專利名稱：：基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及的是一種信息安全
技術(shù)領(lǐng)域：
的方法，特別涉及一種基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法。
背景技術(shù)：
：密碼協(xié)議，又稱安全協(xié)議，是建立在密碼體制基礎(chǔ)上的交互通信協(xié)議，為在開放的網(wǎng)絡(luò)環(huán)境中傳送的各種信息，提供保密性、認(rèn)證性、完整性和不可否認(rèn)性。認(rèn)證密鑰協(xié)議是以主體身份的認(rèn)證和會話密鑰的建立為目標(biāo)的密碼協(xié)議，是其它安全通信協(xié)議的基礎(chǔ)。對密碼協(xié)議安全性的檢測，應(yīng)用最為廣泛而且有效的是基于驗證條件的密碼協(xié)議安全性檢測方法?；隍炞C條件的密碼協(xié)議安全性檢測方法首先輸入密碼協(xié)議安全性檢測結(jié)果的初始值，隨后，通過協(xié)議中消息的發(fā)送和接收步驟產(chǎn)生新的事實(shí)，對新事實(shí)運(yùn)用驗證條件得到新的密碼協(xié)議安全性檢測結(jié)果，直至協(xié)議消息處理完畢。基于驗證條件的檢測方法用于密碼協(xié)議安全性的驗證取得了有目共睹的成績，但是，還有一些問題沒有得到滿意的解決，例如，有的檢測方法不能有效檢測消息是為本次協(xié)議運(yùn)行新生成的，從而無法防止重放和混淆的攻擊。有的檢測方法需要對多協(xié)議運(yùn)行環(huán)境、攻擊者能力進(jìn)行具體描述，形成檢測有關(guān)的新事實(shí)，而多協(xié)議運(yùn)行環(huán)境、攻擊者能力是不斷發(fā)展的。經(jīng)對現(xiàn)有技術(shù)的文獻(xiàn)檢索發(fā)現(xiàn)，MichaelBurrows等在《ACMTransactionsonComputerSystems》(ACM計算機(jī)系統(tǒng)學(xué)報)(1989，第8巻，第1期，第18一36頁)上發(fā)表的"Alogicofauthentication"(—種認(rèn)證邏輯，以下簡稱BAN邏輯)開創(chuàng)性地提出了基于驗證條件的密碼協(xié)議安全性檢測方法，成功地找出了許多認(rèn)證密鑰協(xié)議中的安全缺陷，其后，研究人員對它進(jìn)行了改進(jìn)和擴(kuò)充，形成了BAN類邏輯，它們從各個不同的方面對BAN邏輯作了改進(jìn)。但是，BAN邏輯認(rèn)為X從來沒有出現(xiàn)在密碼協(xié)議的任何一條消息中，則X就是新鮮的。另外，BAN邏輯的驗證條件如消息含義規(guī)則不能有效檢測消息是否是為本次協(xié)議運(yùn)行新5生成的，從而不能有效區(qū)分消息是否新鮮。GavinLowe等在《JournalofComputerSecurity》(計算機(jī)安全雜志)(1989，第7巻，第2—3期，第89—146頁)上發(fā)表的"Towardacompletenessresultformodelcheckingofsecurityprotocol"(密碼協(xié)議模型檢驗方法的近似完全結(jié)果，以下簡稱模型檢驗方法)，模型檢驗方法以及其后的若干改進(jìn)方法通過對所有可能的執(zhí)行路徑進(jìn)行窮盡搜索，以找到協(xié)議可能存在的錯誤。但是，模型檢驗方法需要對多協(xié)議運(yùn)行環(huán)境、攻擊者能力進(jìn)行具體描述，在將協(xié)議說明成有限狀態(tài)系統(tǒng)而又沒有增加或減少協(xié)議的安全性上也存在問題。
發(fā)明內(nèi)容本發(fā)明針對現(xiàn)有技術(shù)的不足，提供了一種基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法，該方法采用信任多集方法進(jìn)行密碼協(xié)議安全性檢測，能夠檢測密碼協(xié)議是否安全，并且能夠指出檢測的密碼協(xié)議存在的安全隱患類型。本發(fā)明不僅能有效區(qū)分消息是否新鮮，從本質(zhì)上防止重放和混淆的攻擊，而且檢測方法與多協(xié)議運(yùn)行環(huán)境、攻擊者能力具體描述無關(guān)。另外，本發(fā)明既是證明密碼協(xié)議正確性的方法，也是查找協(xié)議錯誤的方法。本發(fā)明是通過如下技術(shù)方案實(shí)現(xiàn)的，本發(fā)明輸入密碼協(xié)議安全性檢測結(jié)果的初始值；在通信主體發(fā)送或者接收每一句消息后產(chǎn)生新的事實(shí)，基于安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果以及新事實(shí)，運(yùn)用信任多集方法的新鮮性驗證條件得到新的安全性檢測結(jié)果，直至協(xié)議消息處理完畢；輸出檢測結(jié)果即密碼協(xié)議是安全的，或者對存在安全隱患的密碼協(xié)議，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)。本發(fā)明包括如下步驟步驟一，將密碼協(xié)議安全性檢測結(jié)果的初始值輸入到計算機(jī)中，其輸入流程為①輸入密碼協(xié)議的通信主體是否是采用非對稱密碼技術(shù)或者不含可信第三方對稱密碼技術(shù)的密碼協(xié)議？是，輸入本次協(xié)議運(yùn)行的兩方主體。否則，輸入本次協(xié)議運(yùn)行的兩方主體和可信第三方。②是否是采用非對稱密碼技術(shù)的密碼協(xié)議？是，則輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自身的私鑰和其他參與者的公鑰，即知道自己的私鑰是保密的、長期的、是和自己關(guān)聯(lián)的，其他參與者的公鑰是保密的、長期的、是和所有參與者關(guān)聯(lián)的，結(jié)束初始化工作。否，進(jìn)入步驟③。③是否是采用不含可信第三方對稱密碼技術(shù)(包括密鑰哈希函數(shù)技術(shù))的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與通信對方的長期共享密鑰，即知道長期共享密鑰是保密的、長期的、是和自己與通信對方關(guān)聯(lián)的，結(jié)束初始化工作。否，進(jìn)入步驟④。