密码协议的秘密性证明

在Paulson的归纳方法基础上提出一种新的密码协议秘密性的证明方法，该方法在消息事件结构中引入会话标识符，给出协议满足秘密性的充要条件，大大简化了协议秘密性的证明，高效且适合机械化实现。     

密码协议安全性质研究

针对密码协议安全性质研究存在的问题,基于协议的运行过程--协议运行迹研究了一般秘密性、猜测攻击,强秘密性、完美前向秘密性、已知密钥攻击、新鲜性和完整性.分析了各个安全性质的具体含义,并对其进行了形式化定义,指出了为保证这些安全性质协议运行迹需满足的条件,并分析了不同秘密性之间的关系.最后实例研究结果表明,定义是正确且有效的.     

时间相关密码协议逻辑及其形式化语义

在密码协议中,主体的认知与信仰状态是随时间推移而不断变化的.为了在协议分析中体现这种动态性,提出一种时间相关密码协议逻辑.该逻辑基于谓词模态逻辑,通过在谓词及模态词中引入时间参数以体现时间因素,使得逻辑可表达各个主体在协议不同时间点的行为、知识及信仰.给出该逻辑的形式化语义,在避免逻辑语言二义性的同时保证了逻辑的可靠性.该语义基于Kripke结构,将可能世界建立在主体局部世界与时间局部世界的基础上,使得任一可能世界能够反映协议的一个可能的全过程.该逻辑为密码协议,特别是时间相关密码协议提供了灵活的分析方法,增强了基于逻辑方法的协议分析能力.     

加密模式与密码协议的安全性

密码协议的设计和安全性分析是困难的,在密码协议中总是以所使用的密码算法是安全的为前提,但是人们却忽略了密码算法的加密模式对密码协议安全性的影响。论文针对一个改进的Needham-Schroeder协议,假设其使用了分组密码的CBC加密模式,我们通过使用一条旧信息的明密文对来修改当前会话中的信息,从而成功地欺骗用户双方,并分别与他们建立了一个会话密钥,对该协议进行了成功的攻击。结果说明密码算法的加密模式对密码协议的安全性有着巨大的影响。Schroederauthenticationprotocol125     

安全套接层协议SSL协议的分析

通过密码算法和密码协议,初步介绍SSL协议。然后通过公开源代码库的OpenSSL协议的具体实现,使大家更加深入的理解SSL协议。     

设计密码协议的若干原则与方法

传统的密码协议设计主要考虑理想环境下运行的安全性。为了设计实用安全的密码协议,首先对理想环境下密码协议中存在的主要攻击进行研究和总结,提出四条协议设计原则,以避免常见的设计缺陷;然后通过对消息完整性的研究,提出一种协议转换算法,可将理想环境下安全的密码协议转换为现实环境下安全的密码协议,并证明算法的安全性。该转换算法的提出,有助于设计在现实环境下运行安全的密码协议。     

基于逻辑编程的EKE协议分析

基于逻辑编程规则及Spi演算提出了一种验证密码协议安全性的新方法,利用该方法可以对密码协议的安全性质以程序化的方式进行验证。通过对EKE协议进行的分析,不但证明了协议已知的漏洞,而且发现了针对EKE协议的一个新的攻击——并行会话攻击。很好地验证了该新方法对密码协议的分析能力。     

基于图元的事件图生成算法

与单轮运行情形不同,多轮并发运行的密码协议存在更为复杂的安全性问题。并发运行密码协议的形式化分析对象包括密码协议的多轮并发运行和多个密码协议的并发运行两种情形,且二者具有统一的形式化模型。基于扩展的串空间模型和Spi演算理论,提出用于并发运行密码协议安全属性验证的事件图模型。图元是事件图的构造单元,它满足消息事件之间的通信关系和前驱关系约束以及消息语句的新鲜性约束。定义消息事件之间、图元之间以及消息事件和图元之间的前缀、组合和选择运算,并给出事件图生成算法。     

无线移动网络密码协议的安全性

描述了一组无线移动网络中密码协议的过程,利用GNY逻辑对密码协议进行分析,鉴于EAP-TLS密码协议会受到中间人攻击,提出了解决方法,找出协议中存在的安全缺陷,发现了对密码协议的安全威胁,并给出攻击者可能的攻击。     

一种基于规划理论的密码协议形式模型

将规划理论引入到密码协议形式化分析领域,结合密码协议在实际网络环境中的运行特点和规律,提出了密码协议攻击规划理论;建立了一种对密码协议进行安全性验证的形式化模型,即密码协议攻击规划问题模型;给出了模型的一阶语法、形式定义及相关运算语义.同时,分析了Dolev-Yao模型的不足之处,基于基本消息元素策略对其进行了改进;并通过增强应用语义来保证改进模型的可行性,从而避免了"状态空间爆炸"问题的发生,提高了密码协议攻击规划问题模型的完备性;并给出了基于该模型的NS公钥协议分析实例.提出的密码协议形式模型是证伪的,目的在于对密码协议进行验证,并查找协议中可能存在的漏洞,既可以方便地进行手工推导证明,也非常易于自动化实现.     

