阿斯皮尔

ASPIER:用于验证安全协议实现的自动化框架。我们提出了第一个将软件模型检查与标准协议安全模型相结合的框架,以自动分析C语言中协议实现的认证和保密属性。该技术方法扩展了软件模型检查的迭代抽象精化方法协议和符号攻击者模型。我们已经实现了ASPIER工具,并使用它来验证工业级协议实现的一部分(OpenSSL中的握手)的身份验证和保密属性,用于配置最多3台服务器和3台客户机。我们还实现了两种不同的方法来推理攻击者的消息派生,并在OpenSSL验证的上下文中对它们进行了评估。ASPIER在OpenSSL 0.9.6c源代码中检测到“版本回滚”漏洞,并在客户端和服务器只愿意运行SSL 3.0时成功验证了实现。