卿斯?jié)h中國(guó)科學(xué)院軟體研究所11月市公開課特等獎(jiǎng)市賽課微課一等獎(jiǎng)?wù)n件

卿斯?jié)h中國(guó)科學(xué)院軟體研究所2003年11月網(wǎng)絡(luò)安全縱橫談

大綱引言資訊安全民間研究概況密碼學(xué)及相關(guān)研究安全作業(yè)系統(tǒng)研究資訊系統(tǒng)安全研究小結(jié)2電腦網(wǎng)路安全面臨威脅網(wǎng)路內(nèi)部、外部洩密拒絕服務(wù)攻擊蠕蟲程式特洛伊木馬黑客攻擊電腦病毒資訊丟失、篡改、銷毀陷門、隱蔽通道3電腦網(wǎng)路安全面臨威脅如果20分鐘產(chǎn)生一種新病毒,通過(guò)因特網(wǎng)傳播（30萬(wàn)公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次,每天開機(jī)聯(lián)網(wǎng)2小時(shí)。結(jié)論一年以內(nèi)一臺(tái)聯(lián)網(wǎng)的電腦可能會(huì)被最新病毒感染2190次。4共性網(wǎng)路安全問(wèn)題網(wǎng)路安全的基本問(wèn)題－共性網(wǎng)路安全問(wèn)題。網(wǎng)路安全目標(biāo):建成可信、可靠、可控、可用的網(wǎng)路工作環(huán)境。網(wǎng)路安全基本需求:機(jī)密性；完整性；不可抵賴性；抗攻擊性。5網(wǎng)路安全防衛(wèi)的基本要素:安全模型；安全策略；安全機(jī)制；安全產(chǎn)品；安全平臺(tái)；安全協(xié)議；安全通信密碼是核心；安全協(xié)議是橋樑；安全體系結(jié)構(gòu)是基礎(chǔ)；安全作業(yè)系統(tǒng)是關(guān)鍵；監(jiān)控管理是保障；系統(tǒng)攻擊評(píng)測(cè)是考驗(yàn)共性網(wǎng)路安全問(wèn)題6三類基本安全模型網(wǎng)路安全基本需求:機(jī)密性；完整性；可用性。機(jī)密性模型－認(rèn)識(shí)深刻，技術(shù)成熟完整性模型－正在發(fā)展，技術(shù)相對(duì)不成熟拒絕服務(wù)型模型－無(wú)成型的安全模型7安全作業(yè)系統(tǒng)是基礎(chǔ)安全模型通過(guò)安全作業(yè)系統(tǒng)實(shí)現(xiàn)安全作業(yè)系統(tǒng)為其他安全產(chǎn)品構(gòu)成堅(jiān)固的底座Linux為安全作業(yè)系統(tǒng)的研製和發(fā)展提供了機(jī)遇8民間社團(tuán)中國(guó)密碼學(xué)會(huì)中國(guó)電腦學(xué)會(huì)電腦安全專委會(huì)中國(guó)電腦學(xué)會(huì)資訊保密專委會(huì)中國(guó)資訊協(xié)會(huì)資訊安全專委會(huì)中國(guó)電子學(xué)會(huì)中國(guó)通信學(xué)會(huì)…………9相關(guān)技術(shù)組織全國(guó)資訊安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)公安部電腦資訊系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心國(guó)家資訊安全產(chǎn)品測(cè)評(píng)認(rèn)證中心網(wǎng)上銀行發(fā)展與監(jiān)管專家組金卡工程專家組,金財(cái)工程專家組……國(guó)家電腦病毒應(yīng)急處理中心…………10標(biāo)準(zhǔn)、法律、法規(guī)【電子簽名法】的立法準(zhǔn)備已經(jīng)啟動(dòng)。隱私權(quán)保護(hù)、資訊公開等法律法規(guī),也在醞釀之中。強(qiáng)制性國(guó)標(biāo)GB17859—1999《電腦資訊系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》推薦性國(guó)標(biāo)GB/T18336-2001《資訊技術(shù)安全技術(shù)資訊技術(shù)安全性評(píng)估準(zhǔn)則》,等同採(cǎi)用CC…………11著作【密碼學(xué)與電腦網(wǎng)路安全】,卿斯?jié)h著,清華大學(xué)出版社,2001年。【作業(yè)系統(tǒng)安全導(dǎo)論】,卿斯?jié)h,劉文清,劉海峰著,科學(xué)出版社,2003年?！举Y訊系統(tǒng)的安全】,卿斯?jié)h,馮登國(guó)編著,科學(xué)出版社,2003年?！揪W(wǎng)路攻防的技術(shù)原理與實(shí)戰(zhàn)】,卿斯?jié)h,蔣建春編著,科學(xué)出版社,即將出版?！景踩Ｐ团c隱蔽通道分析】,卿斯?jié)h等著,國(guó)防工業(yè)出版社,2004年出版?！景踩珔f(xié)議】,卿斯?jié)h著,清華大學(xué)出版社,2004年12主編論文集SpringerLNCS1334SpringerLNCS2229SpringerLNCS2513SpringerLNCS2836IFIP/Sec2000Proceedings,Kluwer13國(guó)際資訊與通信安全會(huì)議ICICSICICS’97,北京,SpringerLNCS1334ICICS’99,悉尼,SpringerLNCS1726ICICS’2001,西安,SpringerLNCS2229ICICS’2002,新加坡,SpringerLNCS2513ICICS’2003,呼和浩特,SpringerLNCS2836ICICS’2004,西班牙,SpringerLNCS14網(wǎng)路安全的核心－密碼密碼-分組密碼,流密碼,公開鑰密碼我們分析美國(guó)NIST提出的15個(gè)AES候選演算法。由此可以看出二十一世紀(jì)分組密碼的發(fā)展趨勢(shì)。15AES的目標(biāo)適用於二十一世紀(jì),用於保護(hù)敏感的政府資訊演算法用於美國(guó)政府。其他人自願(yuàn)採(cǎi)用。AES的總目標(biāo)－－二十一世紀(jì)的密碼演算法16AES的基本要求對(duì)稱分組密碼分組長(zhǎng)度128比特支持128,192,和256比特密鑰長(zhǎng)度提供C和Java編程的根源程式速度與安全性優(yōu)於三重DES17MARS byIBMRC6 byRSARIJNDAELbyDaemen&Rijmen SERPENTbyAnderson,Biham&KnudsenTWOFISHbySchneier,Kelsey,Whiting,Wagner,Hall&Ferguson