④是否是釆用含可信第三方對稱密碼技術(shù)(包括密鑰哈希函數(shù)技術(shù))的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與可信第三方的長期共享密鑰，即知道長期共享密鑰是保密的、長期的、是和自己和可信第三方關(guān)聯(lián)的，結(jié)束初始化工作。否，結(jié)束初始化工作。步驟二，在通信主體發(fā)送或者接收每一句消息(Message*)后，按照如下步驟進(jìn)行密碼協(xié)議安全性檢測①讀密碼協(xié)議消息，由消息產(chǎn)生術(shù)語，每個新術(shù)語是一個新事實(shí)。②新事實(shí)符合生成驗證條件？是，建立通信主體自身生成的新鮮性標(biāo)識符的新鮮性屬性檢測結(jié)果；否，進(jìn)入步驟③。所述生成驗證條件，指如果參與主體生成了一個新鮮性標(biāo)識符，那么該主體能檢測到該新鮮性標(biāo)識符是新鮮的。③新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合片段驗證條件？是，建立已檢測到新鮮性的標(biāo)識符N與新的新鮮性標(biāo)識符N'的綁定，即N與N'綁定在相同的會話中；否，進(jìn)入步驟④。所述片段驗證條件，用于檢測新鮮性標(biāo)識符N'與已檢測新鮮的標(biāo)識符N是否綁定在相同會話中。所述新鮮性標(biāo)識符N或N'，任意的新鮮性標(biāo)識符，包括隨機(jī)數(shù)、時間戳、新會話密鑰、生成新會話密鑰的輸入值等。④新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合期望驗證條件？是，建立"對方通信主體能獲得新鮮性標(biāo)識符N"的期望；否，進(jìn)入步驟⑤。所述期望驗證條件，用于檢測對方通信主體是否能完成設(shè)定的密碼學(xué)操作。⑤通信主體遍歷保密性驗證條件，根據(jù)新事實(shí)和己有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)建立新鮮性標(biāo)識符N是保密的或者是不保密的檢測結(jié)果。進(jìn)入步驟(D。7所述保密性驗證條件，用于檢測所交換的新鮮性標(biāo)識符N是否保密。⑥新事實(shí)和己有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合活現(xiàn)性驗證條件？是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；否，進(jìn)入步驟⑦。所述活現(xiàn)性驗證條件，用于檢測對方通信主體是否參與了本次協(xié)議運(yùn)行。⑦新事實(shí)和己有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合關(guān)聯(lián)性驗證條件？是，建立已檢測到新鮮性的標(biāo)識符是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，通信主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑧。所述關(guān)聯(lián)性驗證條件，用于檢測新鮮性標(biāo)識符是否與某運(yùn)行實(shí)例關(guān)聯(lián)。⑧新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合期望推導(dǎo)驗證條件？是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；建立已檢測到新鮮性的標(biāo)識符N是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，通信主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑨。所述期望推導(dǎo)驗證條件，根據(jù)已有的期望，檢測對方通信主體是否參與了本次協(xié)議運(yùn)行，以及新鮮性標(biāo)識符是否與某運(yùn)行實(shí)例關(guān)聯(lián)。⑨新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合片段推導(dǎo)驗證條件？是，新的新鮮性標(biāo)識符N'與已檢測到新鮮性的標(biāo)識符N綁定，建立新的標(biāo)識符N'是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，即是新鮮的，是與該運(yùn)行實(shí)例的參與主體關(guān)聯(lián)的；否，進(jìn)入步驟⑩。所述片段推導(dǎo)驗證條件，根據(jù)己有的片段，由已檢測到新鮮性的標(biāo)識符N與某運(yùn)行實(shí)例的關(guān)聯(lián)性，檢測到新的新鮮性標(biāo)識符N'與某運(yùn)行實(shí)例的關(guān)聯(lián)性。⑩檢測結(jié)果中添加了②一⑨步驟中給定的新檢測結(jié)果？是，返回步驟③；否，進(jìn)入步驟。G)密碼協(xié)議消息讀完？否，返回步驟①；是，結(jié)束。所述密碼協(xié)議安全性檢測包括主體的活現(xiàn)性檢測、新鮮性標(biāo)識符的保密性檢測、新鮮性標(biāo)識符的新鮮性檢測和新鮮性標(biāo)識符的關(guān)聯(lián)性檢測。主體的活現(xiàn)性檢測指協(xié)議中的一個合法參與者檢測到交互的另一方的確參與了協(xié)議的本次運(yùn)行。新鮮性標(biāo)識符的保密性檢測指協(xié)議中的某個合法參與者檢測到該標(biāo)識符是以攻擊者不可知的密文方式傳送的，即是保密的；新鮮性標(biāo)識符的新鮮性檢測指協(xié)議中的某個合法參與者檢測到該標(biāo)識符是本次協(xié)議運(yùn)行中新產(chǎn)生的，而不是一個舊的會話值；新鮮性標(biāo)識符的關(guān)聯(lián)性檢測指協(xié)議中的某個合法參與者檢測到這個新鮮性標(biāo)識符是與本次協(xié)議運(yùn)行的主體相關(guān)聯(lián)的，而不可能與其它主體關(guān)聯(lián)。所述主體指通信的合法參與者，是概率多項式時間機(jī)器；所述協(xié)議指在兩方或互相協(xié)作的多方之間進(jìn)行通信的過程；所述新鮮性標(biāo)識符指為協(xié)議的某次運(yùn)行產(chǎn)生的一個唯一的標(biāo)識符，可以是隨機(jī)數(shù)、時間戳、新會話密鑰、或生成新會話密鑰的組成部分。