卿斯?jié)h中國科學院軟體研究所11月市公開課特等獎市賽課微課一等獎課件

卿斯?jié)h中國科學院軟體研究所2003年11月網(wǎng)絡安全縱橫談

大綱引言資訊安全民間研究概況密碼學及相關研究安全作業(yè)系統(tǒng)研究資訊系統(tǒng)安全研究小結(jié)2電腦網(wǎng)路安全面臨威脅網(wǎng)路內(nèi)部、外部洩密拒絕服務攻擊蠕蟲程式特洛伊木馬黑客攻擊電腦病毒資訊丟失、篡改、銷毀陷門、隱蔽通道3電腦網(wǎng)路安全面臨威脅如果20分鐘產(chǎn)生一種新病毒,通過因特網(wǎng)傳播（30萬公里/秒）。聯(lián)網(wǎng)電腦每20分鐘感染一次,每天開機聯(lián)網(wǎng)2小時。結(jié)論一年以內(nèi)一臺聯(lián)網(wǎng)的電腦可能會被最新病毒感染2190次。4共性網(wǎng)路安全問題網(wǎng)路安全的基本問題－共性網(wǎng)路安全問題。網(wǎng)路安全目標:建成可信、可靠、可控、可用的網(wǎng)路工作環(huán)境。網(wǎng)路安全基本需求:機密性；完整性；不可抵賴性；抗攻擊性。5網(wǎng)路安全防衛(wèi)的基本要素:安全模型；安全策略；安全機制；安全產(chǎn)品；安全平臺；安全協(xié)議；安全通信密碼是核心；安全協(xié)議是橋樑；安全體系結(jié)構(gòu)是基礎；安全作業(yè)系統(tǒng)是關鍵；監(jiān)控管理是保障；系統(tǒng)攻擊評測是考驗共性網(wǎng)路安全問題6三類基本安全模型網(wǎng)路安全基本需求:機密性；完整性；可用性。機密性模型－認識深刻，技術成熟完整性模型－正在發(fā)展，技術相對不成熟拒絕服務型模型－無成型的安全模型7安全作業(yè)系統(tǒng)是基礎安全模型通過安全作業(yè)系統(tǒng)實現(xiàn)安全作業(yè)系統(tǒng)為其他安全產(chǎn)品構(gòu)成堅固的底座Linux為安全作業(yè)系統(tǒng)的研製和發(fā)展提供了機遇8民間社團中國密碼學會中國電腦學會電腦安全專委會中國電腦學會資訊保密專委會中國資訊協(xié)會資訊安全專委會中國電子學會中國通信學會…………9相關技術組織全國資訊安全標準化技術委員會公安部電腦資訊系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心國家資訊安全產(chǎn)品測評認證中心網(wǎng)上銀行發(fā)展與監(jiān)管專家組金卡工程專家組,金財工程專家組……國家電腦病毒應急處理中心…………10標準、法律、法規(guī)【電子簽名法】的立法準備已經(jīng)啟動。隱私權(quán)保護、資訊公開等法律法規(guī),也在醞釀之中。強制性國標GB17859—1999《電腦資訊系統(tǒng)安全保護等級劃分準則》推薦性國標GB/T18336-2001《資訊技術安全技術資訊技術安全性評估準則》,等同採用CC…………11著作【密碼學與電腦網(wǎng)路安全】,卿斯?jié)h著,清華大學出版社,2001年?！咀鳂I(yè)系統(tǒng)安全導論】,卿斯?jié)h,劉文清,劉海峰著,科學出版社,2003年?！举Y訊系統(tǒng)的安全】,卿斯?jié)h,馮登國編著,科學出版社,2003年。【網(wǎng)路攻防的技術原理與實戰(zhàn)】,卿斯?jié)h,蔣建春編著,科學出版社,即將出版?！景踩Ｐ团c隱蔽通道分析】,卿斯?jié)h等著,國防工業(yè)出版社,2004年出版。【安全協(xié)議】,卿斯?jié)h著,清華大學出版社,2004年12主編論文集SpringerLNCS1334SpringerLNCS2229SpringerLNCS2513SpringerLNCS2836IFIP/Sec2000Proceedings,Kluwer13國際資訊與通信安全會議ICICSICICS’97,北京,SpringerLNCS1334ICICS’99,悉尼,SpringerLNCS1726ICICS’2001,西安,SpringerLNCS2229ICICS’2002,新加坡,SpringerLNCS2513ICICS’2003,呼和浩特,SpringerLNCS2836ICICS’2004,西班牙,SpringerLNCS14網(wǎng)路安全的核心－密碼密碼-分組密碼,流密碼,公開鑰密碼我們分析美國NIST提出的15個AES候選演算法。由此可以看出二十一世紀分組密碼的發(fā)展趨勢。15AES的目標適用於二十一世紀,用於保護敏感的政府資訊演算法用於美國政府。其他人自願採用。AES的總目標－－二十一世紀的密碼演算法16AES的基本要求對稱分組密碼分組長度128比特支持128,192,和256比特密鑰長度提供C和Java編程的根源程式速度與安全性優(yōu)於三重DES17MARS byIBMRC6 byRSARIJNDAELbyDaemen&Rijmen SERPENTbyAnderson,Biham&KnudsenTWOFISHbySchneier,Kelsey,Whiting,Wagner,Hall&Ferguson