AES第2輪入圍演算法18Rijndael最後脫穎而出Rijndael是比利時(shí)的JoanDaemen和VincentRijmen設(shè)計(jì)的一個(gè)候選演算法。該演算法的原形是Square演算法,它的設(shè)計(jì)策略是寬軌跡策略(WideTrailStrategy)19ReferencesWenlingWu,SihanQing,etc.BriefCommentaryonthe15AESCandidateAlgorithmsIssuedbyNISTofUSA,JournalofSoftware,1999,10(3):225-230

我們的估計(jì)是正確的20WenlingWu,SihanQing,etc.CryptanalysisofSomeAESCandidateAlgorithms,ProceedingsofSecondInternationalConferenceonInformationandCommunicationsSecurity(ICICS’99),inLNCS1726,Springer-Verlag,1999.

我們的估計(jì)是正確的21NESSIE－－歐洲密碼大計(jì)畫17個(gè)演算法來(lái)自7個(gè)國(guó)家,其中美國(guó)、瑞士和法國(guó)各2個(gè),巴西和俄羅斯各1個(gè),比利時(shí)4個(gè)（均和COSIC研究小組有關(guān)）,日本提交5個(gè)演算法,是提交最多的國(guó)家22安全協(xié)議認(rèn)證協(xié)定非否認(rèn)協(xié)定電子商務(wù)協(xié)定實(shí)用協(xié)議－SSL－IPSEC23安全協(xié)議的分析方法BAN類邏輯分析方法Kailar邏輯分析方法StrandSpace分析方法CSP分析方法ModelChecker分析方法其他分析方法