所述會話指一個協(xié)議的運(yùn)行實(shí)例，一個主體可以同時運(yùn)行多個協(xié)議或一個協(xié)議的多個實(shí)例；所述已檢測到新鮮性的標(biāo)識符，指協(xié)議的某次運(yùn)行中一個合法的參與者自己已檢測到新鮮性的新鮮性標(biāo)識符。對于不同的參與者和不同的協(xié)議運(yùn)行，檢測到的新鮮性標(biāo)識符是不同的。步驟三，根據(jù)步驟二建立的密碼協(xié)議安全性檢測結(jié)果，得到密碼協(xié)議的安全性結(jié)論。如果通信雙方都檢測到對方通信主體的身份是活現(xiàn)的，新會話密鑰或生成新會話密鑰的組成部分是保密的、新鮮的，是與通信雙方關(guān)聯(lián)的，那么，顯示密碼協(xié)議是安全的；否則，密碼協(xié)議存在安全隱患，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)-①沒有檢測到主體活現(xiàn)性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為偽裝成該主體發(fā)起針對該密碼協(xié)議的攻擊。②沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的保密性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為新會話密鑰對攻擊者不具有保密性。③沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的新鮮性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為使用一個已經(jīng)得到的、或者舊的會話密鑰欺騙某個誠實(shí)的協(xié)議參與者，是重放攻擊。④沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的關(guān)聯(lián)性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為使用與其它協(xié)議運(yùn)行實(shí)例中的主體相關(guān)聯(lián)的會話密鑰，來欺騙某個誠實(shí)的協(xié)議參與者。本發(fā)明在密碼協(xié)議的安全性驗證中，取得了顯著的進(jìn)步，使得在并發(fā)的多協(xié)議運(yùn)行環(huán)境和攻擊者對通信信道具有完全控制能力的通信環(huán)境下密碼協(xié)議安全性的驗證實(shí)際可行。與現(xiàn)有技術(shù)相比，本發(fā)明具有如下有益效果1、本發(fā)明提供了可計算機(jī)實(shí)現(xiàn)的、嚴(yán)格的基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法——信任多集方法(步驟二的內(nèi)容)。據(jù)此能夠開發(fā)出密碼協(xié)議安全性檢測的自動化驗證系統(tǒng)，能用于更多工業(yè)應(yīng)用密碼協(xié)議如IEEE802.lli9等密碼協(xié)議的安全性分析，具有重要的實(shí)際應(yīng)用價值。2、本發(fā)明不僅是證明密碼協(xié)議正確性的方法，而且是査找協(xié)議錯誤的方法；對存在安全隱患的密碼協(xié)議，由本發(fā)明的檢測結(jié)果能直接導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)。3、本發(fā)明抓住了密碼協(xié)議安全性的本質(zhì)，能有效區(qū)分消息是否新鮮，能從本質(zhì)上防止重放和混淆的攻擊。4、本發(fā)明不需要對多協(xié)議運(yùn)行環(huán)境、攻擊者能力進(jìn)行具體描述，因此，分析過程給出的檢測結(jié)果明確、清晰。圖l是本發(fā)明流程圖2是本發(fā)明中密碼協(xié)議安全性檢測初始值建立的流程圖；圖3是本發(fā)明中密碼協(xié)議安全性檢測結(jié)果建立的流程圖4是本發(fā)明中密碼協(xié)議安全性結(jié)論建立的流程圖。具體實(shí)施例方式下面結(jié)合附圖對本發(fā)明的實(shí)施例作詳細(xì)說明本實(shí)施例在本發(fā)明技術(shù)方案前提下進(jìn)行實(shí)施，給出了詳細(xì)的實(shí)施方式和具體的操作過程，但本發(fā)明的保護(hù)范圍不限于下述的實(shí)施例。R.M.Needham等在CommunicationoftheACM》(ACM通信)(1978，第21巻，第12期，第993—999頁)上發(fā)表的"UsingEncryptionforAuthenticationinLargeNetworkofComputers"(在大型計算機(jī)網(wǎng)絡(luò)中使用加密進(jìn)行認(rèn)證)中提出了Needham-Schroeder公鑰認(rèn)證密碼協(xié)議(以下簡稱N-S協(xié)議)，N-S協(xié)議是大量工業(yè)應(yīng)用認(rèn)證密鑰協(xié)議的基礎(chǔ)。以N-S協(xié)議為例說明本發(fā)明一基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法。N-S協(xié)議的目標(biāo)是在兩個主體A和B之間建立一個基于會話密鑰的安全通道，新會話密鑰由協(xié)議所有參與者A、B給出的隨機(jī)輸入M、Nb共同生成。協(xié)議包含了下列3條與認(rèn)證有關(guān)的消息Message1A—B:{Na，A}KbMessage2B—A:{Na,Nb}KaMessage3A—B:{Nb}Kb下面本發(fā)明方法檢測N-S協(xié)議的安全性。如圖1所示，本實(shí)施例包括如下步驟步驟一，如圖2所示，輸入密碼協(xié)議安全性檢測結(jié)果的初始值。①輸入密碼協(xié)議的通信主體，是否是采用非對稱密碼技術(shù)或者不含可信第三方對稱密碼技術(shù)的密碼協(xié)議？是，則輸入主體Pi、Pj。否則，輸入主體Pi、Pj和S。所述Pi或Pj，是由下標(biāo)標(biāo)注的主體，是本次協(xié)議運(yùn)行中設(shè)定的參與者。所述s，是可信第三方。本實(shí)施例中，輸入主體A、B。②是否是采用非對稱密碼技術(shù)的密碼協(xié)議？