。

2、基于RSA签名的安全交换协议安全属性建模

通过分析RSA交换协议，将其公平性分为两个部分，一部分是发送方(即Alice)公平性，一部分是接收方(即Bob)公平性。Alice公平性是指如果Bob得到了其所需要的消息，那么最后一定存在一条路径使得Alice收到其所需要的消息。LTL对该公平性形式化描述如公式：

query G(start_send(S_A))→F(start_send(S_B)). /*Fairness of Bob*/

query G(start_send(S_B))→F(start_send(S_A)). /*Fairness of Alice*/

RSA交换协议的接收方非否认性(NOR)由Bob产生，目的是发送给Alice，如果有争端发生，Alice可以将NOR消息发送给TTP来保障自己权益。在该协议中，本发明令Bob对消息M的数字签名作为NOR消息，因为只有Bob才拥有自己的签名私钥。与之相反，发送方非否认型(NOO)由Alice产生，目的是发送给Bob用于权益保障，显然对于Alice，数字证书C_A可以起到非否认的作用，当有争端发生时，Bob将收到的C_A证书发送给TTP，即可以证明Alice是这次会话的发起者。根据LTL，NOR和NOO的形式化模型为公式：

query G(start_send(C_A))→F(start_send(S_B)). /*NOR*/

query F(start_send(S_B))→(start_send(C_A)Ustart_send(S_B)). /*NOO*/

3、基于RSA签名的交换协议验证

使用本发明提出的模型检测平台对上述的RSA密钥交换协议进行了验证，结果显示该协议不能满足安全性和NOR需求。RSA秘钥交换协议语义描述如下：

Exchange Subprotocol

ex1.:Alice→Bob:C_A,(w,z)

ex2.:Bob→Alice:S_B

ex3.:Alice→Bob:S_A

Resolve Subprotocol

re1.:Bob→TTP:{M,C_A,(w,z)},S_B

re2.:TTP→Alice:S_B

re3.:TTP→Bob:S_A

其中一条RSA密钥交换协议攻击路径如下：

在该攻击路径的1-3行，Alice，Bob和TTP传送各自的公钥在公共信道c上。从第4行可以看到，协议的执行过程偏离了正常顺序，一种情况是协议的外部攻击者截获本次会话Alice发送的有效信息，并发送和自己上次截获的会话信息发送给Bob，造成外部攻击者的重放攻击；另一种情况是，Alice本身是不诚实的参与者，Alice并没有发送本次会话的有效数字证书给Bob，而是发送了上次会话TTP分配的数字证书给Bob，这种情况为不诚实参与者的重放攻击。此外，第7行，在Alice收到来自Bob对消息M的数字签名之后，Alice并没有发送自己的签名给Bob，Bob发送自己获得的消息(m,aencs(sign(m,skA),pkT，getwz(aencs(sign(m_attacker,skA_attacker),pkT),sign(m,skB))给TTP，唤醒resolve子协议。在第9行，TTP收到Bob发送的消息，并判断其有效性。在RSA交换协议中，TTP没有权限对消息M进行重放攻击验证，TTP只能验证数字整数的有效性，数字证书有效，则TTP发送在第10行执行事件end_start(sign(m,skB))，发送sign(m,skB)给Alice，但是在第11行，TTP通过执行事件end_start(sign(m_attacker,skA_attacker))发送过期消息给sign(m_attacker,skA_attacker)Bob。结果Alice得到了所需要的信息，但是由于重放Bob没有获得其所需要的信息，公平性因而没有得到保障。

同理，由于Bob获得的是之前会话的Alice数字证书，如果Alice抵赖是本次会话的发起者，Bob不能向TTP证明Alice是会话发起方，故在该RSA密钥交换协议中NOR也没能得到保障。

Claims (2)

1.一种安全交换协议模型检测方法，其特征在于，该方法包含以下步骤：

步骤一、使用Proverif建模语言Pi演算为基础，用于对安全交换协议进行形式化描述，构建安全交换协议模型；

步骤二、使用LTL线性时序逻辑对安全交换协议参与者的公平性和不可否认性进行描述，构建安全属性模型，并转换为自动机；

步骤三、基于Dolev-Yao攻击者模型、弹性信道RCC和协议内部不诚实参与者行为对攻击者行为来构建攻击者模型，包含了协议攻击者恶意行为以及主体恶意行为，使之更匹配安全交换协议公平性和非否认性验证；运用验证工具FDR2对安全交换协议模型进行自动化验证，从而发现协议的缺陷；

步骤四、使用经典的SCC搜索算法Tarjan算法实现攻击路径的查找，使用一边生成状态空间，一边进行攻击路径检测的On-The-Fly思想，在搜索到第一个攻击路径时，即停止状态空间的生成和攻击路径的检测；采用Move-One-Step方法进行模型检测；依据相应的状态压缩规则减去系统不可达状态、合并本质相同的状态，避免重复验证本质上相同的路径；

步骤五、进行基于Pi演算和LTL的验证安全交换协议公平性与非否认性的可视化验证。

2.如权利要求1所述的安全交换协议模型检测方法，其特征在于，所述步骤1还包括以下处理：

构建安全交换协议模型时，扩充了原始的Pi演算的语法和语义，支持安全协议的不诚实参与者选择发送或者不发送信息的情况。