CN1925488A - 支持大规模多用户的安全协议验证实验系统的实现方法 - Google Patents
支持大规模多用户的安全协议验证实验系统的实现方法 Download PDFInfo
- Publication number
- CN1925488A CN1925488A CN 200610116299 CN200610116299A CN1925488A CN 1925488 A CN1925488 A CN 1925488A CN 200610116299 CN200610116299 CN 200610116299 CN 200610116299 A CN200610116299 A CN 200610116299A CN 1925488 A CN1925488 A CN 1925488A
- Authority
- CN
- China
- Prior art keywords
- protocol
- user
- agreement
- scale
- multiple users
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明涉及的是一种计算机网络安全技术领域的支持大规模多用户的安全协议验证实验系统的实现方法。使用B/S架构实现安全协议的分布式验证,并且支持多用户的并发操作,从用户端界面获取安全协议的形式化输入,根据输入内容构造协议交换的消息项,用户提交的协议文本提取协议分析中使用的数据,提供多用户同时并发操作,分别使用基于串空间模型和扩展BSW逻辑的协议分析算法对输入的协议分析分析验证,最后产生输出协议的分析结果并以文本方式返回给用户。本发明对安全协议能够进行更科学准确地说明和验证,解决了原有形式化方法模型定义不完整,对被用于多用户并发的安全协议验证实验,算法的结果准确,运行效率高。
Description
技术领域
本发明涉及的是一种计算机网络安全技术领域的方法,特别是一种支持大规模多用户的安全协议验证实验系统的实现方法。
背景技术
目前Internet的普及,使得信息安全问题越来越为众多的人所关注,因此信息安全的培训需求也越来越大。安全协议分析作为信息安全的一个重要方面,尤其需要重视。因此,对于安全协议安全性能的分析验证不仅具有很高的研究价值,而且在许多实际问题中都得到了广泛的应用。同时,安全协议的分析验证也是一项比较复杂的技术,牵涉到代数学、图论、计算技术等许多领域,研究至今已经提出了一些算法,这些算法一般使用攻击构造方法,通过对协议运行中可能存在的状态的产生和剪切,最后产生一系列的最终状态。然后通过对所有最终状态的检测确定安全协议是否能够达到预期的安全目标。
串空间模型(Fabrega FJ,Herzog JC,Guttman JD.Journal of ComputerSecurity(计算机安全),7(2,3):191-230,1999.Strand space:why is asecurity protocol correct(串空间:为什么一个安全协议是安全的))是一种用于证明协议的认证属性和保密属性的安全协议分析模型,是近几年安全协议分析中最常用的模型方法。串空间模型使用代数中集合和图论的概念,对安全协议的运行状态和攻击者的攻击能力和手段进行定义和说明,并且通过数学的证明说明安全协议所能够满足的目标。认证测试方法(Guttman JD,Fabrega FJ.Proceedings of 2000 IEEE Symposium on Security and Privacy(2000年IEEE安全和保密研讨会),96-109,2000.Authentication tests.(认证测试))是以串空间模型为基础的一种认证协议分析方法,是对串空间模型的简化。认证测试方法通过定义测试分量和构造测试类型,对安全协议所能满足的认证属性进行证明。串空间模型和认证测试方法作为新型的协议分析设计方法,以其严格的数学定义和严谨的证明得到了一定程度的应用。虽然串空间模型和认证测试方法成功地证明了一些安全协议中存在的漏洞,但是对于由于消息重放而引起的重放攻击和类性攻击还缺少有效地证明手段。类BAN逻辑(Burrows M,Abadi M,Needham R.ACMTransaction on Computer Systems(ACM计算机系统学报),8(1):18-36,1990.Alogic of authentication(一种认证逻辑))是安全协议分析中最简单、应用最为广泛的分析方法,BSW逻辑(Buttyan L.,Staamann S.,Wilhelm U.,A.Proceedings ofthe 11th IEEE Computer Security Foundations Workshop(第11届IEEE计算机安全基础研讨会),1998:153-162.A Simple Logic for Authentication Protocol Design(一种认证协议设计的简单逻辑方法))是BAN类逻辑的一种,这种方法不仅适用于安全协议的分析,同样适用于安全协议的设计。BSW逻辑的缺点在于它仅定义了收到消息的逻辑符号和操作,对于通信主体发送消息没有明确的定义,因此对安全协议的证明还不完善。目前对于安全协议的分析验证还多是手工推导,不仅效率低,还容易由于人为因素造成分析误差,因此使用高效的安全协议分析验证系统不仅能够提高协议分析的效率,还能够避免人为因素造成的分析误差。
发明内容
本发明目的在于克服现有安全协议分析验证算法的缺陷,提供一种支持大规模多用户的安全协议验证实验系统的实现方法,使其解决形式化模型方法中存在的定义不完善、证明不完全的问题。并且通过自动化分析验证,解决协议手工分析效率低和造成人为分析误差的问题,为进一步的安全协议设计提供可靠的依据。
本发明是通过以下技术方案实现的。本发明使用B/S架构实现安全协议的分布式验证,并且支持多用户的并发操作,从用户端界面获取安全协议的形式化输入,根据输入内容构造协议交换的消息项,用户提交的协议文本提取协议分析中使用的数据,提供多用户同时并发操作,分别使用基于串空间模型和扩展BSW逻辑的协议分析算法对输入的协议分析分析验证,最后产生输出协议的分析结果并以文本方式返回给用户。
本发明包括具体步骤如下:
(1)形式化安全协议输入;