是，則輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自身的私鑰和其他參與者的公鑰，即,。(<11A/》,>,<1>,<01^/>，<01%>)，5PJ，,0(<1lVp/>，<11A>>，<OlA,p>,<01^/7>)，結(jié)束初始化工作。否，進(jìn)入步驟③。所述p，是密碼協(xié)議通信中的任意主體，是協(xié)議運(yùn)行的參與者。所述t，是任意時間點(diǎn)，不是時間段。Utbt2，…t$，分別表示協(xié)議運(yùn)行之前，執(zhí)行完第一條消息的發(fā)送和接收，……協(xié)議運(yùn)行結(jié)束等時間點(diǎn)。所述k，密碼體制中的加密密鑰；k—、對應(yīng)k的解密密鑰。在非對稱密碼體制中，ki及k「1，是由下標(biāo)標(biāo)注的主體Pi擁有的公鑰ki和私鑰ki—、所述〈llk「i々，是一個關(guān)于密鑰k,的密碼協(xié)議安全性檢測結(jié)果，即密鑰kr1是保密的、長期的，而且是與主體p,關(guān)聯(lián)的。所述〈llk,—i,，是一個關(guān)于密鑰k」—1的密碼協(xié)議安全性檢測結(jié)果，即密鑰k,是保密的、長期的，而且是與主體Pj關(guān)聯(lián)的。所述〈llk,P〉，是一個關(guān)于密鑰ki的密碼協(xié)議安全性檢測結(jié)果，即密鑰ki是保密的、長期的，而且是與任意主體P關(guān)聯(lián)的。所述〈llkjP〉，是一個關(guān)于密鑰kj的密碼協(xié)議安全性檢測結(jié)果，即密鑰k」是保密的、長期的，而且是與任意主體P關(guān)聯(lián)的。數(shù)據(jù)結(jié)構(gòu)仏,r，在時刻t主體p有檢測結(jié)果r。例如，孔,,,。(〈11k「V〉，〈llkiP〉)說明在時刻t。，主體Pi有檢測結(jié)果〈llkr'Pi〉和〈llkiP〉，即Pi已檢測到k匸1是保密的、長期的，而且是與主體p,關(guān)聯(lián)的；以及ki是保密的、長期的，而且是與任意主體P關(guān)聯(lián)的。③是否是采用不含可信第三方對稱密碼技術(shù)(包括密鑰哈希函數(shù)技術(shù))的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與通信對方的長期共享密鑰，即11%^>)和1l&響>)，結(jié)束初始化工作。否，進(jìn)入步驟④。所述kij，是在對稱密碼體制中主體Pi與Pj共享的會話密鑰，所述其他符號同步驟②。④是否采用含可信第三方對稱密碼技術(shù)(包括密鑰哈希函數(shù)技術(shù))的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與可信第三方的長期共享密鑰，即&,,,。(<11先，>)，1>)，結(jié)束初始化工作。否，結(jié)束初始化工作。所述k^(或kj，是在含可信第三方對稱密碼體制中主體p"或Pj)與可信第三方S共享的會話密鑰。關(guān)于新鮮性標(biāo)識符N的密碼協(xié)議安全性檢測結(jié)果的數(shù)據(jù)結(jié)構(gòu)為〈…i…2N…3〉，缺省〈00N〉。具體如下(1)"…/'，新鮮性標(biāo)識符元素N的保密性屬性，取值范圍{0，1}。其中，〈1…N…〉表示N是保密的；〈0…N…〉表示N是不保密的。保密性屬性遵循信任多集中交的多集運(yùn)算操作〈l…N…〉n〈0…N…〉二〈0…N…〉。(2)"…2"，新鮮性標(biāo)識符元素N的新鮮性屬性，取值范圍{0，1}。其中，〈…1N…〉表示N是新鮮的或者是長期密鑰，即N是為本次運(yùn)行新生成的會話密鑰值或者是長期密鑰值；〈…ON…〉表示N的新鮮性無法判斷，可能是舊的甚至已經(jīng)泄漏的值；新鮮性屬性遵循信任多集中并的多集運(yùn)算操作〈…1N…〉U〈…0N…〉^〈…1N…〉。(3)"，，V'，新鮮性標(biāo)識符元素N的關(guān)聯(lián)性屬性，取值范圍(NULL，主體名I主體名}，其中，"l主體名"是可選項，允許多個可選項，但主體名不能與已經(jīng)出現(xiàn)的主體名重復(fù)。其中，〈……N〉表示N沒有和任何主體關(guān)聯(lián)，從而無法與協(xié)議的其他運(yùn)行實(shí)例中的新鮮性標(biāo)識符區(qū)分；<……N主體名，主體名2〉表示該新鮮性標(biāo)識符是與某運(yùn)行實(shí)例關(guān)聯(lián)的，主體名，主體名2的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者。該屬性允許有多個協(xié)議參與者的名字，例如〈……NPlp,〉。當(dāng)N為密鑰時，表示只有"…/'指出的主體知道該密鑰，例如〈……KpiPj〉。關(guān)聯(lián)性屬性遵循信任多集中和的多集運(yùn)算操作〈……Np,+〈……NPj〉=〈……NpiPj〉。本實(shí)施例采用非對稱密碼技術(shù)的密碼協(xié)議，即符合條件②，因此，輸入密碼協(xié)議安全性檢測結(jié)果的初始值12lu,io=[_<1>'<11￡>,<0lfop>，<0lfep>丄bB,t。=[_<1《￡>，<11/fc〉>,<Olfcp>，<0lfop>」。步驟二，如圖3所示，通信主體在發(fā)送或者接收每一句消息后產(chǎn)生新的事實(shí)，基于新事實(shí)以及步驟一密碼協(xié)議安全性檢測結(jié)果的初始值和本步驟②一⑨中已經(jīng)產(chǎn)生的新檢測結(jié)果，運(yùn)用信任多集方法的新鮮性驗證條件得到新的密碼協(xié)議安全性檢測結(jié)果，直至協(xié)議消息處理完畢。所述新鮮性驗證條件是指所有的驗證條件都必須包含主體已經(jīng)檢測到新鮮性的標(biāo)識符。所述運(yùn)用信任多集方法的新鮮性驗證條件得到新的密碼協(xié)議安全性檢測結(jié)果包括如下具體步驟①讀密碼協(xié)議消息，由消息產(chǎn)生術(shù)語，每個新術(shù)語是一個新事實(shí)。②新事實(shí)符合生成驗證條件AO是，建立自身生成的新鮮性標(biāo)識符的新鮮性屬性檢測結(jié)果；否，進(jìn)入步驟③。③新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合片段驗證條件A1是，建立已檢測到新鮮性的標(biāo)識符N與新的新鮮性標(biāo)識符N'的綁定，即N與N'綁定在相同的會話中；否，進(jìn)入步驟。