信息安全基础

本文介绍了保护目标、攻击者模型以及保护方法中非密码学部分的基础知识。

学习目标

  • 诚实以及现实的自我评估

  • 对其他人、公司、组织等的评估

  • 收集信息安全和数据保护需求的能力

    • 保护目标
    • 攻击者模型与信任模型
  • Validation & Verification,及实际和理论限制

    Validation指是否满足需求,Verification指是否符合规范

    "Validation. The assurance that a product, service, or system meets the needs of the customer and other identified stakeholders. It often involves acceptance and suitability with external customers. Contrast with verification."
    "Verification. The evaluation of whether or not a product, service, or system complies with a regulation, requirement, specification, or imposed condition. It is often an internal process. Contrast with validation."

  • 信息安全和数据保护机制(理解并开发)

这门课程的讲师在说完教学目标之后介绍了考试方式。Master的考试都是以口试方式进行的,他说既然教学目标中最重要的是培养Honesty和Realistic self-assessment,所以如果不会就说不会,不能猜答案。另外允许有25%的内容不会,在考试开始时提出来不会影响成绩。开始考试时可以选择一个自己喜欢的方向来和他聊,直到两个人中有一个人的知识用完。感觉这样的考试非常科学。


重要术语

两类计算机构成的网络

  • 被通信网络所连接的计算机
  • 在通信网络中提供数据包交换传递功能的计算机

分布式系统

  • 空间上
  • 控制结构和实现结构上

Open system/Public system/Open source system(开放系统、公共系统和开源系统):

  • Open system:
    开放指specifications open规范开放,即可以自己实现、检查接口(verify & validate)
  • Public system
    公共指具有实际的访问权限
  • Open source system:
    开放源代码

Service integrated system 服务集成系统

数字系统


Protection Goals 保护目标【重要】

WHAT, against WHOM and HOW to protect
信息安全(设计一个安全的信息系统)需要考虑三个问题:保护什么、保护谁的威胁、如何保护,其中WHAT的问题由保护目标来明确。

威胁

  1. 未授权的信息访问
  2. 未授权的信息修改
  3. 未授权的对信息或资源的隐瞒(withholding)

2和3有一定重叠的部分,2倾向于对数据的修改,3倾向于让系统不可用。

对应以上三种威胁,分别提出了以下三个保护目标

  • Confidentiality 机密性
    只有被授权的用户可以获得信息。
    Only authorized users get the information.

  • Integrity 完整性
    信息正确、完整且为当前的,或可以检测到问题。
    Information are correct, complete and current, or this is "detectably not the case".

  • Availability 可用性
    授权的用户可以在有需要时,可以在任何地点和时间访问信息和资源。
    Information and resources are accessible where and when the authorized user needs them.

保护的对象包括:数据、程序和硬件结构。

需要明确谁在什么样的情况下被授权做什么。
specify who is authorized to do what under which situation

Integrity中的“正确、完整、当前”只能反映系统内部状态,不一定符合客观事实的正确性。

  • 安全是一个过程,而不是一个产品(Security is a process, not a product.)
  • 这三个保护目标只是最常被提到的,实际上还有更多(Slide page33-34)。例如隐蔽性、匿名性、责任性(不可抵赖性)等。

保护目标的相互关系

相互削弱关系包括:

  • 机密性和可用性相互削弱
  • 匿名性和责任性相互削弱

相互削弱的两个关系不可能实现优化,只能权衡。

促进关系包括:

  • 隐藏性促进匿名性
  • 机密性和匿名性相互促进

暗含关系包括:

  • 不可观测性 => 隐藏性 => 机密性
  • 可达性 => 可用性 => 完整性
  • 法律强制性 => 责任性 => 完整性

暗含关系指“必然包含”,例如可用性必然包含完整性,即实现可用性必须实现完整性


Attacker Model 攻击者模型

WHAT, against WHOM and HOW to protect
攻击者模型关注against WHOM的问题。

  • 攻击者角色:外部、用户、操作人员、服务及维护人员、生产商、设计者…
  • 攻击者的物理控制范围
  • 攻击者行为
    • Passive/Active
    • Observing/Modifying
  • Stupid/Intelligent
    • 计算资源:
    • 无限 computationally unrestricted
    • 有限 computationally restricted

保护系统不受拥有无限权力的(omnipotent)攻击者攻击是不可能的。

考虑攻击者拥有的资源:

  • 金钱
  • 时间
  • 计算能力

他们之间的关系:

  • 花钱可以购买到更多计算能力。
  • 时间与计算能力相对——时间越短,需要的计算能力越强;反之如果有足够时间,则不需要很强的计算能力。
  • 因此根据摩尔定律,每18个月同等价格计算能力提高四倍(晶体管数量两倍,价格减半),所以如果想设计10年内安全的系统,就要考虑至少4^10倍计算能力无法破解的加密算法。

攻击者的类型

主动与被动

Listening or interacting?
Passive Attacker:攻击者只监听通信过程
Active Attacker:攻击者篡改数据等内容

观测与修改

Obeying or breaking the rules?
Observing Attacker:攻击者遵循规则(为了不被发现)
Modifying Attacker:攻击者破坏规则(原则上会被发现)

Passive Observing Attacker:在规则范围内监听(honest but curious)
Passive Modifying Attacker:监听但不遵守规则
大多数的Modifying Attacker都是Active的。

攻击者的能力

攻击者A比攻击者B更强,当且仅当A比B在至少一个方面更强,且在其他方面不会更弱。
Stronger:

  • 更大的集合
  • 更大的物理控制范围
  • Active > Passive; Modifying > Observing
  • Intelligent(更多计算资源)
  • 更多钱
  • 更多时间


如何实现保护目标

WHAT, against WHOM and HOW to protect
三个问题中的最后一个HOW:如何实现保护目标。

包括了密码学和非密码学方法。

基础概念-多边安全(Multilateral Security)

系统的安全性不是作为一个模块添加进系统的,而是在系统设计过程中实现的。很难将一个不安全的系统变得安全,或者代价将会很大。

基础的设计准则(范式)

  • 每个参与者自己的保护目标
  • 每个参与者能制订(formulate)他的保护目标
  • 识别安全冲突,协商妥协
  • 每个参与者能在商定的妥协范围内执行其保护目标

2nd:

  • 每个参与者自己的目标

3nd:

  • 每个参与者能在商定的妥协范围内执行其保护目标,如果限制无法避免,则应该平等地应用于所有的参与者

物理安全假设

每个技术性安全措施地系统中都应有一个物理“锚点”,攻击者无法访问或修改。
Physical anchoring: Some physical part not under control of attacker.
例如被保护的数据中心或智能芯片。

物理上的分布式系统相对集中系统能够提供更好的可用性;
但是分布式使得机密性和完整性难以实现;
物理上的措施对于保护机密性和完整性更有效(硬件安全模块)。

抗篡改外壳(Tamper-resistant Casings)

  • 对干扰的检测判定
  • 对攻击的延迟删除数据
  • 采用多层结构,屏蔽
  • 对以上基础功能的组合

设备可以分为主动设备与被动设备,区别在于是否有电源驱动。主动设备可以在保护层被破坏时删除数据,而被动设备不能,因此对于攻击者来说更容易被破坏。因此通常使用带电源的设备。

现实中不可能满足所有的安全需求,因此需要设计这样的系统:当攻击者破坏外壳或访问到某些秘密时,整个系统不会因此而被攻破。

Golden Rule

如何从技术上设计系统要与组织上的方式相对应。
Correspondence between organizational and IT structures.


参考内容

TUD Security and Cryptography I
Verification and Validation

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注