CN110071849A

CN110071849A - 一种基于实施本体的安全协议实施安全性分析方法及装置

Info

Publication number: CN110071849A
Application number: CN201910280581.1A
Authority: CN
Inventors: 孟博; 何旭东; 唐菀; 熊伟
Original assignee: South Central University for Nationalities
Current assignee: South Central Minzu University
Priority date: 2019-04-09
Filing date: 2019-04-09
Publication date: 2019-07-30
Anticipated expiration: 2039-04-09
Also published as: CN110071849B

Abstract

本发明提供了一种基于实施本体的安全协议实施安全性分析方法及装置，其中的方法首先获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体；然后建立安全协议轨迹到安全协议实施本体的之间映射关系，再根据安全协议轨迹、安全协议实施本体以及安全协议轨迹到安全协议实施本体的之间映射关系，对安全协议的实施进行分析，获得安全协议实施安全性分析结论。本发明可以自动分析轨迹中各个成分与安全协议实施规范的差异，最终得出安全性分析结果。该方法应用广泛，能够用于知识产权敏感，安全要求高的领域，并且能及时分析和监控安全协议实施，避免造成重大损失。

Description

一种基于实施本体的安全协议实施安全性分析方法及装置

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于实施本体的安全协议实施安全性分析方法及装置。

背景技术

随着网络通信技术的快速发展，web应用的安全越来越成为研究者们关注的重点，为保护web应用中安全协议实施的安全性与数据完整性，通常使用安全协议进行安全保护。

安全协议作为在网络空间中提供安全服务的通信协议，是网络安全的重要组成部分，其作为人们对隐私数据的保护载体，通过安全协议进行实体间的认证、密钥的安全分配等工作，安全协议在保证用户的信息安全方面起着至关重要的作用。

现有技术中，通常采用程序验证方法与模型抽取方法来研究安全协议实施安全性。本发明申请人在实施本发明的过程中，发现：这两种方法都依赖于获取并理解安全协议实施。然而，随着知识产权保护力度的加强，现阶段很难获取安全协议实施，又因为代码混淆技术的广泛应用使得代码的阅读和理解成为一项费时费力的工作，通过直接分析安全协议实施来保障网络空间安全非常困难。

由此可知，现有技术中的方法存在实施困难、无法保证安全性的技术问题。

发明内容

有鉴于此，本发明提供了一种基于实施本体的安全协议实施安全性分析方法及装置，用以解决或者至少部分解决现有技术中的方法存在实施困难、无法保证安全性的技术问题。

为了解决上述技术问题，本发明第一方面提供了一种基于实施本体的安全协议实施安全性分析方法，包括：

步骤S1：获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体；

步骤S2：建立安全协议轨迹到安全协议实施本体的之间映射关系；

步骤S3：根据安全协议轨迹、安全协议实施本体以及安全协议轨迹到安全协议实施本体的之间映射关系，对安全协议的实施进行分析，获得安全协议实施安全性分析结论。

在一种实现方式中，步骤S1具体包括：

步骤S1.1：从预设目标数据源获取目标安全协议实施规范；

步骤S1.2：采用三元组描述O:＝{C,H,R}目标安全协议实施规范，构造安全协议实施本体框架，其中，C表示概念集合，H表示概念的层次关系，R表示概念关系，Flow作为根的概念节点，Flow由多条Msg组成，Msg由Msg_Num和Token组成，Token包括Key、Token_Num和VeribleField，VeribleField包括VeribleField_Type，Flow表示轨迹流，Msg表示信息，Msg_Num表示信息的编号，Token表示口令，Key表示Token的标签，Token_Num表示Token的编号，VeribleField表示Key对应的值，VeribleField_Type表示VF的类型；

步骤S1.3：从目标安全协议实施规范提取出每个Token按照Msg和Token_Num的顺序挂在安全协议实施本体框架上，输出安全协议实施本体。

在一种实现方式中，安全协议实施本体包括三层结构，Flow、Msg和Token，步骤S2具体包括：

步骤S2.1：计算安全协议轨迹Token到本体Token的权值；

步骤S2.2：根据安全协议轨迹Token到本体Token的权值，计算安全协议轨迹Msg到本体Msg的权值；

步骤S2.3：根据安全协议轨迹Msg到本体Msg的权值，基于贪心算法，进行Flow匹配，寻找轨迹Msg与本体Msg的一个最优匹配，从而获得安全协议轨迹到安全协议实施本体的之间的最优匹配，将其作为映射关系。

