密码服务API通用可组合框架

作     者：徐开勇 袁庆军 谭磊 陆思奇 XU Kai-Yong;YUAN Qing-Jun;TAN Lei;LU Si-Qi

作者机构：解放军信息工程大学密码工程学院郑州450001 解放军外国语学院洛阳471003 

出 版 物：《密码学报》 (Journal of Cryptologic Research)

年 卷 期：2017年第4卷第4期

页      面：405-412页

核心收录：

学科分类：0808[工学-电气工程] 0809[工学-电子科学与技术（可授工学、理学学位）] 08[工学] 0714[理学-统计学（可授理学、经济学学位）] 0835[工学-软件工程] 081201[工学-计算机系统结构] 0701[理学-数学] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主　　题：密码服务API 通用可组合框架 全局状态 

摘      要：密码服务API是各类信息系统获取密码服务的入口,为信息系统的密钥协商、信息加密和身份认证等提供密码算法的调用与处理,当前攻击者针对API设计缺陷或漏洞,绕过系统安全策略或者非正常调用密码处理过程,从而达到欺骗密码服务系统,获取密码系统内部的密码资源或秘密信息.本文通过研究密码服务API功能函数组合应用的安全性证明问题,提出了密码服务API的通用可组合框架,旨在通过形式化分析方法对密码服务API的安全性进行验证.在通用可组合安全框架下,添加了支持密码服务API全局状态的记录、读取和操作,提出了密码服务API通用可组合安全框架.对理想模型下、现实模型下和混合模型下的密码服务API执行过程进行了形式化描述,通过基础定理的证明验证了在API通用可组合框架下,以API基础功能为基础,验证复杂API安全性是可行的.