可信与可信度

2006-8－252006中国信息协会计算机安全专委会敦煌年会1/45可信与可信度卿斯汉2006-8－252006中国信息协会计算机安全专委会敦煌年会2/45信息安全与“可信”具有千丝万缕的联系。但在不同的上下文，在不同的应用领域，二者又不尽相同。特别，在日常生活中：往往“可信”是谈论得更多的话题。我们研究在信息安全的范围内，可信在各个相关领域中的相关概念、内涵与作用。信息安全与“可信”2006-8－252006中国信息协会计算机安全专委会敦煌年会3/45在信息安全领域，最近“可信”是一个热门话题。Cisco的可信网络概念TCG与可信计算平台可信管理可信评估可信模型，…………2006-8－252006中国信息协会计算机安全专委会敦煌年会4/45可信网络的架构理念：——网络作为可信媒介•区分安全与管理•可信区域的界定•对攻击的预警与准备•与从终端出发的观点相辅相成思科的“可信网络”概念2006-8－252006中国信息协会计算机安全专委会敦煌年会5/45自防御网络系统（SDN）的设计理念网络与人体的类比（如:病毒）以人体免疫系统为模型－网络需要象生命那样运转综合考虑流量分析、认证、授权、审计、基础设施等因素思科的“可信网络”概念2006-8－252006中国信息协会计算机安全专委会敦煌年会6/45为系统失败做设计所有的防御措施都有可能被攻破许多系统不受企业控制设法使用更可信的系统一个系统中的弱点应当由其他系统补偿SDN设计原则2006-8－252006中国信息协会计算机安全专委会敦煌年会7/45TCG文档结构图2006-8－252006中国信息协会计算机安全专委会敦煌年会8/45微软微软的NGSCB：通过与硬件相配合，提供强进程隔离、封装存储、到用户的可信路径、证实。•NGSCB虽然没有按计划推出，但在WindowsVista测试版上，提供的安全启动、代码完整性、系统服务保护、用户帐号保证、系统资源保护，都带有NGSCG的影子。微软与思科合作，在可信网络连接方面，推出“网络访问保护平台体系结构”研究动态-业界动态2006-8－252006中国信息协会计算机安全专委会敦煌年会9/45研究动态-业界动态IntelIntel的LaGrande：通过硬件实现受保护的执行环境、封装存储、远程平台证实、受保护的I/O操作在软件方面研究基于xen的VT技术，为硬件产品服务。2006-8－252006中国信息协会计算机安全专委会敦煌年会10/45IBM在可信计算方面的策略是服务器、服务、开源，他们的一些研究成果及项目包括4758/Linux项目：基于4758协处理器的操作系统项目。tcgLinux：在Linux上实现对tcg技术的支持，包括完整性度量的实现、基于TPM的证实、完整性报告等机制可信的linux客户端TPM在企业级安全中所扮演的角色对私密性保护的研究：包括IDEMIX(标识混合)、EPA（企业私密性体系结构）、RFID（电波频率标识）、EPAL（企业私密性标识语言）等多个研究项目。研究动态-业界动态2006-8－252006中国信息协会计算机安全专委会敦煌年会11/45HP可信基础设施，主要关注网络及主机平台安全，强调将堡垒式的安全转变为内置的、前摄的安全：安全虚拟化技术可信平台•将TCG信任链及信任根概念扩展到基础设施组件。•第三方远程信任系统•可信Linux标识管理：企业私密性增强中间件、私密性保护计算边界管理：提供更灵活的跨边界访问。信任管理：硬件安全器件、数字产权管理等研究动态-业界动态2006-8－252006中国信息协会计算机安全专委会敦煌年会12/45TCG的理念首先建立一个信任根。信任根的可信性由技术安全和管理安全确保。再建立一条信任链。从信任根开始到硬件平台、到操作系统、再到应用，一级认证一级，一级信任一级。从而把这种信任扩展到整个计算机系统。