Security by typing

We present an approach for analyzing cryptographic protocols that are subject to attack from an active intruder who takes advantage of knowledge of the protocol rules. The approach uses a form of type system in which types are communication steps and typing constraints characterize all the messages available to the intruder. This reduces verification of authentication and secrecy properties to a typing problem in our type system. We present the typing rules, prove soundness of a type inference algorithm, and establish the correctness of the typing rules with respect to the protocol execution and intruder actions. The protocol specifications used in the approach can be automatically extracted from the conventional, informal cryptographic protocol notation commonly found in the literature. To validate the approach, we implement our algorithm in a tool called DYMNA, which is a practical and efficient environment for the specification and analysis of cryptographic protocols.     

Relating symbolic and cryptographic secrecy

We investigate the relation between symbolic and cryptographic secrecy properties for cryptographic protocols. Symbolic secrecy of payload messages or exchanged keys is arguably the most important notion of secrecy shown with automated proof tools. It means that an adversary restricted to symbolic operations on terms can never get the entire considered object into its knowledge set. Cryptographic secrecy essentially means computational indistinguishability between the real object and a random one, given the view of a much more general adversary. In spite of recent advances in linking symbolic and computational models of cryptography, no relation for secrecy under active attacks is known yet. For exchanged keys, we show that a certain strict symbolic secrecy definition over a specific Dolev-Yao-style cryptographic library implies cryptographic key secrecy for a real implementation of this cryptographic library. For payload messages, we present the first general cryptographic secrecy definition for a reactive scenario. The main challenge is to separate secrecy violations by the protocol under consideration from secrecy violations by the protocol users in a general way. For this definition, we show a general secrecy preservation theorem under reactive simulatability, the cryptographic notion of secure implementation. This theorem is of independent cryptographic interest. We then show that symbolic secrecy implies cryptographic payload secrecy for the same cryptographic library as used in key secrecy. Our results thus enable formal proof techniques to establish cryptographically sound proofs of secrecy for payload messages and exchanged keys.     

基于理想的协议安全性分析

1998年,Guttman等人提出了串空间理论作为一种新的密码协议形式化分析的工具.并在1999年第1次引入了关于消息代数上的理想以及诚实的概念来分析协议的保密性.由于理想结构的特殊性使得它可以刻画协议运行中消息之间的关系.利用理想的结构来分析协议的一些安全性质,例如保密性、认证性、零知识性以及如何抵抗猜测攻击.     

一种改进的密码协议形式化模型

多重集重写MSR(multiset rewriting)模型是一种基于多重集重写的协议形式化建模方法.从目前的研究成果来看,该模型并不完善.针对其攻击者模型验证协议存在的不足,对MSR模型进行了改进,并给出了基于MSR模型的秘密性和认证性描述.实践表明,对模型的改进进一步完善了原模型.     

Security properties: two agents are sufficient

We consider an important family of cryptographic protocols and a class of security properties which encompasses secrecy and authentication. We show that it is always sufficient to consider a bounded number of agents b (b = 2 for secrecy properties for example): if there is an attack involving n agents, then there is an attack involving at most b agents.     

基于串空间模型的Athena方法的改进

Athena分析方法由于没有抽象更多的密码学原语,因此不能分析较复杂的安全协议。该文针对互联网密钥交换协议(IKEv2),对Athena方法进行了扩展：修改消息项结构,扩展密码学原语,使其能分析DH（Diffie-Hellman）密钥协商问题,修改内在项关系,使其能应对更复杂的消息构造情况,并对相关命题和定理进行了证明。根据扩展后的Athena方法,对IKEv2协议的秘密性和认证性等进行了分析,对协议的特点作了进一步讨论。     

Secrecy of cryptographic protocols under equational theory

This paper gives a novel approach to verify the secrecy property of cryptographic protocols under equational theories. Indeed, by using the notion of interpretation functions, this paper presents some sufficient and practical conditions allowing to guarantee the secrecy property of cryptographic protocols under any equational theory. An interpretation function is a safe means by which an agent can estimate the security level of message components that he receives so that he can handle them correctly. Also, this paper proves that polynomials help a lot with the construction of an interpretation function and gives a guideline on how to construct such functions together with an example and how to use it to analyse a cryptographic protocol.     

Neuman-Stubblebine协议的串空间模型及分析

串空间模型是一种新兴的密码协议形式化分析工具,其理论中理想和诚实概念的提出大大减少了协议的证明步骤.首次利用串空间理论从机密性和认证性两个方面对Neuman-Stubblebine协议进行了分析.分析结果证明该协议是安全的,而且理想对公开密钥算法和对称密钥算法产生的协议的分析都是有效的.     

基于Petri网的密码协议分析

在Federico提出的一种密码协议进程语言的基础上,建立了便于进行密码协议分析的简化Petri网模型,给出了协议满足秘密性的充要条件,并以NS公钥协议为例,用Petri网模型,结合归纳方法和串空间分析方法从密钥、新鲜数和协议主体三个方面的秘密性分析了该协议的秘密性,简化了协议秘密性的分析。     

Tree automata with one memory set constraints and cryptographic protocols

We introduce a class of tree automata that perform tests on a memory that is updated using function symbol application and projection. The language emptiness problem for this class of tree automata is shown to be in DEXPTIME.We also introduce a class of set constraints with equality tests and prove its decidability by completion techniques and a reduction to tree automata with one memory.Finally, we show how to apply these results to cryptographic protocols. We introduce a class of cryptographic protocols and show the decidability of secrecy for an arbitrary number of agents and an arbitrary number of (concurrent or successive) sessions, provided that only a bounded number of new data is generated. The hypothesis on the protocol (a restricted copying ability) is shown to be necessary: without this hypothesis, we prove that secrecy is undecidable, even for protocols without nonces.