所述的形式化,在用户端界面根据协议描述规范输入安全协议的形式化描述。
所述的安全协议输入,使用基于Java脚本技术的JSP实现客户端的界面,通过用户输入或菜单式选择对安全协议的消息进行输入。
(2)提取安全协议中的数据;
所述的数据,使用基于Java脚本技术的JSP是将HTML编码从Web页面的业务逻辑中有效地分离出来,通过对数据的分解,构造每个主体的串链表和目标集合。
(3)基于串空间模型的协议分析验证;
所述的串空间模型,根据用户输入的安全协议使用改进后的串空间模型和认证测试方法构造协议中的测试分量,将测试分量分为outgoing test,incoming test和unsolicited test。
针对不同类型的测试分量分别使用相应的测试方法进行证明。
(4)基于扩展BSW逻辑的协议分析验证;
所述的扩展BSW,其方法是:选择协议交换的第一条消息,搜索初始假设,根据协议输入和初始假设调用Prolog语言编写的协议分析算法,使用改算法进行逻辑和验证,比对验证的结果和目标集合的内容,最后输出协议的分析结果。
所述的输出协议的分析结果,是指:使用文本方式将协议分析验证结果在客户端的Web页面上进行显示。
本系统采用B/S架构,提供了良好的操作界面,并且针对安全协议分析的特点,设计了对应的实验;客户端不需要安装任何软件,只需要具有Internet浏览器,即可使用此安全协议验证原型系统,这样更加有利于系统功能的扩展;客户端支持一台服务器设备多个学员交互式的同时实验,解决了不支持多个用户同时操作的问题。学员按照实验指导书完成安全协议分析实验后,就具有了对安全协议分析原理比较深入的了解,具备了安全协议分析的基本技能。
本发明针对串空间模型和BSW逻辑中存在的缺陷,以及现有协议分析工具无法实现多用户并发使用的问题,采用改进的串空间模型和扩展的BSW逻辑,使用B/S架构构造系统,很好地解决了现有模型方法和工具存在的问题,进一步提高了安全协议的分析准确度和效率。系统使用的B/S架构可以同时显现多用户的并发操作,因此使本技术的有效性进一步提高。
本发明采用改进的串空间模型和扩展的BSW逻辑,对安全协议能够进行更科学准确地说明和验证,解决了原有形式化方法模型定义不完整,使安全协议的验证更科学可靠。本发明被用于多用户并发的安全协议验证实验,算法的结果准确,运行效率高,为进一步进行安全协议的设计提供了可靠的依据。
附图说明
图1本发明方框示意图
具体实施方式
实施例采用的软硬件环境:服务器:Tomcat 5.0以上,Prolog编译工具;客户端硬件要求:Windows 2000/XP,Pentium 2 400Mhz以上,256M内存,与服务器的网络连接;客户端软件:IE。
部署:
①将Protocol.rar解压缩到Tomca安装目录的webapps目录下;
②在SQL Server新建数据库Formalization;
③从Formation.dat导入数据到数据库;
④配置数据源,名称为Formalization即可;
⑤双击启动tomcat;
⑥安装客户端;
⑦如果Windows XP以上版本,安装JDK1.5以上,然后控制面板双击JavaWeb->高级->applet->允许IE访问即可->确定即可。
下面结合本发明在“基于串空间模型的安全协议验证”实验中的应用,具体阐述其实施方式。在该实施例中,用户首先根据客户端页面的提示进行安全协议的输入,如图1所示,具体步骤如下:
(1)安全协议形式化输入。根据页面上的提示内容,输入协议的形式化描述,文本框中的内容采用手工输入,下拉菜单的内容用于原则。输入完毕后按键进行协议分析验证;
(2)提取安全协议中的数据。对于输入的安全协议形式化描述需要进行分类和记录。根据形式化的输入确定每条消息的内容以及消息符号,使用链表构造每个主体的串结构,使用链表和结构体相结合的方法构造每条消息项中的明文数据和密文数据。与此同时构造安全协议的目标集合,目标集合中使用链表表示协议需要达到的目标内容;
(3)安全协议分析验证:根据已经构造完成的主体串,提取其中的随机数构造测试分量,针对随机数所在消息项的形式将测试分量分为outgoing test,incoming test和unsolicited test。针对不同类型的测试分量分别使用相应的测试方法进行证明;
(4)分析结果输出:分析结果使用文本方式表示,结果中包含安全协议需要达到的目标项、系统已经证明的目标项、系统未证明的目标项,以及协议是否安全的信息。最后结果返回给客户端,并使用html形势进行显示。
实际证明结果表明,采用以上方法能够精确的证明安全协议所能满足的安全属性,而且效率很高,可以满足多用户同时使用系统进行协议分析的要求,而且效果很好。
Claims (7)
1、一种支持大规模多用户的安全协议验证实验系统的实现方法,其特征在于,使用B/S架构实现安全协议的分布式验证,并且支持多用户的并发操作,从用户端界面获取安全协议的形式化输入,根据输入内容构造协议交换的消息项,用户提交的协议文本提取协议分析中使用的数据,提供多用户同时并发操作,分别使用基于串空间模型和扩展BSW逻辑的协议分析算法对输入的协议分析分析验证,最后产生输出协议的分析结果并以文本方式返回给用户。
2、根据权利要求1所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,所述的形式化,在用户端界面根据协议描述规范输入安全协议的形式化描述。
3、根据权利要求1所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,所述的安全协议输入,使用基于Java脚本技术的JSP实现客户端的界面,通过用户输入或菜单式选择对安全协议的消息进行输入。
4、根据权利要求1所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,所述的数据,使用基于Java脚本技术的JSP是将HTML编码从Web页面的业务逻辑中有效地分离出来,通过对数据的分解,构造每个主体的串链表和目标集合。
5、根据权利要求1所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,所述的串空间模型,根据用户输入的安全协议使用改进后的串空间模型和认证测试方法构造协议中的测试分量,将测试分量分为outgoing test,incoming test和unsolicited test。