2006-8－252006中国信息协会计算机安全专委会敦煌年会13/45TCG理念的特点•从硬件到软件；从应用系统到基础软件；从PC到服务器；从移动设备到网络；从存储到外设。全面考虑•从进入可信计算环境开始，直到退出，提供一个完整的解决方案•以标准的形式，提供一个可伸缩的、模块化的体系架构2006-8－252006中国信息协会计算机安全专委会敦煌年会14/45信任模型•M.Blaze信任管理模型–20世纪90年代中后期，M.Blaze等人为解决系统网络服务的安全问题首次使用了“信任管理(TrustManagement)”的概念–信任管理系统的本质是使用一种精确的、理性的方式来描述和处理复杂的信任关系2006-8－252006中国信息协会计算机安全专委会敦煌年会15/45信任模型•Beth信任度评估模型–模型引入了经验的概念来表述和度量信任关系，并给出了由经验推荐所引出的信任度推导和综合计算公式–Beth模型对直接信任的定义比较严格，仅采用肯定经验对信任关系进行度量。另外，其信任度综合计算采用简单的算术平均，无法很好地消除恶意推荐所带来的影响。2006-8－252006中国信息协会计算机安全专委会敦煌年会16/45信任模型•Josang信任度评估模型–Josang等人发布了一系列论文对信任评估模型进行了详细的阐述–Josang模型对信任的定义较宽松，同时使用了事实空间中的肯定事件和否定事件对信任关系进行度量．模型没有明确区分直接信任和推荐信任，但提供了推荐算子用于信任度的推导–该模型同样无法有效地消除恶意推荐带来的影响2006-8－252006中国信息协会计算机安全专委会敦煌年会17/45发展概况•近年来网络信任模型和评估算法已经成为热点，随着可信计算技术的提出，信任模型也在不断成熟。近年来一些主流的研究领域包括：（1）信任以及非信任的传播，–针对个体之间的部分信任表达，精确预测任意两个对象之间的信任。2006-8－252006中国信息协会计算机安全专委会敦煌年会18/45发展概况（2）基于声望(Reputation)的信任模型–目前大部分直接信任模型都是基于声望的，基于声望的信任模型可以分成两类：集中信任（Central）和个性化信任（Personalized）–集中信任模型基于客体的完整行为样本。2006-8－252006中国信息协会计算机安全专委会敦煌年会19/45发展概况（3）使用模糊集的方法来研究信任–由于信任在某种程度上的不确定性，再进行决策的时候又需要确定的策略，可以使用模糊方法来研究。（4）基于推荐委托(RecommendationDelegate)的信任模型（5）基于行为的信任模型–根据用户的历史行为分配资源。2006-8－252006中国信息协会计算机安全专委会敦煌年会20/45但是，在信息安全领域，“可信”并不是是一个新话题。密码学中的可信模型、可信系统、可信协议、可信随机数生成器等概念安全操作系统中的可信计算基等概念其他TRUST与Belief概念2006-8－252006中国信息协会计算机安全专委会敦煌年会21/45理想信道.假想双方通过一个专用的、无法窃听的和入侵免疫的管道进行通信。发送者悄悄发送消息，而接收者可以听到该消息。无人能够窥探该管道，或者改变该管道的设置。这个管道是一个“完美的”媒介，仅适用于发送者和接收者，似乎世界上只有他们两人存在。从安全性观点，这是一个“理想的”通信信道。2006-8－252006中国信息协会计算机安全专委会敦煌年会22/45但是在实践中，不存在这种理想的通信信道。实际的应用场景是，通信双方通过某个公共网络，例如因特网进行通信，甚至是敏感信息的通信。2006-8－252006中国信息协会计算机安全专委会敦煌年会23/45信息安全技术的主要目标之一，就是向通信双方提供安全通信的方法。该方法模拟理想信道提供的安全性质这时，我们必须引入一个重要角色“敌手”。敌手模型（例如，著名的Dolev-Yao模型）模拟所有可能的攻击，特别是应当模拟具有各种强大攻击能力的“主动攻击者”，或信息安全领域中常用的“适应性攻击者”。