④新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合期望驗證條件A2是，建立"對方通信主體能獲得新鮮性標(biāo)識符N"的期望；否，進(jìn)入步驟⑤。⑤通信主體遍歷保密性驗證條件A3，根據(jù)新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)建立新鮮性標(biāo)識符N是保密的或者是不保密的檢測結(jié)果。進(jìn)入步驟⑥。⑥新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合活現(xiàn)性驗證條件A4是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；否，進(jìn)入步驟⑦。⑦新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合關(guān)聯(lián)性驗證條件A5是，建立已檢測到新鮮性的標(biāo)識符是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑧。⑧新事實(shí)和己有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合期望推導(dǎo)驗證條件A6是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；建立已檢測到新鮮性的標(biāo)識符N是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑨。(D新事實(shí)和已有的檢測結(jié)果(安全性檢測結(jié)果的初始值和本步驟前次循環(huán)中產(chǎn)生的新檢測結(jié)果)符合片段推導(dǎo)驗證條件A7是，新的新鮮性標(biāo)識符N'與己檢測到新鮮性的標(biāo)識符N綁定，建立新的標(biāo)識符N'是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，即是新鮮的，是與該運(yùn)行實(shí)例的參與主體關(guān)聯(lián)的；否，進(jìn)入步驟⑩。⑩檢測結(jié)果中添加了②一⑨步驟中給定的新檢測結(jié)果？是，返回步驟③；否，進(jìn)入步驟O。O密碼協(xié)議消息讀完？否，返回步驟①；是，結(jié)束。所述信任多集方法的生成驗證條件A0指+{......}—,(<…H…>)生成驗證條件AO:如果參與主體Pi生成了新鮮性標(biāo)識符Npi，那么Pi檢測到新鮮性標(biāo)識符Npi是新鮮的即,(<……>)。其中+{...av...}是一個術(shù)語。所述N^，由下標(biāo)標(biāo)注的新鮮性標(biāo)識符，是主體p,生成的新鮮性標(biāo)識符。所述術(shù)語是協(xié)議參與者可能交換的新鮮性消息。術(shù)語遞歸定義如下-(1)若A是已檢測到新鮮性的標(biāo)識符，則A是術(shù)語；(2)若A是術(shù)語，o是主體身份或者新鮮性標(biāo)識符，貝1」{^,0}或{0，&}也是術(shù)語(表示將^和o進(jìn)行連接)；(3)若A是術(shù)語，k是密鑰(包括對稱密鑰、非對稱密鑰等)，則^4是術(shù)語(將A用k加密)。若A是術(shù)語，o是主體身份或某個確定的標(biāo)識符，則{0>也是術(shù)語(將o用A加密)。所述信任多集方法的片段驗證條件A1指(a)-{...W，iV'…)"allAr輕；>)a…1W…>)—{...W,jV'...}*s)(b)_{...W,d..Ka5pi,,(<1>)a,(<…H.>)—5p,,,(=>{...W'...}*,,)(c)—{.JV，,.>a5p,,(<O一>)a&,,(<1仏>>)a&,,(<...W>)..，..K)(d)-{TV,.K'a01%>)a&,,,(<1l&匿》y>)八S/m(<....>)—.JV，7V1..〗V')(e)+{...Af,TV'..a,(<1l;t輕;>)/\,(<…liV...>)^,(=>{.U..》).)(f)+{...W,d.kaK<>)aS"<…1W…>)—&,,(^>{...A^'...}*,,)(g)+{Ha,(<Ol紐>)a￡k,(<1>)a<(<..辟...>)~>{".iV,JV',..}*/)(h)+{...W,W'...}*,'a,(<0lfcp>)a,(<1>)a,(<...1W…>)—Bp,,d..W,...}"')片段驗證條件Al(a)—(g)，由參與主體Pi檢測新鮮性標(biāo)識符N'與己檢測到新鮮性的標(biāo)識符N是否綁定在相同的會話中。所述片段-{...^^'...}*，表示某主體pl檢測到新鮮性標(biāo)識符N'與己檢測到新鮮性的標(biāo)識符N綁定在相同的會話中。所述信任多集方法的期望驗證條件A2指(a)+{...iVaK〈11A,>)a,(<1liV...>)—,(《{iV，p,,a})(b)+{...iVa,(<1>)a,(<1liV...>)—逸,,,(、{iV，)(c)+{.../,,I.沐a5戶,((<1>)a,(<1H.>)45P,，{iV,p,,/》)期望驗證條件A2(a)，A2(c)表示主體p,發(fā)送了包含己檢測到新鮮性的標(biāo)識符N的術(shù)語+(…AT…^，期望只有意定的通信參與方p,能夠得到自己已檢測到新鮮性的標(biāo)識符N，并知道N是與Pi的會話有關(guān)的。期望驗證條件A2(b)表示某主體發(fā)送了包含自己己檢測到新鮮性的標(biāo)識符N的術(shù)語+f...iV..》，期望只有意定的通信參與方Pj能夠得到自己已檢測到新鮮性的標(biāo)識符N。所述期望包括《{TV,p,}、《(iV,/7,，W或者《^}三種。期望《表示某主體期望只有意定的通信參與方Pj能夠得到自己已檢測到新鮮性的標(biāo)識符N;期望^iV,p,，W表示某主體pJ月望只有意定的通信參與方Pj能夠得到自己已檢測到新鮮性的標(biāo)識符N，并知道N是與p,的會話有關(guān)的；期望《(A:,/^表示某主體Pi期望收到Pj的確認(rèn)消息，確認(rèn)Pj已經(jīng)正確收到了P,發(fā)給P,的消息m，這個可識別消息m使用k加密，k是p,與pj之間的臨時會話密鑰。所述信任多集方法的保密性驗證條件A3指(a)—{...ma))a5p,',,(<11A:-'…>)45化,(<1...w...>)(b)+{...ma5p,,(，fejK7,^'))aBp'.'(<1...>)~>,(<1…附...