6、根据权利要求1所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,所述的扩展BSW,其方法是:选择协议交换的第一条消息,搜索初始假设,根据协议输入和初始假设调用Prolog语言编写的协议分析算法,使用改算法进行逻辑和验证,比对验证的结果和目标集合的内容,最后输出协议的分析结果。
7、根据权利要求1或者6所述的支持大规模多用户的安全协议验证实验系统的实现方法,其特征是,支持大规模多用户的安全协议验证实验系统的实现方法,所述的输出协议的分析结果,是指:使用文本方式将协议分析验证结果在客户端的Web页面上进行显示。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610116299 CN1925488A (zh) | 2006-09-21 | 2006-09-21 | 支持大规模多用户的安全协议验证实验系统的实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 200610116299 CN1925488A (zh) | 2006-09-21 | 2006-09-21 | 支持大规模多用户的安全协议验证实验系统的实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1925488A true CN1925488A (zh) | 2007-03-07 |
Family
ID=37817954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 200610116299 Pending CN1925488A (zh) | 2006-09-21 | 2006-09-21 | 支持大规模多用户的安全协议验证实验系统的实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1925488A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102104609A (zh) * | 2011-03-17 | 2011-06-22 | 天津大学 | 一种网络协议安全缺陷分析方法 |
CN108259493A (zh) * | 2018-01-16 | 2018-07-06 | 中南民族大学 | 一种安全协议消息构造方法 |
-
2006
- 2006-09-21 CN CN 200610116299 patent/CN1925488A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102104609A (zh) * | 2011-03-17 | 2011-06-22 | 天津大学 | 一种网络协议安全缺陷分析方法 |
CN108259493A (zh) * | 2018-01-16 | 2018-07-06 | 中南民族大学 | 一种安全协议消息构造方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103065095A (zh) | 一种基于指纹识别技术的web漏洞扫描方法和漏洞扫描器 | |
Lundin et al. | A synthetic fraud data generation methodology | |
Satrya et al. | Digital forensic analysis of Telegram Messenger on Android devices | |
CN101510881B (zh) | 一种网页提供方法及装置 | |
CN103246703A (zh) | 一种用于确定应用词库的方法和设备 | |
CN109376291A (zh) | 一种基于网络爬虫的网站指纹信息扫描的方法及装置 | |
CN111353151B (zh) | 一种网络应用的漏洞检测方法和装置 | |
CN113938886B (zh) | 身份认证平台测试方法、装置、设备及存储介质 | |
CN103647678A (zh) | 一种网站漏洞在线验证方法及装置 | |
CN104137115A (zh) | 网络服务接口分析 | |
CN110489676A (zh) | 基于区块链的网页取证方法、装置、存储介质及服务器 | |
CN107634947A (zh) | 限制恶意登录或注册的方法和装置 | |
CN103036993A (zh) | 实现网站登录的浏览器客户端和方法 | |
CN112118238B (zh) | 认证登录的方法、装置、系统、设备及存储介质 | |
CN107948148A (zh) | 一种模拟代填的方法及装置 | |
Šimoňák | Verification of communication protocols based on formal methods integration | |
CN111314388A (zh) | 用于检测sql注入的方法和装置 | |
CN103647652A (zh) | 一种实现数据传输的方法、装置和服务器 | |
CN1925488A (zh) | 支持大规模多用户的安全协议验证实验系统的实现方法 | |
CN113434400A (zh) | 测试用例的执行方法、装置、计算机设备及存储介质 | |
CN112364227A (zh) | 一种移动app数据采集方法 | |
CN111552663A (zh) | 文件一致性验证方法、装置、计算机设备及存储介质 | |
CN105282150B (zh) | 一种面向Web系统的登录助手系统 | |
CN1115628C (zh) | 一种软件模拟测试方法 | |
Lu et al. | A security analysis method for security protocol implementations based on message construction |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |