[发明专利]基于模型抽取的安全协议javascript语言实施的分析方法及装置

说明书

本发明基于模型抽取建立javascript语言到形式化语言Applied PI演算之间的映射模型，本发明涉及javascript语言安全协议实施子集的建立、给出javascript语言的BNF、给出Applied PI演算的BNF、根据javascript语言与Applied PI的BNF构建安全协议javascript语言实施到Applied PI演算之间的映射关系，得到安全协议javascript语言实施相应的抽象模型表示方法、以及形式化认证工具ProVerif的使用。本发明可以在安全协议源代码级验证其安全性，保证了网络空间的数据安全。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于模型抽取的安全协议javascript语言实施的分析方法及装置。

背景技术

随着网络通信技术的快速发展，web应用的安全越来越成为研究者们关注的重点，为保护web应用中安全协议实施的安全性与数据完整性，通常使用安全协议进行安全保护。

安全协议作为在网络空间中提供安全服务的通信协议，是网络安全的重要组成部分，其作为人们对隐私数据的保护载体，通过安全协议进行实体间的认证、密钥的安全分配等工作，安全协议在保证用户的信息安全方面起着至关重要的作用。众多研究者们花大量的心思设计研究各种各样安全协议，并采用适应的验证方法验证其安全性。但是理论上安全的安全协议，在其实际应用开发过程中，程序员由模型和规范派生到实施过程中可能会引入不易被测试到的逻辑错误和编码错误，导致安全协议的实施与其验证了安全性的抽象模型相差甚，最终不能保证隐私数据的安全性。例如：OpenSSL和OpenSSH，因为低级的实施错误每年都会通过几个安全补丁修复漏洞，在OpenSSL中，由于函数调用者错误地调用了加密函数，返回错误的结果，导致应用程序接收受损数据，引发重大隐患。因此，大量研究者们经过推敲分析并验证了安全性的安全协议在其实际实施过程中并不一定安全，对用户的隐私数据不能起到保密的工作。为解决该问题，我们必须在安全协议的实施过程中对其安全性进行分析与验证，确保程序员在安全协议的实施过程中没有引出新的安全问题，从而保证用户隐私数据的安全性。

现有技术中，由于各种编程语言的特性和运行环境不尽相同，例如C语言的指针和内存访问特性，javascript的基于对象和事件驱动等，故在源代码级别很难保证安全协议规范的正确实施，为避免这种情况，大量研究者们采用形式化分析方法对安全协议的抽象规范模型进行安全性分析，并开发了大量自动化验证安全协议工具，例如：Reverre、ProVerif、SVM、Athena等，现已提出的分析源代码级别安全协议实施的安全性的方法主要有两个：模型抽取和程序验证。为避免实际状态空间爆炸问题可应用模型抽取方法，在进行模型抽取过程中，建立映射关系是将具体安全协议模型映射到相应的抽象模型，同时将其具体属性映射到相应的抽象属性，其中提取的抽象模型是安全协议具体代码实现的抽象。如果安全协议抽象模型上的安全属性已被证明，且进行模型抽取时，安全协议实施映射关系的构建被证明是正确的，则进而证明具体模型上的安全属性。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

模型抽取可以保证安全协议实施的安全性且提供了可靠的过程演示，但是当安全协议在其设计阶段不完善，易在实施过程中发生泄漏，进而导致安全协议实施不安全。

由此可知，现有技术中的分析方法存在安全协议实施不安全的技术问题。

发明内容

有鉴于此，本发明提供了一种基于模型抽取的安全协议javascript语言实施的分析方法及装置，用以解决或者至少部分解决现有技术中的分析方法存在安全协议实施不安全的技术问题。

本发明第一方面提供了一种基于模型抽取的安全协议javascript语言实施的分析方法，包括：

从预设语句库中，选取出安全协议实施所需的核心语句，基于核心语句获得安全协议javascript语言实施子集SubJS以及与实施子集SubJS对应的BNF；