在一种实现方式中，步骤S2.1具体包括：

步骤S2.1.1：基于Levenshtein距离，提出Key加权方法，计算轨迹到本体的关键词的权值，其中，Key加权方法如公式(1)所示：

Weight(Key₁,Key₂)＝1-LevenshteinRatio(Key₁,Key₂) 公式(1)

其中，Weight(Key1,Key2)表示轨迹Key1到实施本体Key2的权值，LevenshteinRatio(Key1,Key2)为轨迹Key1到本体Key2的Levenshtein距离比；

步骤S2.1.2：提出VF类型加权方法，并根据VF类型加权方法计算关键词对应的数据类型之间的权值；

步骤S2.1.3：采用欧式距离计算方法，结合关键词权值和数据类型权值计算轨迹Token到本体Token之间的权值，其中计算方法如公式(2)所示：

其中，Weight(Token₁,Token₂)表示轨迹Token到本体Token之间的权值，Weight(VF₁,VF₂)表示Token中VF到本体Token中VF的权值。

在一种实现方式中，步骤S2.2具体包括：

步骤S2.2.1：Token选择方法：基于Token匹配方法，计算轨迹Token到本体Token匹配的权值Weight；基于贪心算法计算轨迹Token到本体Token的一个最优匹配，从轨迹和本体中分别去除最大匹配的轨迹Token与本体Token；迭代执行贪心算法和去除的步骤直至完成所有Token的匹配，输出轨迹Token到本体Token的匹配和每组Token匹配的权值Weight；

步骤S2.2.2：MSG匹配比例加权方法：将产生的轨迹Token到本体Token的匹配和每组Token匹配的权值Weight作为MSG匹配比例加权方法的输入，计算两个Msg之间的权值，Msg匹配比例加权算法如公式(3)所示：

其中，Weight(Msg_t,Msg_n)表示轨迹Msg_t到实施本体Msg_n的权重，num_t表示轨迹中匹配上本体的Token数量，num_n表示本体中Token的总数量，表示轨迹Token_t到实施本体Token_n的总权值。

在一种实现方式中，步骤S2.1.2具体包括：

步骤S2.1.2.1：通过本体VF确定对应的正则表达式；

步骤S2.1.2.2：将轨迹VF输入到该正则表达式，判断输出结果的类型，如果输出结果为False，则直接输出False，如果输出结果为True，则执行步骤S2.1.2.3：

步骤S2.1.2.3：通过正则表达式包含关系确定最小正则表达式类型；

步骤S2.1.2.4：将最小正则表达式类型作为轨迹VF的类型，通过查询正则表达式匹配得分表获得轨迹VF到本体VF的匹配得分。

在一种实现方式中，步骤S2.3具体包括：

步骤S2.3.1：Msg选择方法：对Flow中的所有Msg采用Msg匹配方法，两两计算Msg之间的权值Weight(Msg_t,Msg_n)，Msg_t和Msg_n表示Flow中的两条Msg；然后，基于贪心算法，选择权值Weight(Msg_t,Msg_n)最大的匹配S作为输出，S是匹配的轨迹Msg_t与本体Msg_n的集合；

步骤S2.3.2：位置比例匹配方法：位置比例匹配方法输入为集合S，通过公式(4)计算P值，选择最小P值的Msg_t和Msg_n作为位置比例匹配的输出，

其中，Num_t和Num_N分别表示轨迹Msg的总数和本体Msg的总数，t和n表示轨迹中第t条Msg和本体Msg中第n条Msg；

步骤S2.3.2：迭代执行步骤S2.3.1～S2.3.2完成所有Msg的匹配。

基于同样的发明构思，本发明第二方面提供了一种基于实施本体的安全协议实施安全性分析装置，包括：

安全协议实施本体构建模块，用于获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体；

映射关系建立模块，用于建立安全协议轨迹到安全协议实施本体的之间映射关系；

安全性分析模块，用于根据安全协议轨迹、安全协议实施本体以及安全协议轨迹到安全协议实施本体的之间映射关系，对安全协议的实施进行分析，获得安全协议实施安全性分析结论。