24安全作業(yè)系統(tǒng)的基本元素安全模型安全策略安全機(jī)制安全內(nèi)核安全體系結(jié)構(gòu)安全評(píng)測(cè)安全應(yīng)用25安全模型分類狀態(tài)機(jī)模型（Statemachinemodel）資訊流模型（InformationFlowmodel）非干擾模型（Noninterferencemodel）不可推斷模型（Nondeducibilitymodel）完整性模型（Integritymodel）...........26安勝安全作業(yè)系統(tǒng)達(dá)到國(guó)家標(biāo)準(zhǔn)GB17859—1999《電腦資訊系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》第三級(jí)《安全標(biāo)記保護(hù)級(jí)》,並參考TCSEC的B1級(jí)安全功能需求和《電腦資訊系統(tǒng)安全管理?xiàng)l例》的要求設(shè)計(jì)基於Linux,自主版權(quán)安全內(nèi)核27安勝安全作業(yè)系統(tǒng)2000年11月18日，公安部電腦資訊系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心發(fā)佈公告:“國(guó)內(nèi)首家安全作業(yè)系統(tǒng)通過(guò)檢測(cè)”。公告說(shuō)，安勝安全作業(yè)系統(tǒng)V1.0，已於2000年11月17日，首家通過(guò)根據(jù)國(guó)家標(biāo)準(zhǔn)《電腦資訊系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）的檢測(cè)。實(shí)現(xiàn)了國(guó)標(biāo)第三級(jí)的全部安全功能要求，並具有第四級(jí)的部分安全功能。2001年2月20日，國(guó)內(nèi)首家通過(guò)國(guó)家資訊安全測(cè)評(píng)認(rèn)證中心的檢測(cè)和認(rèn)證。28安全作業(yè)系統(tǒng)品牌IDC認(rèn)定,安勝安全作業(yè)系統(tǒng)是中國(guó)兩大安全作業(yè)系統(tǒng)品牌之一。29《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)在美國(guó),從橘皮書的B1到B2的升級(jí),被認(rèn)為是安全作業(yè)系統(tǒng)設(shè)計(jì)開發(fā)中,單級(jí)增強(qiáng)最為困難的一個(gè)階段。第四級(jí)安全作業(yè)系統(tǒng)設(shè)計(jì),可以從一個(gè)方面反映一個(gè)國(guó)家安全作業(yè)系統(tǒng)的開發(fā)水平。30《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)僅靠“打補(bǔ)丁”加固式的安全性增強(qiáng)，很難達(dá)到第四級(jí)《結(jié)構(gòu)化保護(hù)級(jí)》的要求。應(yīng)當(dāng)系統(tǒng)研究高安全級(jí)別安全作業(yè)系統(tǒng)設(shè)計(jì)的理論、方法以及技術(shù)難點(diǎn)。重點(diǎn)是:安全模型的設(shè)計(jì)、證明與形式化驗(yàn)證；安全體系結(jié)構(gòu)；半形式化設(shè)計(jì)的理論和技術(shù)；隱蔽通道系統(tǒng)分析與處理；高級(jí)別安全作業(yè)系統(tǒng)評(píng)測(cè)等。31《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)國(guó)標(biāo)第四級(jí)和第三級(jí)之間的一個(gè)明顯區(qū)別在於,需要建立形式化的安全模型。安全模型是對(duì)其安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無(wú)歧義的描述。目的在於明確地表達(dá)系統(tǒng)的安全需求,為設(shè)計(jì)開發(fā)安全作業(yè)系統(tǒng)提供方針,並保證當(dāng)設(shè)計(jì)和安全模型一致時(shí),實(shí)現(xiàn)的系統(tǒng)是安全的。32《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)高安全等級(jí)作業(yè)系統(tǒng)的設(shè)計(jì)趨勢(shì)是:安全體系支持多安全策略。真實(shí)的安全環(huán)境有兩個(gè)特徵，其一，安全威脅的多樣性，它們可能威脅資訊的機(jī)密性、完整性、可用性等，因此要求系統(tǒng)要支援安全策略的多樣性，滿足多種安全目標(biāo)。其二，安全環(huán)境的變化性，一種是週期性變化；一種是環(huán)境的突然變化。33《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)從接近真實(shí)環(huán)境的程度來(lái)看，系統(tǒng)對(duì)安全策略的支援研究可以分為四個(gè)階段:支持單一安全策略→支持多安全策略→支援動(dòng)態(tài)安全策略→適應(yīng)環(huán)境變化1993年，DoD在TAFIM(TechnicalArchitectureforInformationManagement)計(jì)畫中推出新的安全體系結(jié)構(gòu)DGSA，強(qiáng)調(diào)對(duì)多種安全策略的支援，為安全作業(yè)系統(tǒng)的研究提出了新的挑戰(zhàn)。34《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)在支援多策略的安全體系結(jié)構(gòu)中，一些本質(zhì)的問(wèn)題還沒有得到解決。（1）合成策略的安全性問(wèn)題。例如，一般的安全性（如:Goguen及Meseguer的互不干涉性）往往不是一個(gè)可合成的性質(zhì)。因此，兩個(gè)安全策略合成後的安全性需要證明。（2）現(xiàn)有的多策略的安全體系對(duì)動(dòng)態(tài)授權(quán)的支援還不是很清楚。35多安全策略支持框架存取控制廣義框架（GFAC）－提供表達(dá)和支援多安全策略（構(gòu)件）的框架FAM框架－基於策略描述語(yǔ)言的多安全策略支援框架配置RBAC模型支援多策略FLASK框架－側(cè)重動(dòng)態(tài)安全策略支援

