安全协议理论与方法
基于推理结构性方法
SVO逻辑
Syverson和Oracho提出，建立了用于推证合理 性的理论模型。
1) 提供独立明确的语义基础。 2) 相当详细的模型。消除理解模糊，有助于
准确理解消息的真实含义和协议理想化。 3) 通用语义，扩展性好，简洁。
SVO逻辑的基本结构
1. 术语集合。 2. 推理规则及公理。 3. 基于的假设。
它表明如果主体Q收到一个签名的消息，并 且Q知道签名的验证密钥是K，就可以确定 发送者身份。
SVO逻辑的推理规则及公理续3
(3) I3 密钥协商公理 (PK(P, KP) PK(P, Kq)) shared(P,KPq,Q))
Kpq= f(Kp, Kq-1) = f(Kp-1, Kq) f为密钥协商函数， 比如Diffie-Hellman密钥交换。
(8) 仲裁公理 P controls P says
SVO逻辑的推理规则及公理续9
(9) I9新鲜公理
如果消息的一部分是新鲜的，那么整个消息 也是新鲜的。 1) fresh(Xi) fresh(X1,…,Xn) 2) fresh(X1,…,Xn)fresh(F(X1,…,Xn)) 3) fresh(X) P said X P says X
(5) I5 看到公理 1) P received X P sees X 2) P sees (X1,…,Xn) P sees Xi 3) P sees X1…P sees Xn P sees (F(X1,…,Xn)) 主体只要接收到一个消息就看到了这个消息， 并且看到了这个消息的每一部分。
SVO逻辑的推理规则及公理续6
1) P believes P believes() P believes 2) P believes P believes ( P believes )
SVO逻辑的推理规则及公理续2
(2) I2源关联公理 密钥用于推断消息发送者的身份。
1) shared(P,K,Q)R received {XQ}KQ said X 2) (PKÓ(Q,K))R received {X}K-1 Q said X PKÓ(Q,K)表示K是主体Q的数字签名验证密钥。
5) Shared(P,K,Q),PK(P,K)和P has K是公式，其 中P是主体， K是消息。
SVO逻辑的推理规则及公理
1. SVO逻辑遵从两条基本推理规则 1) () ╞ 2) ╞ P believes
SVO逻辑的推理规则及公理续1
2. SVO逻辑共有20条公理 (1) I1 相信公理 对于任一主体P和公式，有：
SVO术语集合续
4. 公式语言FT：满足下列性质的最小公式集合。 1)如果P是原始命题，则P是公式。
2) 如果,是公式，则和是公式。
3) P believes 和P controls 是公式，其中P 是主体， 是公式。
4) P sees X, P says X, P said X, P received X 和 fresh(X)是公式,其中P是主体, X是消息。
SVO术语集合
1. 定义T为初始术语集合, 包括互不相交的常 量符号集合：主体、共享密钥、公钥、私 钥以及序列号等。
2. n维函数表示有n个变量的函数，如加、解密函数等。 3. 消息语言MT：满足下列性质的最小语言集合。
1) 如果XT，则X是消息。 2) 如果X1,…,Xn是消息，F是任意一个n维函数,则F(X1,…,Xn)是消息。 3) 如果是公式，则是消息。
SVO逻辑的推理规则及公理续10
(10)I10 共享密钥的良好对称性公理 如果K是P，Q之间的良好密钥当且仅当K是Q，
P之间的良好密钥。
shared(P,K,Q) shard(Q,K,P)
SVO逻辑的推理规则及公理续11
(11) I11所有公理 P has K P sees K
SVO逻辑语义—计算模型
Pe：代表环境,可用于模拟攻击者的源自意行为 。 Si: 每个主体Pi有一个局部状态Si。 全局状态: n+1维局部状态。 主体行为:发送send(X,P)、receive()和generate(X)，
但只能生成集合T0中的元素
SVO逻辑语义—计算模型续1
每一个行为导致状态的一次迁移。 r: 一轮协议r是一个由整数时间索引的全局变
量的有限集合。 r(t)：协议中的t时记为r(t)。 ri(t): 对应的主体Pi的局部变量记为ri(t)。 环境状态：全局历史、环境有效迁移集合和
用于保存发给主体P而P还未收到的消息的 消息缓冲区。
SVO逻辑语义—计算模型续2
主体Pi在(r,t)收到的消息集合包括： 1) 局部消息历史中或t之前出现的received(X)
中的X。 2) 收到的消息的级联。 3) P持有所收到的加密消息{X}K的解密密钥，
则P可得到X。
SVO逻辑语义—计算模型续3
SVO逻辑的推理规则及公理续4
I4 接收公理 主体对接收到的一个级联的加密消息可用有
效的密钥解密。 1) P received(X1, …, Xn) P received Xi 2) P received {X}K P has K-1 P received X
SVO逻辑的推理规则及公理续5
(6) I6理解公理 1) P believes (P sees F(X)) P believes (P sees X) 2) P received F(X) P believes (P sees X)
P believes (P received F(X)) 如果一个主体理解一个消息，并看到此消息 的一个函数，那么它理解它所看到的。 F可视为加密函数，K为参数。
SVO逻辑的推理规则及公理续7
(7) I7叙述公理 一个主体说过一个级联消息，那么它一定说 过且看到消息的每一部分。 1) P said(X1,…,Xn) P said Xi P sees Xi 2) P says (X1,…,Xn) P said (X1,…,Xn) P says Xi
SVO逻辑的推理规则及公理续8