基于同样的发明构思，本发明第三方面提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被执行时实现第一方面所述的方法。

基于同样的发明构思，本发明第四方面提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如第一方面所述的方法。

本申请实施例中的上述一个或多个技术方案，至少具有如下一种或多种技术效果：

本发明提出了一种基于实施本体的安全协议实施安全性分析方法，该方法以格式解析的安全协议轨迹和安全协议实施规范为输入，首先获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体，然后通过安全协议轨迹到协议实施本体的映射方法建立安全协议轨迹到实施本体的映射关系，最后根据安全协议实施安全性分析方法，分析映射关系的正确性得到安全协议分析结论。

相对于现有技术中方法而言，本发明不需要获得安全协议实施，不需要人为参与，通过建立安全协议轨迹和安全协议实施本体的映射关系，可以自动分析轨迹中各个成分与安全协议实施规范的差异，最终得出安全性分析结果。该方法应用广泛，能够用于知识产权敏感，安全要求高的领域，并且能及时分析和监控安全协议实施，避免造成重大损失。可以保证安全协议实施的安全，解决了现有技术中的方法存在的实施困难、无法保证安全性的技术问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为一种实施方案中基于实施本体的安全协议实施安全性分析方法的流程图；

图2为图1中的方法的数据流的处理过程示意图；

图3为步骤S1中安全协议实施本体框架构造方法及本体的构建的流程示意图；

图4为步骤S2中安全协议轨迹到协议实施本体的映射方法的流程示意图；

图5为步骤S3中安全协议实施安全性分析方法的流程示意图；

图6为本发明实施例中安全协议实施本体框架的示意图；

图7为本发明实施例中VF数据类型加权流程示意图；

图8为本发明实施例中数据类型包含关系示意图；

图9为本发明实施例中Token匹配算法的示意图；

图10为本发明实施例中Token匹配方法示意图；

图11为本发明实施例中Msg匹配方法示意图；

图12为本发明实施例中Msg匹配方法的算法示意图；

图13为本发明实施例中Flow匹配方法示意图；

图14为本发明实施例中Flow匹配算法；

图15为一种具体示例中安全协议实施安全性分析方法示意图；

图16为本发明实施例中映射关系分析算法示意图；

图17为一种实施方案中基于实施本体的安全协议实施安全性分析装置的结构框图；

图18为本发明实施例中计算机可读存储介质的结构图；

图19为本发明实施例中计算机设备的结构图。

具体实施方式

本申请发明人通过大量的研究与实践，针对程序分析方法和模型抽取方法的两个局限性，基于以下三点提出了一种基于实施本体和网络轨迹的安全协议实施安全性分析方法。其一，获取安全协议轨迹和公开的安全协议实施规范非常容易，公开规范的安全协议被大量实施与应用；其二，网络轨迹作为安全协议客户端实施和安全协议服务器端实施的通讯载体，其安全性受到广泛关注，但是很少有从网络轨迹内容本质出发的安全协议实施安全性研究；其三，对比程序验证方法，本发明的方法不需要获得安全协议实施，不需要人为参与，通过建立安全协议轨迹和安全协议实施本体的映射关系，自动分析轨迹中各个成分与安全协议实施规范的差异，最终得出安全性分析结果。该方法应用广泛，能够用于知识产权敏感，安全要求高的领域，并且能及时分析和监控安全协议实施，避免造成重大损失。

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

本实施例提供了一种基于实施本体的安全协议实施安全性分析方法，请参见图1，该方法包括：

步骤S1：获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体。

具体来说，目标安全协议实施规范可以从预设数据源中获取，安全协议实施本体框架用来构建本体，描述其中的概念及其关系。

步骤S2：建立安全协议轨迹到安全协议实施本体的之间映射关系。

具体来说，安全协议轨迹是安全协议客户端实施和安全协议服务器端实施的通讯载体，可以通过抓包方法获取。映射关系可以通过安全协议轨迹到本体Msg、Token的权重，进行贪婪选择建立。。

