基于Q算法的認證協議漏洞挖掘技術研究
2022年電子技術應用第10期
呂樂樂,董 偉,趙云飛,馮 志,李致成,張雅勤
華北計算機系統工程研究所,北京102209
摘要: 認證授權協議在不泄露用戶口令的情況下允許第三方獲取用戶資源,解決了云平臺下第三方授權問題,提高了用戶的交互體驗。但是協議在交互處理中的不確定性和復雜性導致其在實際應用時可能會存在邏輯漏洞。針對該問題提出一種模糊仿真方法,通過對協議交互過程進行模糊處理,利用協議實體動作的不確定性,發現協議的邏輯漏洞。同時,結合SA-Q強化學習算法訓練智能體學習最優模糊策略,智能化挖掘漏洞。經過測試發現,相比于基本的Q學習算法,該方法的收斂速度提升了9.27%,使得模型在訓練時更容易收斂,有效提高了漏洞的挖掘效率。
中圖分類號: TN915.08
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.222641
中文引用格式: 呂樂樂,董偉,趙云飛,等. 基于Q算法的認證協議漏洞挖掘技術研究[J].電子技術應用,2022,48(10):63-68.
英文引用格式: Lv Lele,Dong Wei,Zhao Yunfei,et al. Research on the vulnerability mining technology of authentication protocol based on Q-learning[J]. Application of Electronic Technique,2022,48(10):63-68.
文獻標識碼: A
DOI:10.16157/j.issn.0258-7998.222641
中文引用格式: 呂樂樂,董偉,趙云飛,等. 基于Q算法的認證協議漏洞挖掘技術研究[J].電子技術應用,2022,48(10):63-68.
英文引用格式: Lv Lele,Dong Wei,Zhao Yunfei,et al. Research on the vulnerability mining technology of authentication protocol based on Q-learning[J]. Application of Electronic Technique,2022,48(10):63-68.
Research on the vulnerability mining technology of authentication protocol based on Q-learning
Lv Lele,Dong Wei,Zhao Yunfei,Feng Zhi,Li Zhicheng,Zhang Yaqin
National Computer System Engineering Research Institute of China,Beijing 102209,China
Abstract: The authentication and authorization protocol allows a third party to obtain user resources without disclosing the user password, solves the problem of third-party authorization under the cloud platform, and improves the user′s interactive experience. However, the uncertainty and complexity of the protocol in interactive processing may lead to logical loopholes in its practical application. To solve this problem, a fuzzy simulation method is proposed. By fuzzy processing the protocol interaction process, the logical loopholes of the protocol are found by using the uncertainty of the action of the protocol entity. At the same time, combined with SA-Q reinforcement learning algorithm, the agent is trained to learn the optimal fuzzy strategy and mine the loopholes intelligently. After testing, it is found that compared with the basic Q-learning algorithm, the convergence speed of this method is improved by 9.27%, which makes the model easier to converge during training and effectively improves the efficiency of vulnerability mining.
Key words : authentication authorization protocols;logical vulnerabilities;fuzzy simulation;Q reinforcement learning algorithms
0 引言
隨著互聯網技術的不斷發展,網絡應用已經融入現實生活的方方面面。為了登錄不同的網絡應用,用戶需要注冊不同網站的賬號信息[1],并維護相應網站的賬號和口令,低效而麻煩。認證授權協議允許第三方服務在無需用戶提供賬戶和口令的情況下訪問用戶的私有資源,解決了當前開放云平臺下的第三方授權問題,提高了用戶的體驗。但是當前網絡環境復雜多樣,且協議實體之間的交互存在著復雜的關系和制約,使得認證協議在交互處理中存在不確定性。因此,協議在實際使用時可能存在安全漏洞[2],攻擊者會利用協議本身的邏輯缺陷對信息系統進行攻擊。
針對協議進行安全性分析是揭示協議缺陷和安全漏洞的重要方法。模糊測試是進行漏洞挖掘的常規方法[3],其本質是變異報文字段取值,而非變異協議本身邏輯,因而只能發現協議編碼實現的漏洞,不能發現協議邏輯上的漏洞。形式化方法是尋找協議邏輯缺陷的重要方法,其主要通過形式化分析工具對目標系統進行形式化建模[4],但期間若存在較復雜的邏輯影響因素(如時延),會使模型變得非常復雜,一方面可能會產生失真,另一方面可能會出現狀態空間爆炸問題[5]。
本文詳細內容請下載:http://m.jysgc.com/resource/share/2000004960。
作者信息:
呂樂樂,董 偉,趙云飛,馮 志,李致成,張雅勤
(華北計算機系統工程研究所,北京102209)
此內容為AET網站原創,未經授權禁止轉載。