摘要: 通过消耗主机的网络连接能力和计算资源，拒绝服务攻击（DoS）能够极大的危害网络服务的可用性，对网络系统带来了很大的危害。对拒绝服务攻击的建模和风险评估是网络系统中的重要研究课题之一，它能够为安全系统的设计提供必要的数学基础和理论指导。安全协议是网络系统中防止拒绝服务攻击的第一道屏障，但是安全协议使用了大量的密码学计算，往往也带来了潜在的拒绝服务风险。本文就研究了安全协议中的拒绝服务攻击脆弱性的风险评估方法，
本文的创新意义在于，不仅结合了相关经济学方法给出了安全协议DoS风险分析的模型，而且通过运用此模型找到了相关协议的DoS漏洞并且对比分析了两个公开密钥认证协议。首先对安全协议的计算和攻击者能力进行了建模，刻画了协议参与者计算资源的消耗和攻击者入侵协议的能力，在此模型的基础上，本文结合了经济学理论中的“在险价值（Value-at-Risk）”理论提出了安全协议的DoS风险评估的度量指标VaR，并且给出了计算VaR的详细过程和算法。随后，本文运用此模型对相关协议的DoS脆弱性进行了风险评估，成功找到了一个密钥分发协议的DoS漏洞并且给出了改进方法，运用此模型还分析对比了两个公开密钥认证协议，论证了“客户端难题”机制能够有效的防止DoS攻击。

为了对安全协议的DoS风险进行分析，必须要能够找出安全协议在DoS攻击下造成的损失以及其概率分布。安全协议在DoS攻击下的成本模型可以如下建立，协议参与各方必须要执行各种协议运算，不同的协议运算消耗不同的计算资源，协议参与方在DoS攻击下的损失就是协议停止时它消耗所有计算资源的总和。另一方面，攻击者根据攻击能力的强弱呈现一定概率分布，各种攻击者造成的DoS损失也将呈现对应的概率分布。据此，本文形式的推导出一个安全协议在DoS攻击威胁下协议参与方DoS损失的概率分布。
风险分析就是希望从各种风险损失的概率分布中找出一个恰当的值来刻画协议的风险值。本文利用“在险价值”来刻画协议的DoS风险，“在险价值”是指在一定的置信度的情况下DoS损失的最大值，例如，一个协议在95%的情况下DoS损失的最大值是V，那么就说此协议的DoS在险价值是V。这样就从复杂的DoS损失的概率分布中找到了一个值来刻画协议的DoS风险值，此值越大，说明协议面临的DoS风险越大。借助此风险值，协议分析者可以得到协议DoS风险的一个定量指标，便于得到协议安全性能的直观印象，也利于比较不同安全协议的性能，而且还能够验证相关的安全机制是否奏效。

综上，通过对安全协议的风险进行建模分析，本文提出了安全协议DoS风险的评估模型，该模型结合了协议成本模型、攻击者概率模型和经济学模型，推导出了计算DoS风险的算法和对应流程。本文还给出了模型应用的实例，不仅找到了一个密钥分发协议的DoS漏洞，还对比分析了两个相关的公钥认证协议，验证了其中的安全设计能够有效地防御DoS攻击。

DoS攻击会给网络系统带来严重的危害，本文的安全协议DoS风险评估方法能够应用于分析网络系统的各种安全协议，检查其是否具有良好的DoS防御能力。本文所提出的DoS风险评估模型还能够用于评估相关的安全设计是否能达到预期的效果，验证某种新的安全设计方案是否能降低网络系统的DoS风险。随着网络协议的复杂化、多样化以及DoS安全问题的普遍性，本文的模型具有潜在的广泛应用的前景。