具体来说，安全协议轨迹是网络应用产生的数据流，数据流要经过格式方法的解析，得到格式解析的安全协议轨迹。安全协议实施本体的结构采用三层结构：Flow、Msg和Token，安全协议轨迹也按照上述结构进行格式解析，解析成Flow、Msg和Token的三层结构。如图5所示，该步骤中，输入安全协议轨迹、安全协议实施本体及其与安全协议轨迹到实施本体的映射关系，综合分析安全协议实施安全性。

整体来说，请参见图2，为图1中的方法的数据流的处理过程示意图。整体以格式解析的安全协议轨迹和安全协议实施规范为输入，输出安全分析结论。

在一种实施方式中，步骤S1具体包括：

步骤S1.1：从预设目标数据源获取目标安全协议实施规范；

具体来说，步骤S1.1中，预设目标数据源可以是安全协议的开发文档，安全协议官方说明和安全协议实施代码。安全协议实施规范按照Msg和Token的层次整理。Token包含关键词Key、分隔符separator、变化字段VF、序号Num，对于每个Token中的VF定义VF类型，VF类型具体包括Type、Length。其中Type和Length采用正则表达式描述。例如ticket的正则表达式描述为/^ST-|\d{5}|-[A-Za-z0-9]\w{15,19}|[0-9]{12,16}|[A-Za-z]\w{4}|-cas$。

步骤S1.2中，安全协议实施本体由三元组描述O:＝{C,H,R}，(1)概念集合C，(2)概念的层次关系H，(3)概念关系R。安全协议实施本体中的任何项可根据协议的不同进行概念增删和结构更改，便于扩展安全协议实施本体框架。安全协议实施本体框架如图6所示。

在安全协议实施本体中，以Flow作为根的概念节点，其中，Flow由多条Msg组成。Msg由Msg_Num和Token组成。Token表示由关键词、分隔符和数据组成的字段。Token由Key、Sparator、VeribleField、Token_Num、Token_Length、Token_Length_Offset组成，其中Key表示Token的标签，Sparator表示Key与Data之间的分隔符，VeribleField表示Key对应的值，Token_Num表示Token的编号，Token_Length表示Token的长度，Token_Length_Offset表示该Token_Length到平均Token_Length的偏移量。VeribleField由VeribleField_Type、VeribleField_Length和VeribleField_Offset组成，VeribleField_Type表示VF的类型，VeribleField_Length表示VF的长度，VeribleField_Offset表示该VeribleField_Length到平均VeribleField_Length的偏移量。VeribleField_Type包括Number、Character和Code。其中Number包括整数Integer、单精度浮点数Float和双精度浮点数Decimal等，Character包括、Time、Url和一些String等，Code包括Der、Base64和Utf8等等。Number、Character和Code所包含的数据类型，可以根据实际出现的数据类型进行详细定义。

在一种实施方式中，安全协议实施本体包括三层结构，Flow、Msg和Token，步骤S2具体包括：

步骤S2.1：计算安全协议轨迹Token到本体Token的权值；

具体来说，S2.1～S2.3是安全协议轨迹到协议实施本体的映射方法，如图4所示。Token匹配方法(步骤S2.1)。该方法用于计算轨迹Token到本体Token的权值。首先，基于Levenshtein距离提出Key加权方法，计算轨迹到本体的关键词的权值；然后，提出VF(Verible Field)类型加权方法，计算关键词对应的数据类型之间的权值；最后，采用欧式距离计算方法，结合关键词权值和数据类型权值计算轨迹Token到本体Token之间的权值。

Msg匹配方法(步骤S2.2)。该方法用于计算两个Msg的权值。Msg由Token组成，首先，Token选择方法根据贪心算法选择出两个Msg中的两组Token的最优匹配，然后，将两个Token之间的权值作为输入，通过MSG匹配比例加权方法计算两个Msg之间的权值。