AES第2輪入圍演算法18Rijndael最後脫穎而出Rijndael是比利時的JoanDaemen和VincentRijmen設計的一個候選演算法。該演算法的原形是Square演算法,它的設計策略是寬軌跡策略(WideTrailStrategy)19ReferencesWenlingWu,SihanQing,etc.BriefCommentaryonthe15AESCandidateAlgorithmsIssuedbyNISTofUSA,JournalofSoftware,1999,10(3):225-230

我們的估計是正確的20WenlingWu,SihanQing,etc.CryptanalysisofSomeAESCandidateAlgorithms,ProceedingsofSecondInternationalConferenceonInformationandCommunicationsSecurity(ICICS’99),inLNCS1726,Springer-Verlag,1999.

我們的估計是正確的21NESSIE－－歐洲密碼大計畫17個演算法來自7個國家,其中美國、瑞士和法國各2個,巴西和俄羅斯各1個,比利時4個（均和COSIC研究小組有關）,日本提交5個演算法,是提交最多的國家22安全協(xié)議認證協(xié)定非否認協(xié)定電子商務協(xié)定實用協(xié)議－SSL－IPSEC23安全協(xié)議的分析方法BAN類邏輯分析方法Kailar邏輯分析方法StrandSpace分析方法CSP分析方法ModelChecker分析方法其他分析方法

24安全作業(yè)系統(tǒng)的基本元素安全模型安全策略安全機制安全內(nèi)核安全體系結(jié)構(gòu)安全評測安全應用25安全模型分類狀態(tài)機模型（Statemachinemodel）資訊流模型（InformationFlowmodel）非干擾模型（Noninterferencemodel）不可推斷模型（Nondeducibilitymodel）完整性模型（Integritymodel）...........26安勝安全作業(yè)系統(tǒng)達到國家標準GB17859—1999《電腦資訊系統(tǒng)安全保護等級劃分準則》第三級《安全標記保護級》,並參考TCSEC的B1級安全功能需求和《電腦資訊系統(tǒng)安全管理條例》的要求設計基於Linux,自主版權(quán)安全內(nèi)核27安勝安全作業(yè)系統(tǒng)2000年11月18日，公安部電腦資訊系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗中心發(fā)佈公告:“國內(nèi)首家安全作業(yè)系統(tǒng)通過檢測”。公告說，安勝安全作業(yè)系統(tǒng)V1.0，已於2000年11月17日，首家通過根據(jù)國家標準《電腦資訊系統(tǒng)安全保護等級劃分準則》（GB17859-1999）的檢測。實現(xiàn)了國標第三級的全部安全功能要求，並具有第四級的部分安全功能。2001年2月20日，國內(nèi)首家通過國家資訊安全測評認證中心的檢測和認證。28安全作業(yè)系統(tǒng)品牌IDC認定,安勝安全作業(yè)系統(tǒng)是中國兩大安全作業(yè)系統(tǒng)品牌之一。29《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)在美國,從橘皮書的B1到B2的升級,被認為是安全作業(yè)系統(tǒng)設計開發(fā)中,單級增強最為困難的一個階段。第四級安全作業(yè)系統(tǒng)設計,可以從一個方面反映一個國家安全作業(yè)系統(tǒng)的開發(fā)水平。30《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)僅靠“打補丁”加固式的安全性增強，很難達到第四級《結(jié)構(gòu)化保護級》的要求。應當系統(tǒng)研究高安全級別安全作業(yè)系統(tǒng)設計的理論、方法以及技術難點。重點是:安全模型的設計、證明與形式化驗證；安全體系結(jié)構(gòu)；半形式化設計的理論和技術；隱蔽通道系統(tǒng)分析與處理；高級別安全作業(yè)系統(tǒng)評測等。31《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)國標第四級和第三級之間的一個明顯區(qū)別在於,需要建立形式化的安全模型。安全模型是對其安全策略所表達的安全需求的簡單、抽象和無歧義的描述。目的在於明確地表達系統(tǒng)的安全需求,為設計開發(fā)安全作業(yè)系統(tǒng)提供方針,並保證當設計和安全模型一致時,實現(xiàn)的系統(tǒng)是安全的。32《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)高安全等級作業(yè)系統(tǒng)的設計趨勢是:安全體系支持多安全策略。真實的安全環(huán)境有兩個特徵，其一，安全威脅的多樣性，它們可能威脅資訊的機密性、完整性、可用性等，因此要求系統(tǒng)要支援安全策略的多樣性，滿足多種安全目標。其二，安全環(huán)境的變化性，一種是週期性變化；一種是環(huán)境的突然變化。33《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)從接近真實環(huán)境的程度來看，系統(tǒng)對安全策略的支援研究可以分為四個階段:支持單一安全策略→支持多安全策略→支援動態(tài)安全策略→適應環(huán)境變化1993年，DoD在TAFIM(TechnicalArchitectureforInformationManagement)計畫中推出新的安全體系結(jié)構(gòu)DGSA，強調(diào)對多種安全策略的支援，為安全作業(yè)系統(tǒng)的研究提出了新的挑戰(zhàn)。34《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)在支援多策略的安全體系結(jié)構(gòu)中，一些本質(zhì)的問題還沒有得到解決。（1）合成策略的安全性問題。例如，一般的安全性（如:Goguen及Meseguer的互不干涉性）往往不是一個可合成的性質(zhì)。因此，兩個安全策略合成後的安全性需要證明。（2）現(xiàn)有的多策略的安全體系對動態(tài)授權(quán)的支援還不是很清楚。35多安全策略支持框架存取控制廣義框架（GFAC）－提供表達和支援多安全策略（構(gòu)件）的框架FAM框架－基於策略描述語言的多安全策略支援框架配置RBAC模型支援多策略FLASK框架－側(cè)重動態(tài)安全策略支援