>)(C)-{..,1.}*/\5;.,(一(/，0)—&,.,,(<0".OT…>)(d)+{.附…h(huán)a,(—(/,/t-'))j,(<0...附…>)保密性驗證條件A3(a)—(b)表明若消息m是保密的，那么m—定是以密文方式傳送的，且密文對應(yīng)的解密密鑰k一'是保密的、新鮮的(不是一個舊的重放密鑰)，是攻擊者I不知道的。保密性驗證條件A3(c)—(d)表明攻擊者I有解密密鑰k—'或者m以明文方式傳送，那么rn不是保密的。所述key(P,k)表示主體P知道密鑰k。例如，AM。(，^y(/,fe,)表示在時刻t。，主體A知道"fe"/,，即A知道攻擊者I不知道主體B的私鑰k「1。所述信任多集方法的活現(xiàn)性驗證條件A4指(a)-{...W..a,(<1>)a5p,,,(<...H>)—,(<1>)(b)—{...1.}*,'a5p,,,(<01%>)八5/,,(<11^、>)aSp,.,(<…1W…>)—K<>)活現(xiàn)性驗證條件A4(a)—(b)表明主體Pi檢測到意定的通信參與方Pj參與了本次會話。所述〈lPj〉(或〈lp,)表示擁有該檢測結(jié)果的主體Pi(或p」)檢測到另一個主體Pj(Pi)參與了本次協(xié)議運(yùn)行。關(guān)于主體P的密碼協(xié)議安全性檢測結(jié)果的數(shù)據(jù)結(jié)構(gòu)為〈0P〉，缺省為<0P〉?！?p〉，擁有該檢測結(jié)果的主體不能檢測到另一個主體p參與了本次運(yùn)行；<1p〉，擁有該檢測結(jié)果的主體相信另一個主體P參與了本次運(yùn)行。所述信任多集方法的關(guān)聯(lián)性驗證條件A5指(a)±{...jV..a5p,,,(<11A,>)a5p,-,,(<…11.>)~>5p,、,(<...1iV卿>)(b)±{...W'p乂..>,a5p,,,(<11>)a,(<...1W…>)—,(<...1TV灘>)(c)—(…iV…WA&,.,((〈01fe:p〉)Afik,(〈m';/〉)Afik,(〈…liV…〉)—S化,(〈…liV/j〉)(d)-{...Wp..Va,(<Ol紐>)a,(<11&、>)八Bp,,,(<...11.>)—Sp,,,(<...W卿>)(e)-{l>,a,(<0l紐>)a&,、,(<1lfc-'>)a,(<...11.>)—,(<>)(f)+{..W..>A,(<0>)A,(<W>)A…liV…>)45p,.',(<..,>)關(guān)聯(lián)性驗證條件A5(a)—(f)表明主體p,檢測到新鮮性標(biāo)識符N是新鮮的(不是舊的會話密鑰)，是與通信方R或(和)Pj相關(guān)聯(lián)的，從而檢測到是與協(xié)議的某次運(yùn)行相關(guān)。所述信任多集方法的期望推導(dǎo)驗證條件A6指(a),(《Wp》)a..見.}*aSp',f))a'(<...W...>)—A,,(<lp>)(b),(、{W,p，a))a-{,..1aS化f))a,(<…H.>)4,(<1>)(c),(《{TV,p,，//})a-(…jV..}*af))a&'，'(<...11.>)45p"(<.,>)期望推導(dǎo)驗證條件A6(a)-(b)表明參與主體Pi檢測到只能是Pj加密了自己剛發(fā)送的已檢測到新鮮性的標(biāo)識符N，從而檢測到Pj參與了本次會話。A6(c)表明主體Pi檢測到這是Pj對Pi的挑戰(zhàn)N的響應(yīng)，從而檢測到N是和Pj關(guān)聯(lián)的。所述信任多集方法的片段推導(dǎo)驗證條件A7指K-aK<…i爭外>)—K<…liv'卿>)片段推導(dǎo)驗證條件A7表明主體Pi檢測到新鮮性標(biāo)識符N'與已檢測到新鮮性的標(biāo)識符N綁定在相同會話，那么新鮮性標(biāo)識符N'也是新鮮的、是為該次運(yùn)行生成的。本實(shí)施例步驟二包括如下操作第一步，收到Message1A—B:{Na，A}No.密碼協(xié)議安全性檢測結(jié)果新事實(shí)應(yīng)用(1)驗證條件AO(2)fii>(<1H)~fi4,(<1lfc-'...>)密碼協(xié)議安全性檢測初始值(3)&(<llfc-'s>)ja.密碼協(xié)議安全性檢測初始值(4)+{...W'...)MaSi.,(，—(7,f))a&'。(<iifeJ...>)—&u(<1...w。...>)(2),(3)，A3(b)(5)+{...w。,a..}a&.,。(<oifcp>)a凡.,。(<i>)aa.u(<…iw。...>)—ba"(<..>)+{...jv"...}(1)，A5(f)(6)+{...見,/4...}a(<1lfo-'8>)/\A.,,<<1H.>)—A."。{W。，/<,)+{...私,丄.>(1)，(4)，A2(c)(7)&.(<1lfc.'S>)~>1ifc-'...>)密碼協(xié)議安全性檢測初始值(8)ft>,'。(<1—ftM。("fey(/,fc畫'))密碼協(xié)議安全性檢測初始值(9)-{...W。..扣A,。(，—(/,fc-'))A,。(<1lfcJ...>)—&."(<1...W。...>)(7)，(8),A3(a)第二步，收到Message2B—A:{M，Nb}No.密碼協(xié)議安全性檢測結(jié)果新事實(shí)應(yīng)用(10)+(...Ws...}—&。(<>)AO(11)十{...w...}'a,。(，一(/,fc-'))a&.,。(<l■..>)48,U(<1...l.>)+{...W...}*。(7),(8)，A3(b)(12)+{...TV*..A,。(<1lfc-'^>)A&.,:(<1H.>)—,-'(《{AM})+{...W...}*。(10),(11),A2(b)(13)5A,。(<1Ifc-'/l>)~>(<1lfcJ...>)密碼協(xié)議安全性檢測初始值(14)a.-(<i—&.(，fey(W))密碼協(xié)議安全性檢測初始值(15)-{..i..}。A&(，—(/,fc/'))A丑J.(<1lfcJ...>)4Sj.。(<1..1..>)-{...1.,。(13)，(14),A3(a)(16)-{...iV',JV...}。Afi4.,。(<1lfcp>)AAt,。(<1lfc國'j>)A"(<...IW-...>)—At,《=>(...jVa,M...K)(l),Al(c〉(17),。(<1lfcJj>)卄(—(Af))密碼協(xié)議安全性檢測初始值(18)BA《~!(W',力，fl})a—{.....aflA,。(fce乂」，))aa.,,(<....