Flow匹配方法(步骤S2.3)。Flow匹配方法基于贪心算法，试图寻找轨迹Msg与本体Msg的一个最优匹配。首先，Msg选择方法，根据Msg匹配方法，计算每条轨迹Msg到本体Msg的权值并选择轨迹Msg到本体Msg的匹配，然后，采用位置比例匹配方法，选择轨迹Msg的位置比例和本体Msg的位置比例相近的Msg匹配并从相应的轨迹和本体中去除最大匹配的轨迹Msg与本体Msg；最后，迭代的执行前两步，直至完成所有Msg的匹配。

在一种实施方式中，步骤S2.1具体包括：

Weight(Key₁,Key₂)＝1-LevenshteinRatio(Key₁,Key₂) 公式(1)

具体来说，Levenshtein距离是编辑距离的一种，它可以计算出字符串A通过增删操作变为字符串B的操作次数。例如字符串A：“eba”，字符B：“abac”，字符串A到字符串B需要删除e，替换成a，在末尾插入c，故Levenshtein距离为3，Levenshtein距离比定义为未操作的字符数与字符串长度的比值，字符串A到字符串B的比值为0.5,Levenshtein距离比越大说明两个字符串相似度越低，距离比越小说明两个字符串相似度越高，当Levenshtein距离比高于0.7时，认为两个字符串没有关系，定义weight为0。

其中，步骤S2.1.2具体包括：

步骤S2.1.2.1：通过本体VF确定对应的正则表达式；

具体地，可以参加图7。在VF类型加权将方法中，我们将数据长度和类型统一用正则表达式描述。数据类型大致分为3类，数值型Number，字符串型Charater和编码型Code。其中Number类型可以分为Float,Double和int，根据标示方法可以分为10进制和16进制数。Charater类型表示任意字符串，通常用于匹配较长的传输文本。Code类型为目标安全协议实施所定义的特殊类型，在安全协议中具有重要作用。表1列出了常见的四种数据类型及其对应的四种数据类型和正则表达式。

定义正则表达式的包含关系，确定最小类型匹配。同一种类型的数据可能被多个正则表达式匹配。例如，十进制数“123456789”和十六进制数“f4a8c357bd”，时间、网址、十六进制数和十进制，其数据类型包含关系示意图如图8所示，十六进制数包含十进制数，网址和时间均有特殊格式标识。当输入一个字符串时按照最小匹配来定义字符串类型。当轨迹“13:12:51”匹配正则表达式时，只能匹配到时间。当轨迹“123456789”匹配到正则表达式时，能够同时匹配十进制数和十六进制数，由于十六进制数范围小于十进制数，故认定十进制数为轨迹“123456789”的最小类型匹配。

表1数据类型及其正则表达式

定义正则表达式匹配得分。轨迹在与本体比较时，首先确定轨迹的最小类型匹配。表2为十进制数与十六进制数的匹配得分表。例如：十进制数Token“Decimal：/^[0-9a-fA-F]$/”与轨迹Token“Password:123456789”进行匹配。首先，Password所标识的VF为十六进制类型，然后对字符串所包含的十六进制数进行进一步匹配，确认Password所标识的VF为十进制，那么认为“Password:123456789”与“Decimal：/^[0-9a-fA-F]$/”的正则表达式匹配结果为0.5。

表2正则表达式匹配得分

下面具体介绍步骤S2.1.3中欧式距离计算方法。

首先，通过Key加权方法，计算轨迹Token中Key到本体Token中Key的权值；然后，通过VF类型加权方法，计算轨迹Token中VF到本体Token中VF的权值；最后，采用欧氏距离方法，计算Token之间的权值，轨迹Token到本体Token的权值算法如公式2所示。

Token匹配方法的具体算法如图9所示，Token匹配方法的示例如图10所示。例如：轨迹Token为“PWD：abc123”本体Token为“PassWord：/^[0-9a-fA-F]{10}$/”，根据Levenshtein距离比，计算出PWD到PassWord的权值为0.375，“abc123”符合正则表达式，权值为1，故该轨迹Token到本体Token的权值为1.068。轨迹Token“PWD：abc123”到本体Token“PassWord：/^[0-9a-fA-F]{10}$/”的权值计算如图10所示。