36《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)GB17859第四級及以上的系統(tǒng)，提出了分析與處理隱蔽通道（CovertChannel）的硬性要求。美國TCSEC.歐洲ISO/IEC15408也把隱蔽通道作為評估高等級安全資訊系統(tǒng)的關鍵指標。國際標準CC和我國GB/T18336也在安全保證部分對隱蔽通道分析做了明確規(guī)定37《結(jié)構(gòu)化保護級》安全作業(yè)系統(tǒng)其他相關問題:存取控制和密碼服務的有機結(jié)合將系統(tǒng)中安全相關的功能與安全無關的功能分離，以利於驗證和說明強制存取控制與網(wǎng)路安全有機融合機密性與完整性的融合可信通路問題38以安全作業(yè)系統(tǒng)為核心的安全應用防火牆安全閘道入侵檢測安全網(wǎng)管系統(tǒng)安全WEB安全評測39網(wǎng)路安全的第一道屏障－防火牆IP包過濾代理伺服器40堡壘主機（雙穴主機閘道）受保護網(wǎng)堡壘主機外部網(wǎng)堡壘主機中有兩塊網(wǎng)卡41被遮罩主機閘道外部網(wǎng)遮罩路由器堡壘主機受保護網(wǎng)42被遮罩子網(wǎng)受保護網(wǎng)遮罩路由器堡壘主機遮罩路由器被遮罩子網(wǎng)外部網(wǎng)43防火牆的綜合評價主要優(yōu)點是:提供一個集中的安全檢查點，並具有審計功能主要缺點是:(1)有可能繞過防火牆(2)對於內(nèi)部用戶無能為力。亦即只防外不防內(nèi)44高保障防火牆高保障防火牆滿足以下條件:(1)無法繞過防火牆(2)防火牆具有防止內(nèi)部敏感資訊洩漏的機制（既防外又防內(nèi)）(3)具有傳統(tǒng)防火牆的全部功能(4)支援主流平臺??_x0017_45安勝高保障防火牆支援B級安全作業(yè)系統(tǒng),包括DG公司B2級作業(yè)系統(tǒng)、HP公司B1級作業(yè)系統(tǒng)、安勝安全作業(yè)系統(tǒng)等底座堅固,且防火牆與作業(yè)系統(tǒng)無縫連接,因而難以繞過防火牆支援主流平臺應用國產(chǎn)密碼演算法46安勝