2006-8－252006中国信息协会计算机安全专委会敦煌年会24/45注意：并非理想模型中的所有方面都能够被模拟。我们只是着重其中的主要方面：－私密性与认证性（完整性）。亦即，安全或可信机制必须有方法可以保证：敌手看不懂通信内容。在通信中接收者收到的消息的确来自声称的发送者，不是来自敌手。而且在通信过程中消息没有被修改。2006-8－252006中国信息协会计算机安全专委会敦煌年会25/45协议.发送者与接收者需要通过协议完成预定的不同的安全或可信目标。协议是通信双方各自运行的的程序或软件。发送者的程序规范发送者打包、编码、加密......消息的方法。接收者的程序规范解包、解码、解密......的（认证或不认证的）方法。两个程序都是某个密钥的函数。2006-8－252006中国信息协会计算机安全专委会敦煌年会26/45可信模型.为了通信安全，必须存在某种机制，使得合法的通信方知道什么，或者可以作些什么。相反，敌手不知道这些，或者不可能作这些。在合法通信方的工作环境与敌手的工作环境之间，必须存在某种“不对称性”。2006-8－252006中国信息协会计算机安全专委会敦煌年会27/45对称（秘密密钥）可信模型非对称（公开密钥）可信模型两种基本的可信模型2006-8－252006中国信息协会计算机安全专委会敦煌年会28/45主要安全目标与可信模型的总结对称可信模型非对称可信模型消息私密性对称加密（秘密密钥加密）非对称加密（公开密钥加密）消息认证性消息认证码（MAC）数字签名方案2006-8－252006中国信息协会计算机安全专委会敦煌年会29/45其他可信性与安全性目标其他可信性与安全性目标，一些与上述目标相关，一些无关，我们进行简要的讨论。2006-8－252006中国信息协会计算机安全专委会敦煌年会30/45“可信”随机数生成问题许多“可信”应用要求提供随机数或随机比特。首先，在密钥生成中，随机性是最基本的要求。其次，许多加密算法是随机化算法。特别是，目前实践中应用的“可信”加密与数字签名算法基本上都是随机化的算法。2006-8－252006中国信息协会计算机安全专委会敦煌年会31/45存在大量密码应用，那里两个互不信任的通信主体需要使用相互信任的随机数。这种应用对安全性的要求更高。例如，标准的攻击技术是诱使天真的用户提供预言机服务，其中该用户对一个看起来是合法的“随机”数实现一个密码运算。因此，真随机性与保证看起来是“随机”的数的确是随机数，对于系统的可信性与安全性是非常重要的。2006-8－252006中国信息协会计算机安全专委会敦煌年会32/45需要可信的随机源的另一个原因，例如零知识协议需要相互信任的随机请求。这些随机请求不能由散列函数推导出来。不诚实的验证者可以攻击诚实验证者零知识协议，正是因为他能够应用散列函数生成一个看起来是随机的请求。2006-8－252006中国信息协会计算机安全专委会敦煌年会33/45电话掷币问题可以通过协议描述——在最大可能的情形，可使互不信任的双方都知道公平掷币的结果，同时，防止任意一方进行的欺骗。著名的Blum电话掷币协议可使两个互不信任的通信主体协商相互信任的随机数。著名的Blum整数：N=pq;p≡q≡3（mod4）2006-8－252006中国信息协会计算机安全专委会敦煌年会34/45可认证的密钥交换协议是密码学与可信计算理论中最微妙的目标之一。定义这个目标并提供高保障的解决方案是十分困难的。著名的N-S认证协议，尽管十分简单，而且长期被认为是安全的（被“证明”？）。但在17年之后才应用复杂的数学工具（CSP方法）攻破。其微妙性可见一斑。2006-8－252006中国信息协会计算机安全专委会敦煌年会35/45因此，需要形式化的方法，证明算法、协议与系统的安全性。这样，才能够增加可信的程度。可信——是一个永恒的话题。同时，可信不是一个“绝对”概念。2006