在一种实施方式中，步骤S2.2具体包括：

具体来说，Msg匹配方法用于计算两个Msg的权值。Msg由Token组成，要计算两个Msg之间的权值，首先，Msg匹配方法，根据贪心算法和Token匹配方法计算并选择出两个Msg中的两组Token的最优匹配，然后，通过MSG匹配比例加权方法计算两个Msg之间的权值。Msg匹配方法的示意图如图11所示。Msg匹配方法的算法如图12所示。

步骤S2.2.1中，Token选择方法

Token选择方法第一步，基于Token匹配方法，计算轨迹Token到本体Token匹配的权值Weight；第二步，贪心地选择轨迹Token到本体Token的一个最大匹配；第三步，从轨迹和本体中分别去除最大匹配的轨迹Token与本体Token；第四步，迭代的执行第二步和第三步，直至完成所有Token的匹配。最终输出轨迹Token到本体Token的匹配和每组Token匹配的权值Weight。

步骤S2.2.2中，MSG匹配比例加权方法

匹配比例加权方法输入Token选择方法产生的轨迹Token到本体Token的匹配和每组Token匹配的权值Weight。Msg匹配比例加权算法如公式3所示。

在一种实施方式中，步骤S2.3具体包括：

步骤S2.3.2：迭代执行步骤S2.3.1～S2.3.2完成所有Msg的匹配。

具体来说，Flow匹配方法基于贪心算法，试图寻找轨迹Msg与本体Msg的一个最优匹配。Flow匹配方法示意图如图13所示，该方法分为四步，第一步，Msg选择方法(步骤S2.3.1)，通过Msg匹配方法和贪心算法，计算每条轨迹Msg到本体Msg的权值并选择轨迹Msg到本体Msg的一个最大匹配，第二步，如果同时存在多个最大匹配，采用位置比例匹配方法(步骤S2.3.1)选择轨迹Msg的位置比例和本体Msg的位置比例相近的Msg匹配；第三步，去除最大匹配的轨迹Msg与本体Msg；第四步，迭代的执行第二步和第三步，直至完成所有Msg的匹配。Flow匹配方法的示意图如图13所示，算法如图14所示。

在具体的实施过程中，安全协议实施安全性分析方法的示意图如图15所示。该方法输入安全协议轨迹、安全协议实施本体和安全协议轨迹到实施本体的映射关系。首先分析Msg的发送顺序，然后分析每个Msg中Token的数量，其次分析分析每个Token中Key和VF数据类型，最后综合得出安全协议实施安全性分析结论。安全协议实施安全性分析方法，其具体算法如图16所示。

1)Msg发送顺序分析

输入轨迹T，T_Msgi_Tokenj表示轨迹T中第i个Msg中的第j个Token。轨迹T经过映射关系标记被标记为T_Msgi,p_Tokenj,q，p为Msgi在映射关系中被标记的位置,q为Tokenj在映射关系中被标记的位置。当p从1到最大值，如果i满足递增规律，则返回True，否则返回False和错误的(i,p),具体算法如图16所示。

2)Msg中Token数量分析

映射关系中如果缺少Token则可能导致制安全隐患。该方法输入被标记的轨迹T_Msgi,p_Tokenj,q，对于每个Msgi，判断每个Tokenj是否都有标签q，如果Token没有标签，则认为Msg中缺少Token并输出缺少标q签的T_Msgi_Tokenj。

3)Token中VF类型分析

Token中VF代表某一项的值，通过安全协议实施本体，定义VF的正则表达式，判断最优映射关系所对应的轨迹VF的类型是否相应的本体VF类型一致。如果匹配成功则说明轨迹VF符合实施本体。

安全分析结论为Msg发送顺序分析结论，Msg中Token数量分析和Token中VF类型分析。

实施例二

本实施例提供了一种基于实施本体的安全协议实施安全性分析装置，请参见图17，该装置包括：

安全协议实施本体构建模块201，用于获取目标安全协议实施规范，并基于目标安全协议实施规范构造安全协议实施本体框架，再完善安全性协议实施本体框架构建安全协议实施本体；