々)—fitlfl>)-(1),(6)，(17)，A6(b)(19){M，j，fi})/\-{.....aSA,。(A:e乂4))aa."(<...IjV。...>)—5a。(<...1W』>)—(…W?！?i。(1),(6)，(17),A6(c)(20)(l)'(4)，(5),(19)(21)私,《(》{...W'，瓜...WaAt,'(<...IAMB>)私.,,(<...>)(16)，(20)，A7(22)(15)，(21)第三步，收到Message3A—B:{Nb}<table>tableseeoriginaldocumentpage17</column></row><table>(24){M,J})A—(...M..Afc"))A。(<...H.—M>)-(...l如(12),(23)，(10)，A6(a)(25)-{...W..>At(<0lfcp>)A&.,。(<1lfe-'fl>)A&,。(<...1W...〉)~>&.U(<...1WS>)(10)，A5(e)(26)&.(<11腳>)(10),(11),(25)咖K,.=|_<11編S>,<11AM_S>，<18>」(20),(22),(18)(28)b"=L<l...AV.>,<llMff>,<L4>」(9),(26)，(24)本實(shí)施例步驟二給出的上述操作，是通過計算機(jī)中己有的安全性檢測結(jié)果和接收發(fā)送的新事實(shí)與信任多集的新鮮性驗證條件進(jìn)行比較，生成新的安全性檢測結(jié)果的過程，驗證條件的比較順序參考圖3。步驟三，如圖4所示，由步驟二建立的密碼協(xié)議安全性檢測結(jié)果，主體A能夠檢測到協(xié)議運(yùn)行產(chǎn)生的新密鑰，而主體B雖然檢測到A的確參與了通信，Nb是新鮮的、保密的，是與B關(guān)聯(lián)的，但是B不能檢測到Na是與A和B關(guān)聯(lián)的。由本發(fā)明檢測到的N-S協(xié)議的安全隱患，根據(jù)步驟三構(gòu)造攻擊的方法，能直接導(dǎo)出攻擊的結(jié)構(gòu)(1)協(xié)議運(yùn)行結(jié)束，主體B雖然能檢測到主體A真實(shí)地參與了通信，但不能檢測到Na是與主體A和B關(guān)聯(lián)的，從而攻擊者I可以使用與其它誠實(shí)參與者的隨機(jī)數(shù)《來迷惑主體B。(2)主體B能檢測到主體A的確參與了通信，表明主體A在攻擊者的攻擊中必然要充當(dāng)一個加解密預(yù)言機(jī)的作用，從而決定了針對N-S協(xié)議的攻擊必然需要協(xié)議的兩個運(yùn)行實(shí)例，是一個交錯攻擊Message1A—I:{Na,A}KIMessage1，I(A)—B:{Na,A}KbMessage2，B—I(A):{Na，Nb}KaMessage2I—A:{Na，Nb}KaMessage3A—I:{Nb}KIMessage3，I(A)—B:{Nb}Kb本實(shí)施例提供了可計算機(jī)實(shí)現(xiàn)的、嚴(yán)格的基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法。本發(fā)明抓住了密碼協(xié)議安全性的本質(zhì)，能有效區(qū)分消息是否新鮮，從本質(zhì)上防止重放和混淆的攻擊。本發(fā)明不僅是證明密碼協(xié)議正確性的檢測方法，而且是查找協(xié)議錯誤的檢測方法；對存在安全隱患的密碼協(xié)議，由本發(fā)明的檢測結(jié)果能直接導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)。權(quán)利要求1、一種基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法，其特征在于，包括如下步驟步驟一，將密碼協(xié)議安全性檢測結(jié)果的初始值輸入到計算機(jī)中；步驟二，在通信主體發(fā)送或者接收每一句消息后，按照如下步驟進(jìn)行密碼協(xié)議安全性檢測①讀密碼協(xié)議消息，由消息產(chǎn)生術(shù)語，每個新術(shù)語是一個新事實(shí)；②新事實(shí)符合生成驗證條件？是，建立通信主體自身生成的新鮮性標(biāo)識符的新鮮性屬性檢測結(jié)果；否，進(jìn)入步驟③；其中所述生成驗證條件指如果參與主體生成了一個新鮮性標(biāo)識符，那么該主體能檢測到該新鮮性標(biāo)識符是新鮮的；③新事實(shí)和已有的檢測結(jié)果符合片段驗證條件？是，建立已檢測到新鮮性的標(biāo)識符N與新的新鮮性標(biāo)識符N’的綁定，即N與N’綁定在相同的會話中；否，進(jìn)入步驟④；其中所述片段驗證條件用于檢測新鮮性標(biāo)識符N’與已檢測新鮮的標(biāo)識符N是否綁定在相同會話中；④新事實(shí)和已有的檢測結(jié)果符合期望驗證條件？是，建立對方通信主體能獲得新鮮性標(biāo)識符N的期望；否，進(jìn)入步驟⑤；其中所述期望驗證條件用于檢測對方通信主體是否能完成設(shè)定的密碼學(xué)操作；⑤通信主體遍歷保密性驗證條件，根據(jù)新事實(shí)和已有的檢測結(jié)果建立新鮮性標(biāo)識符N是保密的或者是不保密的檢測結(jié)果，進(jìn)入步驟⑥；其中所述保密性驗證條件用于檢測所交換的新鮮性標(biāo)識符N是否保密；⑥新事實(shí)和已有的檢測結(jié)果符合活現(xiàn)性驗證條件？是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；否，進(jìn)入步驟⑦；其中所述活現(xiàn)性驗證條件用于檢測對方通信主體是否參與了本次協(xié)議運(yùn)行；⑦新事實(shí)和已有的檢測結(jié)果符合關(guān)聯(lián)性驗證條件？是，建立已檢測到新鮮性的標(biāo)識符是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，通信主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑧；其中所述關(guān)聯(lián)性驗證條件用于檢測新鮮性標(biāo)識符是否與某運(yùn)行實(shí)例關(guān)聯(lián)；⑧新事實(shí)和已有的檢測結(jié)果符合期望推導(dǎo)驗證條件？