36《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)GB17859第四級(jí)及以上的系統(tǒng)，提出了分析與處理隱蔽通道（CovertChannel）的硬性要求。美國(guó)TCSEC.歐洲ISO/IEC15408也把隱蔽通道作為評(píng)估高等級(jí)安全資訊系統(tǒng)的關(guān)鍵指標(biāo)。國(guó)際標(biāo)準(zhǔn)CC和我國(guó)GB/T18336也在安全保證部分對(duì)隱蔽通道分析做了明確規(guī)定37《結(jié)構(gòu)化保護(hù)級(jí)》安全作業(yè)系統(tǒng)其他相關(guān)問(wèn)題:存取控制和密碼服務(wù)的有機(jī)結(jié)合將系統(tǒng)中安全相關(guān)的功能與安全無(wú)關(guān)的功能分離，以利於驗(yàn)證和說(shuō)明強(qiáng)制存取控制與網(wǎng)路安全有機(jī)融合機(jī)密性與完整性的融合可信通路問(wèn)題38以安全作業(yè)系統(tǒng)為核心的安全應(yīng)用防火牆安全閘道入侵檢測(cè)安全網(wǎng)管系統(tǒng)安全WEB安全評(píng)測(cè)39網(wǎng)路安全的第一道屏障－防火牆IP包過(guò)濾代理伺服器40堡壘主機(jī)（雙穴主機(jī)閘道）受保護(hù)網(wǎng)堡壘主機(jī)外部網(wǎng)堡壘主機(jī)中有兩塊網(wǎng)卡41被遮罩主機(jī)閘道外部網(wǎng)遮罩路由器堡壘主機(jī)受保護(hù)網(wǎng)42被遮罩子網(wǎng)受保護(hù)網(wǎng)遮罩路由器堡壘主機(jī)遮罩路由器被遮罩子網(wǎng)外部網(wǎng)43防火牆的綜合評(píng)價(jià)主要優(yōu)點(diǎn)是:提供一個(gè)集中的安全檢查點(diǎn)，並具有審計(jì)功能主要缺點(diǎn)是:(1)有可能繞過(guò)防火牆(2)對(duì)於內(nèi)部用戶無(wú)能為力。亦即只防外不防內(nèi)44高保障防火牆高保障防火牆滿足以下條件:(1)無(wú)法繞過(guò)防火牆(2)防火牆具有防止內(nèi)部敏感資訊洩漏的機(jī)制（既防外又防內(nèi)）(3)具有傳統(tǒng)防火牆的全部功能(4)支援主流平臺(tái)??_x0017_45安勝高保障防火牆支援B級(jí)安全作業(yè)系統(tǒng),包括DG公司B2級(jí)作業(yè)系統(tǒng)、HP公司B1級(jí)作業(yè)系統(tǒng)、安勝安全作業(yè)系統(tǒng)等底座堅(jiān)固,且防火牆與作業(yè)系統(tǒng)無(wú)縫連接,因而難以繞過(guò)防火牆支援主流平臺(tái)應(yīng)用國(guó)產(chǎn)密碼演算法46安勝