映射关系建立模块202，用于建立安全协议轨迹到安全协议实施本体的之间映射关系；

安全性分析模块203，用于根据安全协议轨迹、安全协议实施本体以及安全协议轨迹到安全协议实施本体的之间映射关系，对安全协议的实施进行分析，获得安全协议实施安全性分析结论。

在一种实现方式中，安全协议实施本体构建模块201具体用于执行下述步骤：

步骤S1.1：从预设目标数据源获取目标安全协议实施规范；

在一种实现方式中，安全协议实施本体包括三层结构，Flow、Msg和Token，映射关系建立模块202具体用于执行下述步骤：

步骤S2.1：计算安全协议轨迹Token到本体Token的权值；

在一种实现方式中，映射关系建立模块202还用于执行下述步骤：

Weight(Key₁,Key₂)＝1-LevenshteinRatio(Key₁,Key₂) 公式(1)

步骤S2.1.2.1：通过本体VF确定对应的正则表达式；

步骤S2.3.2：迭代执行步骤S2.3.1～S2.3.2完成所有Msg的匹配。

由于本发明实施例二所介绍的装置，为实施本发明实施例一中基于实施本体的安全协议实施安全性分析方法所采用的装置，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该装置的具体结构及变形，故而在此不再赘述。凡是本发明实施例一的方法所采用的装置都属于本发明所欲保护的范围。

实施例三

基于同一发明构思，本申请还提供了一种计算机可读存储介质300，请参见图18，其上存储有计算机程序311，该程序被执行时实现实施例一中的方法。

由于本发明实施例三所介绍的计算机可读存储介质，为实施本发明实施例一中基于实施本体的安全协议实施安全性分析方法所采用的计算机可读存储介质，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该计算机可读存储介质的具体结构及变形，故而在此不再赘述。凡是本发明实施例一的方法所采用的计算机可读存储介质都属于本发明所欲保护的范围。

实施例四

基于同一发明构思，本申请还提供了一种计算机设备，请参见图19，包括存储401、处理器402及存储在存储器上并可在处理器上运行的计算机程序403，处理器402执行上述程序时实现实施例一中的方法。

由于本发明实施例四所介绍的计算机设备为实施本发明实施例一中基于实施本体的安全协议实施安全性分析所采用的计算机设备，故而基于本发明实施例一所介绍的方法，本领域所属人员能够了解该计算机设备的具体结构及变形，故而在此不再赘述。凡是本发明实施例一中方法所采用的计算机设备都属于本发明所欲保护的范围。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种基于实施本体的安全协议实施安全性分析方法，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，步骤S1具体包括：

步骤S1.1：从预设目标数据源获取目标安全协议实施规范；

3.如权利要求2所述的方法，其特征在于，安全协议实施本体包括三层结构，Flow、Msg和Token，步骤S2具体包括：

步骤S2.1：计算安全协议轨迹Token到本体Token的权值；

4.如权利要求3所述的方法，其特征在于，步骤S2.1具体包括：

Weight(Key₁,Key₂)＝1-LevenshteinRatio(Key₁,Key₂) 公式(1)

5.如权利要求3所述的方法，其特征在于，步骤S2.2具体包括：

6.如权利要求4所述的方法，其特征在于，步骤S2.1.2具体包括：

步骤S2.1.2.1：通过本体VF确定对应的正则表达式；

步骤S2.1.2.2：将轨迹VF输入到该正则表达式，判断输出结果的类型，如果输出结果为False，则直接输出False，如果输出结果为True，则执行步骤S2.1.2.3；

7.如权利要求3所述的方法，其特征在于，步骤S2.3具体包括：

步骤S2.3.2：迭代执行步骤S2.3.1～S2.3.2完成所有Msg的匹配。

8.一种基于实施本体的安全协议实施安全性分析装置，其特征在于，包括：

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被执行时实现如权利要求1至7中任一项权利要求所述的方法。

10.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至7中任一项权利要求所述的方法。