是，建立對方通信主體參與了本次協(xié)議運(yùn)行的檢測結(jié)果；建立已檢測到新鮮性的標(biāo)識符N是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，通信主體的名字所對應(yīng)的實(shí)體是該運(yùn)行實(shí)例的參與者；否，進(jìn)入步驟⑨；其中所述期望推導(dǎo)驗證條件是根據(jù)已有的期望，檢測對方通信主體是否參與了本次協(xié)議運(yùn)行，以及新鮮性標(biāo)識符是否與某運(yùn)行實(shí)例關(guān)聯(lián)；⑨新事實(shí)和已有的檢測結(jié)果符合片段推導(dǎo)驗證條件？是，新的新鮮性標(biāo)識符N’與已檢測到新鮮性的標(biāo)識符N綁定，建立新的標(biāo)識符N’是與某運(yùn)行實(shí)例相關(guān)的檢測結(jié)果，即是新鮮的，是與該運(yùn)行實(shí)例的參與主體關(guān)聯(lián)的；否，進(jìn)入步驟⑩；其中所述片段推導(dǎo)驗證條件是根據(jù)已有的片段，由已檢測到新鮮性的標(biāo)識符N與某運(yùn)行實(shí)例的關(guān)聯(lián)性，檢測到新的新鮮性標(biāo)識符N’與某運(yùn)行實(shí)例的關(guān)聯(lián)性；⑩檢測結(jié)果中添加了②—⑨步驟中給定的新檢測結(jié)果？是，返回步驟③；否，進(jìn)入步驟；密碼協(xié)議消息讀完？否，返回步驟①；是，結(jié)束；步驟三，根據(jù)步驟二獲得的密碼協(xié)議安全性檢測結(jié)果，得到密碼協(xié)議的安全性結(jié)論，如果通信雙方都檢測到對方通信主體的身份是活現(xiàn)的，新會話密鑰或生成新會話密鑰的組成部分是保密的、新鮮的，是與通信雙方關(guān)聯(lián)的，那么，顯示密碼協(xié)議是安全的；否則，密碼協(xié)議存在安全隱患，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)。2、根據(jù)權(quán)利要求1所述的基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法，其特征是，所述將密碼協(xié)議安全性檢測結(jié)果的初始值輸入到計算機(jī)中，具體流程為①輸入密碼協(xié)議的通信主體，是否是采用非對稱密碼技術(shù)或者不含可信第三方對稱密碼技術(shù)的密碼協(xié)議？是，輸入本次協(xié)議運(yùn)行的兩方主體，否則，輸入本次協(xié)議運(yùn)行的兩方主體和可信第三方；②是否是采用非對稱密碼技術(shù)的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自身的私鑰和其他參與者的公鑰，即知道自己的私鑰是保密的、長期的、是和自己關(guān)聯(lián)的，其他參與者的公鑰是保密的、長期的、是和所有參與者關(guān)聯(lián)的，結(jié)束初始化工作；否，進(jìn)入步驟③；-③是否是采用不含可信第三方對稱密碼技術(shù)的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與通信對方的長期共享密鑰，即知道長期共享密鑰是保密的、長期的、是和自己與通信對方關(guān)聯(lián)的，結(jié)束初始化工作；否，進(jìn)入步驟④；④是否是采用含可信第三方對稱密碼技術(shù)的密碼協(xié)議？是，輸入密碼協(xié)議安全性檢測結(jié)果的初始值協(xié)議參與者知道自己與可信第三方的長期共享密鑰，即知道長期共享密鑰是保密的、長期的、是和自己和可信第三方關(guān)聯(lián)的，結(jié)束初始化工作；否，結(jié)束初始化工作。3、根據(jù)權(quán)利要求1所述的基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法，其特征是，所述密碼協(xié)議存在安全隱患，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)，具體為①沒有檢測到主體活現(xiàn)性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為偽裝成該主體發(fā)起針對該密碼協(xié)議的攻擊；②沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的保密性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為新會話密鑰對攻擊者不具有保密性；③沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的新鮮性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為使用一個已經(jīng)得到的、或者舊的會話密鑰欺騙某個誠實(shí)的協(xié)議參與者，是重放攻擊；④沒有檢測到新會話密鑰或生成新會話密鑰的組成部分的關(guān)聯(lián)性，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)為使用與其它協(xié)議運(yùn)行實(shí)例中的主體相關(guān)聯(lián)的會話密鑰，來欺騙某個誠實(shí)的協(xié)議參與者。全文摘要本發(fā)明涉及一種信息安全領(lǐng)域的基于新鮮性驗證條件的密碼協(xié)議安全性檢測方法。步驟為輸入密碼協(xié)議安全性檢測結(jié)果的初始值；在通信主體發(fā)送或者接收每一句消息后產(chǎn)生新的事實(shí)，基于新事實(shí)和已經(jīng)建立的安全性檢測結(jié)果，運(yùn)用信任多集方法的新鮮性驗證條件得到新的安全性檢測結(jié)果，直至協(xié)議消息處理完畢；由密碼協(xié)議安全性檢測結(jié)果得到密碼協(xié)議的安全性結(jié)論，或者顯示密碼協(xié)議是安全的，或者對存在安全隱患的密碼協(xié)議，導(dǎo)出構(gòu)造攻擊的結(jié)構(gòu)。本發(fā)明不僅能有效區(qū)分消息是否新鮮，從本質(zhì)上防止重放和混淆的攻擊，而且檢測方法與多協(xié)議運(yùn)行環(huán)境、攻擊者能力具體描述無關(guān)。另外，本發(fā)明既是證明密碼協(xié)議正確性的方法，也是查找協(xié)議錯誤的方法。文檔編號H04L9/08GK101459509SQ200810207210公開日2009年6月17日申請日期2008年12月18日優(yōu)先權(quán)日2008年12月18日發(fā)明者玲董,陳克非申請人:上海交通大學(xué)